-
Notifications
You must be signed in to change notification settings - Fork 9
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
3 changed files
with
127 additions
and
1 deletion.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
|
|
@@ -33,6 +33,6 @@ class Program | |
|
|
||
|
|
||
|
|
||
| 参考资1料: | ||
| 参考资料: | ||
|
|
||
| - https://learn.microsoft.com/zh-cn/sysinternals/downloads/handle | ||
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,84 @@ | ||
| --- | ||
| sidebar_position: 6 | ||
| --- | ||
|
|
||
| ### System infomation 系统信息 | ||
|
|
||
| #### (1)Windows平台 | ||
|
|
||
| 当更新失败时,并不清楚是因为操作系统的原因还是其他原因导致的启动失败。这个时候可以使用PsInfo导出当前操作系统的信息,供开发人员进行问题排查。*PsInfo* 是一个命令行工具,它可用于收集有关本地或远程 Windows NT/2000 系统的关键信息,包括安装类型、内核版本、已注册的组织和所有者、处理器数量及其类型、物理内存量、系统的安装日期以及到期日期(如果为试用版)。 | ||
|
|
||
| #### 使用 PsInfo | ||
|
|
||
| 默认情况下,*PsInfo* 会显示本地系统的信息。 指定远程计算机名称以从远程系统获取信息。 由于 *PsInfo* 依赖于远程注册表访问来获取其数据,因此远程系统必须运行远程注册表服务,并且运行 *PsInfo* 的帐户必须有权访问远程注册表的 HKLM\System 部分。 | ||
|
|
||
| 为了帮助自动更新 Service Pack,*PsInfo* 会返回系统的 Service Pack 数的值(例如 0 表示无 Service Pack,1 表示 SP 1 等)。 | ||
|
|
||
| **用法: psinfo [[\\computer[,computer[,..] | @file [-u user | ||
| [-p psswd]]] [-h] [-s] [-d] [-c [-t delimiter]] [filter]** | ||
|
|
||
| | 参数 | 说明 | | ||
| | :------------- | :----------------------------------------------------------- | | ||
| | **\\computer** | 在指定的远程计算机上执行命令。 如果省略计算机名称,则命令在本地系统上运行,如果指定通配符 (\\*),则命令将在当前域中的所有计算机上运行。 | | ||
| | **@file** | 在指定的文本文件中列出的每台计算机上运行命令。 | | ||
| | **-u** | 指定登录远程计算机的可选用户名。 | | ||
| | **-p** | 指定用户名的可选密码。 如果省略此内容,系统将提示你输入隐藏密码。 | | ||
| | **-h** | 显示已安装的修补程序的列表。 | | ||
| | **-s** | 显示已安装的应用程序的列表。 | | ||
| | **-d** | 显示磁盘卷信息。 | | ||
| | **-c** | 以 CSV 格式打印。 | | ||
| | **-t** | -c 选项的默认分隔符为逗号,但可以使用指定的字符替代。 | | ||
| | **filter** | Psinfo 将仅显示与筛选器匹配的字段的数据。 例如,“psinfo service”仅列出 service pack 字段。 | | ||
|
|
||
| #### 示例输出 | ||
|
|
||
| ```c# | ||
| C:\> psinfo \\development -h -d | ||
|
|
||
| PsInfo v1.6 - local and remote system information viewer | ||
| Copyright (C) 2001-2004 Mark Russinovich | ||
| Sysinternals - www.sysinternals.com | ||
|
|
||
| System information for \\DEVELOPMENT: | ||
| Uptime: 28 days, 0 hours, 15 minutes, 12 seconds | ||
| Kernel version: Microsoft Windows XP, Multiprocessor Free | ||
| Product type Professional | ||
| Product version: 5.1 | ||
| Service pack: 0 | ||
| Kernel build number: 2600 | ||
| Registered organization: Sysinternals | ||
| Registered owner: Mark Russinovich | ||
| Install date: 1/2/2002, 5:29:21 PM | ||
| Activation status: Activated | ||
| IE version: 6.0000 | ||
