目录
查看进程
# 注意精确查找、模糊查找查询条件语法 C:\WINDOWS\system32>wmic process where name="nginx.exe" get HandleCount,Name,Priority,ProcessId,ThreadCount,WorkingSetSize,CommandLine CommandLine HandleCount Name Priority ProcessId ThreadCount WorkingSetSize "D:\services\nginx\nginx.exe" 170 nginx.exe 8 7952 1 5742592 "D:\services\nginx.exe" 151 nginx.exe 8 8052 1 4849664 "D:\services\nginx.exe" 156 nginx.exe 8 9020 3 5238784 "D:\services\nginx\nginx.exe" 179 nginx.exe 8 9204 3 5902336 C:\WINDOWS\system32>wmic process where "name like 'nginx%'" get HandleCount,Name,Priority,ProcessId,ThreadCount,WorkingSetSize,CommandLine CommandLine HandleCount Name Priority ProcessId ThreadCount WorkingSetSize "D:\services\nginx\nginx.exe" 170 nginx.exe 8 7952 1 5713920 "D:\services\nginx.exe" 151 nginx.exe 8 8052 1 4825088 "D:\services\nginx.exe" 156 nginx.exe 8 9020 3 5226496 "D:\services\nginx\nginx.exe" 179 nginx.exe 8 9204 3 5885952 C:\WINDOWS\system32>wmic process where name="nginx.exe" get # 输出所有列 ... C:\WINDOWS\system32>wmic process get /? # 查看支持的列
查询安装软件
# 所有 C:\WINDOWS\system32>wmic product get name # 仅安全类软件 C:\WINDOWS\system32>wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe displayName pathToSignedProductExe productState 电脑管家系统防护 C:\Program Files (x86)\Tencent\QQPCMgr\13.5.20513.228\QQPCMgr.exe 266240 Windows Defender windowsdefender:// 393472
查看用户(组)
wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status wmic useraccount get Caption, InstallDate, LocalAccount, Domain, SID, Status
其它一篮子
1.【硬件信息】: # 获取磁盘资料: wmic DISKDRIVE get deviceid,Caption,size,InterfaceType # 获取分区资料: wmic LOGICALDISK get name,Description,filesystem,size,freespace # 获取CPU资料: wmic cpu get name,addresswidth,processorid # 获取主板资料: wmic BaseBoard get Manufacturer,Product,Version,SerialNumber # 获取内存数: wmic memlogical get totalphysicalmemory # 获得品牌机的序列号: wmic csproduct get IdentifyingNumber # 获取声卡资料: wmic SOUNDDEV get ProductName # 获取屏幕分辨率 wmic DESKTOPMONITOR where Status='ok' get ScreenHeight,ScreenWidth 2. PROCESS【进程管理】: # 列出进程 wmic process list brief (Full显示所有、Brief显示摘要、Instance显示实例、Status显示状态) # wmic 获取进程路径: wmic process where name="jqs.exe" get executablepath # wmic 创建新进程 wmic process call create notepad wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe" wmic process call create "shutdown.exe -r -f -t 20" # wmic 删除指定进程: wmic process where name="qq.exe" call terminate wmic process where processid="2345" delete wmic process 2345 call terminate # wmic 删除可疑进程 wmic process where "name='explorer.exe' and executablepath<>'%SystemDrive%\\windows\\explorer.exe'" delete wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate 3. USERACCOUNT【账号管理】: 更改当前用户名 WMIC USERACCOUNT where "name='%UserName%'" call rename newUserName WMIC USERACCOUNT create /? 