3.2　黑客常用DOS命令實戰

熟練掌握一些DOS命令的應用是一名黑客的基本功，通過這些DOS命令可以幫助計算機用戶追蹤黑客的蹤跡。

實戰1：切換當前目錄的cd命令

使用cd（Change Directory）命令可以改變當前目錄，該命令用于切換路徑目錄。cd命令主要有以下3種使用方法。

（1）cd path:path是路徑。例如，輸入cd C:\命令后按Enter鍵，或輸入cd Windows命令，即可分別切換到C:\和C:\Windows目錄下。

（2）cd..:cd后面的兩個“.”表示返回上一級目錄。例如，當前的目錄為C:\Windows，如果輸入cd..命令，按Enter鍵即可返回上一級目錄，即C:\。

（3）cd\：表示當前無論在哪個子目錄下，通過該命令可立即返回到根目錄下。例如，使用cd命令進入C:\Windows\system32子目錄，并退回根目錄。具體操作步驟如下。

Step 01　在“命令提示符”窗口中輸入cd c:\命令，按Enter鍵，即可將目錄切換為C:\，如下圖所示。

Step 02　如果想進入C:\Windows\system32目錄中，則需在上面的“命令提示符”窗口中輸入cd Windows\system32命令，按Enter鍵，即可將目錄切換為C:\Windows\system32，如下圖所示。

Step 03　如果想返回上一級目錄，則可以在“命令提示符”窗口中輸入cd..命令，如下圖所示，按Enter鍵即可。

Step 04　如果想返回到根目錄，則可以在“命令提示符”窗口中輸入cd\命令，如下圖所示，按Enter鍵即可。

實戰2：列出磁盤目錄文件的dir命令

使用dir命令可以列出磁盤上所有的或指定的文件目錄，主要顯示的內容包含卷標、文件名、文件大小、文件建立日期和時間、目錄名、磁盤剩余空間等。dir命令的語法格式如下：

    dir [盤符][路徑][文件名][/P][/W][/A:屬性]

其中，各個參數的作用如下。

（1）/P：當顯示的信息超過一屏時暫停顯示，直至按任意鍵才繼續顯示。

（2）/W：以橫向排列的形式顯示文件名和目錄名，每行5個（不顯示文件大小、建立日期和時間）。

（3）/A:屬性：僅顯示指定屬性的文件，無此參數時，dir顯示除系統和隱含文件外的所有文件。可指定為以下幾種形式：

①/AS：顯示系統文件的信息；

②/AH：顯示隱含文件的信息；

③/AR：顯示只讀文件的信息；

④/AA：顯示歸檔文件的信息；

⑤/AD：顯示目錄信息。

例如，使用dir命令查看磁盤中文件信息的具體操作步驟如下。

Step 01　在“命令提示符”窗口中輸入dir命令，按Enter鍵，即可查看當前目錄下的文件列表，如下圖所示。

Step 02　在“命令提示符”窗口中輸入dir d:/a:d命令，按Enter鍵，即可查看D盤下的所有文件的目錄，如下圖所示。

Step 03　在“命令提示符”窗口中輸入dir c:\windows /a:h命令，按Enter鍵，即可列出c:\windows目錄下的隱藏文件，如下圖所示。

實戰3：檢查計算機連接狀態的ping命令

ping命令是TCP/IP中最為常用的命令之一，主要用來檢查網絡是否通暢或者網絡連接的速度。對于一個黑客來說，ping命令是第一個必須掌握的DOS命令。在“命令提示符”窗口中輸入ping/?，可以得到命令的幫助信息，如下圖所示。

使用ping命令對計算機的連接狀態進行測試的具體操作步驟如下。

Step 01　使用ping命令判斷計算機的操作系統類型。在“命令提示符”窗口中輸入ping 192.168.0.130命令，運行結果如下圖所示。

Step 02　在“命令提示符”窗口中輸入ping 192.168.0.130 –t –l 128命令，可以不斷向某臺主機發出大量的數據包，如下圖所示。

Step 03　判斷本臺計算機是否與外界網絡連通。在“命令提示符”窗口中輸入ping www.baidu.com命令，其運行結果如下圖所示，說明本臺計算機與外界網絡連通。

Step 04　解析某IP地址的計算機名。在“命令提示符”窗口中輸入ping -a 192.168.0.130命令，其運行結果如下圖所示，可知這臺主機的名稱為DESKTOP-RJKNMOC。

實戰4：查詢網絡狀態與共享資源的net命令

使用net命令可以查詢網絡狀態、共享資源以及計算機所開啟的服務等，該命令的語法格式如下。

    net [ accounts | computer | config |continue | file | group | help | helpmsg | localgroup | name | pause | print |send | session | share | start | statistics | stop | time | use | user | view ]

