大柚子

这世界不过如此

计划任务项

schtasks.exe

(1)查询所有计划任务项详细信息,并以列表形式展示

schtasks.exe /query /v /fo list |more

(2)远程获取机器的计划任务项详细信息

schtasks.exe /query /s IP /u username /p password

获取非系统的计划任务

Get-ScheduledTask | Where-Object {$_.TASKPATH -notLike "\Microsoft\Windows*"} | ForEach-Object {$_.TaskName} | %{schtasks /query /v /fo list /tn $_}

进程列表

tasklist

获取进程详细任务信息

tasklist /v |more

获取每个进程中主持的服务

tasklist /svc |more

获取当前使用所给 exe/dll 名称的所有任务,如果没有指定模块名称,显示所有加载的模块

tasklist /m |more

wmic process

查询运行进程启动程序、父进程id

PS C:\Users\dayouzi> wmic process get caption,commandline,creationdate,parentprocessid,processid /value |more

获取进程名称以及可执行路径

PS C:\Users\dayouzi> wmic process get name,executablepath /value |more

查询指定进程信息

PS C:\Users\dayouzi> wmic process where processid=172 get caption,commandline,creationdate,parentprocessid,processid /value |more

服务列表

wmic service

获取系统中的服务列表及关联的进程id

PS C:\Users\dayouzi> wmic service get caption,Name,pathname,description,status,processid,systemname,systemcreationclassname /value|More

get-service

列出所有服务

PS C:\Users\dayouzi> get-service |more

列出正在运行的服务

PS C:\Users\dayouzi> get-service |Where-Object {$_.status -eq "running"} | more

网络连接

netstat

获取所有监听的端口以及对应的进程

PS C:\Users\dayouzi> netstat -ano |findstr "LISTENING"

获取所有已建立的连接,以及对应pid

PS C:\Users\dayouzi> netstat -ano |findstr "ESTABLISHED"

获取创建每个连接或侦听端口时涉及的可执行文件。(注:需要足够的权限)

PS C:\Windows\system32> netstat -anob | more

系统启动项

wmic startup

获取系统启动项信息

PS C:\Windows\system32> wmic startup get /value

软件安装信息

注:通过WMI查询Win32_Product只能获得特定的程序列表,这些程序有一个共同的特征: 安装包由Windows Installer制作,安装过程中调用Windows Installer服务进行安装

wmic product

软件安装信息查看

PS C:\Users\dayouzi> wmic product get name,version |more

安装软件信息简要查看

PS C:\Users\dayouzi> wmic product list brief |more

通过查询注册表项获取安装软件信息

脚本参考:

https://github.com/3gstudent/ListInstalledPrograms

通过查询快捷方式获取安装软件信息

wmic PATH Win32_ShortcutFile get name /FORMAT:table

系统补丁

wmic qfe

获取系统补丁信息

PS C:\Users\dayouzi> wmic qfe get hotfixid,installedon,caption |more

get-hotfix

PS C:\Users\dayouzi> Get-HotFix

路由表和arp信息

route

获取路由表信息

PS C:\Users\dayouzi> ROUTE.EXE print

get-router

获取本机所有路由表信息

PS C:\Users\dayouzi> Get-NetRoute

arp

获取所有apr表详细信息

PS C:\Users\dayouzi> arp -av

RDP端口及开放情况

查看是否允许远程登录

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
1代表关闭,0代表开启

查询RDP连接端口

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

防火墙信息

netsh firewall(已弃用,功能不全)

获取防火墙允许的程序配置

PS C:\Users\dayouzi> netsh firewall show allowedprogram

其他指令:

show opmode // 显示防火墙端口配置&nbsp;<br>show portopening // 显示防火墙端口配置&nbsp;<br>show service // 显示防火墙服务配置&nbsp;<br>show state // 显示当前防火墙状态

netsh advfirewall firewall

显示所有入站规则

PS C:\Users\dayouzi> netsh advfirewall firewall show rule name=all dir=in |more

显示名称为“autoconnecthelper TCP”的规则

PS C:\Users\dayouzi> netsh advfirewall firewall show rule name="AutoConnectHelper TCP" verbose

用户信息及SID

wmic useraccount

获取所有用户的sid信息

PS C:\Users\dayouzi> wmic useraccount get /value

只获取用户名和sid

PS C:\Users\dayouzi> wmic useraccount get name,sid

其他信息

wmic environment

获取系统环境变量摘要

PS C:\Users\dayouzi> wmic environment list brief

wmic OS

已安装操作系统信息

PS C:\Users\dayouzi> wmic os get /value

wmic cpu

获取cpu基本信息

PS C:\Users\dayouzi> wmic cpu list brief

wmic memorychip

获取机器物理内存信息

PS C:\Users\dayouzi> wmic memorychip get /value

wmic share

获取机器共享资源信息

PS C:\Users\dayouzi> wmic share list brief

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。