網(wǎng)絡(luò)空間安全概論 實(shí)驗(yàn)9 內(nèi)存取證實(shí)驗(yàn)樣例3

實(shí)驗(yàn)二內(nèi)存取證實(shí)驗(yàn)?zāi)康?、掌握通過(guò)命令指令取證，并熟悉基本的取證信息；2、了解計(jì)算機(jī)系統(tǒng)取證基本方法，并結(jié)合Sysinternals工具進(jìn)行取證；實(shí)驗(yàn)內(nèi)容通過(guò)CMD和Sysinternals工具結(jié)合使用，從計(jì)算機(jī)內(nèi)存中獲得系統(tǒng)當(dāng)前時(shí)間日期，系統(tǒng)信息，handle，PsPasswd,listdlls，PsGetSid，PsInfo，Pskill，PsList，PsLoggedOn，PsLogList，PsService，PsShutdown，PsSuspend，PsFile，arpfport，ipconfig，nbtstat，Netstat，SC，string等內(nèi)存信息。實(shí)驗(yàn)步驟下載sysinternals工具/zh-cn/sysinternals/；開始——運(yùn)行——鍵入“cmd”——結(jié)合sysinternals工具對(duì)系統(tǒng)進(jìn)行取證。四、CMD和Sysinternals工具結(jié)合使用1、取證系統(tǒng)當(dāng)前的時(shí)間和日期圖2.12、PsPasswd——變更帳戶密碼。PsPasswd是一個(gè)用來(lái)更改WinNT/2K用戶密碼的程序。pstool下載下載后解壓成文件夾，放置于C:\Windows\System32，添加PATH環(huán)境變量，cmd中輸入pspasswd，彈出確認(rèn)框，同意，可以批量遠(yuǎn)程更改密碼。PsPasswd有兩大優(yōu)點(diǎn)一是便于管理不在域中的遠(yuǎn)程系統(tǒng)；二是簡(jiǎn)化了某些管理腳本。

圖2.23、查看系統(tǒng)信息：圖2.3圖2.44、指令arp使用arp-a指令可以查看本機(jī)的保存的arp緩存使用arp-dIP可以刪除某主機(jī)的arp記錄使用arp-d*可以刪除某主機(jī)的所有arp記錄在ARP緩存中顯示(修改)條目。ARP緩存包含一個(gè)或多個(gè)表，這些表用于存儲(chǔ)IP地址及其解析的以太網(wǎng)或令牌環(huán)物理地址。計(jì)算機(jī)上安裝的每個(gè)以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有一個(gè)單獨(dú)的表。在不帶參數(shù)的情況下使用