4. SHARE【共享管理】: 建立共享 WMIC SHARE CALL Create "","test","3","TestShareName","","c:\test",0 (可使用 WMIC SHARE CALL Create /? 查看create后的参数类型) 删除共享 WMIC SHARE where name="C$" call delete WMIC SHARE where path='c:\\test' delete 5. SERVICE【服务管理】: 更改telnet服务启动类型[Auto|Disabled|Manual] wmic SERVICE where name="tlntsvr" set startmode="Auto" 运行telnet服务 wmic SERVICE where name="tlntsvr" call startservice 停止ICS服务 wmic SERVICE where name="ShardAccess" call stopservice 删除test服务 wmic SERVICE where name="test" call delete 6. FSDIR【目录管理】 列出c盘下名为test的目录 wmic FSDIR where "drive='c:' and filename='test'" list 删除c:\good文件夹 wmic fsdir "c:\\test" call delete 重命名c:\test文件夹为abc wmic fsdir "c:\\test" rename "c:\abc" wmic fsdir where (name='c:\\test') rename "c:\abc" 复制文件夹 wmic fsdir where name='d:\\test' call copy "c:\\test" 7.datafile【文件管理】 重命名 wmic datafile "c:\\test.txt" call rename c:\abc.txt 8.【任务计划】: wmic job call create "notepad.exe",0,0,true,false,********154800.000000+480 wmic job call create "explorer.exe",0,0,1,0,********154600.000000+480 9. 清理系统日志 WMIC命令的nteventlog选项还可以清除系统的日志记录,当你入侵了某个系统之后,这个命令可以帮助你掩盖攻击痕迹: wmic nteventlog where filename='[logfilename]’ cleareventlog wmic nteventlog where filename=’system’ cleareventlog
WMIC命令组
C:\WINDOWS\system32>wmic /? ALIAS - 访问本地机器上的别名 BASEBOARD - 基板 (也叫母板或系统板) 管理。 BIOS - 基本输入/输出服务 (BIOS) 管理。 BOOTCONFIG - 启动配置管理。 CDROM - CD-ROM 管理。 COMPUTERSYSTEM - 计算机系统管理。 CPU - CPU 管理。 CSPRODUCT - SMBIOS 的计算机系统产品信息。 DATAFILE - DataFile 管理。 DCOMAPP - DCOM 程序管理 DESKTOP - 用户桌面管理。 DESKTOPMONITOR - 监视器管理。 DEVICEMEMORYADDRESS - 设备内存地址管理。 DISKDRIVE - 物理磁盘驱动器管理。 DISKQUOTA - NTFS 卷磁盘空间使用情况。 DMACHANNEL - 直接内存访问(DMA)频道管理。 ENVIRONMENT - 系统环境设置管理。 FSDIR - 文件目录系统项目管理。 GROUP - 组帐户管理。 IDECONTROLLER - IDE 控制器管理。 IRQ - 间隔请求线 (IRQ) 管理。 JOB - 提供对使用计划服务安排的工作的访问。 LOADORDER - 定义执行依存的系统服务管理。 LOGICALDISK - 本地储存设备管理。 LOGON - 登录会话。 MEMCACHE - 缓存内存管理。 MEMLOGICAL - 系统内存管理 (配置布局和内存可用性)。 MEMPHYSICAL - 计算机系统物理内存管理。 NETCLIENT - 网络客户端管理。 NETLOGIN - (某一用户的)网络登录信息管理。 NETPROTOCOL - 协议 (和其网络特点) 管理。 NETUSE - 活动网络连接管理。 NIC - 网络界面控制器 (NIC) 管理。 NICCONFIG - 网络适配器管理。 NTDOMAIN - NT 域管理。 NTEVENT - NT 事件日志的项目 NTEVENTLOG - NT 时间日志文件管理。 ONBOARDDEVICE - 母板(系统板)内置普通设适配器设备的管理。 OS - 已安装的操作系统管理。 PAGEFILE - 虚拟内存文件对调管理。 PAGEFILESET - 页面文件设置管理。 PARTITION - 物理磁盘分区区域的管理。 PORT - I/O 端口管理。 PORTCONNECTOR - 物理连接端口管理。 [补充 包括 USB/Card Reader/HDMI/CRT/MIC/NetWork Interface/...] # wmic PORTCONNECTOR get PRINTER - 打印机设备管理。 PRINTERCONFIG - 打印机设备配置管理。 