一、基础环境管理

1、CPU使用率

wmic CPU get loadpercentage /value|findstr [1-9]
或
wmic path win32_perfformatteddata_perfos_processor get name,PercentIdleTime

cpu空闲时间（一直变化的）

wmic path win32_perfformatteddata_perfos_processor get name,PercentProcessorTime,PercentIdleTime,PercentUserTime

2、可用内存数（Mbyte）

wmic path win32_perfformatteddata_perfos_memory get AvailableMBytes

内存总容量（byte) :
wmic MEMORYCHIP get Capacity

3、磁盘使用情况：

wmic VOLUME get name,Capacity,FreeSpace

4、防火墙情况

netsh firewall show config

5、端口监听情况

netstat -an |findstr /i tcp|findstr /i listen

6、进程运行情况

tasklist

tlist -t //以树行列表显示进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)
kill -F 进程名 //加-F参数后强制结束某进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

wmic process list brief //列出进程的核心信息

7、超时等待的秒数：timeout

8、获取所有wmic类名

powershell里输入：Get-WMIObject -List

9、关机

tsshutdn-------60秒倒计时关机命令
logoff---------注销命令
rononce -p ----15秒关机

10、用户管理

lusrmgr.msc----本机用户和组
net user //看不到隐藏用户
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\ 下是否存在隐藏帐户 //检查隐藏帐户

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ //查看隐藏账户

1）net user：

查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这些信息可为克隆帐户提供了前提。键入不带参数的net user，可以查看所有用户，包括已经禁用的。示例如下：

net user abcd 1234 /add，新建一个用户名为abcd，密码为1234的帐户，默认为user组成员。
net user abcd /del，将用户名为abcd的用户删除。
net user abcd /active:no，将用户名为abcd的用户禁用。
net user abcd /active:yes，激活用户名为abcd的用户。
net user abcd，查看用户名为abcd的用户的情况

2）net localgroup
　　
　　查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中，黑客们多利用它来把某个帐户提升为administrator组帐户，从而控制整个远程主机了。
　　用法：net localgroup groupname username /add。

11、计算机管理

compmgmt.msc
devmgmt.msc— 设备管理器
egsvr32 /u *.dll----停止dll文件运行，eg：regsvr32 /u zipfldr.dll 取消ZIP支持
dxdiag---------检查DirectX信息，获取机器序列号
rsop.msc-------组策略结果集
winmsd---------系统信息
winver---------检查Windows版本
perfmon.msc----计算机性能监测程序
ntbackup-------系统备份和还原
eventvwr-------事件查看器
net start/stop [服务名] 启动一个服务
sndrec32-------录音机
wmimgmt.msc 打开windows管理体系结构(WMI)
secpol.msc 本地安全策略
sfc.exe /scannow 系统文件检查器,扫描所有文件系统并尝试修复
chkdsk.exe Chkdsk磁盘检查
certmgr.msc 证书管理实用程序
cleanmgr 垃圾整理
ciadv.msc 索引服务程序
odbcad32 ODBC数据源管理器
secpol.msc 打开本地安全策略

12、获取系统监控报告

perfmon /report

13、服务管理

tasklist /svc //进程对应的服务
taskkill 服务名
net start/stop 服务名
wmic startup get caption,command //在命令行使用该命令得到Windows上所有启动项的名称与执行程序所在路径
netstat -ano > port-listen.log //启动的服务日志查看

