Ejemplos de comandos de respuesta en vivo
Se aplica a:
Obtenga información sobre los comandos comunes que se usan en la respuesta en directo y vea ejemplos sobre cómo se usan normalmente.
En función del rol que tenga, puede ejecutar comandos de respuesta en directo básicos o avanzados. Para obtener más información sobre los comandos básicos y avanzados, consulte Investigación de entidades en dispositivos con respuesta dinámica.
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
# List active connections in json format using parameter name
connections -output json
# List active connections in json format without parameter name
connections json
# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
# List files and sub-folders in the current folder, with their full path
dir -full_path
# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\
# List files and subfolders in the current folder in json format
dir -output json
# Display information about a file
fileinfo C:\Windows\notepad.exe
# Find file by name
findfile test.txt
# Download a file from a machine
getfile c:\Users\user\Desktop\work.txt
# Download a file from a machine, automatically run prerequisite commands
getfile c:\Users\user\Desktop\work.txt -auto
Los siguientes tipos de archivo no se pueden descargar mediante este comando desde Live Response:
- Archivos de punto de reanálisis
- Archivos dispersos
- Archivos vacíos
- Archivos virtuales o archivos que no están totalmente presentes localmente
PowerShell admite estos tipos de archivo.
Use PowerShell como alternativa, si tiene problemas al usar este comando desde Live Response.
# List files in the library
# Delete a file from the library
library delete script.ps1
# Show all processes
# Get process by pid
processes 123
# Get process by pid with argument name
processes -pid 123
# Get process by name
processes -name notepad.exe
# Upload file from library
putfile get-process-by-name.ps1
# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite
# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep
# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console
# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize
# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe
# Remediate process with specific PID
remediate process 7960
# See list of all remediated entities
remediate list
Actualmente, HKEY_USERS
reg hive no es compatible con remediate
. Se trata de un problema conocido y lo estamos examinando.
# Run PowerShell script from the library without arguments
run script.ps1
# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"
Para comandos de larga duración, como "run" o "getfile", es posible que desee usar el símbolo "&" al final del comando para realizar esa acción en segundo plano. Esto le permite continuar investigando la máquina y volver al comando en segundo plano cuando se termina con el comando básico "fg".
Al pasar parámetros a un script de respuesta dinámica, no incluya los siguientes caracteres prohibidos: ';', '&', '|', '!' y '$'.
# Get all scheduled tasks
# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition
# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"
# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize
# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition
# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe
