0


微软出品的实用小工具

微软出品的实用小工具

分享一些微软出品的实用小工具,希望对大家有所帮助。

文章目录

SysinternalsSuite常用工具

Sysinternals Suite是微软发布的一套非常强大的免费工具程序集,一共包括74个Windows工具,通过Sysinternals Suite能够帮助我们快速进行配置,优化,测试,检测和修复Windows操作系统故障。

Sysinternals Suite集合了来自 Windows Sysinternals 的大部分实用工具,全部为免费软件,涵盖文件管理、磁盘管理、网络管理、进程管理、安全管理、系统底层信息查看等多个方面。

  • sysinternals-suite

Autoruns

启动项目管理工具,SysinternalsSuite工具套件之一,功能十分强大,不仅可以对各启动项目进行管理,还能直接控制注册表。可查看、删除注册表及Win.ini文件等处的自启动项目。

  • Microsoft autoruns

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

procdump

  • Microsoft ProcDump

  • 用户模式下的进程 dump工具,SysinternalsSuite工具套件之一,可以 dump 任意正在运行的 Win32 进程内存映像。

Process Explorer

  • Process Explorer

进程管理工具,Process Explorer本来是Sysinternals的产品,已经被微软收购, 成为了微软旗下进程管理的神兵利器,可以把它当作微软任务管理器的增强工具。可以到微软的官方网站去下载Process Explorer。它属于免安装软件,解压后直接运行即可。

Process Explorer提供直接替换任务管理器的功能, 可以在用户触发打开任务管理器的操作的时候可以直接打开Process Explorer。

设置方法:Options→Replace Task Manager
在这里插入图片描述
在这里插入图片描述

进程监视器 Process Monitor

微软出品的进程监视类的小工具。和 Process Explorer 不同,这款 Process Monitor 更倾向于监视系统动作,它可以监控系统中运行着什么进程、这些进程又都在干些什么活儿,是一种用于 Windows 的高级监控工具,它显示实时文件系统、注册表和进程/线程活动。 它结合了两个遗留 Sysinternals 实用程序的功能,包括丰富和 无损过滤,会话等综合事件属性ID和用户名、可靠的进程信息、完整的线程堆栈 为每个操作提供集成符号支持,同时记录 到一个文件,等等。 其独特的强大功能将使 Process Monitor 是系统故障排除中的核心实用程序恶意软件搜寻工具包。

  • procmon

psloggedon

  • psloggedon

用于查看本地登录的用户和和通过本地计算机或远程计算机资源登录的用户,SysinternalsSuite工具套件之一。

AccessChk

AccessChk是一个命令行工具,可查看某个文件在当前系统用户中的有效权限,可查看文件、注册表键值、服务流程、内核对象、等等,程序运行在DOS模式下。
Windows 管理员通常需要知道特定用户或组需要对包括文件、目录、注册表密钥、全局对象和 Windows 服务在内的资源进行何种访问。AccessChk 通过直观的界面和输出快速回答这些问题。
实例:查看某个文件,在当前系统所有用户中的权限。

用法:

将 AccessChk 复制到可执行文件路径。 键入

accesschk

会显示其用法语法。
参数说明**-a**名称是Windows帐户权限。 指定

"*"

为显示分配给用户的所有权限的名称。 请注意,指定特定权限时,仅显示直接分配给右侧的组和帐户。**-c**名称是Windows服务,例如。

ssdpsrv

指定

"*"

为显示所有服务的名称,并

scmanager

检查服务控制管理器的安全性。**-d仅处理目录或顶级密钥-e仅显示 (Windows Vista 及更高级别的显式设置完整性级别)-f**如果如下所示

-p

,则显示完整的进程令牌信息,包括组和特权。 否则为要从输出中筛选的逗号分隔帐户的列表。**-h**名称是文件或打印机共享。 指定

"*"

为显示所有共享的名称。**-i在转储完全访问控制列表时,仅忽略仅继承 ACE 的对象。-k**名称是注册表项,例如

hklm\software

-l显示完整的安全描述符。 添加

-i

以忽略继承的 ACE。**-n仅显示没有访问权限的对象-o**名称是对象管理器命名空间中的对象, (默认值为根) 。 若要查看目录的内容,请使用尾随反斜杠或添加

-s

指定名称。 添加

-t

和对象类型 (,例如节) 仅查看特定类型的对象。**-p**名称是进程名称或 PID,例如

cmd.exe

, (指定

"*"

为显示所有进程) 的名称。 添加

-f

以显示完整的进程令牌信息,包括组和特权。 添加

-t

以显示线程。**-q省略横幅-r仅显示具有读取访问权限的对象-sRecurse-t**对象类型筛选器,例如

"section"

-u禁止显示错误**-v详细 (包括Windows Vista 完整性级别)-w**仅显示具有写入访问权限的对象
如果指定用户或组名称和路径,AccessChk 将报告该帐户的有效权限;否则,它将显示安全描述符中引用的帐户的有效访问。

默认情况下,路径名称解释为文件系统路径, (使用

"\pipe\"

前缀指定命名管道路径) 。 对于每个对象,AccessChk 会打印帐户是否具有读取访问权限、

W

写入访问权限,如果帐户没有读取访问权限,则不打印

R

任何内容。 该

-v

交换机具有 AccessChk 转储授予给帐户的特定访问权限。

示例

以下命令报告 Power Users 帐户对文件和目录

\Windows\System32

的访问权限:

accesschk "power users" c:\windows\system32

此命令显示用户组的哪些服务成员具有写入访问权限Windows:

accesschk users -cw *

若要查看特定帐户下的

HKLM\CurrentUser

注册表项无权访问:

accesschk -kns austin\mruss hklm\software

若要查看 HKLM\Software 密钥的安全性:

accesschk -k hklm\software

若要查看 Vista 上具有显式完整性级别的所有文件

\Users\Mark

accesschk -e -s c:\users\mark

若要查看每个人都可以修改的所有全局对象:

accesschk -wuo everyone \basednamedobjects

PsTools

PsTools 套件包括一些命令行程序,可列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志,以及执行其他任务。

rdcman

远程桌面连接管理器,可管理多个远程桌面连接。 这对于管理需要定期访问每台计算机(例如自动签到系统和数据中心)的用户非常有用。

服务器组织到命名组中。 可以使用单个命令连接或断开连接到组中的所有服务器。 可以将组中的所有服务器作为一组缩略图查看,并显示每个会话中的实时操作。 服务器可以从父组或凭据存储继承其登录设置。 因此,更改实验室帐户密码时,只需更改 RDCMan 在一个位置存储的密码。 使用本地 (CryptProtectData 加密,) 登录到用户的机构或 X509 证书,安全地存储密码。

操作系统版本早于 Win7/Vista 的用户需要获取终端服务客户端版本 6。 可以从 Microsoft 下载中心获取此内容:XP;Win2003

升级注意:此版本的 RDCMan 的 RDG 文件与较旧的程序版本不兼容。 使用此版本打开并保存的任何旧版 RDG 文件都将备份为 filename.old

Tcpview

活动套接字命令行查看器。
在这里插入图片描述

Vmmap

是进程虚拟和物理内存分析实用工具。
在这里插入图片描述
在这里插入图片描述

SysinternalsSuite其它程序

AccessEnum

Windows NT 系统采用的灵活安全模式允许完全控制安全和文件权限,但管理权限以便用户能够适当访问文件、目录和注册表密钥可能很困难。没有内置的方法可以快速查看用户访问目录或密钥树。AccessEnum可在几秒钟内全面查看您的文件系统和注册表安全设置,使其成为帮助您查找安全漏洞并在必要时锁定权限的理想工具。

AdExplorer

活动目录资源管理器 (AD 资源管理器) 是高级活动目录 (AD) 查看器和编辑器。您可以使用 AD 资源管理器轻松浏览 AD 数据库、定义收藏的位置、查看对象属性和属性,而无需打开对话框、编辑权限、查看对象的模式以及执行可以保存和重新执行的复杂搜索。

AD 资源管理器还包括保存 AD 数据库快照以进行离线查看和比较的能力。加载已保存的快照时,您可以像实时数据库一样导航和浏览快照。如果您有两个 AD 数据库的快照,您可以使用 AD Explorer 的比较功能来查看它们之间更改了哪些对象、属性和安全权限。

AdInsight

ADInsight 是一种 LDAP(轻量级目录访问协议)实时监控工具,旨在排除活动目录客户端应用程序的故障。使用其对活动目录客户端服务器通信的详细跟踪来解决 Windows 身份验证、交换、DNS 和其他问题。