，arp

顯示幫助信息。圖2.5圖2.65、使用ipconfig可以查看本機(jī)的ip地址圖2.7圖2.8handle——這個(gè)易於操縱的命令列公用程式能夠顯示檔案開啟的種類和使用的處理程序等更多資訊。如果你不加任何參數(shù)，只輸入handle命令時(shí)（就像我上面那樣），那么這個(gè)工具會(huì)返回系統(tǒng)所有進(jìn)程打開的所有文件句柄，當(dāng)然你也可以加一些參數(shù)來(lái)進(jìn)行設(shè)定。命令的正則表達(dá)式如下：handle[[-a][-u]|[-c<handle>[-l][-y]]|[-s]][-p<processname>|<pid>|<name>]這個(gè)程序有三個(gè)部分，handle是程序名，第一個(gè)參數(shù)有3個(gè)可以并列出現(xiàn)的可選項(xiàng)。-a用于設(shè)定顯示的句柄不限于文件句柄，還把所有的注冊(cè)表項(xiàng)，端口項(xiàng)，同步項(xiàng)，線程和進(jìn)程都顯示出來(lái)。-c關(guān)閉某個(gè)句柄（16進(jìn)制表示）的意思，進(jìn)程由PID來(lái)標(biāo)識(shí)。-l顯示頁(yè)面交換文件的大小。-y不提示關(guān)閉句柄的信息。-s打印每種已打開句柄類型的引用計(jì)數(shù)。-u搜索句柄時(shí)顯示擁有這些句柄的用戶名。-p此參數(shù)可以縮小Handle的掃描范圍，只掃描以此名稱開頭的進(jìn)程，而不對(duì)系統(tǒng)中的所有句柄進(jìn)行檢查。-name指示Handle搜索對(duì)帶有特定名稱的對(duì)象的引用。圖2.9圖2.10Listdlls——列出所有目前載入的DLL，包括載入位置和他們的版本編號(hào)ListDL用于報(bào)告加載到進(jìn)程中的DLL?？梢允褂盟谐黾虞d到所有進(jìn)程中、加載到特定進(jìn)程中的所有DLL，或列出加載了特定DLL的進(jìn)程。ListDL還可以顯示DLL的完整版本信息（包括其數(shù)字簽名），并可用于掃描進(jìn)程以掃描無(wú)符號(hào)DLL。圖2.118、nbtstat該命令用于顯示本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)的基于TCP/IP（NetBT）協(xié)議的NetBIOS統(tǒng)計(jì)資料、NetBIOS名稱表和NetBIOS名稱緩存。NBTSTAT可以刷新NetBIOS名稱緩存和注冊(cè)的WindowsInternet名稱服務(wù)(WINS)名稱。RemoteName是遠(yuǎn)程計(jì)算機(jī)的NetBIOS計(jì)算機(jī)名稱。使用不帶參數(shù)的NBTSTAT顯示幫助信息。-a和–A選項(xiàng)這兩個(gè)參數(shù)的功能相同，都是顯示遠(yuǎn)程計(jì)算機(jī)的名稱表。區(qū)別是-a選項(xiàng)后面既可跟遠(yuǎn)程計(jì)算機(jī)的計(jì)算機(jī)名，也可跟IP地址，-A選項(xiàng)后面只能跟遠(yuǎn)程計(jì)算機(jī)的IP地址。-c選項(xiàng)顯示NetBIOS名稱緩存內(nèi)容、NetBIOS名稱表及其解析的各個(gè)地址。列出遠(yuǎn)程計(jì)算機(jī)的名稱及其IP地址的緩存，這個(gè)參數(shù)就是用來(lái)列出在你的NetBIOS里緩存的你連接過(guò)的計(jì)算機(jī)的IP。圖2.22圖2.23圖2.24-n選項(xiàng)顯示本地計(jì)算機(jī)的NetBIOS名稱表。Registered中的狀態(tài)表明該名稱是通過(guò)廣播或WINS服務(wù)器注冊(cè)的。-r選項(xiàng)顯示通過(guò)廣播和經(jīng)由WINS解析的名稱。-R選項(xiàng)清除netbios名稱緩存中的所有名稱后，重新裝入lmhosts文件，這個(gè)參數(shù)就是清除nbtstat-c所能看見的緩存里的ip緩存記錄。-s和–S選項(xiàng)顯示NetBIOS客戶端和服務(wù)器會(huì)話，大寫的-S選項(xiàng)列出具有目標(biāo)IP地址的會(huì)話表，小寫的–s選項(xiàng)列出將目標(biāo)IP地址轉(zhuǎn)換成計(jì)算機(jī)NETBIOS名稱的會(huì)話表。-RR選項(xiàng)將名稱釋放包發(fā)送到WINS，然后啟動(dòng)刷新Interval選項(xiàng)重新顯示所選的統(tǒng)計(jì)，在每次顯示之間暫停interval秒。按CTRL+C停止重新顯示統(tǒng)計(jì)。如果省略該參數(shù)，netstat將打印一次當(dāng)前的配置信息。以下的命令將每隔5秒鐘顯示一次統(tǒng)計(jì)信息。9、SC圖2.25圖2.26圖2.27常用用法創(chuàng)建輸入命令可以看到幫助文檔：圖2.28查詢:scqueryredis啟動(dòng)：圖2.29停止：圖2.30配置：圖2.31PsGetSid——顯示電腦或使用者的SIDPsGetsid允許將Sid轉(zhuǎn)換為其顯示名稱，反之亦然。它適用于內(nèi)置帳戶、域帳戶和本地帳戶。圖2.32參數(shù)描述-u指定用于登錄到遠(yuǎn)程計(jì)算機(jī)的可選用戶名。-p指定用戶名的可選密碼。如果省略此密碼，系統(tǒng)會(huì)提示輸入隱藏密碼。帳戶PsGetSid將報(bào)告指定用戶帳戶（而不是計(jì)算機(jī)）的SID。SIDPsGetSid將報(bào)告指定SID的帳戶。計(jì)算機(jī)直接PsGetSid在遠(yuǎn)程計(jì)算機(jī)或指定的計(jì)算機(jī)上執(zhí)行命令。如果省略計(jì)算機(jī)名PsGetSid在本地系統(tǒng)上運(yùn)行該命令，并且指定(\*)的通配符，則PsGetSid將在當(dāng)前域中的所有計(jì)算機(jī)上運(yùn)行該命令。@filePsGetSid將在文件中列出的每臺(tái)計(jì)算機(jī)上執(zhí)行命令。如果要查看計(jì)算機(jī)的SID，只需將計(jì)算機(jī)的名稱作為命令行參數(shù)傳遞即可。如果要查看用戶的SID，請(qǐng)將該帳戶命名為(例如，命令行上的"管理員")和可選的計(jì)算機(jī)名稱。如果從中運(yùn)行的帳戶在要查詢的計(jì)算機(jī)上沒有管理權(quán)限，請(qǐng)指定用戶名。如果未將密碼指定為選項(xiàng)，

