反黑客工具包第3版 §26.2 WINDOWS在线反应工具包 (-)-oychw-ChinaUnix博客

雪峰磁针石测试 linux pythontesting.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

oychw

博客访问： 19741658
博文数量： 679
博客积分： 10495
博客等级：上将
技术积分： 9308
用户组：普通用户
注册时间： 2006-07-18 10:51

文章分类

全部博文（679）

@python（115）

python 标准库（1）

测试（2）

其他（17）

python核心编程（0）

python 模块（0）

python本质参考（3）

python 并发（0）

实例（24）

pexpect（5）

《使用python进行（5）

Robot Framework （43）

python 从入门到（13）
测试新闻（5）
软件水平考试（15）

教程（12）

软件评测师（2）
@network（5）

抓包工具（0）

计算机网络第四（3）
@socity（36）

地理（1）

cctv7（1）

国学（2）

散文（2）

财经（3）

健康（11）

life（2）

卡耐基人际关系学（11）

history（1）
Windows（10）

终端服务（2）

深入解析Windows（6）
@mysql（29）

mysql cluster（5）

Mysql 教程（19）
@LINUX（148）

ubuntu（2）

?哥的 Linux 私房（0）

Unix 和 Linux 自（3）

linux 内核（6）

学习bash shell （3）

shell实例（1）

sed（1）

编辑命令（0）

linux 安全（0）

文件系统（1）

硬盘相关（4）

running linux（7）

Linux 程序设计入（36）

Linux基础教程（1（8）

linux 基础（0）

linux 业界（2）

性能监控（1）

Linux 命令（11）

Linux 文件系统（7）

Linux 简介（9）

linux 使用（4）

@LINUX SERVICE（4）

高效awk编程第3版（3）

实例讲解unix she（1）

LINUX与UNIX SHEL（15）

shell（10）
test（77）

功能测试（2）

质量模型（0）

软件测试的艺术（5）

测试文档（12）

测试基础理论（11）

软件测试基础教程（0）

Jmeter（2）

测试工具（1）

Web 安全测试 Coo（3）

测试面试（1）

性能测试（9）

软件测试第2版（13）
automation（26）

sikuli（3）

selenium（0）

手册（0）

Testcomplete（2）

学习perl（1）

TCL 教程英文版（7）

实战Tcl和TK程序（5）

expect 实例（1）
computer（28）

c（8）

21天学通Java 6（4）

java（1）

Cisco IOS Cookbo（0）

network（10）
it（4）
joke（4）
linux_unix（28）

linux security （2）

硬件相关（2）

Secure Shell 2nd（1）

linux unix性能工（2）
society（84）

一夜风流（2）

@health（1）

法律（3）

sex（1）

励志（1）

english（1）

plan & summary（8）

job（2）

security（10）

economic（17）

health（9）
未分配的博文（65）

文章存档

2012年（5）

2011年（38）

2010年（86）

2009年（145）

2008年（170）

2007年（165）

2006年（89）

我的朋友

§20.2 WINDOWS在线反应工具包

文件传送可以使用nc，参见NC相关章节。

cmd.exe可能会被黑客修改，所以有必要重命名拷贝一个cmd。

＊ Fport

下载地址：

它能显示TCP/UDP端口对应的程序。

＊ netstat

windows 中netstat能显示端口连接情况，但是不能显示对应的进程，可以配合fport使用。一般使用netstat –an。netstat –rn可以查看路由表。详细的参考windows帮助。

＊ nbtstat

nbtstat -c

本地连接:

Node IpAddress: [172.19.148.26] Scope Id: []

NetBIOS Remote Cache Name Table

Name Type Host Address Life [sec]

------------------------------------------------------------

SZDC02.CN.UTSTA<52> UNIQUE 172.19.30.64 355

显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 nbtstat 显示帮助。详细的请参考windows帮助

＊ arp

显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

arp -a

Interface: 172.19.148.26 --- 0x2

Internet Address Physical Address Type

172.19.148.1 00-00-0c-07-ac-ce dynamic

172.19.148.2 00-12-44-52-c0-00 dynamic

172.19.148.3 00-12-44-52-c4-00 dynamic

＊ pslist

下载地址：其实是在PsTools工具包中。参见页面。介绍在。

常用例子：pslist exp，

＊ pskill

按名称或者进程号杀死进程

＊ dir

主要用来查看时间戳。可以使用如下：

dir /a /t:a /o:d /s c:\

其他常用用法：

显示隐含文件：dir /a:h

显示当前目录的子目录： dir /a:d /b

更多的参考windows帮助

＊ Auditpol

待扩充

＊ psloggedon

看现在登陆的用户，不过通过后门等进来的用户是看不到的。

＊ ntlast

下载地址：

检查logon和事件

常用：ntlast， ntlast –s 查看成功登陆，ntlast –f 查看失败登陆。

＊ dumpel

导出日志，不过现在事件查看器具有这个功能，略。

＊ sfind

下载地址：

检查磁盘中的隐藏数据流并显示最后访问时间。因为NTFS中可能会使用文件流机制（alternate data streams or ADS）来隐藏数据。

类似的工具有：LADS,参见：

一般的检查流程如下：

备份数据：nc -l -p Workstation Port> > .txt

D:\> | nc Workstation Port>

而后可以写一个检查脚本：

@@@echo off

echo **********************

echo ***** Start Date *****

echo **********************

echo. | date

echo **********************

echo ***** Start Time *****

echo **********************

echo. | time

echo ***********************

echo ***** netstat -an *****

echo ***********************

netstat -an

echo ******************

echo ***** arp -a *****

echo ******************

arp -a

echo *****************

echo ***** fport *****

echo *****************

fport

*************

echo ******************

echo ***** pslist *****

echo ******************

pslist

echo **********************

echo ***** nbtstat -c *****

echo **********************

nbtstat -c

echo ********************

echo ***** loggedon *****

echo ********************

loggedon

echo ******************

echo ***** ntlast *****

echo ******************

ntlast

echo *******************************

echo ***** Last Accessed Times *****

echo *******************************

dir /t:a /o:d /s c:\

echo *******************************

echo ***** Last Modified Times *****

echo *******************************

dir /t:w /o:d /s c:\

echo **************************

echo ***** Creation Times *****

echo **************************

dir /t:c /o:d /s c:\

echo ******************************

echo ***** Security Event Log *****

echo ******************************

dumpel -l security

echo *********************************

echo ***** Application Event Log *****

echo *********************************

dumpel -l application

echo ****************************

echo ***** System Event Log *****

echo ****************************

dumpel -l system

echo ********************

echo ***** ipconfig *****

echo ********************

ipconfig /all

echo ********************

echo ***** End Time *****

echo ********************

echo. | time

echo ********************

echo ***** End Date *****

echo ********************

echo. | date

＊ Md5sum （这块还不是很理解）

，第3章有详细的描述，比如：md5sum -b * > md5sums.txt

阅读(5756) | 评论(0) | 转发(0) |

上一篇：反黑客工具包第3版 §20 创建可引导环境和在线反应工具包 §20.1 TRINUX

下一篇：反黑客工具包第3版 §20.3 LINUX在线反应工具包

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6