Logprase
ダウンロード:
https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659
使用
セキュリティログ
場合は、通常の時間帯を表示するには、メインの管理者ログイン
トロイの木馬は、管理者のログイン時間と対応するかどうかの時間を実行します
1
|
LogonType、EXTRACT_TOKEN( '|' 文字列、17、)など|ユーザ名として、EXTRACT_TOKEN | EVT -oデータグリッド「LoginTime、EXTRACT_TOKENとしてTimeGenerated SELECT(文字列、5、 '')(文字列、8、 ''):Log Parserツール-i ProcessNameの、EXTRACT_TOKEN( '|' 文字列、18、)などのセキュリティFROM SOURCEIPとしてどこイベントID = 4624とタイムスタンプ( '2019年5月30日'、 'YYYY-MM-DD')とTIMESTAMP BETWEEN TO_DATE(TimeGenerated)( '2019 -05-31' 、 'YYYY-MM-DD')」
|
システムログ
メインビュー、サービス名、サービスパス
1
|
Log Parserツール-i:EVT -o:DataGridが「TimeWritten、イベントID、イベントタイプ、EventTypeName、sourcenameに、EXTRACT_TOKEN(文字列、0、 '|')SELECT SERVICE_NAMEとして、EXTRACT_TOKEN(ストリングス、1、 '|')をservice_pathとして、システムからのメッセージWHERE TO_DATE(TimeGenerated)TIMESTAMP( '2019年5月30日'、 'YYYY-MM-DD')とタイムスタンプ( '2019年5月31日'、 'YYYY-MM-DD')BETWEEN」
|
アプリケーションログ
メインの表示プログラムの実行時間
1
|
Log Parserツール-i:EVT -o:データグリッド「アプリケーションSELECT * FROM WHERE TIMESTAMP BETWEEN TO_DATE(TimeGenerated)( '2019年5月30日'、 'YYYY-MM-DD')とタイムスタンプ( '2019年5月31日'、」 YYYY-MM-DD ')」
|
WMIC
Viewコマンドラインパラメータプロセス
1 2 3 4 5 6 7
|
プロセスキャプションWMIC、コマンド/値> tmp.txt GET WMICブリーフサービス一覧 WMICプロセスの一覧ブリーフ WMICスタートアップリストは簡単には //パッチをインストールするためにチェックし、時間情報 WMIC QFE WMIC QFEはキャプション、説明、HotFixID、InstalledOnをGET
|
DOSコマンド
君
1 2 3 4 5 6 7 8
|
DIR [ドライブ:] [パス] [ファイル名]:[/ C] [/ D] [/ L] [/ N] [/ B] [/ A [[]は属性] / O [[:] SORTORDER] ] [/ P] [/ Q] [/ R&LT] [/ S] [/ Tは、[:] TimeField]] [/ W]は[/ X-] [/ 4]。 指定された属性ファイル/展示 属性:D R Hのディレクトリは、読み取り専用のアーカイブのための準備ができて、隠しファイルを提出しない 、私は何のコンテンツインデックスファイルの分析点のL Sファイルシステム- 「NO」を示し、接頭辞 / Sは、指定されたディレクトリとサブディレクトリを表示する ワイドフォーマットディスプレイリストとW / / P 、フルスクリーンのポーズを表示する次の画面を表示し続けるために、任意のキーを押す / Qは、ファイルの所有者を表示します
|
コピーとXCOPY
コピーのみのフォルダにコピー、ファイルをコピーしませ
XCOPYは、フォルダやファイルをコピーすることができます
1 2 3 4 5
|
パラメータXCOPY 、空のディレクトリを除く/ Sコピーのディレクトリとサブディレクトリ の空のディレクトリを含む/ Eコピーのディレクトリとサブディレクトリ、 /エラーがコピーし続けて無視するC /隠されたHコピーとシステムファイルを
|
デル、DELTREE、RD
デルは、1つのまたは複数のファイルを削除することができ、フォルダを削除することはできません
DELTREEは、外部コマンドでは、ファイルやフォルダだけでなく、そのサブフォルダを削除することができます
RDは空のフォルダを削除するには、空のフォルダへの絶対パスを必要とします
1 2 3
|
デルのパラメータは、 / sの再帰的な削除フォルダやファイル / qが削除を確認するメッセージが表示されていません
|
動き
1つまたは複数のファイルを移動します
1 2
|
/ Yは、先のフォルダ内のファイルならば、同じ名前を持つ、プロンプトを無視し、元のファイルを直接上書き / -Y警告を
|
ATTRIB
ファイルの属性を変更します
1 2 3 4 5 6 7
|
パラメータATTRIB プロパティを設定+は -属性を削除する Rは読み取り専用ファイル のアーカイブ Sシステムファイル H隠しファイルを
|
netstatコマンド
ネットワーク接続を表示し、ポート情報
1 2 3 4 5 6 7 8 9 10 11 12 13
|
NETSTATは[-a] [-b] [-e] [-n] [-o] [-pプロト] [-R&LT] [-s] [-t] [-V] [INTERVAL] -a表示コネクタとポートリスニング 接続または各実行可能コンポーネントのリスニングポートを作成し、ディスプレイに含まれる-bと、必要な権限 イーサネット統計表示-e デジタル形式で-nディスプレイをアドレスとポート番号 、各接続に関連する-o表示IDは、プロセスに属し TCP、UDP、TCPv6の、UDPv6あることができ; -pプロトは、プロトコルが接続を示し指定 ルーティングテーブルを表示する-rが プロトコルによって統計を表示する-s 現在の接続無負荷状態表示-t -xディスプレイは、接続聞く、および共有エンドポイントNetworkDirectを すべての接続のTCP接続テンプレートを表示-y、使用する他のオプションと組み合わせることができない 、との間の各表示ポーズを選択した統計情報を再表示する秒間隔の数。Ctrlキーを押しながらCは、再表示の統計情報を停止します。
|
Linuxは、netstatコマンドであります
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
|
usage: netstat [-vWeenNcCF] [<Af>] -r netstat {-V|--version|-h|--help} netstat [-vWnNcaeol] [<Socket> ...] netstat { [-vWeenNac] -i | [-cnNe] -M | -s [-6tuw] }
-r, --route display routing table -i, --interfaces display interface table -g, --groups display multicast group memberships -s, --statistics display networking statistics (like SNMP) -M, --masquerade display masqueraded connections
-v, --verbose be verbose -W, --wide don't truncate IP addresses -n, --numeric don't resolve names --numeric-hosts don't resolve host names --numeric-ports don't resolve port names --numeric-users don't resolve user names -N, --symbolic resolve hardware names -e, --extend display other/more information -p, --programs display PID/Program name for sockets -o, --timers display timers -c, --continuous continuous listing
-l, --listening display listening server sockets -a, --all display all sockets (default: connected) -F, --fib display Forwarding Information Base (default) -C, --cache display routing cache instead of FIB -Z, --context display SELinux security context for sockets
<Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-S|--sctp} {-w|--raw} {-x|--unix} --ax25 --ipx --netrom <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet List of possible address families (which support routing): inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) x25 (CCITT X.25)
|
用户操作
1 2 3 4 5
|
net user chessur password /add net localgroup administrators chessur /add net user chessur /active:yes net user chessur /actice:no net user chessur /del |