PsGetSid

將提示你輸入密碼，這樣就可以在不回顯顯示的情況下鍵入密碼。PsInfo——取得有關(guān)系統(tǒng)的資訊psinfo是一個(gè)搜集機(jī)器軟硬件信息的工具，它可以獲得操作系統(tǒng)信息，硬件信息和軟件信息。它的參數(shù)有：-u：后面跟用戶名-p：后面是跟密碼的,如果建立ipc連接后這兩個(gè)參數(shù)則不需要。（如果沒有-p參數(shù)，則輸入命令后會(huì)要求你輸入密碼）-h：是顯示它安裝了哪些補(bǔ)丁包-s：是顯示它裝了哪些軟件-d：是顯示磁盤信息。圖2.3312、PsKill——終止本機(jī)或遠(yuǎn)端處理程序PsKill

是一種終止實(shí)用工具，它不僅執(zhí)行資源工具包的版本，還可以終止遠(yuǎn)程系統(tǒng)上的進(jìn)程。甚至不必在目標(biāo)計(jì)算機(jī)上安裝客戶端，使用

PsKill

終止遠(yuǎn)程進(jìn)程。圖2.34參數(shù)描述-顯示支持的選項(xiàng)。-t終止進(jìn)程及其后代。\\computer指定要終止的進(jìn)程正在其上執(zhí)行的計(jì)算機(jī)。必須通過(guò)NT網(wǎng)絡(luò)鄰居訪問(wèn)遠(yuǎn)程計(jì)算機(jī)。-u用戶名如果要終止遠(yuǎn)程系統(tǒng)上的進(jìn)程，并且正在中執(zhí)行的帳戶對(duì)遠(yuǎn)程系統(tǒng)沒有管理權(quán)限，則必須使用此命令行選項(xiàng)以管理員角色登錄。如果未將密碼與-p選項(xiàng)一起包含，

PsKill

會(huì)提示輸入密碼，而不會(huì)將輸入回顯到顯示器。-ppassword此選項(xiàng)允許你在命令行上指定登錄密碼，以便可以從批處理文件使用PsList。如果指定帳戶名稱并省略-p選項(xiàng)PsList會(huì)以交互方式提示輸入密碼。進(jìn)程ID指定要終止的進(jìn)程的進(jìn)程ID。進(jìn)程名稱指定要終止的進(jìn)程或進(jìn)程的進(jìn)程名稱。13、PsList——顯示處理程序和執(zhí)行緒的相關(guān)資訊PsList使用WindowsNT/2K性能計(jì)數(shù)器來(lái)獲取它顯示的信息?？梢栽贛SDN中查找WindowsNT/2K性能計(jì)數(shù)器的文檔，包括源代碼，以WindowsNT的內(nèi)置性能監(jiān)視器PerfMon。圖2.35參數(shù)描述pslistexp顯示以"exp"開頭的所有進(jìn)程的統(tǒng)計(jì)信息，其中包括"資源管理器"。-d顯示線程詳細(xì)信息。-m顯示內(nèi)存詳細(xì)信息。-x顯示進(jìn)程、內(nèi)存信息和線程。-t顯示進(jìn)程樹。-s[n]在任務(wù)管理器模式下運(yùn)行，指定指定的秒。按Escape中止。-rn任務(wù)管理器模式刷新率（秒）(默認(rèn)值為1)。\\computerPsList將顯示指定的NT/Win2K系統(tǒng)的信息，而不是顯示本地系統(tǒng)的進(jìn)程信息。如果你的安全憑據(jù)不允許你從遠(yuǎn)程系統(tǒng)獲取性能計(jì)數(shù)器信息，則包含帶有用戶名和密碼的-u開關(guān)以登錄到遠(yuǎn)程系統(tǒng)。-u指定用于登錄到遠(yuǎn)程計(jì)算機(jī)的可選用戶名。-p此選項(xiàng)可讓你在命令行上指定登錄密碼，以便可以使用批處理文件中的