查詢本臺計算機開啟哪些Window服務的具體操作步驟如下。

Step 01　使用net命令查看網絡狀態。打開“命令提示符”窗口，輸入net start命令，如下圖所示。

Step 02　按Enter鍵，則在打開的“命令提示符”窗口中可以顯示計算機所啟動的Windows服務，如下圖所示。

實戰5：顯示網絡連接信息的netstat命令

netstat命令主要用來顯示網絡連接的信息，包括顯示活動的TCP連接、路由器和網絡接口信息，是一個監控TCP/IP網絡非常有用的工具，可以讓用戶得知系統中目前都有哪些網絡連接正常。

在“命令提示符”窗口中輸入netstat/?命令，可以得到這條命令的幫助信息。

該命令的語法格式如下：

    netstat [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

其中，比較重要的參數的含義如下。

（1）-a：顯示所有連接和監聽端口。

（2）-n：以數字形式顯示地址和端口號。

使用netstat命令查看網絡連接的具體操作步驟如下。

Step 01　打開“命令提示符”窗口，在其中輸入netstat -n或netstat命令，按Enter鍵，即可查看服務器活動的TCP/IP連接，如下圖所示。

Step 02　在“命令提示符”窗口中輸入netstat -r命令，按Enter鍵，即可查看本機的路由信息，如下圖所示。

Step 03　在“命令提示符”窗口中輸入netstat -a命令，按Enter鍵，即可查看本機所有活動的TCP連接，如下圖所示。

Step 04　在“命令提示符”窗口中輸入netstat -n -a命令，按Enter鍵，即可顯示本機所有連接的端口及其狀態，如下圖所示。

實戰6：檢查網絡路由節點的tracert命令

使用tracert命令可以查看網絡中路由節點信息，最常見的使用方法是在tracert命令后追加一個參數，表示檢測和查看連接當前主機經歷了哪些路由節點，適用于大型網絡的測試。該命令的語法格式如下：

    tracert [-d] [-h MaximumHops] [-j Hostlist] [-w Timeout] [TargetName]

其中，各個參數的含義如下。

（1）-d：防止解析目標主機的名字，可以加速顯示tracert命令結果。

（2）-h MaximumHops：指定搜索到目標地址的最大跳躍數，默認為30個跳躍點。

（3）-j Hostlist：按照主機列表中的地址釋放源路由。

（4）-w Timeout：指定超時時間間隔，默認單位為毫秒。

（5）TargetName：指定目標計算機。

例如，如果想查看www.baidu.com的路由與局域網絡連接情況，則在“命令提示符”窗口中輸入tracert www.baidu.com命令，按Enter鍵，其顯示結果如下圖所示。

實戰7：顯示主機進程信息的Tasklist命令

Tasklist命令用來顯示運行在本地或遠程計算機上的所有進程，帶有多個執行參數。Tasklist命令的格式如下：

    Tasklist [/s system [/u username [/p [password]]]] [/m [module] | /svc | /v] [/fi filter] [/fo format] [/nh]

利用Tasklist命令可以查看本機中的進程，還可以查看每個進程提供的服務。使用Tasklist命令的具體操作步驟如下。

Step 01　在“命令提示符”中輸入Tasklist命令，按Enter鍵，即可顯示本機的所有進程，在顯示結果中可以看到映像名稱、PID會話名、會話#和內存使用等5部分，如下圖所示。

Step 02　使用Tasklist命令可以查看每個進程提供的服務。例如，查看本機進程svchost.exe提供的服務，在“命令提示符”下輸入Tasklist /svc命令，按Enter鍵，即可顯示進程svchost.exe提供的服務，如下圖所示。

Step 03　如果要查看本地系統中哪些進程調用了shell32.dll模塊文件，用戶可以在“命令提示符”窗口中輸入Tasklist /m shell32.dll命令，按Enter鍵，即可顯示這些進程的列表，如下圖所示。

實戰8：掃描并修復系統錯誤的sfc命令

sfc命令是Windows操作系統中使用頻率比較高的命令，主要作用是掃描所有受保護的系統文件并完成修復工作。該命令的語法格式如下：

    sfc"/scannow""/scanonce""/scanboot""/revert""/purgecache""/cachesize=x"

其中，各個參數的含義如下。

（1）/scannow：立即掃描所有受保護的系統文件。

（2）/scanonce：下次啟動時，掃描所有受保護的系統文件。

（3）/scanboot：每次啟動時，掃描所有受保護的系統文件。

（4）/revert：將掃描返回到默認設置。

（5）/purgecache：清除文件緩存。

（6）/cachesize=x：設置文件緩存大小。

下面以最常用的sfc/scannow為例進行講解，具體操作步驟如下。

Step 01　右擊“開始”按鈕，在彈出的快捷菜單中選擇“命令提示符（管理員）”選項，如下圖所示。

Step 02　彈出“管理員：命令提示符”窗口，輸入sfc/scannow命令，按Enter鍵確認，如下圖所示。

Step 03　開始自動掃描系統，并顯示掃描的進度，如下圖所示。

Step 04　在掃描的過程中，如果發現損壞的系統文件，會自動進行修復操作，并顯示修復后的信息，如下圖所示。