ADInsight 使用 DLL 注入技术拦截应用程序在 Wldap32 .dll库中发出的呼叫,该库是活动目录 API(如 ldap 和 ADSI)的基础标准库。与网络监控工具不同,ADInsight 拦截并解释所有客户端 API,包括那些不会导致传输到服务器的 API。ADInsight 监控其可以加载其跟踪 DLL 的任何过程,这意味着它不需要行政许可,但是,如果运行具有行政权利,它还将监控系统流程,包括窗口服务。

AdRestore

此工具是命令行程序,程序列举了域中已删除的对象,并提供了恢复对象的选项。ADRestore.exe工具恢复用户账号后,用户的相关属性会被清除,只保留用户的SID。

Autologon

此工具是用来配置系统开机自动登录系统的账户,开启后无需输入密码,自动登录系统。

BgInfo

此完全可配置程序会自动生成桌面背景,其中包含有关系统的 IP 地址、计算机名称、网络适配器及更多内容的重要信息。

BlueScreen

此屏幕保护程序不仅精确模拟“蓝屏”,而且也模拟重新启动(完成 CHKDSK),并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。

Cacheset

CacheSet 是一个允许您利用NT提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。

Clockres

查看系统时钟的分辨率,亦即计时器最大分辨率。

Contig

您是否希望迅速对您频繁使用的文件进行碎片整理?使用 Contig 优化单个的文件,或者创建连续的新文件。

Coreinfo

Coreinfo是一个新的命令行实用工具,可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽,以及分配给每个逻辑处理器的缓存。

Ctrl2cap

Ctrl2cap是一个内核模式的驱动程序,可在键盘类驱动程序上演示键盘输入过滤,以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。

Dbgview

debugview可以监视本地系统的调试输出,也可以监视任何网络上的计算机(通过tcp/ip)的调试输出。它可以捕获内核模式和win32的调试输出,并且无需调试器,也无需对应用程序或驱动做修改,使用标准的调试API即可

Desktops

使用这一新的实用工具可以创建最多四个虚拟桌面,使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

Disk2vhd

disk2vhd是一款用于将逻辑磁盘转换为 vhd 格式虚拟磁盘的实用工具。利用该工具我们可以轻松地将当前系统中的分区生成为一个 vhd 文件,便于挂载到虚拟平台。

Diskext

把文件系统格式化成格式化成EXT3

Diskmon

Diskmon是一硬盘数据存取实时监控软件,能够将 Windows NT/2000/XP 操作系统的硬盘数据存取时间滴水不漏地纪录下来,您还可以将纪录文件储存成 LOG 文字文件。

DiskView

图形磁盘扇区实用工具。

该软件集成于微软的Windows操作系统的资源管理器以显示一个直观的磁盘空间使用情况。该软件的Visualizer面板在一个图形图表中提供关于当前文件夹的详细使用情况信息。文件和文件夹空间占用情况以及在Windows 操作系统的资源管理器中的Detailsview 的Relative Size能够使用DiskView’s Size On Disk进行观看。

Disk Usage (DU)

按目录查看磁盘使用情况。

Efsdump

查看加密文件的信息。

FindLinks

FindLinks报告文件索引和硬链接数目。

Handle

此易用命令行实用工具将显示哪些进程打开了哪些文件,以及更多其他信息。

Hex2dec

把字符串表示的16进制数转换成一个十进制数。

Junction

给文件夹建立硬链接,给文件建立硬链接是DOS命令fsutil。

Ldmdump

转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。

Listdlls

列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。

Livekd

内核调试工具

LoadOrd

查看驱动加载信息

Logonsessions

列出服务器登录会话

Movefile

使您可以安排在系统下一次重新启动时执行移动和删除命令。

NTFSInfo

用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。

PendMoves

枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。

PipeList

显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。

PortMon

通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。

ProcDump

这一新的命令行实用工具旨在捕获其他方式难以隔离和重现CPU峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具,并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。

功能强悍的脱壳工具,支持多达28类、几十种加壳工具生成的压缩加密文件,是修改文件资源前进行脱壳处理,汉化爱好者的不可多得的利器!

