query user 查看当前登录账户
logoff ID 注销用户id
net user 查看用户
net user username 查看用户登录情况
lusrmgr.msc 打开本地用户组HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Users\\
regedit注册表查看账户,确认系统是否存在隐藏账户
https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
查询用户登录情况
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wp_bj_windows\Desktop\安全.evtx' WHERE EventID=4624"
查询登录成功的事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM 'C:\Users\wp_bj_windows\Desktop\安全.evtx' where EventID=4624" 
目前连接
netstat -ano
netstat -ano | findstr "ESTABLISHED" #已经成功建立的连接
msfinfo32
利用wmic查看进程执行时的命令 约束条件 name
Wmic process where name='sqlceip.exe' getname,Caption,executablepath,CommandLine ,processid,ParentProcessId /value或者pid
Wmic process where processid='2352' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value
注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
win7系统利用at
schtasks | more
C:\Windows\System32\Tasks
使用VScode打开
按时间执行
建议删除任务计划时以管理员登录 SchTasks /Delete /TN 任务计划名称
services.msc
sc stop [服务名称]停止服务后,
sc delete [服务名称]删除服务
最近打开的文件
%UserProfile%\Recent
C:\Users 目录下文件
版权声明:本文为个人笔记,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。