信息

记录收集 Windows 系统软硬件信息的命令

域信息见信息收集笔记

大纲

软件
- 版本信息
- 环境变量
- 开机启动
- 日志
- 应用服务
- 用户相关
硬件
- 网络
- 硬盘文件系统

软件

版本信息

ver                     windows 版本
winver                  弹框显示当前 windows 系统信息
hostname                显示当前机器名
msinfo32                系统信息面板
systeminfo              查看当前计算机的综合信息
finger username @host   查看最近有哪些用户登录
sc showsid server       查看 SID

凭据

cmdkey      凭据 Credential（保存的用户名和密码）
    cmdkey /list                                列出可用的凭据
    cmdkey /list:10.12.190.82                   列出指定目标的凭据
    cmdkey /list:Domain:target=10.12.190.82     列出指定目标的凭据

    cmdkey /add:Domain:target=10.12.190.82 /user:LiLei /pass:123456
    若 target 为 10.12.190.82 的凭据不存在，则添加；否则就将 10.12.190.82 凭据的用户名修改为 LiLei，密码修改为 123456

    cmdkey /delete:Domain:target=10.12.190.82   删除指定目标的凭据

激活信息

slmgr.vbs   查看当前系统 Windows 中的激活状态以及密钥、许可证书等信息
    slmgr.vbs -dlv      显示详细的许可证信息
    slmgr.vbs -dli      显示许可证信息
    slmgr.vbs -xpr      当前许可证截止日期
    slmgr.vbs -dti      显示安装 ID 以进行脱机激
    slmgr.vbs -ipk      (Product Key) 安装产品密钥
    slmgr.vbs -ato      激活 Windows
    slmgr.vbs -cpky     从注册表中清除产品密钥(防止泄露引起的攻击)
    slmgr.vbs -ilc      (License file)安装许可证
    slmgr.vbs -upk      卸载产品密钥
    slmgr.vbs -skms     (name[ort])批量授权

环境变量

set

计划任务

计划任务信息

查看计划任务
schtasks
schtasks /query

视图模式详细信息
schtasks /query /v /fo list

逗号分隔列表
schtasks /query /v /fo csv

schtasks /query 显示错误：无法加载列资源

该原因是编码的不支持，通过 chcp 查看编码，936 会导致无法加载列资源，修改为 437 即可。

chcp 437

日志

开始-运行，输入 eventvwr.msc 打开事件查看器，查看日志

应用服务

进程信息

wmic process where Caption="buyticket.exe" get commandline,ExecutablePath,ProcessId,ThreadCount /value
查看名为"buyticket.exe"所有进程命令行，exe 全路径，PID 及线程数

wmic process where Caption="buyticket.exe" get ExecutablePath,HandleCount /value
查看名为"buyticket.exe"所有进程的 exe 全路径及当前打开的句柄数

wmic process where Caption="buyticket.exe" get ExecutablePath,VirtualSize,WorkingSetSize /value
查看名为"buyticket.exe"所有进程的 exe 全路径、当前虚拟地址空间占用及物理内存工作集

tasklist    显示所有进程及其服务

    tasklist /svc

    tasklist /fi "pid eq 1234" /svc         显示指定进程信息
    tasklist /fi "status eq running" /svc
    tasklist /fi "status eq running" /fi "username eq nt authority\system" /svc

    tasklist /m xxx.dll     显示使用给定 exe/dll 名称的所有进程

    tasklist /s ip /u username /p password /svc     显示远程主机的进程信息

用户相关

net view
net config Workstation
whoami              查看当前用户
    whoami/all
net user            查看计算机用户列表
net localgroup      查看计算机用户组列表
net accounts        查看本地密码策略
klist
wmic useraccount get name,sid

硬件

wmic        查看硬件的信息
    wmic logicaldisk    查看计算机上各个盘的相关信息

    wmic LogicalDisk where "Caption='C:'" get FreeSpace,Size /value
    获取 C 盘的剩余空间大小与总大小（单位：Byte）

    wmic os get Caption,InstallDate,OSArchitecture /value
    获取当前 os 的 Caption、安装日期以及系统架构信息

网络

IP 地址

ipconfig            查看 ip 地址
ipconfig /all       查看本机 IP,所在域

端口

netstat -ano        查看系统开放端口
netstat -an/ano/anb 网络连接查询

路由表

route print         路由表

arp 条目

arp -a              查看全部 arp 条目

防火墙

netsh firewall show state
netsh advfirewall show allprofiles

查看端口转发

netsh interface portproxy show all
netsh interface portproxy show v4tov4
netsh interface portproxy show v4tov6
netsh interface portproxy show v6tov4
netsh interface portproxy show v6tov6

查看无线网络信息

netsh wlan show profiles

查看指定 WIFI 密码

netsh wlan show profiles wifi_name key=clear

硬盘文件系统

磁盘列表

fsutil fsinfo drives

卷标

vol         显示当前分区的卷标

Previous协议 Next应用