技术编程|如何手动提取易失性数据( 二 )
我们可以用一个命令检查系统中所有的系统变量集 。
set>>notes.txt
我们可以用[dir]命令检查文件是否被创建 。
dir
本文插图
现在 , 打开文本文件可以看到系统中设置的系统变量 。
本文插图
任务列表
任务列表是出现在MicrosoftWindows中的一个菜单 , 它将提供系统中正在运行的应用程序的列表 。 要获取系统的任务列表及其进程ID和内存使用情况 , 请遵循以下命令 。
asklist>>notes.txt
我们还可以使用[dir]命令检查是否创建了文本文件 。
本文插图
打开文本文件以计算详细信息 。
本文插图
带有模块的任务列表
在任务列表模块的帮助下 , 我们可以看到特定任务中模块的工作情况 。 我们可以通过下面的命令看到调查的结果 。
tasklist/m>>notes.txt
本文插图
我们可以通过[dir]命令检查结果文件是否被创建 。
打开文本文件计算命令结果 。
带有服务的任务列表
它将显示特定任务为操作其操作而采取的所有服务 , 我们使用这个命令在我们的取证报告中得到这些结果 。
tasklist/svc>>notes.txt
我们使用help[dir]命令检查文本文件是否被创建 。
本文插图
打开这个文本文件来评估结果 , 它将展示每个任务使用的服务 。
本文插图
工作站的信息
工作站是一种专门为技术或科学应用而设计的计算机 , 主要是一次由一个人使用 。 它们通常连接到局域网并运行多用户操作系统 , 按照这些命令获取工作站的详细信息 。
netconfigworkstation>>notes.txt
使用[dir]命令检查文件是否已创建 。
本文插图
现在 , 打开文本文件查看调查结果 。
本文插图
MAC地址保存在系统ARP缓存中
ARP条目有两种类型:—静态和动态 。 大多数时候 , 我们将使用动态ARP条目 。 这意味着ARP条目会在设备上保存一段时间 , 只要它被使用 。
与动态相反 , 如果ARP条目是静态条目 , 我们需要在以太网MAC地址和IP地址之间输入一个手动链接 。 因为管理上的一些原因 , 我们大部分时间都在使用动态 。 要在调查中获得详细信息 , 请遵循此命令 。
arp-a>>notes.txt
我们可以通过[dir]命令确定文本文件是否被创建 。
本文插图
现在 , 打开文本文件查看调查报告 。
本文插图
系统用户详细信息
用户是使用计算机或网络服务的人 , 计算机系统和软件产品的用户通常缺乏充分了解其工作原理所需的技术专业知识 。 要获取该用户的详细信息 , 请遵循此命令 。
推荐阅读
- 摄像头|小米截胡中兴屏下摄像头技术,小米研发还是供应链技术?
- Spacex|卫星互联网轨道资源稀缺,中国航天如何与国际卫星界大亨竞争?
- 马斯克|马斯克用活猪演示脑机接口技术:实时读取猪脑信息 心灵感应成真了
- 三防|带你了解三防手持终端的秘密
- 第三|原创 小米发布第三代屏下相机技术,或将在Mix 4上首秀?
- 海信|首个新兴显示技术分标委成立 海信牵头制定国标
- 中年|Python编程语言有什么独特的优势呢?
- iQOO手机|毕业想换5G手机不知如何选?别犹豫了,iQOO Z1x适合你
- |马斯克用活猪演示脑机技术,他希望今年年底前能在人体内植入
- 互联网的放大镜|小米截胡中兴屏下摄像头技术,小米研发还是供应链技术?