| Windows系统中最有用的命令行工具:包括WMIC、net、openfiles、netstat和查找命令。我将集中阐述五个比较有用的命令,并分析安全专家如何使用这些命令来帮助他们更好地工作,从而完整地列出十大命令。
与使用tasklist的程序相结合
当没有其它选择,只运行tasklist命令时,它会显示一列所有正在运行的程序,显示这些程序的名称、PID码和其它统计信息。要获得更多的tasklist信息,可以考虑这样运行该命令:
C:\> tasklist /svc
这个命令可以使tasklist显示每个进程中是哪个服务正在运行。许多Windows用户并不理解服务与进程之间的关系,Windows系统中的每个服务必须在某个程序中运行,并且一些程序内部有多个服务。因此,程序与服务之间的关系是一对多的关系,tasklist命令可以揭示这一点。
Tasklist命令的另一种有用形式是:
C:\> tasklist /m
“m”代表“模块(modules)”,或者代表tasklist指代DLL和代码库的方式,代码库是程序在运行过程中按照主机的命令而加载的。当用这种方法调用命令时,tasklist可以显示当前加载到所有运行程序中的每一个DLL。这就为用户在特定的时间内提供了大量的信息,这些信息是关于其计算机上正在发生的情况。虽然非常麻烦,Google搜索特定的程序和DLL,可能会带回反病毒厂商站点中的恶意软件描述,有了特定样本,就可以洞察到攻击者的动机。
高级注册表分析的reg命令
Reg命令可以使用户与其机器的注册表在命令行进行交互。没有采用麻烦的regedIT GUI来操纵注册表,安全专家可以简单地弹出打开一个Windows命令界面,并运行reg命令,进而读取或更新注册表。然而,reg命令不允许注册表的交互式浏览;用户需要知道他们想要查看或改变的注册表索引的完整路径。但是,一旦知道了路径,reg命令是一种进行更改的简单方式。
如果要查看特定注册表索引的设置,使用reg命令的“查询”选项,具体如下所示:
C:\> reg query hklm\software\microsoft\windows\currentversion\run
这个索引控制Windows上不同的自动启动程序,当计算机启动以及随后用户登录到系统时,这些程序开始运行。许多恶意软件样本可以改变这个索引,来确保当系统重新启动时,恶意软件也开始运行。
将单个索引或者整个注册表输出到一个文件,用于分析或者将其安装在一个隔离的系统中,reg命令支持“reg输出”功能。除了读取和输出注册表设置以外,reg命令也可以进行更新。“reg add”命令将更新现有索引值,或者在不存在索引的情况下,创建一个索引。“reg import”命令可以导入多个注册表索引。
使用ipconfig进行DNS分析
大多数真正的Windows用户都熟悉ipconfig命令,它非常有用,可以显示Windows中的网络设置。但是,ipconfig有一个非常有用的功能,Ipconfig命令可以显示本地Windows机器中的DNS缓冲器,如下所示:
C:\> ipconfig /displaydns
该命令的输出可以显示各种缓冲域名、其相关的IP地址以及DNS记录的停留时间(以秒计)。如果用户重复运行这个命令,他们可以看到停留时间在减少,直到记录终止并且被放弃,或者得到更新。在研究快速通量僵尸网络时,查看DNS缓冲器和停留时间(TTL)值是非常重要的,可以利用带有小部分TTL的DNS记录,来迫使连续更新,并使研究者宁不清楚 [1] [2] [3] 下一页
|
