高手不为人知的批处理和强大的WMIC命令
1.获取启动项
方法一: wmic startup list brief |findstr /v "desktop.ini ctfmon.exe" >启动项.txt
说明:运行后将会在当前目录下生成一名为“启动项”的文本文件,它会自动过滤掉常用的
启动文件夹下的desktop.ini以及要用到的ctfmon.exe。
方法二: start msinfo32 /categories +SWEnvStartupPrograms /report 启动项.txt
说明:运行后同样会在当前目录下生成一个名为启动项的文本文件,不过它不能过滤你不想要
的东西。
建议使用方法1,执行速度应该比较快一些,都是wmic调用,只不过方法二是通过msinfo32来
调用的。
2.获得进程列表
方法一: wmic process list status >进程列表.txt
方法二:tasklist >进程列表.txt
方法三: start msinfo32 /categories +SWEnvRunningTasks /report 进程列表.txt
说明:方法一最灵活,利用它可以方便地筛选不想显示出来的进程。方法二也不错,既灵活又
方便,而且还可以显示进程中加载的DLL模块以及进程中的服务等等。方法三就不推荐了,即
不能筛选掉不想显示的,能获得的信息又少,更要命的是执行速度慢。
3.结束进程
方法一:taskill /im 进程名 或PID 例:taskill /im notepad.exe 又如:taskill 514 (514
为进程PID)
方法二:ntsd -c q -p 进程PID
方法三:wmic process where name="进程名" call terminate
说明:方法一最简单,方法二很强大,绝大多数进程都可以被结束,方法三最灵活,不光可以
通过进程PID来结束,还可以通过映像名等等属性来结束进程.
4.获取开放端口
方法: netstat /an /b
说明:网上关于这个命令的文章不计其数,不过大多数只讲到了它的an参数,在XP里,它有两
个更强大的参数就是/b 和 /o通过这两个参数都可以获得开放端口对应的进程PID,通过它很
容易就可以判断出某个端口是否为木马所用。
强大的命令行工具wmic,批处理下的API
1.wmic=Microsoft Windows Management Instrumentation
2. C:\WINDOWS\system32\wbem 下的东西,特别是.xsl格式化文件,实现wmic的格式化输出
如wmic /output:c:\process.html process list /format:htable.xsl
最新发表
热门推荐栏
Hot Article
大家都在说
随便看看
Calendar
Recent Comments
Archive
11月201604月05月06月07月09月10月
201503月07月08月201401月02月03月05月06月07月
08月09月11月201302月03月04月05月07月10月
11月12月201201月02月03月04月05月06月
07月08月09月10月201101月02月03月04月05月06月
07月08月09月10月12月201001月02月03月04月05月06月
07月08月09月10月11月12月
200901月02月03月04月05月06月
07月08月09月10月11月12月
200803月04月05月06月07月08月
09月10月11月12月200604月12月