应急响应关键证据检索提取 :: x7peeps

安全策略检测

Wed, 13 Oct 2021 15:00:00 +0800

安全策略的检测更倾向与合规检测，这里我们希望的是根据合规的标准发现尽可能多的非合规问题。 Windows安全策略检查 windows官网操作系统技术文件中的有很多关于windows安全信息的内容，组策略安全扩展协议、安全策略、威胁和对策指南、windows安全基线等等。我们在应急场景下不会过在现场进行策略内容的研究，尤其是安全策略有4800条（3000系统安全配置策略、1800是IE的安全配置策略），更多的是需要取相关策略，并与安全基线进行对比核查，找到可能的弱点所在，协助现场安全分析。这里我们可以使用微软官方的策略检测工具LGPO.exe进行策略的导出，然后通过PolicyAnalyzer对策略和基线进行对比分析，最终得到我们想要了解的安全策略上的问题。

钩子检查

Thu, 23 Sep 2021 10:34:00 +0800

Hook分为应用层（Ring3）Hook和内核层（Ring0）Hook，应用层Hook适用于x86和x64，而内核层Hook一般仅在x86平台适用，因为从Windows Vista的64版本开始引入的Patch Guard技术极大地限制了Windows x64内核挂钩的使用。

系统共享检查

Thu, 26 Aug 2021 14:34:00 +0800

windows系统共享 net share 查询查看系统中所有共享 net share 通过命令看到所有盘符都是默认共享 IPC$空连接尤为不安全,所以我们要关闭默认共享

环境变量检查

Thu, 19 Aug 2021 15:19:00 +0800

环境变量一般用于命令行快速执行命令，快速执行程序使用。恶意软件或黑客通常会通过一些环境变量设置，隐藏恶意程序，或添加恶意程序在环境变量中，用于实现对主机的控制。

回收站文件检查

Thu, 19 Aug 2021 14:28:00 +0800

windows下回收站文件查询回收站内容通过$RECYCLE.BIN+sid查询回收站内容。可以看到查到的文件名称展示都非原始文件名。

浏览器相关检查

Thu, 19 Aug 2021 13:35:00 +0800

windows下浏览器相关检查通常HKEY_LOCAL_MACHINE（计算机配置）配置权限大于HKEY_CURRENT_USER（当前用户）。这里尝试使用命令行查询所有IE浏览器相关的主页信息、搜索引擎信息、浏览历史等信息。

hosts文件检查

Wed, 18 Aug 2021 15:00:00 +0800

windows下host文件检查 windows下hosts目录位置是在C:\Windows\System32\drivers\etc下hosts文件 type C:\Windows\System32\drivers\etc\hosts # 创建时间 dir C:\Windows\System32\drivers\etc\hosts /t:C |find "hosts" # 修改时间 dir C:\Windows\System32\drivers\etc\hosts /t:W |find "hosts" # 被访问时间 dir C:\Windows\System32\drivers\etc\hosts /t:A |find "hosts"

