windows抓包命令详解

WINDOWS批处理命令详解

[ 2006-10-10 09:44:15 | 作者: 飘渺之梦 ]

: | |

最近好多猜测弱口令的病毒在网上流行，比如前段时间闹得很厉害的Worm.Dvldr 蠕虫就是一个典型。这些病毒有个共同点就是利用批处理来进行ipc$连接，从而来猜测管理员的口令达到控制服务器的目的。病毒由几个文件和几个复杂的批处理组成。批处理算不上真正意义上的编程，但是它的一些思想和编程比较近似。通过在网上和一些初学的朋友交流，发现他们对于批处理很感兴趣，多多少少了解一些命令的用法，但缺乏比较系统的了解，所以特意写下这篇教程，好让感兴趣的朋友对批处理有个整体的认识，并能通过该教程举一反三，写出自己的批处理。

该教程一共分为4大部分，第一部分是批处理的专用命令，第二部分是特殊的符号与批处理，第三部分是批处理与变量，第四部分是完整案例。因为教程比较长，所有在杂志上我们将分为两次连载，本期首先刊登一、二两部分，敬请读者注意。

第一部分：批处理的专用命令

批处理文件是将一系列命令按一定的顺序集合为一个可执行的文本文件，其扩展名为BAT。这些命令统称批处理命令，下面我就来给大家介绍一下批处理的命令。 1、 REM

REM 是个注释命令一般是用

介绍常用的windows命令大全,非常的实用啊。

DOS命令

dir 列文件名 deltree 删除目录树 cls 清屏 cd 改变当前目录
copy 拷贝文件 diskcopy 复制磁盘 del 删除文件 format 格式化磁盘
edit 文本编辑 mem 查看内存状况 md 建立子目录 move 移动文件、改目录名
DOS命令

dir 列文件名 deltree 删除目录树 cls 清屏 cd 改变当前目录
copy 拷贝文件 diskcopy 复制磁盘 del 删除文件 format 格式化磁盘
edit 文本编辑 mem 查看内存状况 md 建立子目录 move 移动文件、改目录名
more 分屏显示 type 显示文件内容 rd 删除目录
sys 制作DOS系统盘
ren 改变文件名 xcopy 拷贝目录与文件 chkdsk 检查磁盘 attrib 设置文件属性
fdisk 硬盘分区 date 显示及修改曰期 label 设置卷标号 defrag 磁盘碎片整理
msd 系统检测 path 设置搜寻目录 share 文件共享 memmaker内存优化管理
help 帮助 restore 恢复备份文件 set 设置环境变量 time 显示及修改时间
tree 列

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

wireshark 开始抓包 开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark

窗口介绍

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)， 用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源

网络层数据包抓包分析

一.实验内容

（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤

（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；

（2）打开浏览器，输入http://www.sina.com.cn/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向http://www.sina.com.cn/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：

（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题：

1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协

Netstat命令详解

Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。 如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。

Netstat 详细参数列表 (winXP) C:\\>netstat /?

显示协议统计信息和当前 TCP/IP 网络连接。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

-a 显示所有连接和监听端口。

-b 显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组 件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列 被显示。这种情况下，可执行组件名在底部的 [] 中，顶部是其调用的组

件，

Windows xp 定时关机命令

Windows XP的关机是由Shutdown.exe程序来控制的，位于Windows\System32文件夹中。如
果想让Windows 2000也实现同样的效果，可以把Shutdown.exe复制到系统目录下。

比如你的电脑要在22:00关机，可以选择“开始→运行”，输入“at 22:00 Shutdown -s”，
这样，到了22点电脑就会出现“系统关机”对话框，默认有30秒钟的倒计时并提示你保存工
作。如果你想以倒计时的方式关机，可以输入“Shutdown.exe -s -t 3600”，这里表示60
分钟后自动关机，“3600”代表60分钟。

设置好自动关机后，如果想取消的话，可以在运行中输入“shutdown -a”。另外输入
“shutdown -i”，则可以打开设置自动关机对话框，对自动关机进行设置。

