Windows应急响应之命令行排查指南<\/h1>

1. Windows日志排查<\/h2>

Get-WinEvent命令<\/h3>

基本用法<\/h4>
列出所有事件日志：<\/p>
Get-WinEvent -ListLog *
<\/span><\/span><\/code><\/pre><\/li>

获取Security.evtx的日志：<\/p>
Get-WinEvent -FilterHashtable @{LogName='Security'<\/span>}
<\/span><\/span><\/code><\/pre><\/li>

获取特定事件ID的日志（如4624登录事件）：<\/p>
Get-WinEvent -FilterHashtable @{LogName='Security'<\/span>;ID='4624'<\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
高级用法<\/h4>


获取PowerShell操作日志最近10条：<\/p>
Get-WinEvent @{logname='Microsoft-Windows-PowerShell\/Operational'<\/span>;starttime=[datetime]<\/span>::today} -MaxEvents 10
<\/span><\/span><\/code><\/pre><\/li>

筛选特定PowerShell事件（4104和4100）：<\/p>
Get-WinEvent -LogName Microsoft-Windows-PowerShell\/Operational | Where-Object {$_.ID -eq<\/span> "4100"<\/span> -or<\/span> $_.ID -eq<\/span> "4104"<\/span>}
<\/span><\/span><\/code><\/pre><\/li>

指定时间范围内的日志查询：<\/p>
$StartTime = Get-Date -Year 2023 -Month 1 -Day 1 -Hour 00 -Minute 00
<\/span><\/span>$EndTime = Get-Date -Year 2023 -Month 1 -Day 30 -Hour 23 -Minute 59
<\/span><\/span>Get-WinEvent -FilterHashtable @{LogName='System'<\/span>; StartTime=$StartTime; EndTime=$EndTime}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
2. 用户账户排查<\/h2>
用户信息查看<\/h3>


打开本地用户组管理器：<\/p>
lusrmgr.msc
<\/code><\/pre>
<\/li>

列出用户账户简单信息：<\/p>
net user
<\/code><\/pre>
<\/li>

列出系统所有账户详细信息：<\/p>
wmic UserAccount get
<\/code><\/pre>
<\/li>

通过注册表查看用户配置：<\/p>
注册表路径：计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
<\/code><\/pre>
<\/li>
<\/ul>
用户状态检查<\/h3>


查看当前在线用户：<\/p>
query user
<\/code><\/pre>
<\/li>

查看用户上次登录时间：<\/p>
net user [用户名]
<\/code><\/pre>
<\/li>

查看本地管理员组用户：<\/p>
net localgroup administrators
<\/code><\/pre>
<\/li>

PowerShell查看本地用户：<\/p>
Get-LocalUser
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. 网络及端口状态排查<\/h2>
基本网络命令<\/h3>


查看网络连接状态：<\/p>
netstat -ano
<\/code><\/pre>
<\/li>

查看特定IP的连接：<\/p>
netstat -ano | findstr "172.24.16.1"
<\/code><\/pre>
<\/li>

查看已建立的连接：<\/p>
netstat -ano | find "ESTABLISHED"
<\/code><\/pre>
<\/li>
<\/ul>
PowerShell网络命令<\/h3>


查看TCP连接：<\/p>
Get-NetTCPConnection
<\/span><\/span><\/code><\/pre><\/li>

查看已建立的连接：<\/p>
Get-NetTCPConnection -State Established
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
4. 防火墙规则排查<\/h2>
基本防火墙命令<\/h3>


显示所有防火墙规则：<\/p>
netsh advfirewall firewall show rule all
<\/code><\/pre>
<\/li>

显示指定规则：<\/p>
netsh advfirewall firewall show rule name="Apache HTTP Server"
<\/code><\/pre>
<\/li>

显示详细规则信息：<\/p>
netsh advfirewall firewall show rule name="Apache HTTP Server" verbose
<\/code><\/pre>
<\/li>
<\/ul>
5. 进程信息排查<\/h2>
进程查看命令<\/h3>


列出所有进程：<\/p>
tasklist
<\/code><\/pre>
<\/li>

查看特定PID的进程：<\/p>
tasklist | findstr "10004"
<\/code><\/pre>
<\/li>

查看调用特定DLL的进程：<\/p>
tasklist \/m uxtheme.dll
<\/code><\/pre>
<\/li>

使用筛选器查看进程：<\/p>
tasklist \/fi "PID eq 9480"
<\/code><\/pre>
<\/li>
<\/ul>
高级进程信息<\/h3>


获取父进程ID：<\/p>
wmic process where ProcessId=14000 get ParentProcessId
<\/code><\/pre>
<\/li>

获取进程完整信息：<\/p>
wmic process list full
<\/code><\/pre>
<\/li>

列出进程和父进程：<\/p>
wmic process get name,parentprocessid,processid
<\/code><\/pre>
<\/li>

获取进程命令行：<\/p>
wmic process where 'ProcessID=PID' get CommandLine
<\/code><\/pre>
<\/li>
<\/ul>
进程管理<\/h3>