防火墙规则检查

Wed, 18 Aug 2021 13:00:00 +0800

windows下防火墙规则检查查询防火墙规则可以通过运行WF.msc，也可以通过netsh advfirewall 命令查询。 netsh advfirewall C:\Users\xt>netsh advfirewall ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 consec - 更改到 `netsh advfirewall consec' 上下文。查询连接规则。 dump - 显示一个配置脚本。 export - 将当前策略导出到文件。 firewall - 更改到 `netsh advfirewall firewall' 上下文。查询出入站规则。 help - 显示命令列表。 import - 将策略文件导入当前策略存储。 mainmode - 更改到 `netsh advfirewall mainmode' 上下文。查询主模式规则。 monitor - 更改到 `netsh advfirewall monitor' 上下文。查询防火墙状态信息。 reset - 将策略重置为默认全新策略。 set - 设置每个配置文件或全局设置。 show - 显示配置文件或全局属性。下列的子上下文可用: consec firewall mainmode monitor 若需要命令的更多帮助信息，请键入命令，接着是空格，后面跟 ?。 show 此上下文中的命令: show allprofiles - 显示所有配置文件的属性。 show currentprofile - 显示活动配置文件的属性。 show domainprofile - 显示域配置文件的属性。 show global - 显示全局属性。 show privateprofile - 显示专用配置文件的属性。 show publicprofile - 显示公用配置文件的属性。 show store - 显示当前交互式会话的策略存储。 C:\Users\xt>netsh advfirewall consec show rule 提供的许多参数无效。请查看帮助获取正确语法。用法: show rule name= [profile=public|private|domain|any[,...]] [type=dynamic|static (default=static)] [verbose] 注释: - 显示按名称识别的所有规则实例，也可按配置文件和类型识别。示例: 显示所有规则: netsh advfirewall consec show rule name=all 显示所有动态规则: netsh advfirewall consec show rule name=all type=dynamic C:\Users\xt>netsh advfirewall firewall /? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 add - 添加新入站或出站防火墙规则。 delete - 删除所有匹配的防火墙规则。 dump - 显示一个配置脚本。 help - 显示命令列表。 set - 为现有规则的属性设置新值。 show - 显示指定的防火墙规则。 C:\Users\xt>netsh advfirewall mainmode /? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 add - 添加新的主模式规则。 delete - 删除所有匹配的主模式规则。 dump - 显示一个配置脚本。 help - 显示命令列表。 set - 为现有规则的属性设置新值。 show - 显示指定的主模式规则。 C:\Users\xt>netsh advfirewall monitor show ? 下列指令有效: 此上下文中的命令: show consec - 显示当前 consec 状态信息。 show currentprofile - 显示当前活动的配置文件。 show firewall - 显示当前防火墙状态信息。 show mainmode - 显示当前主模式状态信息。 show mmsa - 显示主模式 SA show qmsa - 显示快速模式 SA。查询所有防火墙配置 netsh advfirewall show allprofiles # 查询所有防火墙配置

映像劫持检查

Mon, 16 Aug 2021 16:00:00 +0800

镜像劫持映像劫持的定义所谓的映像劫持（IFEO）就是Image File Execution Options/或字面直译 Image Hijack，劫持点1 Image File Execution Options镜像劫持位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options里面exe被进行修改进行重定向的一个过程

linux软件包管理器文件检查

Sat, 07 Aug 2021 12:00:00 +0800

对于软件包管理器软件检查安装的软件的变动可以参考软件查杀检查rhk工具的使用，该软件已可以充分利用软件包管理器的文件特性进行查找。并且我们可以通过相关内容了解到包管理器中只有RPM和SOLARIS的检查方式提供了除hash之外的其他文件资产检查，因此本章节我们手工check相关文件检查的时候重点针对这RPM包管理器的用法进行实践。

web后门查杀

Fri, 06 Aug 2021 12:00:00 +0800

linux下后门查杀牧云（18年已停止更新） CloudWalker（牧云）是长亭推出的一款开源服务器安全管理平台。根据项目计划会逐步覆盖服务器资产管理、威胁扫描、Webshell扫描查杀、基线检测等各项功能。目前开源版go编写，停留在18年版。

linux下病毒查杀

Tue, 03 Aug 2021 12:00:00 +0800

linux下病毒查杀大部分情况，现场是不允许向机器中拷贝程序的，一破坏现场，二使用不明原理的程序对客户业务系统可能造成未知的影响。在更为严格的情形下，可能我们在现场机器查询命令都是会影响证据固定，因此那种场景下需要先镜像，而后在分析证据的时候进行查杀工作，但这种严格的场景不在本文讨论的范围内。因此本文在查杀过程中，讨论的是不太严格的取证场景下，公司内部或个人主机场景下如何进行病毒查杀以及样本提取工作。第一步需要经允许才可拷贝相关程序，之后我们可以借助一些查杀工具进行检测扫描，最后我们通过现有的异常特征进行手工分析。

系统进程检查

Sun, 01 Aug 2021 22:00:00 +0800

linux下系统进程查询 ps https://www.runoob.com/linux/linux-comm-ps.html Usage: ps [options] 参数： ps 的参数非常多, 在此仅列出几个常用的参数并大略介绍含义 -A 列出所有的进程 -w 显示加宽可以显示较多的资讯 -au 显示较详细的资讯 -aux 显示所有包含其他使用者的行程 au(x) 输出格式 : USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND USER: 行程拥有者 PID: pid %CPU: 占用的 CPU 使用率 %MEM: 占用的记忆体使用率 VSZ: 占用的虚拟记忆体大小 RSS: 占用的记忆体大小 TTY: 终端的次要装置号码 (minor device number of tty) STAT: 该行程的状态: D: 无法中断的休眠状态 (通常 IO 的进程) R: 正在执行中 S: 静止状态 T: 暂停执行 Z: 不存在但暂时无法消除 W: 没有足够的记忆体分页可分配 <: 高优先序的行程 N: 低优先序的行程 L: 有记忆体分页分配并锁在记忆体内 (实时系统或捱A I/O) START: 行程开始时间 TIME: 执行的时间 COMMAND:所执行的指令使用ps命令，分析进程