1）net命令用于打开没有被禁用的服务：

它包含了管理网络环境、服务、用户、登陆大部分重要的管理功能。语法：

net start|stop 服务名 //服务名称指的是如下图所示获取的服务名

可进一步将你经常需要启动的服务整理成命令，用记事本保存成cmd后缀格式的文件，这样你双击就可以完成里边相应的命令。

netstat -p 协议名例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）

netstat -s 查看正在使用的所有协议使用情况

2）用sc命令可打开被禁用的服务。(也可以查看服务状态)可以创建服务、删除服务、打开与关闭服务

sc是用于与服务控制管理器和服务进行通信的命令行程序，其语法是：

 sc <server> [command] [service name] <option1> <option2>.【命令选项】：query-----------查询服务的状态，或枚举服务类型的状态。queryex---------查询服务的扩展状态，或枚举服务类型的状态。start-----------启动服务。pause-----------向服务发送 PAUSE 控制请求。interrogate-----向服务发送 INTERROGATE 控制请求。continue--------向服务发送 CONTINUE 控制请求。stop------------向服务发送 STOP 请求。config----------更改服务的配置(永久)。description-----更改服务的描述。failure---------更改服务失败时执行的操作。failureflag-----更改服务的失败操作标记。sidtype---------更改服务的服务 SID 类型。privs-----------更改服务的所需权限。managedaccount--更改服务以便将服务帐户密码标记为由 LSA 管理。qc--------------查询服务的配置信息。qdescription----查询服务的描述。qfailure--------查询服务失败时执行的操作。qfailureflag----查询服务的失败操作标记。qsidtype--------查询服务的服务 SID 类型。qprivs----------查询服务的所需权限。qtriggerinfo----查询服务的触发器参数。qpreferrednode--查询服务的首选 NUMA 节点。qrunlevel-------查询服务的运行级别。qmanagedaccount-查询服务是否将帐户与 LSA 管理的密码结合使用。qprotection-----查询服务的进程保护级别。delete----------(从注册表中)删除服务。create----------创建服务(并将其添加到注册表中)。control---------向服务发送控制。sdshow----------显示服务的安全描述符。sdset-----------设置服务的安全描述符。showsid---------显示与任意名称对应的服务 SID 字符串。triggerinfo-----配置服务的触发器参数。preferrednode---设置服务的首选 NUMA 节点。runlevel--------设置服务的运行级别。GetDisplayName--获取服务的 DisplayName。GetKeyName------获取服务的 ServiceKeyName。EnumDepend------枚举服务依赖关系。

示例：

sc config 服务名 start= demand //手动

sc config 服务名 start= auto //自动

sc config 服务名 start= disabled //禁用

sc start/stop/ query/delete 服务名　　开启/停止/查看/删除服务

sc qc 服务名查看服务的配置信息

sc create scname binPath=xxx.exe　　创建服务

eg1:C:\Windows\system32>sc create redis binPath=E:/Redis/redis-server.exe //创建完成之后，在服务管理页面就可看到，如下图：

sc config命令：用于在注册表和服务数据库中修改服务项。

用法: sc <server> config [service name] <option1> <option2>...

选项: 选项名称包括等号。等号和值之间需要一个空格。如下：

14、网络管理

1）nbtstat命令

该命令用于显示本地计算机和远程计算机的基于 TCP/IP（NetBT）协议的 NetBIOS 统计资料、 NetBIOS 名称表和 NetBIOS 名称缓存。 NBTSTAT 还可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。仅当Internet协议（TCP/IP）作为网络连接中网络适配器属性中的组件安装时，此命令才可用。更多参考微软文档

选项说明：

-a 和 –A 选项：这两个参数的功能相同，都是显示远程计算机的名称表。区别是 -a 选项后面既可跟远程计算机的计算机名，也可跟IP地址，-A 选项后面只能跟远程计算机的IP地址。

-c 选项：显示 NetBIOS 名称缓存内容、 NetBIOS 名称表及其解析的各个地址。

nbtstat -c ：列出远程计算机的名称及其IP地址的缓存，这个参数就是用来列出在你的NetBIOS里缓存的你连接过的计算机的IP。

-n 选项：显示本地计算机的 NetBIOS 名称表。

nbtstat -n：显示结果为 Registered（已注册）中的状态表明该名称是通过广播或 WINS 服务器注册的。

-r 选项：显示通过广播和经由WINS解析的名称。

-R选项：清除 netbios 名称缓存中的所有名称后，重新装入 lmhosts 文件，这个参数就是清除nbtstat -c所能看见的缓存里的ip缓存记录。

-s 和 –S 选项：显示 NetBIOS 客户端和服务器会话，大写的-S选项列出具有目标IP地址的会话表，小写的 –s 选项列出将目标 IP 地址转换成计算机 NETBIOS 名称的会话表。

