反黑客工具包 第3版 §26.2 WINDOWS在线反应工具包 (
文件传送可以使用nc,参见NC相关章节。
cmd.exe可能会被黑客修改,所以有必要重命名拷贝一个cmd。
* Fport
下载地址:
它能显示TCP/UDP端口对应的程序。
*
|
§20.2 WINDOWS在线反应工具包 文件传送可以使用nc,参见NC相关章节。 cmd.exe可能会被黑客修改,所以有必要重命名拷贝一个cmd。 * Fport 下载地址: 它能显示TCP/UDP端口对应的程序。 * netstat windows 中netstat能显示端口连接情况,但是不能显示对应的进程,可以配合fport使用。一般使用netstat –an。netstat –rn可以查看路由表。详细的参考windows帮助。 * nbtstat nbtstat -c 本地连接: Node IpAddress:[172.19.148.26] Scope Id: [] NetBIOS Remote Cache NameTable Name Type Host Address Life [sec] ------------------------------------------------------------ SZDC02.CN.UTSTAUNIQUE 172.19.30.64 355 显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 nbtstat 显示帮助。详细的请参考windows帮助 * arp 显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。 arp -a Interface:172.19.148.26 --- 0x2 Internet Address Physical Address Type 172.19.148.1 00-00-0c-07-ac-ce dynamic 172.19.148.2 00-12-44-52-c0-00 dynamic 172.19.148.3 00-12-44-52-c4-00 dynamic * pslist 下载地址:其实是在PsTools工具包中。参见页面。介绍在。 常用例子:pslist exp, * pskill 按名称或者进程号杀死进程 * dir 主要用来查看时间戳。可以使用如下: dir /a /t:a /o:d /s c:\ 其他常用用法: 显示隐含文件:dir /a:h 显示当前目录的子目录:dir /a:d /b 更多的参考windows帮助 * Auditpol 待扩充 * psloggedon 看现在登陆的用户,不过通过后门等进来的用户是看不到的。 * ntlast 下载地址: 检查logon和事件
常用:ntlast, ntlast –s 查看成功登陆,ntlast –f 查看失败登陆。 * dumpel 导出日志,不过现在事件查看器具有这个功能,略。 * sfind 下载地址: 检查磁盘中的隐藏数据流并显示最后访问时间。因为NTFS中可能会使用文件流机制(alternatedata streams or ADS)来隐藏数据。 类似的工具有:LADS,参见: 一般的检查流程如下: 备份数据:nc -l -p Workstation Port> > .txt D:\> | nc Workstation Port> 而后可以写一个检查脚本: @@@echo off echo********************** echo ***** StartDate ***** echo********************** echo. | date echo ********************** echo ***** StartTime ***** echo********************** echo. | time echo*********************** echo *****netstat -an ***** echo*********************** netstat -an echo****************** echo ***** arp-a ***** echo****************** arp -a echo***************** echo ***** fport***** echo***************** fport ************* echo****************** echo *****pslist ***** echo****************** pslist echo********************** echo *****nbtstat -c ***** echo********************** nbtstat -c echo******************** echo *****loggedon *****
echo******************** loggedon echo****************** echo *****ntlast ***** echo****************** ntlast echo******************************* echo ***** LastAccessed Times ***** echo******************************* dir /t:a /o:d /sc:\ echo******************************* echo ***** LastModified Times ***** echo******************************* dir /t:w /o:d /sc:\ echo************************** echo *****Creation Times ***** echo************************** dir /t:c /o:d /sc:\ echo****************************** echo *****Security Event Log ***** echo****************************** dumpel -lsecurity echo********************************* echo *****Application Event Log ***** echo********************************* dumpel -lapplication echo**************************** echo *****System Event Log ***** echo**************************** dumpel -l system echo******************** echo *****ipconfig ***** echo******************** ipconfig /all echo******************** echo ***** EndTime ***** echo******************** echo. | time echo******************** echo ***** EndDate ***** echo******************** echo. | date * Md5sum (这块还不是很理解) unix时间戳包,第3章有详细的描述,比如:md5sum -b * >md5sums.txt (编辑:天瑞地安资讯网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
