Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dowiedz się więcej na temat typowych poleceń używanych w odpowiedzi na żywo i zobacz przykłady dotyczące ich typów.
W zależności od posiadanych ról można uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Aby uzyskać więcej informacji na temat podstawowych i zaawansowanych poleceń, zobacz Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo.
analyze
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
connections
# List active connections in json format using parameter name
connections -output json
# List active connections in json format without parameter name
connections json
dir
# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
dir
# List files and sub-folders in the current folder, with their full path
dir -full_path
# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\
# List files and subfolders in the current folder in json format
dir -output json
fileinfo
# Display information about a file
fileinfo C:\Windows\notepad.exe
findfile
# Find file by name
findfile test.txt
get
# Download a file from a machine
get c:\Users\user\Desktop\work.txt
# Download a file from a machine, automatically run prerequisite commands
get c:\Users\user\Desktop\work.txt -auto
Uwaga
Nie można pobrać następujących typów plików przy użyciu tego polecenia z poziomu odpowiedzi na żywo:
- Ponowna analiza plików punktów
- Rozrzedzone pliki
- Puste pliki
- Pliki wirtualne lub pliki, które nie są w pełni obecne lokalnie
Program PowerShell obsługuje te typy plików.
Alternatywnie użyj programu PowerShell, jeśli masz problemy z użyciem tego polecenia z poziomu odpowiedzi na żywo.
library
# List files in the library
library
# Delete a file from the library
library delete script.ps1
processes
# Show all processes
processes
# Get process by pid
processes 123
# Get process by pid with argument name
processes -pid 123
# Get process by name
processes -name notepad.exe
putfile
# Upload file from library
putfile get-process-by-name.ps1
# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite
# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep
registry
# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console
# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize
remediate
# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe
# Remediate process with specific PID
remediate process 7960
# See list of all remediated entities
remediate list
Uwaga
HKEY_USERS Obecnie gałąź reg nie jest obsługiwana dla remediateprogramu . Jest to znany problem i analizujemy go.
run
# Run PowerShell script from the library without arguments
run script.ps1
# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"
Uwaga
W przypadku długotrwałych poleceń, takich jak "run" lub "getfile", możesz użyć symbolu "&" na końcu polecenia, aby wykonać tę akcję w tle. Jeśli używasz symbolu "g", możesz kontynuować badanie maszyny i powrócić do polecenia w tle, gdy skończysz, używając podstawowego polecenia "fg".
Podczas przekazywania parametrów do skryptu odpowiedzi na żywo nie uwzględniaj następujących zabronionych znaków: ";","&","|","!", i "$".
scheduledtask
# Get all scheduled tasks
scheduledtasks
# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition
# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"
undo
# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize
# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition
# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.