信息安全-应急响应-止损脚本

windows机器下的bat命令操作

查看文件权限归属

takeown /f %windir%\system32\jscript.dll > "%DIR%ikong.txt"

删除文件

del /f /s /q #{file_name}# file_name:文件全路径

强杀进程

taskkill /F /pid #{pid}# /F 表示强制# pid 进程id

查询登录用户

query user ^|findstr “part_name”# 这里part_name指登录账号中包含的关键字

登出用户

logoff session_id#session_id = query user 查询出来的第三列

禁用账号

net user 'account_name' /active:no#account_name = 当前登录的账号

上面三个命令一起来个组合操作：查询当前包含关键字的登录账号列表，并将其踢出登录状态，同时禁用

for /f "tokens=1-4 delims= " %%i  in ('query user ^|findstr "#{account_name}"') do (logoff %%knet user %%i /active:no)#查找包含account_name的账号，并且把他们注销掉，同时禁用这些账号

给机器添加防火墙出栈，入栈规则

netsh advfirewall firewall add rule name="rule_name" dir=方向 interface=any action=block remoteip=网段#rule_name 防火墙规则名称#方向：in out#网络：远端地址举例如下：netsh advfirewall firewall add rule name="TestRuleNameIn" dir=in interface=any action=block remoteip=10.11.230.0/24

查看防火墙规则

netsh advfirewall firewall show rule name=ikong_rule_01

删除防火墙规则

netsh advfirewall firewall delete rule name=ikong_rule_01

​