PRINTJOB - 打印工作管理。 PROCESS - 进程管理。 PRODUCT - 安装包任务管理。 QFE - 快速故障排除。 QUOTASETTING - 设置卷的磁盘配额信息。 RECOVEROS - 当操作系统失败时,将从内存收集的信息。 REGISTRY - 计算机系统注册表管理。 SCSICONTROLLER - SCSI 控制器管理。 SERVER - 服务器信息管理。 SERVICE - 服务程序管理。 SHARE - 共享资源管理。 SOFTWAREELEMENT - 安装在系统上的软件产品元素的管理。 SOFTWAREFEATURE - SoftwareElement 的软件产品组件的管理。 SOUNDDEV - 声音设备管理。 STARTUP - 用户登录到计算机系统时自动运行命令的管理。 SYSACCOUNT - 系统帐户管理。 SYSDRIVER - 基本服务的系统驱动程序管理。 SYSTEMENCLOSURE - 物理系统封闭管理。 SYSTEMSLOT - 包括端口、插口、附件和主要连接点的物理连接点管理。 TAPEDRIVE - 磁带驱动器管理。 TEMPERATURE - 温度感应器的数据管理 (电子温度表)。 TIMEZONE - 时间区域数据管理。 UPS - 不可中断的电源供应 (UPS) 管理。 USERACCOUNT - 用户帐户管理。 VOLTAGE - 电压感应器 (电子电量计) 数据管理。 VOLUMEQUOTASETTING - 将某一磁盘卷与磁盘配额设置关联。 WMISET - WMI 服务操作参数管理。
wmic后继者
截至win10 1009,wmic可用,但已提示弃用。
powershell的cmdlet,不在本篇介绍,主要是命令使用方式编向编程化了。
Get-WmiObject
CIM Cmdlet
进程端口
C:\WINDOWS\system32>netstat -nabo 活动连接 # 仅显示nginx,其它手工删掉了,未过滤时输出太多。2行为一组。情况 说明 :本地测试环境nginx监听多个端口。 协议 本地地址 外部地址 状态 PID TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 9020 [nginx.exe] TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 728 [nginx.exe] TCP 0.0.0.0:4431 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:4432 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:4435 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:4466 0.0.0.0:0 LISTENING 23636 [ikuacc.exe] TCP 0.0.0.0:5040 0.0.0.0:0 LISTENING 10000 CDPSvc [svchost.exe] TCP 0.0.0.0:5432 0.0.0.0:0 LISTENING 7060 [postgres.exe] TCP 0.0.0.0:5554 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5555 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5557 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5559 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5560 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5568 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5569 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5588 0.0.0.0:0 LISTENING 9204 [nginx.exe] TCP 0.0.0.0:5589 0.0.0.0:0 LISTENING 9204 C:\WINDOWS\system32>netstat -nabo | findstr "nginx 80" # findstr "nginx 80" 是或匹配,即同时查询多个字符串 # 输出信息为完整信息,未删除,只显示nginx进程和端口80。只有nginx进程的是因为端口号中不包括80字符串 TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 9020 [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] [nginx.exe] TCP 0.0.0.0:39171 0.0.0.0:0 LISTENING 4780 TCP 0.0.0.0:39172 0.0.0.0:0 LISTENING 4780 TCP 100.64.88.1:20080 0.0.0.0:0 LISTENING 9020 [nginx.exe] [nginx.exe] TCP 127.0.0.1:30080 0.0.0.0:0 LISTENING 9020 [nginx.exe] [nginx.exe] [nginx.exe]
GUI军刀
nirsoft cport
其它工具,该站点的其它工具不要当作没看见哦
https://www.nirsoft.net/utils/cports.html
sysinternals tcpViewer
windirstat
https://windirstat.net/
这个工具是“手动”定位磁盘空间占用的利器