檢視次數:

使用可用的遠端殼層命令來調查 Windows 端點。

注意
注意
指定檔案位置時,請注意不支援 UNC 路徑。
命令
說明
語法
範例
支援於
cat
輸出所選文件的內容(最大大小 1MB)
cat <file_location_and_extension>
注意
注意
對於 <file_location_and_extension>,請指定檔案的絕對或相對路徑、檔案名稱和檔案副檔名。
  • 要輸出位於當前目錄 (C:\Users\Administrator\Downloads) 中的 example.txt 文件的內容:
    下載>cat example.txt
  • 要輸出位於 C:\temp 目錄中的 example.txt 檔案內容:
    下載>cat c:\temp\example.txt
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
cd
更改當前工作目錄
cd <path>
注意
注意
對於 <path>,請指定絕對或相對路徑。
\cd C:\
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
清除
清除螢幕
清除
清除
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
cp
將檔案或目錄複製到特定目的地
cp <source_object> <destination_object> [--force]
注意
注意
  • 對於 <source_object><destination_object>,請指定目錄的絕對或相對路徑、檔案名稱和檔案副檔名(如果需要)。
  • 使用 --force 參數來覆寫現有的物件。
  • 要將目前目錄 (C:\Users\Administrator\Downloads) 中的 Finances 目錄複製到 C:\example 並覆蓋現有目錄:
    下載>cp Finances C:\example --force
  • 要將目錄 C:\Users\Administrator\Downloads 中的 example.txt 檔案複製到 C:\temp 並覆蓋現有的 example.txt 檔案:
    下載>cp C:\Users\Administrator\Downloads\example.txt C:\temp --force
  • XDR Endpoint Sensor
env
列出環境變數
env
環境
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
fileinfo
列出詳細檔案內容
fileinfo <file_location_and_extension>
注意
注意
對於 <file_location_and_extension>,請指定檔案的絕對或相對路徑、檔案名稱和檔案副檔名。
  • 要列出當前目錄 (C:\Users\Administrator\Downloads) 中 example.txt 檔案的檔案內容:
    下載>fileinfo example.txt
  • 要列出位於 C:\temp 目錄中的 example.txt 檔案的檔案內容:
    fileinfo C:\temp\example.txt
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
取得
收集特定檔案並上傳至Trend Vision One
最大檔案大小:4 GB
取得 <file_location_and_extension>
注意
注意
對於 <file_location_and_extension>,請指定檔案的絕對或相對路徑、檔案名稱和檔案副檔名。
此命令不支援收集受保護的 Windows 檔案。
警告
警告
下載可疑樣本可能會對您的端點造成潛在危害。請確保在繼續之前採取必要的預防措施。Trend Vision One 會自動將收集的樣本存儲在受密碼保護的 ZIP 壓縮檔案中。
  • 要在當前目錄 (C:\Users\Administrator\Downloads) 中收集檔案 example.txt
    下載>get example.txt
  • 要收集位於 C:\temp 目錄中的 example.txt 檔案:
    get C:\temp\example.txt
  • 要在具有寫入權限的系統資料夾中收集受保護的 Windows 檔案,請嘗試使用 cp 命令將檔案複製到系統資料夾外,然後使用 get 命令。
  • XDR Endpoint Sensor
群組清單
列出本地群組資訊
群組清單
群組列表
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
幫助
顯示幫助資訊
幫助
幫助
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
ipconfig
顯示網路配置資訊
ipconfig
ipconfig
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
終止
終止正在執行的程序
kill <PID>
重要
重要
您無法使用 kill 命令來終止趨勢科技的進程。
kill 1234
  • XDR Endpoint Sensor
listenports
列出監聽端口
listenports
監聽端口
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
ls
列出目錄內容
ls [路徑]
注意
注意
對於 <path>,請指定絕對或相對路徑。
ls
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
memdump
Trend Vision One主控台建立一個可用作已加密檔案的程序記憶體傾印
memdump [--ma] [--mm] --pid <pid>
--ma:建立完整的進程記憶體傾印。
-mm:建立迷你進程記憶體傾印。
--pid:指定進程 ID <pid> 的必需參數
注意
注意
memdump 不支援轉存系統進程或建立大於 4GB 的轉存檔案。
memdump --mm --pid 1234
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
mkdir
創建新目錄
mkdir <path>
注意
注意
對於 <path>,請指定絕對或相對路徑。
  • 要在當前目錄 (C:\Users\Administrator\Downloads) 中創建 temporary 目錄:
