信息安全Windows机器下一些常用止损脚本

信息安全-应急响应-止损脚本

windows机器下的bat命令操作

查看文件权限归属

takeown /f %windir%system32jscript.dll > "%DIR%ikong.txt"

删除文件

del /f /s /q #{file_name}

# file_name:文件全路径

强杀进程

taskkill /F /pid #{pid}

# /F 表示强制
# pid 进程id

查询登录用户

query user ^|findstr “part_name”

# 这里part_name指登录账号中包含的关键字

登出用户

logoff session_id

#session_id = query user 查询出来的第三列

禁用账号

net user 'account_name' /active:no

#account_name = 当前登录的账号

上面三个命令一起来个组合操作：查询当前包含关键字的登录账号列表，并将其踢出登录状态，同时禁用

for /f "tokens=1-4 delims= " %%i  in ('query user ^|findstr "#{account_name}"') do (
logoff %%k
net user %%i /active:no
)

#查找包含account_name的账号，并且把他们注销掉，同时禁用这些账号

给机器添加防火墙出栈，入栈规则

netsh advfirewall firewall add rule name="rule_name" dir=方向 interface=any action=block remoteip=网段

#rule_name 防火墙规则名称
#方向：in out
#网络：远端地址

举例如下：
netsh advfirewall firewall add rule name="TestRuleNameIn" dir=in interface=any action=block remoteip=10.11.230.0/24

查看防火墙规则

netsh advfirewall firewall show rule name=ikong_rule_01

删除防火墙规则

netsh advfirewall firewall delete rule name=ikong_rule_01