首先,在USB设备中建立\tools和\evidence目录。
在\tools目录中准备好PsFile, PsList,PsLogList,fciv
工具。
防火墙默认是阻止工具运行的,需要在
防火墙中放开工具
访问USB设备
j:
cd tools
date /t > j:\evidence\mdevidence.txt
time /t >> j:\evidence\mdevidence.txt
3.
j:
cd tools
psexec \\hqloan164 systeminfo >> j:\evidence\mdevidence.txt
psexec \\hqloan164 ipconfig /all >> j:\evidence\mdevidence.txt
psexec \\hqloan164 arp -a >> j:\evidence\mdevidence.txt
psexec \\hqloan164 netstat -b >> j:\evidence\mdevidence.txt
psexec \\hqloan164 schtasks >> j:\evidence\mdevidence.txt
4.
psfile \\hqloan164 >> j:\evidence\mdevidence.txt
pslist -t \\hqloan164 >> j:\evidence\mdevidence.txt
psloglist -s \\hqloan164 >> j:\evidence\mdevidence.txt
psloglist -s sec \\hqloan164 >> j:\evidence\mdevidence.txt
• PsFile 展示打开的文件。不需要在目标机上运行该程序。
• PsList 可以展示进程和线程
• PsLogList 可以收集安全日志
5.
doskey /h > j:\evidence\mdevidence-doskey.txt
6.
设定MD5校验和
fciv j:\evidence\mdevidence.txt >> j:\evidence\md5mdevidence.txt
在
http://support.microsoft.com/default.aspx?scid=841290
http://www.microsoft.com/china/technet/security/guidance/disasterrecovery/a9a5c2a9-cce3-4edb-a92c-10983899240a.mspx
下载以上文件
如果要查看目标机的文件
psexec \\hqloan164 cmd
cd c:\documents and settings\mdanseglio\my documents
dir /s
