安全应急相应（三）

LogParser -i:EVT -o DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,8,'|') as LogonType, EXTRACT_TOKEN(Strings,17,'|') as ProcessName, EXTRACT_TOKEN(Strings,18,'|') as SourceIP FROM Security where EventID=4624 AND TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') and TIMESTAMP('2019-05-31','yyyy-MM-dd')"

LogParser -i:EVT -o:DATAGRID "SELECT TimeWritten,EventID,EventType,EventTypeName,SourceName,EXTRACT_TOKEN(Strings,0,'|') as service_name,EXTRACT_TOKEN(Strings,1,'|') as service_path,Message from system WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')"

LogParser -i:EVT -o:DATAGRID "SELECT * FROM Application WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')"

wmic process get caption,commandline /value > tmp.txt
wmic service list brief
wmic process list brief
wmic startup list brief
//查看安装补丁和时间信息
wmic qfe 
wmic qfe get Caption,Description,HotFixID,InstalledOn

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N] [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [/X] [/4]
/A 显示具有指定属性的文件
   属性：D目录 R只读文件 H隐藏文件 A准备存档的文件 
   S系统文件 I无内容索引文件 L解析点 -表示“否”的前缀
/S 显示指定目录及子目录中文件
/W 用宽列表格式显示
/P 显示满一屏暂停，按任意键后继续显示下一屏
/Q 显示文件所有者

xcopy参数
/S 复制目录和子目录，除了空目录
/E 复制目录和子目录，包括空目录
/C 忽略错误继续复制
/H 复制隐藏和系统文件

del 参数
/s 递归删除文件夹及文件
/q 不提示确认删除

/Y 若目标文件夹下有同名文件，忽略提示，直接覆盖原文件
/-Y 提示警告

attrib 参数
+ 设置属性
- 删除属性
R 只读文件
A 存档文件
S 系统文件
H 隐藏文件

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval]
-a 显示连接和监听端口
-b 显示包含于创建每个连接或监听端口的可执行组件;需要权限
-e 显示以太网统计信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程ID
-p proto 显示指定协议的连接;可以是TCP、UDP、TCPv6、UDPv6
-r 显示路由表
-s 按协议显示统计信息
-t 显示当前连接卸载状态
-x 显示NetworkDirect连接、侦听器和共享终结点
-y 显示所有连接TCP连接模板;无法与其他选项结合使用
interval 重新显示选定的统计信息，各个显示间暂停的间隔秒数。按CTRL+C停止重新显示统计信息。

usage: netstat [-vWeenNcCF] [<Af>] -r         netstat {-V|--version|-h|--help}
       netstat [-vWnNcaeol] [<Socket> ...]
       netstat { [-vWeenNac] -i | [-cnNe] -M | -s [-6tuw] }

        -r, --route              display routing table
        -i, --interfaces         display interface table
        -g, --groups             display multicast group memberships
        -s, --statistics         display networking statistics (like SNMP)
        -M, --masquerade         display masqueraded connections

        -v, --verbose            be verbose
        -W, --wide               don't truncate IP addresses
        -n, --numeric            don't resolve names
        --numeric-hosts          don't resolve host names
        --numeric-ports          don't resolve port names
        --numeric-users          don't resolve user names
        -N, --symbolic           resolve hardware names
        -e, --extend             display other/more information
        -p, --programs           display PID/Program name for sockets
        -o, --timers             display timers
        -c, --continuous         continuous listing

        -l, --listening          display listening server sockets
        -a, --all                display all sockets (default: connected)
        -F, --fib                display Forwarding Information Base (default)
        -C, --cache              display routing cache instead of FIB
        -Z, --context            display SELinux security context for sockets

  <Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-S|--sctp} {-w|--raw}
           {-x|--unix} --ax25 --ipx --netrom
  <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet
  List of possible address families (which support routing):
    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) 
    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) 
    x25 (CCITT X.25)

net user chessur password /add
net localgroup administrators chessur /add
net user chessur /active:yes
net user chessur /actice:no
net user chessur /del