告别图形化界面：基于CLI的Windows系统入侵排查与防御实战手册

本文针对Windows 10/11、Server 2019+环境整理，所有命令均可在系统自带CMD/PowerShell（管理员/普通权限按需使用）中运行，覆盖排查、应急、加固三类核心安全场景，搭配参数说明与实操案例，便于理解落地。

前置说明

大部分命令需要管理员权限才能执行完整功能，可右键开始菜单→「Windows终端(管理员)」/「命令提示符(管理员)」打开；命令后加 /?可随时查看官方参数说明，比如 netstat /?。

一、网络状态排查类命令（应急响应用途最广）

1. ipconfig：网络配置查看与基础修复

核心作用：查看本机IP、MAC、DNS配置，修复常见网络/DNS异常，是网络类安全排查的起点。

常用参数：

• /all：显示完整信息，包括所有网卡的IPv4/IPv6地址、MAC地址、DHCP服务器、DNS后缀、是否开启IP路由等

• /release：释放当前DHCP分配的IP地址（仅DHCP环境有效）

• /renew：重新向DHCP服务器申请IP地址

• /flushdns：清空系统DNS缓存，解决域名被劫持/解析异常问题

• /displaydns：查看当前DNS缓存内容，排查是否存恶意劫持记录

  案例：

  发现某内部系统域名突然无法访问、其他网站正常时，先执行 ipconfig /flushdns清空缓存，再 ipconfig /displaydns | findstr "可疑域名"确认是否有残留的恶意解析记录。

2. netstat：网络连接与端口监控

核心作用：查看本机所有活跃网络连接、监听端口、对应进程PID，是检测木马后门、异常外联的核心命令。

常用参数：

• -a：显示所有连接和监听端口

• -n：以数字形式显示IP和端口（不解析主机名，速度更快）

• -o：显示每个连接对应的进程PID（进程标识符）

• -b：显示创建该连接的进程可执行文件名（需管理员权限）

• -p <协议>：仅显示指定协议的连接，比如 -p tcp只看TCP连接

  案例：

  怀疑系统存在恶意后门监听端口时，执行 netstat -ano | findstr "LISTENING"列出所有监听端口，记录可疑端口对应的PID，再用 tasklist /FI "PID eq 1234"查看该PID对应的进程名、路径判断是否合法。

3. netsh：网络栈与防火墙深度管控

核心作用：Windows自带网络配置瑞士军刀，可查防火墙规则、封禁IP、重置网络栈、审计WiFi配置，适合无GUI的Server Core环境、应急封禁场景。

常用参数（advfirewall模块，防火墙管理）：

• netsh advfirewall show allprofiles：查看所有网络配置文件（域/专用/公用）的防火墙状态、入站/出站默认规则

• netsh advfirewall firewall add rule name="Block_恶意IP" dir=in action=block remoteip=192.168.1.200：新增入站规则，封禁指定IP的所有入站连接

• netsh advfirewall firewall delete rule name="Block_恶意IP"：删除指定规则

• netsh int ip reset+ netsh winsock reset：重置TCP/IP协议栈、Winsock目录，修复恶意软件篡改导致的网络异常，执行后需重启系统生效

  案例：

  应急时发现外部IP反复爆破RDP（3389）端口，可直接用 netsh advfirewall命令临时封禁该IP，无需打开图形化防火墙面板。

4. arp/nslookup/tracert：辅助网络诊断

• arp -a：查看本机ARP缓存，对比网关IP对应的MAC地址是否与路由器真实MAC一致，排查局域网ARP欺骗攻击

• nslookup -type=mx 目标域名/ nslookup 目标域名 8.8.8.8：指定类型查询DNS记录，用公共DNS验证是否存在本地DNS劫持/投毒

• tracert -d 目标IP：跟踪到目标的路由跳数，-d不解析主机名加快速度，可定位网络劫持、路由劫持的中间节点

二、进程/服务/账号类命令（入侵排查用途）

1. tasklist/taskkill：进程管理

核心作用：列出运行进程、强制结束恶意进程。

常用参数：

• tasklist /v：显示详细进程信息，包括进程名、PID、CPU/内存占用、用户名、窗口标题

• tasklist /FI "IMAGENAME eq 可疑进程.exe"：按条件过滤进程，比如查找指定名称的进程

• taskkill /PID 1234 /F：/F代表强制终止指定PID的进程，即使进程无响应也强制关闭

  案例：

  发现系统CPU占用异常飙高，执行 tasklist /v /FI "USERNAME eq %USERNAME%" | sort /R /+50按内存占用倒序排列进程，定位到陌生进程后用 taskkill /PID xxx /F结束，再用 wmic process where "PID=xxx" get ExecutablePath查看进程文件路径确认是否为恶意程序。