-RR选项：将名称释放包发送到 WINS，然后启动刷新。

Interval选项：重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+C 停止重新显示统计。】该参数可省略，直接使用数字，每停顿num秒继续显示，即每个Num秒刷新一次统计信息。

eg1：nbtstat -s 5 //每隔5秒钟显示一次统计信息。

eg2：nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名；-注意：参数-A要大写

net view //获取了局域网内一些计算机名

nbtstat -a 远程计算机名称；列出远程机器的名称并获取MAC地址，然后再用arp -a即可获取ip 和 mac的映射关系，然后用Nmap扫描。

2）tracert命令

tracert -参数 ip(或计算机名) 跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。

3）ping

ping ip(或域名) 向对方主机发送默认大小为32字节的数据，参数：“-l[空格]数据包大小”；“-n发送数据次数”；“-t”指一直ping。

ping -t -l 65550 ip //死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)

4）Netsh命令

Netsh可用来显示与修改当前正在运行的计算机的网络配置（如：IP地址、网关、DNS和MAC地址等）。Netsh还提供脚本功能，可以对特定的计算机以批处理方式运行一组命令。Netsh使用帮助程序提供称为上下文(Context)的广泛功能集。上下文（Context）是特定于网络组件一组命令，它们通过为一个或多个服务、实用程序或协议提供配置和监视支持来扩展Netsh的功能；可以使用的上下文(Context)取决于用户安装的网络组件。

示例：

1、修改IP地址addr和子网掩码mask：\>netsh interface ip set address name="本地连接" source=static addr=192.168.0.101 mask=255.255.255.02、修改默认网关gateway\>netsh interface ip set address name="本地连接" gateway=192.168.0.1 gwmetric=03、修改首选(PRIMARY)的DNS\>netsh interface ip set dns name="本地连接" source=static addr=114.114.114.114 register=PRIMARY
4、可以查看存在的转发，显示系统中的转发规则列表：
\> netsh interface portproxy show all 或netsh interface portproxy dump
5、添加一个IPV4到IPV4的端口映射
\>netsh interface portproxy add v4tov4 listenport=22 connectaddress=ip connectport=port
6、删除指定转发端口
\>netsh interface portproxy delete v4tov4 listenport=port
7、清除所有当前的端口转发规则：
\>netsh interface portproxy reset

我们可以使用命令Netsh的Portproxy模式配置Windows中的端口转发，需先确保 iphlpsvc（IP Helper）服务运行。该命令的语法如下：

netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destport

其中：listenaddress：等待连接的本地IP地址。
listenport：本地侦听TCP端口。
connectaddress：将传入连接重定向到本地或远程IP地址（或DNS名称）
connectport：一个TCP端口，来自listenport的连接会被转发到该端口。假设当前我们的RDP服务端口在一个非标准端口上进行响应，如3340（端口可以在服务设置中更改）。为此，我们需要将传入流量从TCP端口3340重定向到另一个本地端口 – 3389（即标准rdp端口）。可以创建任意数量的Windows端口转发规则。所有netsh interface portproxy规则都是持久性的，并会在Windows系统重启后被保存。

示例：netsh interface portproxy add v4tov4 listenport=3340 listenaddress=192.168.202.247 connectport=3389 connectaddress=192.168.202.137

netsh interface portproxy delete v4tov4 listenport=3340 listenaddress=192.168.202.137 //删除端口转发规则：

netsh interface portproxy add v4tov4 listenport=3389 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.100.101 //将所有本地传入的RDP请求（到3389端口）重定向到IP地址为192.168.1.101的远程计算机上

netsh interface portproxy add v4tov4 listenport=5555 connectport=80 connectaddress= 157.166.226.25 protocol=tcp //将连接从本地端口5555转发至远程地址157.166.226.25(CNN网站)，这样在浏览器中访问http://localhost:5555/，则将打开CNN网站的主页。因此，尽管浏览器对本地计算机进行了寻址，但它仍会打开一个远程页面。

注意：以上端口转发仅适用于TCP端口，对于UDP端口将不起作用，并且不能使用127.0.0.1作为连接地址。在Windows Server 2012 R2中，端口转发规则仅在系统重启之前有效，并且在重启后它们会被重置。出现这种情况，需要检查网络接口上是否存在定期断开连接，以及操作系统引导时IP地址是否发生更改（最好使用静态IP地址）。添加一个使用netsh interface portproxy规则的脚本到Windows scheduler，以在系统启动时运行。检查注册表HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters中另外将IPEnableRouter参数设置为1。