    下載>mkdir temporary
  • 要在 C:\temp 目錄中建立 temporary 目錄:
    下載>mkdir C:\temp\temporary
  • XDR Endpoint Sensor
mv
將檔案或目錄移動到特定目的地
mv <source_object> <destination_object> [--force]
注意
注意
  • 對於 <source_object><destination_object>,請指定目錄的絕對或相對路徑、檔案名稱和檔案副檔名(如果需要)。
  • 使用 --force 參數來覆寫現有的物件。
  • 要將目前目錄 (C:\Users\Administrator\Downloads) 中的 temporary 目錄移動到 C:\example 並覆蓋現有目錄:
    下載>mv temporary C:\example --force
  • 要將目錄 C:\Users\Administrator\Downloads 中的 example.txt 檔案移動到 C:\temp 並覆蓋現有的 example.txt 檔案:
    下載>mv C:\Users\Administrator\Downloads\example.txt C:\temp --force
  • XDR Endpoint Sensor
netstat
列出網路統計和活動連線
netstat
netstat
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
ps
列出正在執行的進程資訊
ps
ps
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
pwd
顯示當前目錄
pwd
密碼
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
reg query
列出註冊表資訊
reg query <key> [--value=<value_name>]
  • 列出 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion 註冊表機碼的內容:
    C: >reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
  • 若要僅列出 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion 登錄機碼中 "Details" 的資料防護:
    C: >reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion --value=Details
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
rm
刪除檔案或目錄(及所有子目錄)
rm <source_object> [--force]
注意
注意
  • 對於 <source_object>,請指定目錄的絕對或相對路徑、檔案名稱和檔案副檔名(如果需要)。
  • 使用 --force 參數來刪除配置為 唯讀 的物件。
  • 要刪除當前目錄 (C:\Users\Administrator\Downloads) 中的 temporary 目錄及所有唯讀對象:
    下載>rm temporary --force
  • 要刪除目錄 C:\Users\Administrator\Downloads 中的 example.txt 檔案:
    下載>rm C:\Users\Administrator\Downloads\example.txt
  • XDR Endpoint Sensor
執行
執行先前上傳的腳本
運行 <script_name_and_extension> [arguments]
運行 demo.ps1 1 "22 33" 44
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
排程任務
列出排程任務
排程任務
排程任務
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
服務列表
列出服務資訊
服務列表
服務列表
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
systeminfo
列出系統資訊
systeminfo
系統資訊
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
用戶資訊
列出帳戶屬性
用戶資訊 <username>
用戶資訊 john_doe
  • XDR Endpoint Sensor
用戶列表
列出本機使用者帳號
用戶列表
用戶列表
  • XDR Endpoint Sensor
  • Deep Security Agent(由Trend Cloud One - Endpoint & Workload Security管理)
zip
將檔案或目錄壓縮成 zip 檔案,並可選擇使用密碼加密該檔案
zip <source_object1> [<source_object2...> <source_objectn>] <destination_object> [--password <password>] [--force]
注意
注意
  • 對於 <source_object><destination_object>,請指定目錄的絕對或相對路徑、檔案名稱和檔案副檔名(如果需要)。
  • 使用 --force 參數來覆寫現有的物件。
  • 要將當前目錄 (C:\Users\Administrator\Downloads) 中 temporary 目錄的內容壓縮到 C:\example\directoryArchive.zip,請設置密碼為 P@ssw0rd 並覆蓋現有文件:
    下載>zip temporary C:\example\directoryArchive.zip --password P@ssw0rd --force
  • 要將目錄 C:\Users\Administrator\Downloads 中的 example.txt 文件壓縮到 C:\temp\exampleArchive.zip 並覆蓋現有文件:
    下載>zip C:\Users\Administrator\Downloads\example.txt C:\temp\exampleArchive.zip --force
  • XDR Endpoint Sensor