2. sc/wmic：服务与进程深度查询

• sc query state= all：列出所有系统服务（运行中/停止），排查陌生的自动启动服务（可能是后门服务）

• wmic process get name,executablepath,processid：列出所有进程的名称、完整路径、PID，快速识别路径在临时目录、AppData目录的陌生进程，这类大概率是恶意软件

• wmic service get name,pathname,startmode：列出所有服务的名称、可执行路径、启动类型（自动/手动/禁用），排查启动类型为"Auto"的陌生服务

3. net：用户/共享/会话管理

核心作用：管理系统用户、用户组、网络共享、远程会话，排查未授权访问、克隆账号、恶意共享。

常用子命令：

• net user：列出所有本地用户账号

• net user 用户名：查看指定用户的详细信息，包括是否启用、密码过期时间、所属组

• net user 恶意用户名 /delete：删除可疑本地账号（需管理员权限）

• net localgroup administrators：查看管理员组所有成员，排查未授权的管理员账号

• net session：查看当前所有远程连接到本机的会话，排查未授权SMB/RDP连接

• net share：查看本机开启的所有网络共享，删除不必要的共享（比如默认C$等管理共享可临时关闭）

  案例：

  收到异地登录告警后，先执行 net session查看当前活跃远程会话，再执行 net localgroup administrators确认管理员组是否被添加了陌生账号，net user 陌生账号查看账号创建时间、上次登录时间辅助判断是否为入侵者创建的克隆账号。

4. schtasks：计划任务排查

核心作用：查看/管理计划任务，挖矿木马、持久化后门常通过计划任务实现开机自启。

常用参数：

• schtasks /query /fo LIST /v：以列表形式显示所有计划任务的详细信息，包括执行路径、触发条件、上次运行时间

• schtasks /delete /tn "任务名" /f：强制删除指定名称的可疑计划任务

  案例：

  系统每次开机后就会出现陌生进程，用 schtasks /query /fo LIST | findstr /i "powershell cmd exe"过滤出执行脚本/可执行文件的计划任务，排查隐藏的持久化后门。

三、文件/系统完整性类命令（加固与痕迹分析）

1. icacls：文件权限管控

核心作用：查看/修改文件、目录的访问控制权限，防止未授权读写敏感文件。

常用参数：

• icacls C:\敏感目录\*：查看目录下所有文件的权限配置

• icacls C:\敏感文件 /deny Users:(R,W)：禁止普通用户组（Users）读取、写入指定文件

• icacls C:\敏感目录 /reset：重置目录权限为继承父级权限的默认配置

  案例：

  加固数据库配置文件、密钥文件时，用 icacls移除普通用户的读取权限，仅允许管理员、服务账户访问，降低凭证窃取风险。

2. sfc/driverquery：系统完整性校验

• sfc /scannow：系统文件检查器，扫描所有受保护的系统文件，替换被篡改/损坏的文件为官方版本（需管理员权限），用于修复被篡改的系统组件

• driverquery /v：列出所有已加载的内核驱动，排查无签名的陌生驱动（可能是Rootkit、恶意驱动）

3. findstr：文件内容搜索

核心作用：在文件中搜索指定字符串，快速定位明文凭证、恶意代码片段。

常用参数：

• findstr /s /i "password" *.conf *.ini *.txt：/s递归搜索子目录，/i忽略大小写，在所有conf、ini、txt文件中搜索包含"password"的行，排查开发人员明文存储的数据库密码、服务凭证

• findstr /r "192\.168\.[0-9]*\.[0-9]*" 日志文件.log：用正则搜索日志中的内网IP，快速定位攻击IP、外联地址

4. wevtutil：事件日志查询

核心作用：导出、查询Windows事件日志，用于攻击痕迹分析。

常用参数：

• wevtutil qe Security /rd:true /c:100 > sec_log.txt：导出最近100条安全日志到sec_log.txt，/rd:true表示从新到旧排序

• wevtutil qe System /q:"*[System[(EventID=4625)]]"：筛选所有登录失败（事件ID4625）的系统日志，快速定位爆破攻击记录

四、安全操作注意事项

1. 权限最小化：日常排查尽量用普通权限CMD，仅执行必需操作时临时用管理员权限，避免误删系统文件、错误修改配置导致系统不可用

2. 操作留痕 ：关键命令后加 > 操作日志_日期.txt重定向输出，留存操作记录，方便后续溯源

3. 沙盒验证：不熟悉的高风险命令（比如删除用户、修改权限、清盘类命令）先在虚拟机/靶机环境验证，确认效果后再在生产环境执行

合规警示

本文所有命令仅可用于自身持有的设备、获得书面授权的企业资产、官方认可的靶场环境的学习、排查、加固操作，严禁对任何未授权设备、服务器、网络执行扫描、修改、渗透类操作，违反相关法律法规的行为将承担民事、行政甚至刑事责任，使用者需自行承担全部操作后果。