PsList

。如果指定帳戶名稱，并忽略-p選項(xiàng)

PsList

會(huì)以交互方式為密碼提供提示。name顯示以指定名稱開頭的進(jìn)程的相關(guān)信息。-e與進(jìn)程名稱完全匹配。pid此參數(shù)不是列出系統(tǒng)中所有正在運(yùn)行的進(jìn)程，而是將

PsList

掃描范圍縮小到具有指定PID的進(jìn)程。因此pslist5313、PsLoggedOn——顯示使用者登錄至一個(gè)系統(tǒng)PsLoggedOn

是一個(gè)小程序，它顯示本地登錄的用戶和通過(guò)本地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)的資源登錄的用戶。如果指定用戶名而不是計(jì)算機(jī)，

PsLoggedOn

會(huì)搜索網(wǎng)絡(luò)鄰居中的計(jì)算機(jī)，并告知用戶當(dāng)前是否登錄。PsLoggedOn

對(duì)本地登錄用戶的定義是已將配置文件加載到注冊(cè)表中的用戶，因此

PsLoggedOn

通過(guò)掃描HKEY_USERS密鑰下的密鑰確定登錄的用戶。對(duì)于名稱為用戶SID的每個(gè)密鑰(安全標(biāo)識(shí)符)，

PsLoggedOn

將查找并顯示相應(yīng)的用戶名。為了確定誰(shuí)通過(guò)資源共享登錄到計(jì)算機(jī)，

PsLoggedOn

使用

NetSessionEnum

API。請(qǐng)注意

，PsLoggedOn

將顯示你通過(guò)資源共享登錄到要查詢的遠(yuǎn)程計(jì)算機(jī)，因?yàn)?/p>

PsLoggedOn

需要登錄才能訪問(wèn)遠(yuǎn)程系統(tǒng)的注冊(cè)表。圖2.36參數(shù)描述-顯示支持的選項(xiàng)和用于輸出值的度量單位。-l只顯示本地登出，而不是同時(shí)顯示本地和網(wǎng)絡(luò)資源。-x不要顯示登錄時(shí)間。\\computername指定要列出其登錄信息的計(jì)算機(jī)的名稱。username如果指定用戶名

PsLoggedOn

，則網(wǎng)絡(luò)將搜索該用戶登錄的計(jì)算機(jī)。如果要確保在要更改其用戶配置文件配置時(shí)特定用戶未登錄，這非常有用。15、PsService——檢視及控制服務(wù)PsService是用于Windows的服務(wù)查看器和控制器。與WindowsNT和Windows2000資源工具包中包含的SC實(shí)用工具一樣，

PsService顯示服務(wù)的狀態(tài)、配置和依賴項(xiàng)，并允許你啟動(dòng)、停止、暫停、恢復(fù)和重新啟動(dòng)服務(wù)。與SC實(shí)用程序不同的是，

PsService

使您能夠使用不同的帳戶登錄到遠(yuǎn)程系統(tǒng)，當(dāng)您運(yùn)行該帳戶的帳戶在遠(yuǎn)程系統(tǒng)上沒有所需的權(quán)限時(shí)。

PsService

包括唯一的服務(wù)搜索功能，該功能標(biāo)識(shí)網(wǎng)絡(luò)上服務(wù)的活動(dòng)實(shí)例。例如，如果要查找運(yùn)行DHCP服務(wù)器的系統(tǒng)，請(qǐng)使用搜索功能。圖2.37參數(shù)描述query顯示服務(wù)的狀態(tài)。config顯示服務(wù)的配置。setconfig設(shè)置服務(wù)的啟動(dòng)類型(禁用、自動(dòng)、需求)。start啟動(dòng)服務(wù)。stop停止服務(wù)。restart停止然后重新啟動(dòng)服務(wù)。pause暫停服務(wù)實(shí)現(xiàn)持續(xù)恢復(fù)暫停的服務(wù)。屬于列出依賴于指定的服務(wù)。security轉(zhuǎn)儲(chǔ)服務(wù)的安全描述符。find在網(wǎng)絡(luò)中搜索指定的服務(wù)。\\computer以指定的NT/Win2K系統(tǒng)為目標(biāo)。如果你的安全憑據(jù)不允許你從遠(yuǎn)程系統(tǒng)獲取性能計(jì)數(shù)器信息，則包含帶有用戶名和密碼的-u開關(guān)以登錄到遠(yuǎn)程系統(tǒng)。如果指定-u選項(xiàng)，而不是使用-p選項(xiàng)的密碼，則

