1. wbadmin delete catalog -quiet
wbadmin 是用來取代以前舊版 Windows 備份用的 ntbackup 工具程式,但是他具備更強大的功能,可以進行排程備份與還原。
上面指令功能: 在安靜模式下刪除catalog
2. vssadmin delete shadows /all /quiet
vssadmin是磁碟區陰影複製服務(Volume Shadow Copy Service), 為Windows的一項元件服務,磁碟區陰影複製服務是一項定時為磁碟區作複製的服務。服務會在磁碟區新增一個名為「陰影複製」(Shadow Copy)的選項。這服務可為離線使用者提供離線檔案服務。
上面指令功能: 將磁碟區上的所有陰影複製在安靜模式刪除掉
3. wmic shadowcopy delete
上面指令功能: 使用wmic服務將磁碟上的陰影複製刪除, 指令會逐一去詢問
4. icacls "C:\*" /grant Everyone:F /T /C
icacls工具可以檢查/變更目錄或檔案權限
上面指令功能: 賦予C槽底下所有檔案有完整存取權限給使用者Everyone, 且不論發生任何檔案錯誤, 都繼續執行操作, 但仍會顯示錯誤訊息
5. takeown /f C:\Windows\System32
將C:\Windows\system32資料夾訪問權賦予給administrator權限
6. bcdedit /set {default} recoveryenabled no
bdcedit為開機管理程式, 在Windows 10上,若不正常斷電過多次會有自動保護機制, 詢問是否要Recovery的頁面跳出來, 以上指令就是將這樣的訊息disable掉
7. cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin
使用rd指令來刪除%SYSTEMDRIVE%\$Recycle.bin目錄和子目錄
/s: 刪除指定目錄和其子目錄
/q: 安靜模式
8. sc.exe config Dnscache start=auto
Restore Default Startup Configuration for DNS Client
http://revertservice.com/10/dnscache/
9. script.exe //nologo m.vbs
執行m.vbs腳本, 且不會顯示 Windows Script Host 橫幅
10. fsutil dirty query C:
檢查C槽磁區是否有錯誤
11. certutil -decode wall.txt Payload2.jpg
利用certutil工具將wall.txt base64解碼成payload2.jpg
12. certutil -decode finalpayload.tmp Payload3.exe
利用certutil工具將finalpayload.tmp base64解碼成Payload3.exe
13. wevtutil.exe cl 'Application'
清除windows Application日誌(clear-log)
14. icacls ./grant Everyone:F /T /C /Q
顯示或修改指定檔案上的判別存取控制清單 (DACL),及套用預存的 DACL 到指定目錄中的檔案。
授予Everyone權限可以存取
/T 指示要在 name 指定之目錄下的所有相符檔案/目錄上執行此操作。
/C 指示不論發生任何檔案錯誤,都繼續執行此操作。仍會顯示錯誤訊息。
/Q 指示 icacls 應隱藏成功訊息。
留言
張貼留言