【抓包使用场景】：

自Windows 7时，系统已自带Netsh Trace命令，但netsh trace需要管理员权限，可直接用来进行抓包，而不用安装WireShark或Microsoft Network Monitor等第三方软件。该命令有以下优点：

1）能够进行下持续追踪。
2）能够指定特定监控方式。
3）在启用Windows解析器的Microsoft网络监视器中可以查看数据包跟踪。这使使用者可以以更直观的方式看到SMB / WMI的流量。
4）能够生成报告以及数据包跟踪，其中包括您需要了解的与网络相关的所有信息，这些信息都存储在一个.cab文件中。

netsh trace start capture=YES report=YES persistent=YES //启用持续追踪并生成报告
netsh trace stop //停止追踪

完成后就会在该目录下会生成一个.cab文件和.etl文件。在.cab文件中包含了report.html、report.xml、report.xsl、report.etl等文件；在cab文件的config文件夹下，还可以看到以下文件：

adapterinfo.txt：所有已安装的网络驱动程序说明，硬件ID，GUID，版本和提供程序。
Dns.txt：IPCONFIG / DISPLAYDNS的输出内容，NETSH NAMESPACE SHOW EFFECTIVE和NETSH NAMESPACE SHOW POLICY。
envinfo.txt：有关无线和有线适配器和网络配置文件的详细信息。
FileSharing.txt：NBTSTAT –N, NBTSTAT –C, NET CONFIG RDR, NET CONFIG SRV, NET SHARE的输出结果汇总。
gpresult.txt：gpresult /v 的输出结果。
LocaleMetaData：包含WCM，Windows防火墙，无线/有线自动配置的MTA日志文件的文件夹。
Neighbors.txt：ARP -A，NETSH INT IPV6 SHOW NEIGHBORS的输出结果汇总。
netevents.xml：以XML格式的输出一些网络事件（即FWPM_NET_EVENT_TYPE_CLASSIFY_DROP）。
netiostate.txt：Teredo参数。
osinfo.txt：操作系统的版本以及基本架构的基础信息。
sysports.xml：与Teredo / IP Helper服务相关的系统端口。
WCMLog.evtx：Microsoft-Windows-Wcmsvc/Operational 日志 (Windows Connection Manager)。
WcnInfo.txt：wcnsvc，wlansvc，eaphost，fdrespub，upnphost，eaphost，WCN DLL的文件版本信息，网络适配器信息，当前配置文件的网络发现状态以及当前防火墙配置文件信息的服务状态。
wfpfilters.xml：WFP过滤器信息。
wfpstate.xml：WFP状态信息。
WindowsFirewallConfig.txt：Windows防火墙配置。
WindowsFirewallConsecLog.evtx：Windows firewall event log。
WindowsFirewallConsecLogVerbose.evtx：Windows firewall event log。
WindowsFirewallEffectiveRules.txt：Windows防火墙有效规则。
WindowsFirewallLog.evtx：Windows firewall event log。
WindowsFirewallLogVerbose.evtx：Windows firewall event log。
WinsockCatalog.txt：所有已安装的Winsock目录提供程序的详细信息。
WLANAutoConfigLog.evtx：Wired LAN Auto-Config event log。
WWANLog.evtx：Wireless LAN Auto-Config event log。

用法:
trace start [[scenario=]<scenario1,scenario2>][[globalKeywords=]keywords] [[globalLevel=]level][[capture=]yes|no] [[report=]yes|no][[persistent=]yes|no] [[traceFile=]path\filename][[maxSize=]filemaxsize] [[fileMode=]single|circular|append]
[[overwrite=]yes|no] [[correlation=]yes|no|disabled] [capturefilters][[provider=]providerIdOrName[[keywords=]keywordMaskOrSet]
[[level=]level] [[provider=]provider2IdOrName][[keywords=]keyword2MaskOrSet] [[level=]level2] …
默认值:
capture=no (指定除了跟踪事件之外是否还启用数据包捕获)
report=no (指定是否在生成补充报告的同时还生成跟踪文件)
persistent=no (指定跟踪会话在重新启动之后是否继续，以及在发布 netsh 跟踪停止之前是否启用)
maxSize=250 MB (指定最大跟踪文件大小，0=无最大值)
fileMode=circular
overwrite=yes (指定是否将覆盖现有跟踪输出文件)
correlation=yes (指定是否将关联相关事件以及是否将相关事件分到一个组中)
traceFile=%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl(指定输出文件的位置)