PsService

將提示你輸入密碼，而不會(huì)將其回顯到屏幕。PsLogList——傾印事件記錄檔的記錄PsLogList

是elogdump的克隆，但

PsLogList

允許您在當(dāng)前安全憑據(jù)集不允許訪問(wèn)事件日志的情況下登錄到遠(yuǎn)程系統(tǒng)，

PsLogList

從所查看的事件日志所在的計(jì)算機(jī)中檢索消息字符串。圖2.38參數(shù)描述@file在文件中列出的每臺(tái)計(jì)算機(jī)上執(zhí)行命令。-a指定日期之后的轉(zhuǎn)儲(chǔ)記錄時(shí)間戳。-b轉(zhuǎn)儲(chǔ)記錄在指定日期之前有時(shí)間戳。-c顯示事件日志后將其清除。-d僅顯示前n天的記錄。-c顯示事件日志后將其清除。-e排除具有指定ID或Id的事件(最多10個(gè))。-f篩選帶有篩選器字符串(的事件類型，例如"-fw"以篩選)的警告。-h僅顯示前n小時(shí)內(nèi)的記錄。-i僅顯示具有指定ID或Id的事件(最多10個(gè))。-l轉(zhuǎn)儲(chǔ)指定的事件日志文件中的記錄。-m僅顯示前n分鐘的記錄。-n只顯示指定的最新條目數(shù)。-o僅顯示來(lái)自指定事件源的記錄(例如\"-ocdrom\")。-p指定用戶名的可選密碼。如果省略此密碼，系統(tǒng)會(huì)提示輸入隱藏密碼。-q省略指定事件源或源(的記錄，例如\"-qcdrom\")。-rSDump從最晚到最近的日志。-s此開關(guān)具有

PsLogList

的打印事件日志記錄，其中每行包含逗號(hào)分隔的字段。此格式便于文本搜索，例如psloglist-t默認(rèn)的分隔符是一個(gè)逗號(hào)，但可使用指定的字符進(jìn)行重寫。-u指定用于登錄到遠(yuǎn)程計(jì)算機(jī)的可選用戶名。-w等待新事件，并在生成(僅)時(shí)將其轉(zhuǎn)儲(chǔ)。-x轉(zhuǎn)儲(chǔ)擴(kuò)展數(shù)據(jù)事件日志事件日志PsShutdown——關(guān)機(jī)及選擇重新啟動(dòng)電腦PsShutdown

是一個(gè)命令行實(shí)用工具，類似于Windows2000資源工具包中的關(guān)閉實(shí)用工具，但能夠執(zhí)行更多操作。除了支持關(guān)閉或重新啟動(dòng)本地或遠(yuǎn)程計(jì)算機(jī)的相同選項(xiàng)外，PsShutdown

還可以注銷控制臺(tái)用戶或鎖定控制臺(tái)(鎖定需要Windows2000或)。

PsShutdown

不需要手動(dòng)安裝客戶端軟件。圖2.39參數(shù)描述-顯示支持的選項(xiàng)。計(jì)算機(jī)在指定的遠(yuǎn)程計(jì)算機(jī)或計(jì)算機(jī)上執(zhí)行命令。如果省略計(jì)算機(jī)名稱，則命令在本地系統(tǒng)中運(yùn)行，如果指定通配符(\\*)，則該命令在當(dāng)前域中的所有計(jì)算機(jī)上運(yùn)行。@file在指定的文本文件中列出的每臺(tái)計(jì)算機(jī)中運(yùn)行命令。-u指定用于登錄到遠(yuǎn)程計(jì)算機(jī)的可選用戶名。-p指定用戶名的可選密碼。如果省略此密碼，系統(tǒng)會(huì)提示輸入隱藏的密碼。-a僅在倒計(jì)時(shí)(時(shí)中止關(guān)閉)。-c允許交互式用戶中止關(guān)閉。-d掛起計(jì)算機(jī)。-e關(guān)閉原因代碼。為用戶原因代碼指定"u"，為計(jì)劃關(guān)閉原因代碼指定"p"。xx是導(dǎo)致代碼(必須小于256)。yy是小于65536(的次要原因)。-f強(qiáng)制所有正在運(yùn)行的應(yīng)用程序在關(guān)閉期間退出，而不是讓他們有機(jī)會(huì)正常保存其數(shù)據(jù)。-h使計(jì)算機(jī)休眠。-k如果計(jì)算機(jī)不支持(關(guān)閉，則關(guān)閉計(jì)算機(jī))。-l鎖定計(jì)算機(jī)。-m使用此選項(xiàng)可以指定在關(guān)閉倒計(jì)時(shí)開始時(shí)向登錄用戶顯示的消息。-n指定連接到遠(yuǎn)程計(jì)算機(jī)的超時(shí)（以秒表示）。-o注銷控制臺(tái)用戶。-r關(guān)閉后重啟。-s關(guān)閉但不關(guān)閉電源。-t指定關(guān)閉時(shí)間（以秒(）：默認(rèn)為20秒)或關(guān)閉時(shí)間(以24小時(shí)表示法)。-v關(guān)閉前指定秒數(shù)的顯示消息。如果省略此參數(shù)，則將顯示關(guān)閉通知對(duì)話框，并且將值指定為0會(huì)導(dǎo)致無(wú)對(duì)話。18、PsSuspend——暫停及繼續(xù)處理程序PsSuspend