Shutdown.exe的参数，每个都具有特定的用途，执行每一个都会产生不同的效果，比如
“-s”就表示关闭本地计算机，“-a”表示取消关机操作，下面列出了更多参数，大家
可以在Shutdown.exe中按需使用。

-f：强行关闭应用程序

-m \\计算机名：控制远程计算机

-i：显示图形用户界

Windows xp 定时关机命令

Windows XP的关机是由Shutdown.exe程序来控制的，位于Windows\System32文件夹中。如
果想让Windows 2000也实现同样的效果，可以把Shutdown.exe复制到系统目录下。

比如你的电脑要在22:00关机，可以选择“开始→运行”，输入“at 22:00 Shutdown -s”，
这样，到了22点电脑就会出现“系统关机”对话框，默认有30秒钟的倒计时并提示你保存工
作。如果你想以倒计时的方式关机，可以输入“Shutdown.exe -s -t 3600”，这里表示60
分钟后自动关机，“3600”代表60分钟。

设置好自动关机后，如果想取消的话，可以在运行中输入“shutdown -a”。另外输入
“shutdown -i”，则可以打开设置自动关机对话框，对自动关机进行设置。

Shutdown.exe的参数，每个都具有特定的用途，执行每一个都会产生不同的效果，比如
“-s”就表示关闭本地计算机，“-a”表示取消关机操作，下面列出了更多参数，大家
可以在Shutdown.exe中按需使用。

-f：强行关闭应用程序

-m \\计算机名：控制远程计算机

-i：显示图形用户界

曲线命令 Curve -------------------------- 指令: _Line

直线起点 ( 法线(N) 指定角度(A) 与工作平面垂直(V) 四点(F) 等角线(B) 垂直(P) 正切(T) 延伸(E) 两侧(O) ):

直线终点 ( 两侧(B) ):

指令: _Polyline 多重直线起点:

多重直线的下一点 ( 复原(U) ):

多重直线的下一点。操作完毕请按 Enter 键 ( 复原(U) ):

多重直线的下一点。操作完毕请按 Enter 键 ( 封闭(C) 复原(U) ):

指令: _Rectangle

矩形的第一角 ( 三点(P) 垂直(V) 中心点(C) 圆角(R) ): 其他角或长度:

指令: _Polygon

内接多边形中心点 ( 边数(N)=5 外切(C) 边缘(E) 星形(S) 垂直(V) 环绕曲线(A) ): 多边形的角 ( 边数(N)=5 ):

指令: _Curve

曲线起点 ( 阶数(D)=3 ):

下一点 ( 阶数(D)=3 复原(U) ):

下一点。操作完毕请按 Enter 键 ( 阶数(D)=3 复原(U) ):

下一点。操作完毕请按 Enter

网络层数据包抓包分析

一.实验内容

（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤

（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；

（2）打开浏览器，输入http://www.sina.com.cn/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向http://www.sina.com.cn/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：

（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题：

1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协

Wireshark实现远程抓包

本文简述一下如何用wireshark和rpcapd实现远程抓包，服务器为LINUX，如果是windows服务器使用WinPcap也可以，windows服务器实现远程抓包有兴趣的可以研究下。 1. 下载下面的附件，通过SSH Secure Shell上传到要抓包的远程linux服务器的/opt目录下

rpcap.tar里面压缩的就是rpcapd rpcapd.sh这2个文件。

2.解压rpcapd.tar，输入命令：tar –xf rpcapd.tar

3.给文件添加可执行权限，输入命令：chmod 755 rpcapd rpcapd.sh 4.启动远程抓包进程，输入命令：./rpcapd –n

5.查看远程抓包进程是否启用，监听端口是2002，输入命令：netstat –natp | 2002

6.确定服务启用后就可以在本地的机器开启wireshark进行远程抓包，设置截图如下：

上述截图是远程抓取112.84.191.196这台服务器的eth0网卡的所有数据包，如果想抓取其他网卡的数据包，比如eth1只需更改eth0为eth1命令如下 rpcap://112.84.191.196:2002/eth1