scenarios（概要）说明：运行netsh trace show scenario时，会得到以下18种可用方案：

AddressAcquisition : 地址获取相关问题的疑难解答
DirectAccess : DirectAccess 相关问题的疑难解答
FileSharing : 对常见的文件和打印机共享问题进行疑难解答
InternetClient : 诊断 Web 连接问题
InternetServer : 对服务器端 Web 连接问题进行故障排除
L2SEC : 第 2 层身份验证相关问题的疑难解答
LAN : 有线 LAN 相关问题的疑难解答
Layer2 : 第 2 层连接相关问题的疑难解答
MBN : 移动宽带相关问题的疑难解答
NDIS : 网络适配器相关问题的疑难解答
NetConnection : 网络连接相关问题的疑难解答
P2P-Grouping : 对等分组问题疑难解答
P2P-PNRP : 对等名称解析协议(PNRP)相关问题的疑难解答
RemoteAssistance : 对与 Windows 远程协助相关的问题进行疑难解答
RPC : 与 RPC 框架相关问题的疑难解答
WCN : 解决“Windows 立即连接”相关的问题
WFP-IPsec : 对 Windows 筛选平台和 IPSec 相关问题进行疑难解答
WLAN : 无线 LAN 相关问题的疑难解答

providers说明：当运行netsh trace show providers时，会得到很多不同的提供者。如果要检查这些不同的提供者，请自行在计算机上运行该命令。

level说明：netsh命令行帮助中关于level选项的说明，但是在此处记录了http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142(v=vs.85).aspx。level分为1~5等级，分别是：

1-Critical-Only critical events will be shown.
2-Errors-Critical events and errors will be shown.
3-Warnings-Critical events, errors, and warnings will be shown.
4-Informational-Critical events, errors, warnings, and informational events will be shown.
5-Verbose-All events will be shown.

示例：netsh trace start capture=yes persistent=yes traceFile=“c:\test\snmp1.etl” overwrite=yes correlation=no protocol=tcp ipv4.address=192.168.1.132 keywords=ut:authentication //correlation=no：不收集关联事件,抓取关键字ut:authentication。

15、安全管理

1）关闭远程共享通道
net share 查看打开远程共享

net share ipc$ /delete 删除远程共享

net share admin$ /delete

net share c$ /delete

2）secpol.msc打开本地安全策略

1.账户策略–〉密码策略–〉密码复杂性要求（开启）

2.账户策略–〉密码策略–〉最小值（9）

3.账户策略–〉密码策略–〉最短使用期限（低于设定时间不得修改密码）

4.账户策略–〉密码策略–〉最长使用期限（设定的天数要求修改密码）

5.账户策略–〉密码策略–〉强制密码历史（修改密码后不得和上次密码重复，设置几个不能重复比3）

6.账户策略–〉密码策略–〉储存密码（禁用）

7.账户策略–〉密码策略–〉账户锁定阈值（3）次，重置账户锁定计数器（120）
————————————————

16、计划任务

taskschd.msc

1）计划任务命令at：

用法：at time command computer

at id号 //开启已注册的某个计划任务
at /delete //停止所有计划任务，用参数/yes则不需要确认就直接停止
at id号 /delete //停止某个已注册的计划任务
at //查看所有的计划任务
at ip time 程序名(或一个命令) /r //在某时间运行对方某程序并重新启动计算机

17、附录：相关管理工具

运维工具：https://www.jb51.net/bat/498789.html

1）移动文件（复制–粘贴）

move 盘符路径/要移动的文件名存放移动文件的路径/移动后文件名 /y ##移动文件,用参数/y将取消确认移动目录存在相同文件的提示就直接覆盖

copy 路径文件名1 路径文件名2 /y ##复制文件1到指定的目录为文件2，用参数/y就同时取消确认你要改写一份现存目录文件

xcopy 要复制的文件或目录树目标地址目录名 ##复制文件和目录树，用参数/Y将不提示覆盖相同文件

ftp命令：

ftp>在ftp的提示符下输入"open 主机IP ftp端口"回车即可，一般端口默认都是21，可以不写。接着就是输入合法的用户名和密码进行登陆；
ftp>dir 跟DOS命令一样，用于查看服务器的文件，直接敲上dir回车，就可以看到此ftp服务器上的文件。
ftp>cd 进入某个文件夹。
ftp>get 下载文件到本地机器。
ftp>put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了，如果可以，呵呵，该怎么利用就不多说了，大家就自由发挥去吧。
ftp>delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。
ftp>bye|quit 退出当前连接。

