Windows 取证指南（第一期）

前言：如果现场电脑是开机状态下的，关机或重启很容易丢失一些数据。这些易丢失数据主要存在于电脑的寄存器、缓存、内存中，主要包括网络连接状态、正在运行的进程等信息。

Windows 中的一些易失性数据及获取

1、获取环境系统变量：set

C:\Users\Goyasha>set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Goyasha\AppData\Roaming
asl.log=Destination=file
BT_PANEL=D:\Server\BtSoft\panel
BT_PYTHON=C:\Program Files\python
BT_SETUP=D:\Server\BtSoft
...

2、获取系统日期以及时间：Date /t time /t

C:\Users\Goyasha>Date /t  time /t
2022/05/09 周一

3、获取当前运行的进程：tasklist

C:\Users\Goyasha>tasklist

映像名称                       PID 会话名              会话#       内存使用
========================= ======== ================ =========== ============
System Idle Process              0 Services                   0          8 K
System                           4 Services                   0      9,116 K
Registry                       124 Services                   0     71,396 K
smss.exe                       532 Services                   0        704 K
csrss.exe                      768 Services                   0      3,868 K
wininit.exe                    860 Services                   0      4,608 K
services.exe                   976 Services                   0     12,720 K
lsass.exe                     1004 Services                   0     32,052 K
svchost.exe                   1040 Services                   0     29,632 K
...

4、获取当前登录用户：whoami

C:\Users\Goyasha>whoami
laptop-966g5caq\goyasha

5、获取剪切板数据：clipbrd.exe（这个是第三方程序，需要下载使用）

6、获取网络信息

6.1 查看系统IP地址所有信息：ipconfig /all

C:\Users\Goyasha>ipconfig /all

以太网适配器 VMware Network Adapter VMnet1:

   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
   物理地址. . . . . . . . . . . . . : 00-50-56-C0-00-01
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::8c58:ef07:1a28:bc5d%21(首选)
   IPv4 地址 . . . . . . . . . . . . : 192.168.118.1(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . :
...

6.2 查看 arp 缓存表：arp -a

C:\Users\Goyasha>arp -a

接口: 192.168.1.4 --- 0x3
  Internet 地址         物理地址              类型
  192.168.1.1           5c-cb-ca-74-30-39     动态
  192.168.1.2           5c-cb-ca-74-30-38     动态
  192.168.1.3           ac-12-03-78-7a-8a     动态
  192.168.1.255         ff-ff-ff-ff-ff-ff     静态
  224.0.0.2             01-00-5e-00-00-02     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

...

6.3 列出10分钟内主机缓存中的 NetBIOS 连接：nbtstat –c

C:\Users\Goyasha>nbtstat -c

以太网 3:
节点 IP 址址: [0.0.0.0] 范围 ID: []

    缓存中没有名称

VMware Network Adapter VMnet8:
节点 IP 址址: [192.168.32.1] 范围 ID: []

    缓存中没有名称

...

6.4 网络管理命令：net

6.4.1 查看工作站网络统计信息：net statistics workstation

C:\Users\Goyasha>net statistics workstation
\\LAPTOP-966G5CAQ 的工作站统计数据


统计数据开始于 2022/4/26 4:44:18


  接收的字节数                  110768
  接收的服务器消息块 (SMB)      626
  传输的字节数                  92635
  传输的服务器消息块 (SMB)      0
  读取操作                      0
  写入操作                      0
  拒绝原始读取                  0
  拒绝原始写入                  0

...

6.4.2 查询共享的文件夹：Net view

C:\Users\Goyasha>Net share

共享名       资源                            注解

-------------------------------------------------------------------------------
C$           C:\                             默认共享
D$           D:\                             默认共享
E$           E:\                             默认共享
F$           F:\                             默认共享
IPC$                                         远程 IPC
ADMIN$       C:\Windows                      远程管理

6.4.3 查看服务器配置：Net config server

C:\Users\Goyasha>Net config server
服务器名称                     \\LAPTOP-966G5CAQ
服务器注释

软件版本                       Windows 10 Home China
服务器正运行于
        NetbiosSmb (LAPTOP-966G5CAQ)
        NetBT_Tcpip_{6E2E83EE-F4E1-4412-8A7C-32EDDB841DC1} (LAPTOP-966G5CAQ)
        NetBT_Tcpip_{B15233CC-4990-4C3A-A6B1-EE65EF90E200} (LAPTOP-966G5CAQ)
        NetBT_Tcpip_{0A34C5DF-DBAB-4A3C-8A08-013600521C6C} (LAPTOP-966G5CAQ)


服务器已隐藏                   No
登录的用户数量上限             20
每个会话打开的文件数量上限     16384

空闲的会话时间 (分)            15

6.4.4 查询账户相关信息：Net accounts

C:\Users\Goyasha>Net accounts
强制用户在时间到期之后多久必须注销?:     从不
密码最短使用期限(天):                    0
密码最长使用期限(天):                    42
密码长度最小值:                          0
保持的密码历史记录长度:                  None
锁定阈值:                                从不
锁定持续时间(分):                        30
锁定观测窗口(分):                        30
计算机角色:                              WORKSTATION

6.4.5 查询计算机下所有的用户名：net user

C:\Users\Goyasha>Net user

\\LAPTOP-966G5CAQ 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Goyasha
Guest                    mysql                    WDAGUtilityAccount
www

6.4.6 查看当前计算机的网络连接：net use

C:\Users\Goyasha>Net use
会记录新的网络连接。

列表是空的。

7、查看机器上的监听端口及端口的所有连接：netstat –ano

C:\Users\Goyasha>netstat -ano

活动连接

  协议  本地地址          外部地址        状态           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1208
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1947           0.0.0.0:0              LISTENING       4292
  TCP    0.0.0.0:5040           0.0.0.0:0              LISTENING       8332
  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:7680           0.0.0.0:0              LISTENING       10564
  TCP    0.0.0.0:10001          0.0.0.0:0              LISTENING       16336
  TCP    0.0.0.0:49664          0.0.0.0:0              LISTENING       1004
  TCP    0.0.0.0:49665          0.0.0.0:0              LISTENING       860
  TCP    0.0.0.0:49666          0.0.0.0:0              LISTENING       1636
  TCP    0.0.0.0:49667          0.0.0.0:0              LISTENING       1784
...

8、查询历史命令行（与Linux的history一样）：doskey /history

C:\Users\Goyasha>doskey /history
set
data -t
date -t
Date /t  time /t
tasklist

...

9、字符串查找：findstr ‘xxx’（用第三方工具更快，本命令不推荐使用）