终止进程：
wmic process where name="进程名" call terminate
<\/code><\/pre>
或
wmic process where processid="PID" delete
<\/code><\/pre>
<\/li>
<\/ul>
6. 服务排查<\/h2>
服务查看命令<\/h3>


查看已启动的服务：<\/p>
net start
<\/code><\/pre>
<\/li>

查看服务对应的进程：<\/p>
tasklist \/svc
<\/code><\/pre>
<\/li>
<\/ul>
7. 计划任务排查<\/h2>
计划任务命令<\/h3>

查看计划任务：
schtasks.exe
<\/code><\/pre>
<\/li>
<\/ul>
8. 开机启动项排查<\/h2>
启动项查看命令<\/h3>


查看所有启动项：<\/p>
wmic startup
<\/code><\/pre>
<\/li>

查看启动项详细信息：<\/p>
wmic startup get Name,Command
<\/code><\/pre>
<\/li>

PowerShell查看启动项：<\/p>
Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
9. 共享服务排查<\/h2>
共享服务命令<\/h3>

查看共享服务：
Get-SMBShare
<\/code><\/pre>
或
net share
<\/code><\/pre>
<\/li>
<\/ul>
10. 可疑文件排查<\/h2>
关键目录检查<\/h3>


临时文件目录：<\/p>
%TEMP% → C:\Users\[用户名]\AppData\Local\Temp
<\/code><\/pre>
<\/li>

最近访问文件：<\/p>
%UserProfile%\Recent → C:\Users\[用户名]\Recent
<\/code><\/pre>
<\/li>

Windows目录：<\/p>
%WINDIR% → C:\WINDOWS
<\/code><\/pre>
<\/li>

本地应用数据：<\/p>
%LOCALAPPDATA% → C:\Users\[用户名]\AppData\Local
<\/code><\/pre>
<\/li>

应用数据：<\/p>
%APPDATA% → C:\Users\[用户名]\AppData\Roaming
<\/code><\/pre>
<\/li>

系统临时目录：<\/p>
C:\WINDOWS\Temp
<\/code><\/pre>
<\/li>

应用程序兼容性数据：<\/p>
%SystemBoot%\appcompat\Programs\amcache.hve → C:\Windows\appcompat\Programs\amcache.hve
<\/code><\/pre>
<\/li>

预读取文件：<\/p>
%SystemBoot%\Prefetch
<\/code><\/pre>
<\/li>
<\/ul>
驱动检查<\/h3>

查看已加载驱动：
driverquery
<\/code><\/pre>
<\/li>
<\/ul>
11. 按时间排查文件<\/h2>
forfiles命令<\/h3>
基本语法：<\/p>
forfiles [\/p Path] [\/m SearchMask] [\/s] [\/c Command] [\/d[MM\/DD\/YYYY | DD]]
<\/code><\/pre>
常用变量<\/h4>

@file<\/code>：匹配项的名称（带引号）<\/li>
@fname<\/code>：匹配项的基名（无扩展名）<\/li>
@ext<\/code>：文件扩展名<\/li>
@path<\/code>：完整路径<\/li>
@relpath<\/code>：相对路径<\/li>
@isdir<\/code>：是否为目录<\/li>
@fsize<\/code>：文件大小（字节）<\/li>
@fdate<\/code>：最后修改日期<\/li>
@ftime<\/code>：最后修改时间<\/li>
<\/ul>
示例<\/h4>


查找Windows目录下所有DNS相关文件：<\/p>
FORFILES \/P C:\WINDOWS \/S \/M DNS*.*
<\/code><\/pre>
<\/li>

查看所有.txt文件内容：<\/p>
FORFILES \/S \/M *.txt \/C "cmd \/c type @file | more"
<\/code><\/pre>
<\/li>

查找C盘所有.bat文件：<\/p>
FORFILES \/P C:\ \/S \/M *.bat
<\/code><\/pre>
<\/li>

查找30天前修改的.exe文件：<\/p>
FORFILES \/D -30 \/M *.exe \/C "cmd \/c echo @path 0x09 在30 前就被更改。"
<\/code><\/pre>
<\/li>

查找2001年1月1日之后修改的文件：<\/p>
FORFILES \/D 2001\/01\/01 \/C "cmd \/c echo @fname 在2001年1月1日就是新的。"
<\/code><\/pre>
<\/li>

查找今天修改的文件：<\/p>
FORFILES \/D +2024\/12\/13 \/C "cmd \/c echo @fname 今天是新的。"
<\/code><\/pre>
<\/li>

查找明天修改的文件：<\/p>
FORFILES \/M *.exe \/D +1
<\/code><\/pre>
<\/li>

查看.doc文件大小：<\/p>
FORFILES \/S \/M *.doc \/C "cmd \/c echo @fsize"
<\/code><\/pre>
<\/li>

打开所有.txt文件：<\/p>
FORFILES \/M *.txt \/C "cmd \/c if @isdir==FALSE notepad.exe @file"
<\/code><\/pre>
<\/li>
<\/ul>