|
 | 作者: linux [wish259]
 论坛用户 |
登录 |
| 本帖由 [NetDemon] 从 << 黑客进阶>> 转移而来重返命令行 一.echo命令在深入 恐怕echo命令是大家最熟悉的命令之一了,常用格式: echo on echo off echo 欲输出信息 下面写几个很多人不是特别熟悉的使用方法 <1>首先进cmd: **************************************************************** Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\>echo off回车 //之后c:\> 就会消失,直到你重新输入echo on echo on C:\> **************************************************************** <2>如何用echo向一个*.txt文件中写如一个回车呢? 用echo 回车>a.txt 吗,哈,当然不是 ,这里就要用的命令: echo.>a.txt,echo.是关键,相当输出空行,即一个回车 [e.g] echo.|time //把回车传递给time命令处理,在批处理中常用此法来显示时间并把信息写入一个指定的文件 echo.|del *.* //呵呵,搞破坏是很有用啊 etc. <3>利用echo命令让喇叭唧唧的叫,哈哈 //可以用来吓唬人呦 在cmd下输入: echo空格,然后在按住ctrl键,之后连续点GGGGGGGGGGGGG,这样就会写出如下命令: echo ^G^G^G^G^G^G^G^G^G^G^G^G^G //注意:g越多,响的时间越长 二.批处理与应急响应 首先引用2003年10月《黑客x档案》上的一些东西(那会儿一直忙着学习,没时间看,现在才......555555555): 创建响应工具包: cmd.exe----------------------------------nt/2000命令解释器 loggeden---------------------------------显示远程和本地连接的用户 rasusers---------------------------------显示出哪些用户具有权限访问nt工具命令箱 netstat----------------------------------列出监听端口 fport------------------------------------端口进程关联工具 pslist-----------------------------------列出进程 listdll----------------------------------列出运行进程以来的动态连接库 nbtstat----------------------------------列出最近十分钟NetBios的连接 arp--------------------------------------显示最后一分钟连接的系统的MAC地址 md5sum-----------------------------------md5校检和工具 cca.exe----------------------------------检验克隆管理员帐号的工具 doskey-----------------------------------显示cmd命令历史的工具 ....... ....... ....... 把你认为的对取证有用的东西都放进去 原文的作者说的取证的方法是一次一次的输入命令并把information转移到安全的存储设备中去,这样一个麻烦的工作,我们何不利用批处理文件简化它呢,我的方法如下: 比如受害的机器名是qq,安全的机器是127.0.0.1 (这里,qq&127.0.0.1都是我,也就是说我是在一台机器上模拟我想说名的过程) qq_cmdline: xiangying.bat|nc -vv 127.0.0.1 1234 127.0.0.1_cmdline: nc -l -p 1234>xiangying.txt --------------------xiangying.bat------------------------- @echo off echo ****************************** echo ******* start date ********* echo ****************************** echo.|date echo ****************************** echo ****** start time ********** echo ****************************** echo.|time echo ****************************** echo ****** netstat -an ********** echo ****************************** netstat -an echo ***************************** echo ****** arp -a *************** echo ***************************** arp -a echo ***************************** echo ******fport ***************** echo ***************************** fport echo ***************************** echo ****** pslist ************** echo ***************************** pslist echo ***************************** echo ****** nbtstat -c************ echo ***************************** nbtstat -c echo ***************************** echo ****** ipconfig ************ echo ***************************** ipconfig /all echo ***************************** echo ******* end time *********** echo ***************************** echo.|time echo ****************************** echo ******* end date ********* echo ****************************** echo.|date ----------------------------end,save as xiangying.bat--------------------------- 注意:在本例中,由于我的电脑上没有那么多工具,所以我xiangying.bat的内容是不全面的,但是大家就可以按照上面给出的格式自己写了 下面我给出我实验是得到的xiangying.txt是什么样子 ****************************** ******* start date ********* ****************************** 当前日期: 2002-07-08 星期一 输入新日期: (年月日) ****************************** ****** start time ********** ****************************** 当前时间: 9:27:07.80 输入新时间: ****************************** ****** netstat -an ********** ****************************** Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING TCP 0.0.0.0:1234 0.0.0.0:0 LISTENING TCP 127.0.0.1:1028 127.0.0.1:1234 ESTABLISHED TCP 127.0.0.1:1234 127.0.0.1:1028 ESTABLISHED UDP 0.0.0.0:135 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1026 *:* ***************************** ****** arp -a *************** ***************************** No