计划任务项
schtasks.exe
(1)查询所有计划任务项详细信息,并以列表形式展示
schtasks.exe /query /v /fo list |more
(2)远程获取机器的计划任务项详细信息
schtasks.exe /query /s IP /u username /p password
获取非系统的计划任务
Get-ScheduledTask | Where-Object {$_.TASKPATH -notLike "\Microsoft\Windows*"} | ForEach-Object {$_.TaskName} | %{schtasks /query /v /fo list /tn $_}
进程列表
tasklist
获取进程详细任务信息
tasklist /v |more
获取每个进程中主持的服务
tasklist /svc |more
获取当前使用所给 exe/dll 名称的所有任务,如果没有指定模块名称,显示所有加载的模块
tasklist /m |more
wmic process
查询运行进程启动程序、父进程id
PS C:\Users\dayouzi> wmic process get caption,commandline,creationdate,parentprocessid,processid /value |more
获取进程名称以及可执行路径
PS C:\Users\dayouzi> wmic process get name,executablepath /value |more
查询指定进程信息
PS C:\Users\dayouzi> wmic process where processid=172 get caption,commandline,creationdate,parentprocessid,processid /value |more
服务列表
wmic service
获取系统中的服务列表及关联的进程id
PS C:\Users\dayouzi> wmic service get caption,Name,pathname,description,status,processid,systemname,systemcreationclassname /value|More
get-service
列出所有服务
PS C:\Users\dayouzi> get-service |more
列出正在运行的服务
PS C:\Users\dayouzi> get-service |Where-Object {$_.status -eq "running"} | more
网络连接
netstat
获取所有监听的端口以及对应的进程
PS C:\Users\dayouzi> netstat -ano |findstr "LISTENING"
获取所有已建立的连接,以及对应pid
PS C:\Users\dayouzi> netstat -ano |findstr "ESTABLISHED"
获取创建每个连接或侦听端口时涉及的可执行文件。(注:需要足够的权限)
PS C:\Windows\system32> netstat -anob | more
系统启动项
wmic startup
获取系统启动项信息
PS C:\Windows\system32> wmic startup get /value
软件安装信息
注:通过WMI查询Win32_Product只能获得特定的程序列表,这些程序有一个共同的特征: 安装包由Windows Installer制作,安装过程中调用Windows Installer服务进行安装
wmic product
软件安装信息查看
PS C:\Users\dayouzi> wmic product get name,version |more
安装软件信息简要查看
PS C:\Users\dayouzi> wmic product list brief |more
通过查询注册表项获取安装软件信息
脚本参考:
https://github.com/3gstudent/ListInstalledPrograms
通过查询快捷方式获取安装软件信息
wmic PATH Win32_ShortcutFile get name /FORMAT:table
系统补丁
wmic qfe
获取系统补丁信息
PS C:\Users\dayouzi> wmic qfe get hotfixid,installedon,caption |more
get-hotfix
PS C:\Users\dayouzi> Get-HotFix
路由表和arp信息
route
获取路由表信息
PS C:\Users\dayouzi> ROUTE.EXE print
get-router
获取本机所有路由表信息
PS C:\Users\dayouzi> Get-NetRoute
arp
获取所有apr表详细信息
PS C:\Users\dayouzi> arp -av
RDP端口及开放情况
查看是否允许远程登录
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
查询RDP连接端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
防火墙信息
netsh firewall(已弃用,功能不全)
获取防火墙允许的程序配置
PS C:\Users\dayouzi> netsh firewall show allowedprogram
其他指令:
show opmode // 显示防火墙端口配置 <br>show portopening // 显示防火墙端口配置 <br>show service // 显示防火墙服务配置 <br>show state // 显示当前防火墙状态
netsh advfirewall firewall
显示所有入站规则
PS C:\Users\dayouzi> netsh advfirewall firewall show rule name=all dir=in |more
显示名称为“autoconnecthelper TCP”的规则
PS C:\Users\dayouzi> netsh advfirewall firewall show rule name="AutoConnectHelper TCP" verbose
用户信息及SID
wmic useraccount
获取所有用户的sid信息
PS C:\Users\dayouzi> wmic useraccount get /value
只获取用户名和sid
PS C:\Users\dayouzi> wmic useraccount get name,sid
其他信息
wmic environment
获取系统环境变量摘要
PS C:\Users\dayouzi> wmic environment list brief
wmic OS
已安装操作系统信息
PS C:\Users\dayouzi> wmic os get /value
wmic cpu
获取cpu基本信息
PS C:\Users\dayouzi> wmic cpu list brief
wmic memorychip
获取机器物理内存信息
PS C:\Users\dayouzi> wmic memorychip get /value
获取机器共享资源信息
PS C:\Users\dayouzi> wmic share list brief