Process Explorer(ProcExp)

找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。

有一般进程管理软件的功能之外,还能搜索dll结束线程,比如网际快车线程数,结束dll文件加载,这对查杀木马非常有用。

Process Monitor(Procmon)

Procmon 进程监视器,这是一个高级的Windows监视工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon,并添加了大量功能。

ProcFeatures

这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。

PsExec

在远程系统上执行进程。

PsFile

PsFile是一个显示机器上的会话和有什么文件被网络中的用户打开的命令。它是Sysinternals 命令行工具不断完善的PsTools工具包的一部分。

PsGetSid

显示计算机或用户的 SID。

PsInfo

获取有关系统的信息。

PsKill

v1.13(2009 年 12 月 1 日)

终止本地或远程进程。

PsList

显示有关进程和线程的信息。

PsLoggedOn

显示目前谁登陆的机器的命令

PsLogList

查看系统事件记录的程序

PsPasswd

用来更改WinNT/2K用户密码的程序

Psping

扩展的Ping,可以选择ICMP、TCP、UDP

PsService

查看和控制服务。

PsShutdown

关闭并重新启动(可选)计算机。

PsSuspend

挂起和继续进程。

RAMMap

用于展示系统和进程内存状态和利用率。

RegDelNull

扫描并删除包含嵌入空字符的注册表项,标准注册表编辑工具不能删除这种注册表项。

RegJump

跳至 Regedit 中指定的注册表路径。

Ru

报告注册表中某一键值的使用情况

Sdelete

安全地覆盖敏感文件,并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。

ShareEnum

WindowsNT/2000/XP 网络安全中经常被忽略的方面是文件共享。当用户以宽松的安全标准定义文件共享时,通常会出现安全缺陷,从而使得未经授权的用户可以查看敏感文件。没有任何一款内置工具可以列出网络中可见的共享及其安全设置,但 ShareEnum 填补了这一空白,使您可以锁定网络上的文件共享。

扫描网络上的文件共享并查看其安全设置,以关闭安全漏洞。

ShellRunas

通过方便的 shell 上下文菜单项,作为另一个用户启动程序。

Sigcheck

转储文件版本信息并检查系统中的映像是否已进行数字签名。

Streams

显示 NTFS 备用数据流。

Strings

在二进制映像中搜索 ANSI 和 UNICODE 字符串。

Sync

把内存中的数据写进硬盘里。-e可以弹出光驱。

Tcpvcon

这个工具和tcpview的功能是一样的,不过这个最适合在dos下使用,能指定显示的内容,估计在服务器端,你能用到。

Volumeid

设置FAT或NTFS驱动器的卷ID

Whois

查询域名的IP以及所有者等信息

Winobj

WinObj是一个32位Windows NT程序,使用本机Windows NT的API(由NTDLL.DLL中提供)来访问和显示在NT对象管理器的名称空间的信息。

ZoomIt

在屏幕上进行缩放和绘图的演示实用工具

PowerToys

PowerToys是一款来自微软官方出品的效率工具集合,就像是一个神奇的系统外挂,该软件功能主要包括:屏幕取色器、桌面窗口分布、快速预览插件、批量图片缩放器、键盘映射器、批量重命名工具、软件快速启动器(类似于MacOS Spotlight或Listary)。

  • PowerToys

微软AI识图

一款微信小程序,提供了识别文字、识别表格、识别图片并转换成 PDF 等实用功能。

Office Plus

Office Plus 是微软官方运营的 Office 模版资源站,从中你可以免费下载到各种主题各种用途的 Word、PPT 和 Excel 模版。

在 Office Plus 中下载模版是免费的,只需要登录微软账号,就能够享用其中的各种模版资源,完全不需要付费开会员或者付费下载。如果你需要什么模版,在网站都可以直接搜索到。

数据恢复神器 Windows File Recovery

  • Windows File Recovery

Windows File Recovery,微软出品的一款数据恢复相关的工具。

Windows File Recovery 提供三种恢复模式,分别是 Windows File Recovery 普通、分段(segment mode)、签名(signature mode),各模式使用场景如下:

  • 1) 普通模式:用于最近删除过的文件恢复,支持文件格式为NTFS;
  • 2) 分段模式(segment mode):用于恢复已删除一段时间的文件,或者对已经格式化过的磁盘执行恢复操作;
  • 3) 签名模式(signature mode):针对FAT、exFAT、ReFS等文件系统恢复,此外如果其他恢复模式不顺利,也可用这个模式试一试。

