✨
Emergency-Response
  • 介绍
  • Windows
    • 系统信息
    • 进程与端口
    • 服务
    • 日志分析
    • 相关工具
  • Linux
    • 系统信息
    • 进程与端口
    • 服务
    • 文件分析
    • 日志分析
    • 相关工具
    • 案例
      • Redis
      • SSH
      • 短连接
      • 挖矿木马排查
  • Web
    • 拒绝服务攻击
    • WebShell查杀
    • 日志分析
  • DataBase
    • MSSQL
    • MySQL
  • 杂项
    • 钓鱼邮件分析
    • 分析工具
    • 勒索病毒工具
Powered by GitBook
On this page
  • 端口
  • 进程
  • 查看方法
  • 程序位置
  • 程序命令行参数

Was this helpful?

  1. Windows

进程与端口

端口

查看端口:

$ netstat -ano

可以查看目前的网络连接:

$ netstat -ano | find ESTABLISHED

  • Listen:监听状态

  • ESTABLISHED:建立连接

  • CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断。

根据显示的PID定位程序:

$ tasklist | findstr [PID]

查看Windows服务对应的端口:%system%/system32/drivers/etc/services(一般%system%就是C:\Windows)。

进程

查看方法

方法一

开始--> 运行 --> msinfo32 --> 软件环境 --> 正在运行任务。(能查看进程的详细信息) 查看端口对应的PID:

$ netstat -ano | findstr "[PORT]"

方法二

$ wmic process 
$ wmic process list brief 
$ wmic process list full 
$ wmic process list system

以xml格式存储:

$ wmic /record:processes.xml process list full

程序位置

查看进程对应的程序位置:

  • 任务管理器 --> 选择对应进程 --> 右键打开文件位置

  • 运行输入wmic:

    $ process

根据进程PID查找具体启动的程序:

$ tasklist
$ wmic process get name,executablepath,processid | findstr pid

程序命令行参数

$ wmic process get caption,commandline /value

查询某一个进程的命令行参数:

$ wmic process where caption="svchost.exe" get caption,commandline /value
Previous系统信息Next服务

Last updated 5 years ago

Was this helpful?