2）文件内容比对

fc one.txt two.txt > 3st.txt ##对比二个文件并把不同之处输出到3st.txt文件中，"> “和”> >" 是重定向命令

3）查看用户登录：

finger username @host 查看最近有哪些用户登陆

4）文件查看：

attrib 文件名(目录名) ##查看某文件（目录）的属性

attrib 文件名 -A -R -S -H 或 +A +R +S +H ##去掉(添加)某文件的存档，只读，系统，隐藏属性；用＋则是添加为某属性；

dir 查看文件 ##参数：/Q显示文件及目录属系统哪个用户，/T:C显示文件创建时间，/T:A显示文件上次被访问时间，/T:W上次被修改时间

5）环境变量

set 指定环境变量名称=要指派给变量的字符设置环境变量
set 显示当前所有的环境变量
set p(或其它字符) 显示出当前以字符p(或其它字符)开头的所有环境变量

6）时间查看

net time：这个命令可以查看远程主机当前的时间。示例：：net time IP
date /t: 查看当前主机日期
time /t：查看当前主机时间

7）WMIC命令（Windows Management InstrumentationCommand Line）

执行“wmic”命令可启动Windows命令行管理环境。这个命令可以在XP或 .NET Server的标准命令行解释器（cmd.exe）、Telnet会话或“运行”对话框中执行。它提供了从命令行接口和批命令脚本执行系统管理的支持。相较于wmi工具，wmic使用了别名，大大简化了wmi的用户管理操作，直接执行后，默认进入root\cli角色。

直接输入wmic命令，可以以交互的方式执行，如果要使用非交互模式，只要在启动WMIC时后跟输入要执行的命令就可以了。另从批命令文件运行WMIC的好处在于不需要重复输入一系列复杂的命令。

WMIC提供了大量的全局开关、别名、动词、命令和丰富的命令行帮助增强用户接口。全局开关是适用于整个WMIC会话的配置选项。例如，/trace:on开关启用错误跟踪机制，如果这个开关处于打开状态，WMIC返回每一个命令的错误信息。利用/node开关可以访问远程机器，/interactive:on开关要求WMIC在执行删除操作之前提示确认，其他的全局开关还包括/role、/user、/implevel以及/namespace。

wmic /? //查看WMIC命令的全局选项，WMIC全局选项可以用来设置WMIC环境的各种属性，通过这些全局选项以及参数，就可以借助WMIC环境来管理整个系统了。

eg1：获取系统角色、用户名和制造商

wmic computersystem get Name, Domain, Manufacturer, Model, Username, Roles/format:list

说明：[/format:list]：以列表格式输出数据并排列。

eg2：获取SID

wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status

对比：

eg3：创建一个进程

借助process选项，wmic可以帮助我们在目标用户的系统中创建各种进程。这种功能可以帮助我们创建backdoor，或占用大量目标系统的内存

wmic process call create “[Process Name]”

wmic process call create “taskmgr.exe”

注意：如果进程创建了一个类似任务管理器和CMD这样的窗口，那么这条命令将会在目标系统中打开这个窗口。

如果想终止目标系统正在运行的进程，执行：

wmic process where name=”taskmgr.exe” call terminate

或wmic process [PID] delete

eg4：修改进程优先级

process选项还可以帮我们修改目标系统中运行进程的优先级；降低某个进程的优先级可能会导致特定的应用程序发生崩溃，而提升某个进程的优先级甚至还会导致整个系统发生崩溃。