系统日志查询

Fri, 30 Jul 2021 22:00:00 +0800

linux下系统日志查询这里仅做取证方式介绍 /var/log/* 基本命令日志默认存放位置：/var/log/ 查看日志配置情况：more /etc/rsyslog.conf

重点文件目录检查

Thu, 29 Jul 2021 12:00:00 +0800

在日常应急下，我们除了针对重要数据检查，还会针对一些重点文件目录进行检查，相关目录或多或少受到黑客攻击的影响留下了痕迹，对相关文件的检查和分析有助于我们还原整个攻击链。本文则注重相关目录基本的实用查看查询方式技巧展开。

异常端口查询

Tue, 27 Jul 2021 12:00:00 +0800

Linux下异常端口/连接检查 netstat 菜鸟 https://www.runoob.com/linux/linux-comm-netstat.html 使用netstat 网络连接命令，分析可疑端口、IP、PID netstat [-acCeFghilMnNoprstuvVwx][-A<网络类型>][--ip] 参数说明： -a或--all 显示所有连线中的Socket。 -A<网络类型>或--<网络类型> 列出该网络类型连线中的相关地址。 -c或--continuous 持续列出网络状态。 -C或--cache 显示路由器配置的快取信息。 -e或--extend 显示网络其他相关信息。 -F或--fib 显示路由缓存。 -g或--groups 显示多重广播功能群组组员名单。 -h或--help 在线帮助。 -i或--interfaces 显示网络界面信息表单。 -l或--listening 显示监控中的服务器的Socket。 -M或--masquerade 显示伪装的网络连线。 -n或--numeric 直接使用IP地址，而不通过域名服务器。 -N或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。 -o或--timers 显示计时器。 -p或--programs 显示正在使用Socket的程序识别码和程序名称。 -r或--route 显示Routing Table。 -s或--statistics 显示网络工作信息统计表。 -t或--tcp 显示TCP传输协议的连线状况。 -u或--udp 显示UDP传输协议的连线状况。 -v或--verbose 显示指令执行过程。 -V或--version 显示版本信息。 -w或--raw 显示RAW传输协议的连线状况。 -x或--unix 此参数的效果和指定"-A unix"参数相同。 --ip或--inet 此参数的效果和指定"-A inet"参数相同常用查询语句 netstat -antlp|more 监听使用IP显示所有tcp，显示正在使用socket的程序识别码和程序 netstat -nu 显示当前户籍UDP连接状况 netstat -apu 显示UDP端口号的使用情况 netstat -i 显示网卡列表 netstat -g 显示组播组的关系 netstat -s 显示网络统计信息 netstat -l 显示监听的套接口 parallels@parallels-Parallels-Virtual-Platform:~$ netstat -antlp (Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.) Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN - tcp6 0 0 ::1:631 :::* LISTEN - parallels@parallels-Parallels-Virtual-Platform:~$ netstat -nu Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State udp 0 0 10.211.55.14:40391 10.211.55.1:53 ESTABLISHED udp 0 0 10.211.55.14:68 10.211.55.1:67 ESTABLISHED udp 0 0 10.211.55.14:41864 10.211.55.1:53 ESTABLISHED parallels@parallels-Parallels-Virtual-Platform:~$ netstat -apu (Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.) Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:34725 0.0.0.0:* - udp 0 0 localhost:domain 0.0.0.0:* - udp 0 0 10.211.55.14:bootpc 10.211.55.1:bootps ESTABLISHED - udp 0 0 0.0.0.0:631 0.0.0.0:* - udp 0 0 0.0.0.0:mdns 0.0.0.0:* - udp 0 0 10.211.55.14:41864 10.211.55.1:domain ESTABLISHED - udp 0 0 0.0.0.0:mdns 0.0.0.0:* - udp6 0 0 [::]:54263 [::]:* - udp6 0 0 [::]:mdns [::]:* - parallels@parallels-Parallels-Virtual-Platform:~$ netstat -i Kernel Interface table Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg enp0s5 1500 517 0 0 0 510 0 0 0 BMRU lo 65536 234 0 0 0 234 0 0 0 LRU parallels@parallels-Parallels-Virtual-Platform:~$ netstat -s Ip: Forwarding: 2 830 total packets received 1 with invalid addresses 0 forwarded 0 incoming packets discarded 827 incoming packets delivered 778 requests sent out 20 outgoing packets dropped Icmp: 42 ICMP messages received 0 input ICMP message failed ICMP input histogram: destination unreachable: 42 42 ICMP messages sent 0 ICMP messages failed ICMP output histogram: destination unreachable: 42 IcmpMsg: InType3: 42 OutType3: 42 Tcp: 22 active connection openings 0 passive connection openings 4 failed connection attempts 2 connection resets received 0 connections established 387 segments received 284 segments sent out 2 segments retransmitted 0 bad segments received 18 resets sent Udp: 345 packets received 42 packets to unknown port received 0 packet receive errors 450 packets sent 0 receive buffer errors 0 send buffer errors IgnoredMulti: 15 UdpLite: TcpExt: 3 TCP sockets finished time wait in fast timer 6 delayed acks sent 185 packet headers predicted 28 acknowledgments not containing data payload received 