记录收集 Windows 系统软硬件信息的命令
- 域信息见 信息收集 笔记
ver windows 版本
winver 弹框显示当前windows系统信息
hostname 显示当前机器名
msinfo32 系统信息面板
systeminfo 查看当前计算机的综合信息
finger username @host 查看最近有哪些用户登陆
sc showsid server 查看 SID凭据
cmdkey 凭据 Credential(保存的用户名和密码)
cmdkey /list 列出可用的凭据
cmdkey /list:10.12.190.82 列出指定目标的凭据
cmdkey /list:Domain:target=10.12.190.82 列出指定目标的凭据
cmdkey /add:Domain:target=10.12.190.82 /user:LiLei /pass:123456
若target为10.12.190.82的凭据不存在,则添加;否则就将10.12.190.82凭据的用户名修改为LiLei,密码修改为123456
cmdkey /delete:Domain:target=10.12.190.82 删除指定目标的凭据
激活信息
slmgr.vbs 查看当前系统 Windows 中的激活状态以及密钥、许可证书等信息
slmgr.vbs -dlv 显示详细的许可证信息
slmgr.vbs -dli 显示许可证信息
slmgr.vbs -xpr 当前许可证截止日期
slmgr.vbs -dti 显示安装 ID 以进行脱机激
slmgr.vbs -ipk (Product Key) 安装产品密钥
slmgr.vbs -ato 激活 Windows
slmgr.vbs -cpky 从注册表中清除产品密钥(防止泄露引起的攻击)
slmgr.vbs -ilc (License file)安装许可证
slmgr.vbs -upk 卸载产品密钥
slmgr.vbs -skms (name[ort])批量授权set
计划任务信息
schtasks /query /fo LIST /v
开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志
进程信息
wmic process where Caption="buyticket.exe" get commandline,ExecutablePath,ProcessId,ThreadCount /value
查看名为"buyticket.exe"所有进程命令行,exe 全路径,PID 及线程数
wmic process where Caption="buyticket.exe" get ExecutablePath,HandleCount /value
查看名为"buyticket.exe"所有进程的 exe 全路径及当前打开的句柄数
wmic process where Caption="buyticket.exe" get ExecutablePath,VirtualSize,WorkingSetSize /value
查看名为"buyticket.exe"所有进程的 exe 全路径、当前虚拟地址空间占用及物理内存工作集
tasklist 显示所有进程及其服务
tasklist /svc
tasklist /fi "pid eq 1234" /svc 显示指定进程信息
tasklist /fi "status eq running" /svc
tasklist /fi "status eq running" /fi "username eq nt authority\system" /svc
tasklist /m xxx.dll 显示使用给定 exe/dll 名称的所有进程
tasklist /s ip /u username /p password /svc 显示远程主机的进程信息whoami 查看当前用户
net user 查看计算机用户列表
net localgroup 查看计算机用户组列表
net accounts 查看本地密码策略wmic 查看硬件的信息
wmic logicaldisk 查看计算机上各个盘的相关信息
wmic LogicalDisk where "Caption='C:'" get FreeSpace,Size /value
获取 C 盘的剩余空间大小与总大小(单位:Byte)
wmic os get Caption,InstallDate,OSArchitecture /value
获取当前 os 的 Caption、安装日期以及系统架构信息IP 地址
ipconfig 查看 ip 地址
ipconfig /all 查看本机 IP,所在域端口
netstat -ano 查看系统开放端口
netstat –an/ano/anb 网络连接查询路由表
route print 路由表arp 条目
arp -a 查看全部 arp 条目防火墙
netsh firewall show state
netsh advfirewall show allprofiles查看端口转发
netsh interface portproxy show all
netsh interface portproxy show v4tov4
netsh interface portproxy show v4tov6
netsh interface portproxy show v6tov4
netsh interface portproxy show v6tov6查看无线网络信息
netsh wlan show profiles查看指定 WIFI 密码
netsh wlan show profiles wifi_name key=clear卷标
vol 显示当前分区的卷标