前言:如果现场电脑是开机状态下的,关机或重启很容易丢失一些数据。这些易丢失数据主要存在于电脑的寄存器、缓存、内存中,主要包括网络连接状态、正在运行的进程等信息。
Windows 中的一些易失性数据及获取
1、获取环境系统变量:set
C:\Users\Goyasha>set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Goyasha\AppData\Roaming
asl.log=Destination=file
BT_PANEL=D:\Server\BtSoft\panel
BT_PYTHON=C:\Program Files\python
BT_SETUP=D:\Server\BtSoft
...
2、获取系统日期以及时间:Date /t time /t
C:\Users\Goyasha>Date /t time /t
2022/05/09 周一
3、获取当前运行的进程:tasklist
C:\Users\Goyasha>tasklist
映像名称 PID 会话名 会话# 内存使用
========================= ======== ================ =========== ============
System Idle Process 0 Services 0 8 K
System 4 Services 0 9,116 K
Registry 124 Services 0 71,396 K
smss.exe 532 Services 0 704 K
csrss.exe 768 Services 0 3,868 K
wininit.exe 860 Services 0 4,608 K
services.exe 976 Services 0 12,720 K
lsass.exe 1004 Services 0 32,052 K
svchost.exe 1040 Services 0 29,632 K
...
4、获取当前登录用户:whoami
C:\Users\Goyasha>whoami
laptop-966g5caq\goyasha
5、获取剪切板数据:clipbrd.exe(这个是第三方程序,需要下载使用)
6、获取网络信息
6.1 查看系统IP地址所有信息:ipconfig /all
C:\Users\Goyasha>ipconfig /all
以太网适配器 VMware Network Adapter VMnet1:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
物理地址. . . . . . . . . . . . . : 00-50-56-C0-00-01
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
本地链接 IPv6 地址. . . . . . . . : fe80::8c58:ef07:1a28:bc5d%21(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.118.1(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . :
...
6.2 查看 arp 缓存表:arp -a
C:\Users\Goyasha>arp -a
接口: 192.168.1.4 --- 0x3
Internet 地址 物理地址 类型
192.168.1.1 5c-cb-ca-74-30-39 动态
192.168.1.2 5c-cb-ca-74-30-38 动态
192.168.1.3 ac-12-03-78-7a-8a 动态
192.168.1.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.2 01-00-5e-00-00-02 静态
224.0.0.251 01-00-5e-00-00-fb 静态
224.0.0.252 01-00-5e-00-00-fc 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态
...
6.3 列出10分钟内主机缓存中的 NetBIOS 连接:nbtstat –c
C:\Users\Goyasha>nbtstat -c
以太网 3:
节点 IP 址址: [0.0.0.0] 范围 ID: []
缓存中没有名称
VMware Network Adapter VMnet8:
节点 IP 址址: [192.168.32.1] 范围 ID: []
缓存中没有名称
...
6.4 网络管理命令:net
6.4.1 查看工作站网络统计信息:net statistics workstation
C:\Users\Goyasha>net statistics workstation
\\LAPTOP-966G5CAQ 的工作站统计数据
统计数据开始于 2022/4/26 4:44:18
接收的字节数 110768
接收的服务器消息块 (SMB) 626
传输的字节数 92635
传输的服务器消息块 (SMB) 0
读取操作 0
写入操作 0
拒绝原始读取 0
拒绝原始写入 0
...
6.4.2 查询共享的文件夹:Net view
C:\Users\Goyasha>Net share
共享名 资源 注解
-------------------------------------------------------------------------------
C$ C:\ 默认共享
D$ D:\ 默认共享
E$ E:\ 默认共享
F$ F:\ 默认共享
IPC$ 远程 IPC
ADMIN$ C:\Windows 远程管理
6.4.3 查看服务器配置:Net config server
C:\Users\Goyasha>Net config server
服务器名称 \\LAPTOP-966G5CAQ
服务器注释
软件版本 Windows 10 Home China
服务器正运行于
NetbiosSmb (LAPTOP-966G5CAQ)
NetBT_Tcpip_{6E2E83EE-F4E1-4412-8A7C-32EDDB841DC1} (LAPTOP-966G5CAQ)
NetBT_Tcpip_{B15233CC-4990-4C3A-A6B1-EE65EF90E200} (LAPTOP-966G5CAQ)
NetBT_Tcpip_{0A34C5DF-DBAB-4A3C-8A08-013600521C6C} (LAPTOP-966G5CAQ)
服务器已隐藏 No
登录的用户数量上限 20
每个会话打开的文件数量上限 16384
空闲的会话时间 (分) 15
6.4.4 查询账户相关信息:Net accounts
C:\Users\Goyasha>Net accounts
强制用户在时间到期之后多久必须注销?: 从不
密码最短使用期限(天): 0
密码最长使用期限(天): 42
密码长度最小值: 0
保持的密码历史记录长度: None
锁定阈值: 从不
锁定持续时间(分): 30
锁定观测窗口(分): 30
计算机角色: WORKSTATION
6.4.5 查询计算机下所有的用户名:net user
C:\Users\Goyasha>Net user
\\LAPTOP-966G5CAQ 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Goyasha
Guest mysql WDAGUtilityAccount
www
6.4.6 查看当前计算机的网络连接:net use
C:\Users\Goyasha>Net use
会记录新的网络连接。
列表是空的。
7、查看机器上的监听端口及端口的所有连接:netstat –ano
C:\Users\Goyasha>netstat -ano
活动连接
协议 本地地址 外部地址 状态 PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1208
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1947 0.0.0.0:0 LISTENING 4292
TCP 0.0.0.0:5040 0.0.0.0:0 LISTENING 8332
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:7680 0.0.0.0:0 LISTENING 10564
TCP 0.0.0.0:10001 0.0.0.0:0 LISTENING 16336
TCP 0.0.0.0:49664 0.0.0.0:0 LISTENING 1004
TCP 0.0.0.0:49665 0.0.0.0:0 LISTENING 860
TCP 0.0.0.0:49666 0.0.0.0:0 LISTENING 1636
TCP 0.0.0.0:49667 0.0.0.0:0 LISTENING 1784
...
8、查询历史命令行(与Linux的history一样):doskey /history
C:\Users\Goyasha>doskey /history
set
data -t
date -t
Date /t time /t
tasklist
...
9、字符串查找:findstr ‘xxx’(用第三方工具更快,本命令不推荐使用)