| System root: C:\WINDOWS | ||
| Processors: 2 | ||
| Processor speed: 1.0 GHz | ||
| Processor type: Intel Pentium III | ||
| Physical memory: 1024 MB | ||
| Volume Type Format Label Size Free Free | ||
| A: Removable 0% | ||
| C: Fixed NTFS WINXP 7.8 GB 1.3 GB 16% | ||
| D: Fixed NTFS DEV 10.7 GB 809.7 MB 7% | ||
| E: Fixed NTFS SRC 4.5 GB 1.8 GB 41% | ||
| F: Fixed NTFS MSDN 2.4 GB 587.5 MB 24% | ||
| G: Fixed NTFS GAMES 8.0 GB 1.0 GB 13% | ||
| H: CD-ROM CDFS JEDIOUTCAST 633.6 MB 0% | ||
| I: CD-ROM 0% | ||
| Q: Remote 0% | ||
| T: Fixed NTFS Test 502.0 MB 496.7 MB 99% | ||
| OS Hot Fix Installed | ||
| Q147222 1/2/2002 | ||
| Q309521 1/4/2002 | ||
| Q311889 1/4/2002 | ||
| Q313484 1/4/2002 | ||
| Q314147 3/6/2002 | ||
| Q314862 3/13/2002 | ||
| Q315000 1/8/2002 | ||
| Q315403 3/13/2002 | ||
| Q317277 3/20/2002 | ||
| ``` | ||
|
|
||
|
|
||
|
|
||
| 官方文档:https://learn.microsoft.com/zh-cn/sysinternals/downloads/psinfo |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,42 @@ | ||
| --- | ||
| sidebar_position: 5 | ||
| --- | ||
|
|
||
| ### System log 系统日志 | ||
|
|
||
| 升级失败时可能会出现运行启动失败、驱动安装失败等问题。那么可以使用Sysmon工具导出系统事件日志。*系统监视器* (*Sysmon*) 是一项 Windows 系统服务,也是一个设备驱动程序,一旦安装在系统上,就会在系统重新启动后一直驻留,以监视系统活动并将其记录到 Windows 事件日志中。 它提供有关进程创建、网络连接和文件创建时间更改的详细信息。 通过使用 [Windows 事件收集](https://msdn.microsoft.com/library/windows/desktop/bb427443(v=vs.85).aspx)或 [SIEM](https://en.wikipedia.org/wiki/security_information_and_event_management) 代理收集生成的事件,然后对事件进行分析,你可识别恶意或异常活动,并了解入侵者和恶意软件如何在网络上运行。 该服务作为[受保护的进程](https://learn.microsoft.com/windows/win32/services/protecting-anti-malware-services-#system-protected-process)运行,从而禁止广泛的用户模式交互。 | ||
|
|
||
|
|
||
|
|
||
| ### Sysmon 功能概述 | ||
|
|
||
| *Sysmon* 包括以下功能: | ||
|
|
||
| - 记录当前进程和父进程中使用完整命令行创建的进程。 | ||
| - 记录使用 SHA1(默认)、MD5、SHA256 或 IMPHASH 的进程映像文件的哈希。 | ||
| - 可以同时使用多个哈希。 | ||
| - 在进程内创建事件之中包含一个进程 GUID,当 Windows 重新使用进程 ID 时,允许事件的相关性。 | ||
| - 在每个事件中包含会话 GUID,允许同一登录会话上事件的相关性。 | ||
| - 记录驱动程序或 DLL 的加载及其签名与哈希。 | ||
| - 记录磁盘和卷的原始读取访问打开次数。 | ||
| - (可选)记录网络连接,包括每个连接的源进程、IP 地址、端口数量、主机名和端口名称。 | ||
| - 检测文件创建时间的更改,以了解文件真正创建的时间。 修改文件创建时间戳是恶意软件惯用的伎俩来掩盖其轨道。 | ||
| - 如果注册表中发生更改,则自动化重新加载配置。 | ||
| - 进行规则筛选以动态包含或不包含某些事件。 | ||
| - 在启动进程之初生成事件,以捕获相当复杂的内核模式恶意软件进行的活动。 | ||
|
|
||
|
|
||
|
|
||
| #### (1)Windows平台 | ||
|
|
||
| 下载地址: https://download.sysinternals.com/files/Sysmon.zip | ||
|
|
||
|
|
||
|
|
||
| #### (2)Linux平台 | ||
|
|
||
| 下载地址:https://github.com/Sysinternals/SysmonForLinux | ||
|
|
||
|
|
||
|
|
||
| 官方文档:https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysmon |