常用命令:博客1
| 命令 | 作用 |
|---|---|
| arp | 查看和处理ARP缓存,ARP是名字解析的意思,负责把一个IP解析成一个物理性的MAC地址。arp -a将显示出全部信息。ARP命令是黑客和网管都常用的命令。黑客通过此命令可以进行IP地址和MAC地址的欺骗,网络管理员通过此命令可以修改ARP缓存表。知乎 |
| ping | PING命令用来检查网络是否通畅或者网络连接的速度。网络上的计算机都有唯一确定的ip地址,给目标ip地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包可以确定目标主机的存在,可以初步判断目标主机的操作系统等。知乎 |
| ipconfig | IPCONFIG命令用于查看当前计算机的TCP/IP配置的预设值,刷新动态主机配置协议和域名系统设置。通过查看信息检查用户手动配置的TCP/IP是否正确。 |
| tracert | TRACERT命令用于跟踪路由信息。使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对了解网络布局和结构很有帮助。知乎 |
| netstat | NETSTAT命令用于监控TCP/IP网络,使用该命令可以显示协议统计,还可以重看路由表、实际网络连接以及每一个网络接口设备的状态信息。通过查看已经建立连接的 TCP 会话定位问题进程。知乎 |
| nslookup | NSLOOKUP命令用来监测网络中的DNS服务器是否能正确实现域名解析。黑客可以通过此命令探测一个大型网站究竟绑定了多少IP地址。知乎 |
| net | NET命令是Windows系统中最强大的命令之一,它可以管理网络、服务、用户、登录等本地或远程信息。这是黑客和网络管理员最喜欢使用的命令之一。NET VIEW命令用于查看局域网中所有共享资源。知乎 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
| 进程 | 解释 |
|---|---|
| svchost.exe | svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。svchost是一个系统共享进程,相当于宿主或者容器,本身没有任何服务功能,派给它什么活,它就干什么活。一般认为发现电脑出现父进程非services.exe的svchost.exe进程是问题进程。知乎链接1。svchost通过查看注册表来调度dll的加载。 |
| rundll32.exe | 其作用是负责调用Windows DLL(动态链接库)文件并把他们装入到你电脑的内存当中,并供其他应用程序使用。 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
| 1 | 2 |
dll 劫持:程序在启动时主动加载事先放置好的恶意 dll(圈里常说的“白+黑”技术其实就是 dll 劫持技术,让一个正常的应用程序在启动过程中加载事先放置的恶意 dll)。
dll 注入:将一个恶意 dll 放进正在运行的进程的内存空间中,让这个 dll 成为他的一部分,创建定时的线程被动运行 dll。