Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19911739
  • 博文数量: 679
  • 博客积分: 10495
  • 博客等级: 上将
  • 技术积分: 9308
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-18 10:51
文章分类

全部博文(679)

文章存档

2012年(5)

2011年(38)

2010年(86)

2009年(145)

2008年(170)

2007年(165)

2006年(89)

分类: 网络与安全

2008-05-26 17:19:45

§20.2           WINDOWS在线反应工具包

文件传送可以使用nc,参见NC相关章节。

cmd.exe可能会被黑客修改,所以有必要重命名拷贝一个cmd

     Fport

下载地址:

它能显示TCP/UDP端口对应的程序。

 

     netstat

windows netstat能显示端口连接情况,但是不能显示对应的进程,可以配合fport使用。一般使用netstat –annetstat –rn可以查看路由表。详细的参考windows帮助。

     nbtstat

nbtstat -c

 

本地连接:

Node IpAddress: [172.19.148.26] Scope Id: []

 

                  NetBIOS Remote Cache Name Table

 

        Name              Type       Host Address    Life [sec]

    ------------------------------------------------------------

SZDC02.CN.UTSTA<52>  UNIQUE          172.19.30.64        355

显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 nbtstat 显示帮助。详细的请参考windows帮助

     arp

显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。

arp -a

 

Interface: 172.19.148.26 --- 0x2

  Internet Address      Physical Address      Type

  172.19.148.1          00-00-0c-07-ac-ce     dynamic

  172.19.148.2          00-12-44-52-c0-00     dynamic

  172.19.148.3          00-12-44-52-c4-00     dynamic

     pslist

下载地址: 其实是在PsTools工具包中。参见页面。 介绍在

 

    常用例子:pslist exp

 

     pskill

按名称或者进程号杀死进程

 

     dir

 

主要用来查看时间戳。可以使用如下:

dir /a /t:a /o:d /s c:\

其他常用用法:

    显示隐含文件:dir /a:h

    显示当前目录的子目录: dir /a:d /b

更多的参考windows帮助

     Auditpol

待扩充

 

     psloggedon

看现在登陆的用户,不过通过后门等进来的用户是看不到的。

     ntlast

下载地址:

检查logon和事件

常用:ntlast ntlast –s 查看成功登陆,ntlast –f 查看失败登陆。

     dumpel

导出日志,不过现在事件查看器具有这个功能,略。

     sfind

下载地址:

检查磁盘中的隐藏数据流并显示最后访问时间。因为NTFS中可能会使用文件流机制(alternate data streams or ADS)来隐藏数据。

类似的工具有:LADS,参见:

 

一般的检查流程如下:

备份数据:nc -l -p Workstation Port> > .txt

        D:\> | nc Workstation Port>

而后可以写一个检查脚本:

@@@echo off

echo **********************

echo ***** Start Date *****

echo **********************

echo. | date

echo **********************

echo ***** Start Time *****

echo **********************

echo. | time

echo ***********************

echo ***** netstat -an *****

echo ***********************

netstat -an

echo ******************

echo ***** arp -a *****

echo ******************

arp -a

echo *****************

echo ***** fport *****

echo *****************

fport

 

*************

echo ******************

echo ***** pslist *****

echo ******************

pslist

echo **********************

echo ***** nbtstat -c *****

echo **********************

nbtstat -c

echo ********************

echo ***** loggedon *****

echo ********************

loggedon

echo ******************

echo ***** ntlast *****

echo ******************

ntlast

echo *******************************

echo ***** Last Accessed Times *****

echo *******************************

dir /t:a /o:d /s c:\

echo *******************************

echo ***** Last Modified Times *****

echo *******************************

dir /t:w /o:d /s c:\

echo **************************

echo ***** Creation Times *****

echo **************************

dir /t:c /o:d /s c:\

echo ******************************

echo ***** Security Event Log *****

echo ******************************

dumpel -l security

echo *********************************

echo ***** Application Event Log *****

echo *********************************

dumpel -l application

echo ****************************

echo ***** System Event Log *****

echo ****************************

dumpel -l system

echo ********************

 

echo ***** ipconfig *****

echo ********************

ipconfig /all

echo ********************

echo ***** End Time *****

echo ********************

echo. | time

echo ********************

echo ***** End Date *****

echo ********************

echo. | date

 

     Md5sum (这块还不是很理解)

,第3章有详细的描述,比如:md5sum -b * > md5sums.txt

阅读(5826) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~