1窗口重要命令
常见教程:博客1
| 命令 | 作用 |
|---|---|
| arp | 查看和处理ARP缓存,ARP指名称分析,负责对IP地址进行物理 MAC地址的分析.arp-a显示所有信息。ARP命令通常被黑客和网络管理员使用。通过这个命令,黑客可以欺骗IP地址和MAC地址,通过此命令,网络管理员可以修改ARP缓存表。 知乎 |
| ping | PING命令用于检查网络是否正常运行或网络连接的速度。网络上的计算机只有一个固定的IP地址,向目标IP地址发送一个包,另一方将返回同样大小的包裹,根据返回数据包可以确定目标主机的存在,目标主机的操作系统可以初步判断. 知乎 |
| ipconfig | IPCONFIG命令用于查看当前计算机的TCP/IP配置的预设值和更新动态主机配置协议和域名系统设置。 通过查看信息,检查用户手动配置的TCP/IP是否正确。 |
| tracert | TRACERT命令用于跟踪路由信息。使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对了解网络布局和结构很有帮助。 知乎 |
| netstat | NETSTAT命令用于监控TCP/IP网络,使用此命令显示协议统计,还可以重新访问路由表、实际的网络连接和每个网络接口设备的状态信息。通过查看已经建立的连接,可以查看TCP对话位置问题进程。 知乎 |
| nslookup | NSLOOKUP命令用于监测网络中的DNS服务器是否能够正确地进行域名分析。 黑客可以使用这个命令检测一个大型网站所绑定的IP地址。 |
| net | NET命令是Windows系统最强大的命令之一,它可以管理本地或远程信息,如网络、服务、用户、登录等。这是黑客和网络管理员使用的最流行的命令之一。NET VIEW命令用于查看本地网络中的所有共享资源。 知乎 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
两个重要的窗口过程
| 进程 | 解释 |
|---|---|
| svchost.exe | svchost是一个动态链接库(DLL)中运行的服务的通用主机进程名称。这个程序对于系统正常运行非常重要,它无法结束。svchost是一个系统共享的过程,等于主机或容器,它本身没有服务功能,派给它什么活,它就干什么活。一般认为发现计算机正在经历母程序非服务的 svchost 进程是一个问题进程。 了解链接1 。svchost通过查看注册表调用DLL负载。 |
| rundll32.exe | 其作用是负责调用Windows DLL(动态链接库)文件并把他们装入到你电脑的内存当中,并供其他应用程序使用。 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
dll 劫持:程序在启动时主动加载事先放置好的恶意 dll(圈里常说的“白+黑”技术其实就是 dll 劫持技术,让一个正常的应用程序在启动过程中加载事先放置的恶意 dll)。
dll 注入:将一个恶意 dll 放进正在运行的进程的内存空间中,让这个 dll 成为他的一部分,创建定时的线程被动运行 dll。
3 Windows知识点
- svchost的解释已知
- 过程与服务之间的差异
- 活动目录Active Directory 知乎1
- 什么是c2博客1博客2
- 数据持续 blog 1 脚本持续 blog 1