使你可以掛起本地或遠(yuǎn)程系統(tǒng)上的進(jìn)程，這在進(jìn)程使用資源(例如網(wǎng)絡(luò)、CPU或磁盤)你要允許不同進(jìn)程使用的情況下是必需的。掛起操作允許在稍后某個(gè)時(shí)間點(diǎn)繼續(xù)操作，而不是終止占用資源的進(jìn)程。圖2.40參數(shù)描述-顯示支持的選項(xiàng)。-r如果已掛起指定的進(jìn)程，則恢復(fù)指定的進(jìn)程。\\computer指定要在其上執(zhí)行掛起或恢復(fù)操作的計(jì)算機(jī)。必須可通過(guò)NT網(wǎng)絡(luò)鄰居訪問(wèn)遠(yuǎn)程計(jì)算機(jī)。-u用戶名如果要掛起遠(yuǎn)程系統(tǒng)上的進(jìn)程，而你在中執(zhí)行的帳戶在遠(yuǎn)程系統(tǒng)上沒有管理權(quán)限，則必須使用此命令行選項(xiàng)以管理員身份登錄。如果不將密碼包含-p選項(xiàng)，則

PsSuspend

將提示你輸入密碼，而不會(huì)將輸入回顯到顯示狀態(tài)。-p密碼此選項(xiàng)可讓你在命令行上指定登錄密碼，以便可以使用批處理文件中的

PsSuspend

。如果指定帳戶名稱，并忽略-p選項(xiàng)

PsSuspend

會(huì)以交互方式為密碼提供提示。進(jìn)程id指定要掛起或恢復(fù)的進(jìn)程的進(jìn)程ID。進(jìn)程名稱指定要掛起或恢復(fù)的進(jìn)程的進(jìn)程名稱。PsSuspend

是一個(gè)不斷增長(zhǎng)的Sysinternals命令行工具的一部分，有助于管理名為

PsTools的本地和遠(yuǎn)程系統(tǒng)。19、psfile——檢視遠(yuǎn)端開啟檔案有哪些"Netfile"命令顯示了其他計(jì)算機(jī)在執(zhí)行命令時(shí)在系統(tǒng)上打開的文件的列表，但它會(huì)截?cái)嚅L(zhǎng)路徑名稱，而不會(huì)讓你看到遠(yuǎn)程系統(tǒng)的信息。

PsFile

是一個(gè)命令行實(shí)用工具，用于顯示系統(tǒng)上遠(yuǎn)程打開的文件的列表，還允許你按名稱或文件標(biāo)識(shí)符關(guān)閉打開的文件。圖2.41拒絕訪問(wèn)的原因可能是因?yàn)榉阑饓?。Netstat顯示活動(dòng)TCP連接、計(jì)算機(jī)正在偵聽的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP路由表、IP路由表、IP、ICMP、TCP和UDP協(xié)議)的IPv4統(tǒng)計(jì)信息(，以及IPv6、ICMPv6、基于IPv6的TCP以及基于IPv6協(xié)議)的UDP的IPv6統(tǒng)計(jì)信息(在不帶參數(shù)的情況下使用，此命令顯示活動(dòng)的TCP連接)。圖2.42參數(shù)說(shuō)明-a顯示計(jì)算機(jī)正在偵聽的所有活動(dòng)TCP連接以及TCP和UDP端口。-b顯示創(chuàng)建每個(gè)連接或偵聽端口所涉及的可執(zhí)行文件。在某些情況下，已知可執(zhí)行文件托管多個(gè)獨(dú)立組件，在這些情況下，將顯示創(chuàng)建連接或偵聽端口所涉及的組件序列。在這種情況下，可執(zhí)行文件名稱位于底部的[]中，頂部是它調(diào)用的組件，以此類推，直到達(dá)到TCP/IP。請(qǐng)注意，此選項(xiàng)可能很耗時(shí)，除非有足夠的權(quán)限，否則將失敗。-E顯示以太網(wǎng)統(tǒng)計(jì)信息，例如發(fā)送和接收的字節(jié)數(shù)和數(shù)據(jù)包數(shù)。此參數(shù)可以與

