系统信息

查看系统版本以及补丁信息

$ systeminfo

查看可疑目录及文件

查看用户目录下是否有新建目录：

• Window 2003：C:\Documents and Settings

• Window 20008R2：C:\Users\

最近运行的文件

Recent是系统文件夹，里面存放了最近使用的文档的快捷方式。 打开： 开始 --> 运行 --> %UserProfile%\Recent

文件排序

根据文件夹内的文件列表时间进行排序。 右键 --> 查看详细信息

文件信息

右键

系统账户

查看所有账号

方法一

打开本地用户和组：

$ compmgmt.msc
# 或
$ lusrmgr.msc

方法二

$ net user 
$ wmic useraccount 
$ wmic useraccount list brief

方法三

查看注册表：

$ regedit
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

显示某个用户账户信息

$ net user [SOMEONE]

系统会话

查看当前系统会话：

$ query user

踢出用户：

$ logoff [ID]

检查日志

结合日志，查看管理员登录实践、用户名是否存在异常:

$ eventvwr.msc

保存日志。结合LogParser进行分析。

网卡信息

列出所有网络驱动程序列表

$ wmic nicconfig list

列出所有IP接口列表

$ wmic nicconfig where IPEnabled='true'

更新静态IP

$ wmic nicconfig where index=9 call enablestatic("192.168.123.66"), ("255.255.255.0")

更新网关

$ wmic nicconfig where index=9 call setgateways("192.168.123.4"), ("255.255.255.0"),(1,2)

DHCP

启动

$ wmic nicconfig where index=9 call enabledhcp

设置DHCP状态

$ wmic service where caption="DHCP Client" call changestartmode "Disabled"
$ wmic service where caption="DHCP Client" call changestartmode "Automatic"
$ wmic service where caption="DHCP Client" call changestartmode "Manual"