wmic process where name=”explorer.exe” call set priority 64

eg5：获取可执行文件列表

以下命令将枚举出整个系统中所有可执行文件的路径地址：

wmic process where "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath

eg6：获取指定目录属性

fsdir选项可以提取目标系统中文件目录的基本信息，其中包括压缩方法、创建日期、文件大小、是否可读写、是否为系统文件、加密状态以及加密类型等等：

wmic fsdir where "drive='d:' and filename='LanQos'" get /format:list

eg7：获取指定文件的属性

借助datafile选项可以获取目标系统中文件的基本信息，其中包括压缩方法、创建日期、文件大小、是否可读写、是否为系统文件、加密状态以及加密类型等等：

用法：wmic datafile where=’[Path of File]’ get /format:list //路径里用双反斜杠

wmic datafile where name=‘D:\python3\demo.py’ get /format:list

eg8：查找定位系统文件

通过以下命令可以提取出所有重要系统文件的路径，例如temp目录和win目录等等：

wmic environment get Description, VariableValue

eg9：获取已安装的应用程序列表
wmic product get name

eg10：获取正在运行的服务列表

当我们获取到正在运行的服务列表之后，WMIC还可以提供服务的启动模式，例如“自动”、“手动”和“运行中”：

wmic service where (state=”running”) get caption, name, startmode

eg11：获取系统驱动详情

借助sysdrive选项可以枚举出驱动的名称、路径和服务类型等数据：

wmic sysdriver get Caption, Name, PathName, ServiceType, State, Status /format:list

eg12：获取操作系统详情

使用os选项可以列举出目标系统的上一次启动时间、注册的用户数量、处理器数量、物理/虚拟内存信息和安装的操作系统类型等等：

wmic os get CurrentTimeZone,FreePhysicalMemory,FreeVirtualMemory,NumberofProcesses,Organization,NumberofUsers,Status /format:list

wmic computersystem get Name,workgroup,NumberOfProcessors,manufacturer,Model

wmic computersystem get SystemStartupOptions //查看系统启动选项boot.ini的内容

wmic computersystem get AdminPasswordStatus,BootOptionOnLimit,BootOptionOnWatchDog,BootupState,Caption,domainrole,InfraredSupported

eg13：获取主板信息和BIOS序列号

wmic baseboard get Manufacturer, Product, SerialNumber, Version

wmic bios get serialNumber

wmic bios get name,SMBIOSBIOSVersion,manufacturer //查看bios版本型号

wmic cpu get name //获取cpu
eg14：获取内存缓存数据

使用memcache选项可以获取到内存缓存名和块大小等信息：

wmic memcache get Name, BlockSize, Purpose, MaxCacheSize, Status

eg15：获取内存芯片信息

memorychip选项可以获取到RAM的相关信息，例如序列号等等：

wmic memorychip get PartNumber, SerialNumber

eg16：判断目标系统是否为虚拟机

可以根据onboarddevice选项返回的信息来判断目标系统到底是真实的主机操作系统，还是一台虚拟机（VMware或Virtual Box）：

wmic onboarddevice get Description, DeviceType, Enabled, Status /format:list

eg17：用户账号管理

1）可以使用useraccount选项来锁定本地用户账号：

wmic useraccount where name=’demo’ set disabled=false

2）账号重命名：wmic useraccount where name=’demo’ rename jun

3）限制本地用户的密码修改操作：

wmic useraccount where name=’jun’ set passwordchangeable=false

eg18：获取反病毒产品详情

枚举出目标系统安装的反病毒产品信息，包括安装位置和版本：

wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

eg19：清理系统日志

使用nteventlog选项还可以清除系统的日志记录，

用法：wmic nteventlog where filename=’[logfilename]’ cleareventlog

wmic nteventlog where filename=’system’ cleareventlog

更多参考：wmic，Blog

待补充

二、日志查看

2.1、系统错误日志（大于某1天）

wmic ntevent where "EventType=1 and Logfile=‘System’ and TimeGenerated>=20151010 " get Logfile, SourceName, Eventtype, Message, TimeGenerated /FORMAT:htable:"sortby=TimeGenerated"TimeGenerated /FORMAT:htable:“sortby=TimeGenerated”

2.2、系统警告日志（大于某1天）

wmic ntevent where "EventType=2 and Logfile=‘System’ and TimeGenerated>=20151010 " get Logfile, SourceName, Eventtype, Message, TimeGenerated /FORMAT:htable:"sortby=TimeGenerated"TimeGenerated /FORMAT:htable:“sortby=TimeGenerated”