27 predicted acknowledgments TCPLostRetransmit: 1 TCPTimeouts: 2 2 connections reset due to early user close TCPRcvCoalesce: 16 TCPAutoCorking: 6 TCPSynRetrans: 2 TCPOrigDataSent: 56 TCPDelivered: 70 IpExt: InMcastPkts: 76 OutMcastPkts: 77 InBcastPkts: 15 OutBcastPkts: 15 InOctets: 431065 OutOctets: 65974 InMcastOctets: 9435 OutMcastOctets: 9124 InBcastOctets: 1059 OutBcastOctets: 1059 InNoECTPkts: 830 parallels@parallels-Parallels-Virtual-Platform:~$ netstat -l Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:domain 0.0.0.0:* LISTEN tcp 0 0 localhost:ipp 0.0.0.0:* LISTEN tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN udp 0 0 0.0.0.0:34725 0.0.0.0:* udp 0 0 localhost:domain 0.0.0.0:* udp 0 0 0.0.0.0:631 0.0.0.0:* udp 0 0 0.0.0.0:mdns 0.0.0.0:* udp6 0 0 [::]:54263 [::]:* udp6 0 0 [::]:mdns [::]:* raw6 0 0 [::]:ipv6-icmp [::]:* 7 Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 40982 @/tmp/.ICE-unix/2258 unix 2 [ ACC ] STREAM LISTENING 37764 /tmp/.X11-unix/X0 unix 2 [ ACC ] SEQPACKET LISTENING 17436 /run/udev/control unix 2 [ ACC ] STREAM LISTENING 40312 @/tmp/dbus-2137JWwNxO unix 2 [ ACC ] STREAM LISTENING 37405 /run/user/1000/systemd/private unix 2 [ ACC ] STREAM LISTENING 37410 /run/user/1000/bus unix 2 [ ACC ] STREAM LISTENING 37411 /run/user/1000/gnupg/S.dirmngr unix 2 [ ACC ] STREAM LISTENING 37412 /run/user/1000/gnupg/S.gpg-agent.browser unix 2 [ ACC ] STREAM LISTENING 37414 /run/user/1000/gnupg/S.gpg-agent.extra unix 2 [ ACC ] STREAM LISTENING 37417 /run/user/1000/gnupg/S.gpg-agent.ssh unix 2 [ ACC ] STREAM LISTENING 37418 /run/user/1000/gnupg/S.gpg-agent unix 2 [ ACC ] STREAM LISTENING 37419 /run/user/1000/pk-debconf-socket unix 2 [ ACC ] STREAM LISTENING 37420 /run/user/1000/pulse/native unix 2 [ ACC ] STREAM LISTENING 37421 /run/user/1000/snapd-session-agent.socket unix 2 [ ACC ] STREAM LISTENING 38336 @/tmp/dbus-KNmuvSF3 unix 2 [ ACC ] STREAM LISTENING 37763 @/tmp/.X11-unix/X0 unix 2 [ ACC ] STREAM LISTENING 37499 /run/user/1000/keyring/control unix 2 [ ACC ] STREAM LISTENING 17409 /run/systemd/private unix 2 [ ACC ] STREAM LISTENING 17411 /run/systemd/userdb/io.systemd.DynamicUser unix 2 [ ACC ] STREAM LISTENING 40983 /tmp/.ICE-unix/2258 unix 2 [ ACC ] STREAM LISTENING 40670 /run/user/1000/keyring/pkcs11 unix 2 [ ACC ] STREAM LISTENING 17422 /run/systemd/fsck.progress unix 2 [ ACC ] STREAM LISTENING 41158 /run/user/1000/keyring/ssh unix 2 [ ACC ] STREAM LISTENING 17432 /run/systemd/journal/stdout unix 2 [ ACC ] STREAM LISTENING 27294 @/tmp/dbus-WiVk8ram unix 2 [ ACC ] STREAM LISTENING 17736 /run/systemd/journal/io.systemd.journal unix 2 [ ACC ] STREAM LISTENING 60034 @/dbus-vfs-daemon/socket-EGz2dAav unix 2 [ ACC ] STREAM LISTENING 38337 @/tmp/dbus-yLYVgUSd unix 2 [ ACC ] STREAM LISTENING 39169 /tmp/ssh-KbaAYvIXQiZa/agent.2103 unix 2 [ ACC ] STREAM LISTENING 44273 @parallels-sga-socket@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ unix 2 [ ACC ] STREAM LISTENING 22541 /run/acpid.socket unix 2 [ ACC ] STREAM LISTENING 22543 /run/avahi-daemon/socket unix 2 [ ACC ] STREAM LISTENING 22545 /run/cups/cups.sock unix 2 [ ACC ] STREAM LISTENING 22547 /run/dbus/system_bus_socket unix 2 [ ACC ] STREAM LISTENING 22549 /run/snapd.socket unix 2 [ ACC ] STREAM LISTENING 22551 /run/snapd-snap.socket unix 2 [ ACC ] STREAM LISTENING 22554 /run/uuidd/request unix 2 [ ACC ] STREAM LISTENING 22406 /run/irqbalance//irqbalance652.sock unix 2 [ ACC ] STREAM LISTENING 27293 @/tmp/dbus-Cpdg820d unix 2 [ ACC ] STREAM LISTENING 40135 @/home/parallels/.cache/ibus/dbus-SaqnFuHN windows下异常端口/连接检查 netstat 官方 https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/netstat