-s結(jié)合使用。-n但是，顯示活動(dòng)的TCP連接，地址和端口號(hào)以數(shù)字表示，并且不會(huì)嘗試確定名稱。-o顯示活動(dòng)的TCP連接，并包括每個(gè)(PID)的進(jìn)程ID?？梢栽?進(jìn)程"選項(xiàng)卡上找到基于PID的應(yīng)用程序Windows任務(wù)管理器。此參數(shù)可以與

-a、

-n

和

-p結(jié)合使用。-p

<Protocol>顯示協(xié)議指定的協(xié)議

的連接。在這種情況下，

協(xié)議可以是tcp

、udp、tcpv6或udpv6。如果此參數(shù)與

-s

一起用于按協(xié)議顯示統(tǒng)計(jì)信息，則協(xié)議可以是tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6或ipv6。-S按協(xié)議顯示統(tǒng)計(jì)信息。默認(rèn)情況下，會(huì)顯示TCP、UDP、ICMP和IP協(xié)議的統(tǒng)計(jì)信息。如果安裝了IPv6協(xié)議，則會(huì)顯示基于IPv6的TCP、基于IPv6的UDP、ICMPv6和IPv6協(xié)議的統(tǒng)計(jì)信息。

-p

參數(shù)可用于指定一組協(xié)議。-r顯示IP路由表的內(nèi)容。這等效于routeprint命令。<interval>每隔間隔秒重新顯示

所選

信息。按CTRL+C停止重新播放。如果省略此參數(shù)，則此命令僅打印所選信息一次。/?在命令提示符下顯示幫助。21、PsService——檢視及控制服務(wù)（同15）圖2.43Strings——搜尋binaryimages中的ANSI和UNICODE字串。在對(duì)象文件或\t"/weixin_43824520/article/details/_blank"二進(jìn)制文件中查找可打印的字符串。字符串是4個(gè)或更多可打印字符的任意序列，以換行符或空字符結(jié)束。strings命令對(duì)識(shí)別隨機(jī)對(duì)象文件很有用。圖2.44下表適用于Linux系統(tǒng)：-a--all：掃描整個(gè)文件而不是只掃描目標(biāo)文件初始化和裝載段-f–print-file-name：在顯示字符串前先顯示文件名-n–bytes=[number]：找到并且輸出所有NUL終止符序列-：設(shè)置顯示的最少的字符數(shù)，默認(rèn)是4個(gè)字符-t--radix={o,d,x}：輸出字符的位置，基于八進(jìn)制，十進(jìn)制或者十六進(jìn)制-o：類似--radix=o-T--target=：指定二進(jìn)制文件格式-e--encoding={s,S,b,l,B,L}：選擇字符大小和排列順序:s=7-bit,S=8-bit,{b,l}=16-bit,{B,L}=32-bit@：讀取中選項(xiàng)Fport可以把端口和應(yīng)用程序?qū)?yīng)起來(lái)FPort支持WindowsNT4、Windows2000和WindowsXP。FPort可以把本機(jī)開放的TCP/UDP端口同應(yīng)用程序關(guān)聯(lián)起來(lái)，這和使用"netstat-an"命令產(chǎn)生的效果類似，但是該軟件還可以把端口和運(yùn)行著的進(jìn)程關(guān)聯(lián)起來(lái),并可以顯示進(jìn)程PID、名稱和路徑。該軟件可以用于快速識(shí)別未知的開放端口和與之關(guān)聯(lián)的應(yīng)用程序。圖2.45五、Linux內(nèi)存取證：1、查看內(nèi)存剩余free：圖2.46其中，total：內(nèi)存總?cè)萘浚@里表示255268KBused：被分配的內(nèi)存free：未被分配的內(nèi)存total=used+freetotal≈used+available當(dāng)前真實(shí)可用的內(nèi)存=已分配但是未被使用的buffer+已分配但是未被使用的cached+freeused=實(shí)際使用的內(nèi)存+已分配但是未被使用的buffer+已分配但是未被使用的cached2、查看buddy信息buddyinfo：圖2.47從buddy可以看到mem區(qū)域和對(duì)應(yīng)的使用情況。64系統(tǒng)因?yàn)閷ぶ房臻g大，不存在高端內(nèi)存了。3、查看slab信息slabinfo：每一項(xiàng)意義如下：名稱

active對(duì)象

總對(duì)象

對(duì)象大小

有active對(duì)象的頁(yè)數(shù)