2.3、应用错误日志（大于某1天）

wmic ntevent where "EventType=1 and Logfile=‘Application’ and TimeGenerated>=20151010 " get Logfile, SourceName, Eventtype, Message, TimeGenerated /FORMAT:htable:"sortby=TimeGenerated"TimeGenerated /FORMAT:htable:“sortby=TimeGenerated”

2.4、应用警告日志（大于某1天）

wmic ntevent where "EventType=2 and Logfile=‘Application’ and TimeGenerated>=20151010 " get Logfile, SourceName, Eventtype, Message, TimeGenerated /FORMAT:htable:"sortby=TimeGenerated"TimeGenerated /FORMAT:htable:“sortby=TimeGenerated”

三、常用运维命令

3.1、修改主机名

hostname //获取当前主机名
netdom renamecomputer “当前主机名” /newname：“新主机名”；

或配合图形，打开系统属性窗口：
powershell输入systempropertiesAdvanced
cmd输入：sysdm.cpl
查看命令执行是是否成功：echo %errorlevel% //返回0即可
重启：shutdown -r -t 0

3.2 网络管理

1）修改配置静态IP地址：

netsh interface ip set addr “本地连接” static 172.12.3.1 255.255.255.0172.12.3.254

netsh interface ip set dns “本地连接” static 127.0.0.1

netsh interface ip add dns “本地连接” 8.8.8.8

2）配置动态获取IP

netsh interface ip set addr “本地连接” dhcp

netsh interface ip set dns “本地连接” dhcp

3）加入域控和退出

add-computer -domain “域名” -cred “域名\授权用户” -pssthru

remove-computer --credential “域名\授权用户” -passthru -verbose;restart-computer

4）获取网卡信息：

wmic nic get /format:list

wmic nic where NetEnabled=True get name,speed

windows系统巡检命令及日常管理操作相关推荐

Windows系统 gpedit命令详解，Windows系统使用命令行查看组策略
「作者主页」:士别三日wyx 第一步.打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」第二步.查看组策略在打开的cmd窗口中,输入 gpedit 后回车,即可在新弹出的窗口中 ...
Windows系统 lusrmgr命令详解，Windows命令行查看本地用户和组
「作者主页」:士别三日wyx 第一步.打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」第二步.查看系统版本在打开的cmd窗口中,输入 lusrmgr后回车,即可在新弹出的窗口 ...
Windows系统shutdown命令详解
Windows系统shutdown命令详解 #就不写那些晦涩的解释了,全部举例说明例子: 1)指定时长后自动关机 >shutdown -s -t 3600 #1小时后自动关机 >s ...
Windows系统 notepad命令详解，Windows系统打开记事本
「作者主页」:士别三日wyx 第一步.打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」第二步.打开计算器在打开的cmd窗口中,输入 notepad 后回车,即可在新弹出的窗口 ...
Windows系统cmd命令窗口无法粘贴解决的方法步骤
描述:Windows系统cmd命令窗口无法粘贴解决的方法步骤步骤: 按一下ESC键,即可粘贴
Windows系统 cleanmgr命令详解，Windows命令行清理磁盘
「作者主页」:士别三日wyx 第一步.打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」第二步.查看系统版本在打开的cmd窗口中,输入 cleanmgr 后回车,即可在新弹出的 ...
解决windows系统powershell命令行无法使用代理的问题
解决windows系统powershell命令行无法使用代理的问题有时在用命令行下载一些项目的包时会出现无法连接或者下载的很慢的问题,遇到这种情况可以考虑设置powershell使其可以使用系统代理 ...
Windows系统 winver命令详解，Windows系统使用命令行查看系统版本
「作者主页」:士别三日wyx 第一步.打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」第二步.查看系统版本在打开的cmd窗口中,输入 winver 后回车,即可在新弹出的窗口 ...
Windows系统telnet命令怎么打开？Telnet命令详解
Windows系统telnet命令怎么打开? 概述详情描述概述本文介绍在Windows系统中,如何开启telnet命令. 提示:本文以Windows 10系统版本为例. 详情描述 Windows ...

windows系统巡检命令及日常管理操作