windows系统取证

系统的日期和时间

当前运行的活动进程

当前的网络连接

当前打开的端口

在打开的套接字（socket）上监听的应用程序

当前登录的用户

剪切板数据

易失性数据

ipconfig：查看系统 IP 地址

netstat：列出所有监听端口以及这些端口的所有连接

nbtstat：列出最近 10 分钟内的 NetBIOS 连接

net：列出 NetBIOS 连接、用户账号、共享文件夹等信息

arp：本机的 ARP 缓存表

doskey：显示打开 cmd.exe 命令解释程序的命令记录

得到易失性数据的常用命令

上传一个可信的shell

在取证人员电脑上输入nc -l -p 55555 >> evidence.txt命令，使机器处于监听状态

使用瑞士军刀 netcat 通过网络将数据传送到取证人员的机器上

在被入侵的机器上输入以下形式的命令即可将数据传送给取证人员已经开启了监听模式的机器上：nc 取证人员机器IP 端口 -e 命令或命令 | nc 取证人员机器IP 端口如：nc 192.168.10.10 55555 -e ipconfig或ipconfig | nc 192.168.10.10 55555即可将 ipconfig 命令的结果传送到取证人员已经开启了监听模式的机器上（假设该机器的 IP 地址为 192.168.10.10）————————————————版权声明：本文为CSDN博主「YT--98」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。原文链接：https://blog.csdn.net/weixin_43915762/article/details/89484245

系统日期和时间：date /ttime /t

系统 IP 地址信息ipconfig /all

记录系统的环境变量set

查看本地连接和远程连接的所有用户query user

查看当前有哪些用户登录到了系统whoami

列出主机缓存中的 NetBIOS 名（如果攻击者发起了某台机器到受害者机器的任意 NetBIOS 连接，并且是最近 10 分钟连接的，那么可以通过以下命令看到该机器的 BIOS 名）nbtstat -c

获取剪贴板内容

记录所有动态链接库的信息

查看机器上打开的 TCP 和 UDP 端口是由哪些程序开启的① 先用 netstat -ano 查看开启的 TCP 和 UDP 端口的进程 PID 号② 再用 tasklist | findstr \"进程 PID号\"即可查看

所有正在运行的进程列表信息tasklist

查看被入侵机器上的监听程序和当前连接的网络信息netstat -an

查看 arp 缓存表arp -a

查看系统日志，包括：系统事件日志、应用程序日志、安全事件日志

将“命令”处替换为一些命令来收集易失性数据

初始信息收集步骤

windows系统取证