需要注意的是,Windows File Recovery 没有图形界面,需要通过命令行使用,但并不难。它的命令语法是:

winfr [被删文件所在盘符] [恢复文件对应盘符] [/开关] 文件详细路径

例如,我们要将E:\test\下一个名为“XX.txt”的文件找回来,具体命令就是:

winfr e: d: /n \test\XX.txt

关于各种命令,微软专门提供了一个命令说明网页,以便新手熟悉。网址如下:

https://support.microsoft.com/zh-cn/help/4538642/windows-10-restore-lost-files

简单来说,Windows File Recovery 的功能和效果都相当不错。如果你实在不想用命令行,那么也可以使用基于 Windows File Recovery 打造的软件

Microsoft Network Monitor

  • Microsoft Network Monitor

Microsoft 网络监视器 3.4,它是捕获网络流量的工具。

安装网络监视器时,它会安装其驱动程序并将其挂钩到设备上安装的所有网络适配器。 可以在适配器属性上看到相同的,如下图所示:
在这里插入图片描述

当驱动程序在安装过程中挂接到网络接口卡 (NIC) 时,NIC 会重新初始化,这可能会导致短暂的网络故障。

捕获流量

  1. netmon选择“以管理员身份运行”,以提升状态运行。在这里插入图片描述
  2. 网络监视器随即打开,并显示所有网络适配器。 选择要捕获流量的网络适配器,选择“ 新建捕获”,然后选择“ 启动”。在这里插入图片描述
  3. 重现问题,可看到网络监视器抓取网络上的数据包。在这里插入图片描述
  4. 选择“ 停止”,然后转到 “文件>另存为 ”以保存结果。 默认情况下,该文件将另存为 .cap 文件。

保存的文件已捕获流向和流出本地计算机上所选网络适配器的所有流量。

常用筛选器

Ipv4.address==“client ip” and ipv4.address==“server ip”
Tcp.port==
Udp.port==
Icmp
Arp
Property.tcpretranmits
Property.tcprequestfastretransmits
Tcp.flags.syn==1

如果要筛选特定字段的捕获,但不知道该筛选器的语法,只需右键单击该字段并选择 “将所选值添加到显示筛选器”。

使用

netsh

Windows 中内置的命令收集的网络跟踪属于扩展“ETL”。 但是,可以使用网络监视器打开这些 ETL 文件,以便进一步分析。

Log Parser

Log Parser是一个强大的通用工具,它提供对基于文本的数据(如日志文件、XML 文件和 CSV 文件)以及 Windows® 操作系统上的关键数据源(如事件日志、注册表、文件系统和 Active Directory®。

  • Log Parser
Microsoft (R) Log Parser Version 2.2.10
Copyright (C) 2004 Microsoft Corporation. All rights reserved.

Usage:  LogParser [-i:<input_format>][-o:<output_format>] <SQL query>|
                   file:<query_filename>[?param1=value1+...][<input_format_options>][<output_format_options>][-q[:ON|OFF]][-e:<max_errors>][-iw[:ON|OFF]][-stats[:ON|OFF]][-saveDefaults][-queryInfo]

        LogParser -c -i:<input_format>-o:<output_format> <from_entity>
                   <into_entity>[<where_clause>][<input_format_options>][<output_format_options>][-multiSite[:ON|OFF]][-q[:ON|OFF]][-e:<max_errors>][-iw[:ON|OFF]][-stats[:ON|OFF]][-queryInfo]-i:<input_format>:  one of IISW3C, NCSA, IIS, IISODBC, BIN, IISMSID,
                        HTTPERR, URLSCAN, CSV, TSV, W3C, XML, EVT, ETW,
                        NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS, COM (if
                        omitted, will guess from the FROM clause)
 -o:<output_format>:  one of CSV, TSV, XML, DATAGRID, CHART, SYSLOG,
                        NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL (if omitted
                        will guess from the INTO clause)
 -q[:ON|OFF]:  quiet mode; default is OFF
 -e:<max_errors>:  max # of parse errors before aborting; default is -1
                        (ignore all)
 -iw[:ON|OFF]:  ignore warnings; default is OFF
 -stats[:ON|OFF]:  display statistics after executing query; default is
                        ON
 -c:  use built-in conversion query
 -multiSite[:ON|OFF]:  send BIN conversion output to multiple files
                        depending on the SiteID value; default is OFF
 -saveDefaults:  save specified options as default values
 -restoreDefaults:  restore factory defaults
 -queryInfo:  display query processing information (does not
                        execute the query)