ARP Entries Found ***************************** ******fport ***************** ***************************** FPort v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid Process Port Proto Path 400 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 8 System -> 445 TCP 548 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe 8 System -> 1027 TCP 772 nc -> 1028 TCP d:\nc.exe 804 nc -> 1234 TCP D:\nc.exe 400 svchost -> 135 UDP C:\WINNT\system32\svchost.exe 8 System -> 445 UDP 216 services -> 1026 UDP C:\WINNT\system32\services.exe ***************************** ****** pslist ************** ***************************** PsList 1.22 - Process Information Lister Copyright (C) 1999-2002 Mark Russinovich Sysinternals - www.sysinternals.com Process information for QQ: Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time Idle 0 0 1 0 16 0:00:00.000 1:00:26.364 1:01:14.203 System 8 8 34 60 276 0:00:00.000 0:00:02.603 1:01:14.203 smss 144 11 6 33 352 0:00:00.010 0:00:00.190 1:01:14.203 csrss 168 13 10 290 1216 0:00:00.100 0:00:06.218 1:01:11.649 winlogon 164 13 16 363 2692 0:00:00.220 0:00:00.610 1:01:10.307 services 216 9 30 443 5016 0:00:00.320 0:00:00.731 1:01:09.216 lsass 228 9 15 251 1176 0:00:00.240 0:00:00.080 1:01:09.196 svchost 400 8 9 242 3236 0:00:00.050 0:00:00.070 1:01:06.952 spoolsv 432 8 11 151 3672 0:00:00.030 0:00:00.020 1:01:06.742 svchost 464 8 26 422 7416 0:00:00.120 0:00:00.180 1:01:06.722 KAVSvc 480 8 9 57 6732 0:00:01.582 0:00:00.130 1:01:06.622 regsvc 532 8 2 30 964 0:00:00.010 0:00:00.010 1:01:06.201 MSTask 548 8 6 117 3124 0:00:00.010 0:00:00.030 1:01:06.051 WinMgmt 600 8 3 105 160 0:00:05.998 0:00:00.260 1:01:05.020 svchost 672 8 5 144 4532 0:00:00.010 0:00:00.050 1:01:04.319 Explorer 836 8 18 385 7152 0:00:02.633 0:00:06.889 1:00:45.662 delttoul 1000 8 1 21 1516 0:00:00.010 0:00:00.000 1:00:43.158 internat 1016 8 1 31 1412 0:00:00.040 0:00:00.200 1:00:43.038 wordpad 320 8 4 85 944 0:00:08.462 0:00:07.530 1:00:22.729 conime 840 8 1 19 1016 0:00:00.020 0:00:00.030 0:53:19.230 cmd 924 8 1 24 56 0:00:00.010 0:00:00.030 0:03:46.075 nc 804 8 2 74 468 0:00:00.010 0:00:00.010 0:02:48.552 cmd 392 8 1 24 516 0:00:00.010 0:00:00.010 0:01:19.774 CMD 916 8 1 24 1076 0:00:00.010 0:00:00.020 0:00:00.410 nc 772 8 2 75 2648 0:00:00.020 0:00:00.020 0:00:00.400 pslist 820 13 2 79 1452 0:00:00.020 0:00:00.020 0:00:00.120 ***************************** ****** nbtstat -c************ ***************************** ***************************** ****** ipconfig ************ ***************************** Windows 2000 IP Configuration Host Name . . . . . . . . . . . . : qq Primary DNS Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No ***************************** ******* end time *********** ***************************** 当前时间: 9:27:08.28 输入新时间: ****************************** ******* end date ********* ****************************** 当前日期: 2002-07-08 星期一 输入新日期: (年月日) 怎么样,我们现在可以用得到的数据进行分析了吧,哈哈 三.几个要注意的小问题: 1.在批处理文件中%win32% <=> c:\windows\system 2.在批处理文件中使用环境变量的时候,必须用%将变量包起来 3.for %f in (*.*) do command cmdline 在批处理文件中%f要写成%%f |
| 地主 发表时间: 04-07-29 00:10 |
 | 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
linux 兄 谢了! 好东西! 我收下了! |
| B1层 发表时间: 04-08-02 15:27 |
 | 回复: lqfrla [lqfrla]  论坛用户 |
登录 |
|
谢了,不懂 |
| B2层 发表时间: 04-08-02 18:52 |
 | 回复: rainydiy [rainydiy]  论坛用户 |
登录 |
|
同意楼上 |
| B3层 发表时间: 04-08-02 21:19 |
| 回复: snowred [snowred]  论坛用户 |
登录 |
|
同感…… |
| B4层 发表时间: 04-08-07 19:48 |
 | 回复: zbasic [zbasic]  论坛用户 |
登录 |
|
楼主能把“ 引用2003年10月《黑客x档案》上的一些东西” 原文发出来参考一下吗?单看这有点模糊 |
| B5层 发表时间: 04-08-09 12:10 |
 | 回复: crackz [crackz]  论坛用户 |
登录 |
|
辛苦了。 但我不懂耶。。。  |
| B6层 发表时间: 04-08-09 15:26 |
| 回复: linux [wish259] 论坛用户 |
登录 |
不懂可以这里动手弄弄撒! to:b5,原文已经找不到了,不好意思  |
| B7层 发表时间: 04-08-16 11:12 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 重返命令行