總頁(yè)數(shù)

slab占用頁(yè)數(shù)圖2.484、查看zone信息zoneinfo：（時(shí)區(qū)信息）圖2.49查看總體內(nèi)存信息meminfo：用于從/proc文件系統(tǒng)中提取與內(nèi)存相關(guān)的信息。這些文件包含有系統(tǒng)和內(nèi)核的內(nèi)部信息。圖2.506、虛擬內(nèi)存信息查看vmalloc映射信息vmallocinfo：圖2.527、實(shí)時(shí)虛擬內(nèi)存命令vmstat：vmstat是VirtualMeomoryStatistics（虛擬內(nèi)存統(tǒng)計(jì)）的縮寫，可對(duì)操作系統(tǒng)的虛擬內(nèi)存、進(jìn)程、CPU活動(dòng)進(jìn)行監(jiān)控。vmstat是對(duì)系統(tǒng)的整體情況進(jìn)行統(tǒng)計(jì)，卻無(wú)法進(jìn)行某個(gè)進(jìn)程的分析。vmstat命令報(bào)告包括：進(jìn)程、內(nèi)存、分頁(yè)、阻塞IO、中斷、磁盤、CPU。圖2.53Top使用命令top-o％MEM，這會(huì)使top按進(jìn)程所用內(nèi)存對(duì)所有進(jìn)程進(jìn)行排序。輸出結(jié)果中，可以很清晰的看出已用和可用內(nèi)存的資源情況。top最好的地方之一就是發(fā)現(xiàn)可能已經(jīng)失控的服務(wù)的進(jìn)程ID號(hào)（PID）。有了這些PID，你可以對(duì)有問(wèn)題的任務(wù)進(jìn)行故障排除（或kill）。圖2.54PID：當(dāng)前運(yùn)行進(jìn)程的IDUSER：進(jìn)程屬主PR：每個(gè)進(jìn)程的優(yōu)先級(jí)別NInice：反應(yīng)一個(gè)進(jìn)程“優(yōu)先級(jí)”狀態(tài)的值，其取值范圍是-20至19，一共40個(gè)級(jí)別。這個(gè)值越小，表示進(jìn)程”優(yōu)先級(jí)”越高，而值越大“優(yōu)先級(jí)”越低，一般會(huì)把nice值叫做靜態(tài)優(yōu)先級(jí)。VIRT：進(jìn)程占用的虛擬內(nèi)存。RES：進(jìn)程占用的物理內(nèi)存。SHR：進(jìn)程使用的共享內(nèi)存。S：進(jìn)程的狀態(tài)。S表示休眠，R表示正在運(yùn)行，Z表示僵死狀態(tài)，N表示該進(jìn)程優(yōu)先值為負(fù)數(shù)。%CPU：進(jìn)程占用CPU的使用率。%MEM：進(jìn)程使用的物理內(nèi)存和總內(nèi)存的百分比。TIME+：該進(jìn)程啟動(dòng)后占用的總的CPU時(shí)間，即占用CPU使用時(shí)間的累加值。COMMAND：進(jìn)程啟動(dòng)命令名稱。htop是一個(gè)Linux下的交互式的進(jìn)程瀏覽器，可以用來(lái)替換Linux下的top命令。2011年11月22日，htop1.0發(fā)布了，該版本提供4列的CPU監(jiān)控儀表，增量式過(guò)濾，UTF-8樹繪制，提升了性能以及修復(fù)不少bug。2012年02月17日，htop1.0.1發(fā)布了，主要是bug的修復(fù)，修復(fù)了鼠標(biāo)選擇行為的問(wèn)題以及偶發(fā)的程序崩潰問(wèn)題，另外配置現(xiàn)在改用XDG兼容路徑。圖2.55上面左上角顯示CPU、內(nèi)存、交換區(qū)的使用情況，右邊顯示任務(wù)、負(fù)載、開機(jī)時(shí)間，下面就是進(jìn)程實(shí)時(shí)狀況。date-R顯示系統(tǒng)時(shí)間：圖2.56