服务信息检查

Mon, 19 Jul 2021 12:00:00 +0800

Linux下服务信息检查 chkconfig（linux） redhat中常用基本命令 chkconfig [--add][--del][--list][系统服务] 或 chkconfig [--level <等级代号>][系统服务][on/off/reset] --add 增加所指定的系统服务，让 chkconfig 指令得以管理它，并同时在系统启动的叙述文件内增加相关数据。chkconfig确保每个运行级有一项启动(S)或者杀死(K)入口。如有缺少，则会从缺省的init脚本自动建立。 --del 删除所指定的系统服务，不再由 chkconfig 指令管理，并同时在系统启动的叙述文件内删除相关数据。删除服务，并把相关符号连接从/etc/rc[0-6].d删除。 --level<等级代号> 指定读系统服务要在哪一个执行等级中开启或关毕。设置某一服务在指定的运行级是被启动，停止还是重置。列出chkconfig 所知道的所有命令。

计划任务检查

Thu, 15 Jul 2021 12:00:00 +0800

计划任务检查 linux计划任务检查 crontab 基本使用 crontab [ -u user ] file crontab [ -u user ] { -l | -r … Autoruns 在微软的Sysinternals实用工具（故障诊断工具套装）中，可运行于 Windows XP、Windows Server 2003 和更高 …

命令行历史记录

Mon, 12 Jul 2021 22:00:00 +0800

linux下命令行历史记录原理的解释这里参考白胖子关于linux命令行history的解释，其中概述对history的原理解释的比较通俗易懂，这里引用过来：当执行命令后，系统默认会在内存记录执行过的命令当用户正常退出时，会将内存的命令历史存放对应历史文件中，默认是~/.bash_history 登录shell时，会读取命令历史文件中记录下的命令加载到内存中登录进shell后新执行的命令只会记录在内存的缓存区中；这些命令会用户正常退出时“追加”至命令历史文件中利用命令历史。可以用它来重复执行命令，提高输入效率 bash history内建函数

启动项检查

Sat, 10 Jul 2021 22:00:00 +0800

在日常应急的过程中，攻击者常常通过恶意软件或自定义脚本插入启动项，利用系统自启实现恶意程序/远控程序/脚本延缓执行，达到持续控制的目的。因此有必要在日常应急场景中，针对启动项检查。本文就是为了记录对linux和windows的启动项检查简要方式梳理，对于linux还根据启动过程进行了额外的分析。