Examples:
 LogParser "SELECT date, REVERSEDNS(c-ip) AS Client, COUNT(*) FROM file.log
            WHERE sc-status<>200 GROUP BY date, Client" -e:10
 LogParser file:myQuery.sql?myInput=C:\temp\ex*.log+myOutput=results.csv
 LogParser -c -i:BIN -o:W3C file1.log file2.log "ComputerName IS NOT NULL"

Help:-h GRAMMAR: SQL Language Grammar
 -h FUNCTIONS [ <function>]: Functions Syntax
 -h EXAMPLES: Example queries and commands
 -h -i:<input_format>: Help on <input_format>-h -o:<output_format>: Help on <output_format>-h -c: Conversion help

MSERT

Microsoft安全扫描程序,也称为Microsoft支持紧急响应工具(MSERT),是一个独立的便携式反恶意软件工具,其中包括Microsoft Defender签名,用于扫描和删除检测到的恶意软件。

MSERT是按需扫描程序,不会提供任何实时保护。因此,它仅应用于点扫描,而不应作为完整的防病毒程序使用。
此外,如果您未使用

/N

参数启动程序,则MSERT将自动删除所有检测到的文件,并且不会隔离它们。

msert.exe /N

,扫描Web Shell而不删除它们,您还可以使用本文末尾所述的PowerShell脚本。

可以将Microsoft安全扫描程序下载为32位或64位可执行文件,并根据需要用于对计算机执行点扫描。

启动该程序后,同意许可协议,屏幕上将显示一个问题,询问您要执行哪种类型的扫描。

Microsoft建议您选择“完全扫描”选项来扫描整个服务器。

由于完全扫描可能需要很长时间,具体取决于安装的大小,因此Microsoft还声明您可以对以下每个文件夹执行“自定义扫描”:
·

%IIS installation path%\aspnet_client\*

·

%IIS installation path%\aspnet_client\system_web\*

·

%Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*

·

Configured temporary ASP.NET files path

·

%Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*

扫描完成后,MSERT将报告已删除哪些文件及其定义签名。

有关删除哪些文件的更多详细信息,可以查询

%SYSTEMROOT%\debug\msert.log

文件。
在这里插入图片描述

使用MSERT完成后,只需删除

msert.exe

可执行文件即可卸载该工具。

注:如果电脑安装有破解软件,请慎用该扫描程序,可能会导致签名时效

setspn

  • service-principal-names

全称 Service Principal Names

SPN 是服务器上所运行服务的唯一标识,每个使用 Kerberos 的服务都需要一个 SPN。

SPN 分为两种,一种注册在 AD 上机器帐户 ( Computers ) 下,另一种注册在域用户帐户 ( Users ) 下。

当一个服务的权限为 Local System 或 Network Service,则 SPN 注册在机器帐户 ( Computers ) 下。

当一个服务的权限为一个域用户,则 SPN 注册在域用户帐户 ( Users ) 下。

SPN格式

serviceclass/host:port/servicename
说明:
· serviceclass 可以理解为服务的名称,常⻅的有 www, ldap, SMTP, DNS, HOST 等。
· host 有两种形式,FQDN 和 NetBIOS 名,例如 server01.test.com 和 server01。
· 如果服务运行在默认端口上,则端口号 ( port ) 可以省略。

查询SPN

对域控制器发起 LDAP 查询,这是正常 kerberos 票据行为的一部分,因此查询 SPN 的操作很难被检测。

Win7 和 Windows Srver2008 自带setspn、nslookup以及dnscmd等工具。
内网信息收集的时候 一般用cs或者其他框架的渗透工具去进行内网信息收集的话,一般来说都会触发告警。所以我们在信息收集的时候,尽量使用系统自带的工具或者用微软颁发签名的一些工具,这些就肯定不会有告警

比如说setspn、nslookup以及dnscmd等

可以在内网中扫描spn,快速寻找内网中注册的服务。

普通域用户权限即可:

setspn -q */*

查看jtbb.cn域内的所有SPN:

setspn.exe -T jtbb.cn -q */*

本文转载自: https://blog.csdn.net/lschou520/article/details/130627311
版权归原作者 亦风亦尘 所有, 如有侵权,请联系我们删除。

“微软出品的实用小工具”的评论:

还没有评论