计划任务项
schtasks.exe
(1)查询所有计划任务项详细信息,并以列表形式展示
schtasks.exe /query /v /fo list |more

(2)远程获取机器的计划任务项详细信息
schtasks.exe /query /s IP /u username /p password

获取非系统的计划任务
Get-ScheduledTask | Where-Object {$_.TASKPATH -notLike "\Microsoft\Windows*"} | ForEach-Object {$_.TaskName} | %{schtasks /query /v /fo list /tn $_}

进程列表
tasklist
获取进程详细任务信息
tasklist /v |more

获取每个进程中主持的服务
tasklist /svc |more

获取当前使用所给 exe/dll 名称的所有任务,如果没有指定模块名称,显示所有加载的模块
tasklist /m |more

wmic process
查询运行进程启动程序、父进程id
PS C:\Users\dayouzi> wmic process get caption,commandline,creationdate,parentprocessid,processid /value |more

获取进程名称以及可执行路径
PS C:\Users\dayouzi> wmic process get name,executablepath /value |more

查询指定进程信息
PS C:\Users\dayouzi> wmic process where processid=172 get caption,commandline,creationdate,parentprocessid,processid /value |more

服务列表
wmic service
获取系统中的服务列表及关联的进程id
PS C:\Users\dayouzi> wmic service get caption,Name,pathname,description,status,processid,systemname,systemcreationclassname /value|More

get-service
列出所有服务
PS C:\Users\dayouzi> get-service |more

列出正在运行的服务
PS C:\Users\dayouzi> get-service |Where-Object {$_.status -eq "running"} | more

网络连接
netstat
获取所有监听的端口以及对应的进程
PS C:\Users\dayouzi> netstat -ano |findstr "LISTENING"

获取所有已建立的连接,以及对应pid
PS C:\Users\dayouzi> netstat -ano |findstr "ESTABLISHED"

获取创建每个连接或侦听端口时涉及的可执行文件。(注:需要足够的权限)
PS C:\Windows\system32> netstat -anob | more

系统启动项
wmic startup
获取系统启动项信息
PS C:\Windows\system32> wmic startup get /value

软件安装信息
注:通过WMI查询Win32_Product只能获得特定的程序列表,这些程序有一个共同的特征: 安装包由Windows Installer制作,安装过程中调用Windows Installer服务进行安装
wmic product
软件安装信息查看
PS C:\Users\dayouzi> wmic product get name,version |more

安装软件信息简要查看
PS C:\Users\dayouzi> wmic product list brief |more

通过查询注册表项获取安装软件信息
脚本参考:
https://github.com/3gstudent/ListInstalledPrograms
通过查询快捷方式获取安装软件信息
wmic PATH Win32_ShortcutFile get name /FORMAT:table

系统补丁
wmic qfe
获取系统补丁信息
PS C:\Users\dayouzi> wmic qfe get hotfixid,installedon,caption |more

get-hotfix
PS C:\Users\dayouzi> Get-HotFix

路由表和arp信息
route
获取路由表信息
PS C:\Users\dayouzi> ROUTE.EXE print

get-router
获取本机所有路由表信息
PS C:\Users\dayouzi> Get-NetRoute

arp
获取所有apr表详细信息
PS C:\Users\dayouzi> arp -av

RDP端口及开放情况
查看是否允许远程登录
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

查询RDP连接端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
防火墙信息
netsh firewall(已弃用,功能不全)
获取防火墙允许的程序配置
PS C:\Users\dayouzi> netsh firewall show allowedprogram

其他指令:
show opmode // 显示防火墙端口配置 <br>show portopening // 显示防火墙端口配置 <br>show service // 显示防火墙服务配置 <br>show state // 显示当前防火墙状态
netsh advfirewall firewall
显示所有入站规则
PS C:\Users\dayouzi> netsh advfirewall firewall show rule name=all dir=in |more

显示名称为“autoconnecthelper TCP”的规则
PS C:\Users\dayouzi> netsh advfirewall firewall show rule name="AutoConnectHelper TCP" verbose

用户信息及SID
wmic useraccount
获取所有用户的sid信息
PS C:\Users\dayouzi> wmic useraccount get /value

只获取用户名和sid
PS C:\Users\dayouzi> wmic useraccount get name,sid

其他信息
wmic environment
获取系统环境变量摘要
PS C:\Users\dayouzi> wmic environment list brief

wmic OS
已安装操作系统信息
PS C:\Users\dayouzi> wmic os get /value

wmic cpu
获取cpu基本信息
PS C:\Users\dayouzi> wmic cpu list brief

wmic memorychip
获取机器物理内存信息
PS C:\Users\dayouzi> wmic memorychip get /value

获取机器共享资源信息
PS C:\Users\dayouzi> wmic share list brief