系统用户审查

Tue, 18 May 2021 01:46:25 +0800

windows查看用户 whoami 查看当前用户 net user 命令释义查阅官网文档 net user [ { | *} []] [/domain] net user [ { | *} /add [] [/domain]] net user [ [/delete] [/domain]] 参数描述指定用户账户名字用于添加/删除/修改/查看。账户名称最多20字符。分配/修改用户账户密码。password参数输入*，会产生一个前端的提示，“请输入密码： ”，这时输入的密码均不会出现原文，密码输入均以不可见方式输入，并且系统会要求两次输入确保输入无误。 /domain 在计算机的主域的域控制器上执行操作。指定命令行选项。关于命令行选项语法的描述请参见下表。 net help 显示指定net命令的帮助。命令行选项语法描述 /active: {no | yes} 启用或禁用用户帐户。如果该用户帐户未激活，则该用户无法访问计算机上的资源。默认为yes(即活动)。 /comment: "" 提供关于用户帐户的描述性注释。这个注释最多可以有48个字符。将文本用引号括起来。 /countrycode: 使用操作系统国家/地区代码实现用户帮助和错误消息的指定语言文件。0表示默认的国家/地区代码。 expires: |

| | never 如果指定日期，则导致用户帐户过期。根据国家/地区代码的不同，过期日期的格式可以是[MM/DD/YYYY]、[DD/MM/YYYY]或[mmm, DD,YYYY]。请注意，帐户将在指定日期开始时过期。对于月份值，您可以使用数字，拼写出来，或者使用三个字母的缩写(即，Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec)。可以使用两个或四个数字作为年份值。使用逗号或斜杠来分隔日期。不要使用空格。如果忽略，则假定该日期(即，根据您计算机的日期和时间)的下一个出现。例如，以下条目在1994年1月10日和1995年1月8日之间输入是等价的: jan,91/9/95january,9,19951/9 /fullname: “” 指定用户的全名而不是用户名。将名称用引号括起来。 /homedir: 设置用户的主目录的路径。该路径必须已经存在。 /passwordchg: {yes | no} 指定用户是否可以修改自己的密码。默认为yes。 /passwordreq: {yes | no} 指定用户帐户是否必须有密码。默认为yes。 /profilepath: [] 设置用户登录配置文件的路径。这个路径指向一个注册表配置文件。 /scriptpath: 设置用户登录脚本的路径。<路径>不能是绝对路径。相对于%systemroot%\System32\Repl\Import\Scripts。 /times: {[<-Day>][,[-]],[-][,[-]][;] | all} 指定允许用户使用计算机的次数。< >时间限制为1小时递增。对于值，您可以拼写出日期的名称或使用缩写(即M、T、W、Th、F、Sa、Su)。您可以使用12小时或24小时表示法表示小时。如果您使用12小时表示法，请使用AM和PM，或A.M.和P.M.值all表示用户始终可以登录。空值(空白)意味着用户永远不能登录。用逗号分隔日和时间，用分号分隔日和时间的单位(例如，M,4AM-5PM;T,1PM-3PM)。在指定的时间不要使用空格。 /usercomment: "" 指定管理员可以为该帐户添加或更改“用户评论”。将文本用引号括起来。 /workstations: {[,...] | *} 列出用户可以从其中登录到网络的至多8个工作站。列表中的多个条目用逗号分隔。如果/工作站没有列表或列表是星号(*)，则用户可以从任何计算机登录。常用语句以下示例显示本地计算机的所有用户帐户列表: net user 显示用户账号tommyh的信息，示例如下: net user tommyh 下面的示例为一个用户添加了一个用户帐户，该用户的全名是Jay Jamison，用户名是jayj，拥有从周一到周五上午8点到下午5点的登录权限(时间指定中没有空格)，一个强制密码(Cyk4^g3B)和用户的全名: net user jayj Cyk4^g3B /add /passwordreq: yes /times: monday-friday,8am-5pm /fullname: "Jay Jamison" 下面的示例使用24小时表示法设置miked的登录时间(8 A.M.到5 P.M.): net user miked /time: M-F,08: 00-17: 00 下面的示例使用12小时表示法设置miked的登录时间(8 A.M.到5 P.M.): net user miked /time: M-F,8AM-5PM 以下示例指定的登录时间为: 星期一早上4点到下午5点，星期二下午1点到下午3点，星期三到星期五上午8点到下午5点。 net user anibals /time: M,4AM-5PM;T,1PM-3PM;W-F,8: 00-17: 00