Anlisis de los comandos en Windows para extraccin de informacin

Stivenson Rincn Mora

Yenireth Ortega Ortiz
Universidad Simn ol!var
"xtensin #$c%ta
&'()
Archivo evidencia.bat
Comandos Comunes
Sintaxis Comando Explicacin
echo *mensa+e, -mprime el mensa+e especificado
delante de el por consola.
echo *a, ,, *archivo, -mprime %n texto o varia/le en el
archivo especificado.
0echo off 1esactiva los mensa+es 2%e se
imprimen a%tomticamente cada vez
2%e se realizan acciones como cam/io
de directorios3 etc.
exit #ierra el s!m/olo del sistema.
pa%se 4ace %na pa%sa en la e+ec%cin del
archivo ./at
-f *condicion, *accion, "+ec%ta la accin3 si la condicin
especificada es verdadera.
5oto *eti2%eta,
6 *eti2%eta,
1a %n salto en la e+ec%cin hasta la
eti2%eta especificada.
Comandos especficos y su funcin para extraer informacin
Sintaxis Comando Explicacin
set7p %nidad8
set7p letrero8 "scri/a el n$mero
determinado 9 p%lse ":;"R.
4ace %na pa%sa para esperar %n
valor para la varia/le3 la c%al p%ede
asignarse expl!citamente o desde
%n dispositivo de entrada3 en este
caso el teclado.
"n el propsito del /at3 sirve para
2%e el %s%ario indi2%e la %nidad a la
c%al se le va hacer extraccin de
metadatos.
path8<%nidad<6=evidencia=res%ltados
>i+a %na r%ta de /$s2%eda 9
hace 2%e cmd.exe /%s2%e en esa
r%ta especificada.
"n el propsito del /at3 fi+a %na
carpeta predeterminada en donde
se g%ardarn los res%ltados.
del <%nidad<6=evidencia=res%ltados 72
orra la carpeta res%ltados en la
%nidad 9 r%ta especificada3 en caso
de 2%e exista3 el parmetro ?72@
elimina el eco.
"n el propsito del /at3 orra la
carpeta de res%ltados en caso de
2%e 9a exista para generar %na
n%eva recoleccin act%alizada
completamente.
mAdir <%nidad<6=evidencia=res%ltados
#rea la carpeta res%ltados en la
%nidad 9 r%ta especificada.
"n el propsito del /at3 crea la
carpeta donde se g%ardar el
archivo con los res%ltados de la
extraccin de los metadatos.
date 7; ,,<%nidad
<6=evidencia=res%ltados=evidencia.txt "scri/e la fecha act%al en otra l!nea
en el archivo especificado.
"n el propsito del /at3 g%arda la
fecha act%al de la extraccin en %na
l!nea en el archivo evidencia.txt
#on el parmetro 7t se o/tiene la fecha
del sistema sin solicitar %na n%eva fecha.
echo hora,,<%nidad
<6=evidencia=res%ltados=evidencia.txt "n el propsito del /at3 imprime el
texto ?hora@ en el archivo
evidencia.txt.
time 7;,,<%nidad
<6=evidencia=res%ltados=evidencia.txt "n el propsito del /at3 imprime la
hora act%al en el archivo
evidencia.txt
#on el parmetro 7t se o/tiene la
hora del sistema sin solicitar %na
n%eva.
echo -B,,<%nidad
<6=evidencia=res%ltados=evidencia.txt "n el propsito del /at3 imprime el
texto ?-B@ en el archivo
evidencia.txt.
ipconfig Call,,<%nidad
<6=evidencia=res%ltados=evidencia.txt "n el propsito del /at3 imprime la
config%racin de la -B en el archivo
evidencia.txt 9 tam/iDn las
config%raciones de todas las
conexiones de red en el e2%ipo.
echo R%tas,,<%nidad
<6=evidencia=res%ltados=evidencia.txt "n el propsito del /at3 imprime el
texto ?R%tas@ en el archivo
evidencia.txt.
ro%te print,,<%nidad
<6=evidencia=res%ltados=evidencia.txt -mprime la config%racin del ro%te.
echo nom/re ma2%ina,,<%nidad
<6=evidencia=res%ltados=evidencia.txt
"n el propsito del /at3 imprime el
texto ?nom/re ma2%ina@ en el
archivo evidencia.txt.
hostname,,<%nidad
<6=evidencia=res%ltados=evidencia.txt
-mprime el nom/re del e2%ipo en el
archivo evidencia.txt.
echo conexiones,,<%nidad
<6=evidencia=res%ltados=evidencia.txt
-mprime el texto ?conexiones@ en el
archivo evidencia.txt.
netstat Can,,<%nidad
<6=evidencia=res%ltados=evidencia.txt -mprime %n listado de las
conexiones activas de %na
comp%tadora en el archivo
evidencia.txt.
-a Eis%aliza todas las conexiones 9
p%ertos ;#B 9 U1B3 incl%9endo las
2%e estn Fen esc%chaF GlisteningH.
-n Se m%estran los p%ertos con s%
identificacin en forma n%mDrica 9
no de texto.
sc.exe 2%er9,,<%nidad
<6=evidencia=res%ltados=evidencia.txt
-mprime el estado de %n servicio si
va seg%ido de %n nom/re de
servicio3 en el archivo evidencia.txt3
9 en%mera el estado de todos los
servicios si no va seg%ido de %n
nom/re de servicio.
n/tstat Can ,,<%nidad
<6=evidencia=res%ltados=evidencia.txt
imprime las estad!sticas del
protocolo 9 las conexiones act%ales
de ;#B7-B %sando :; G:et-OS
so/re ;#B7-BH3 en el archivo
evidencia.txt
-a Gestado del adaptadorH 4ace %na
lista de la ta/la de nom/res de los
e2%ipos remotos seg$n s% nom/re.
-n Gnom/resH 4ace %na lista de los
nom/res :et-OS locales.
fport,,<%nidad
<6=evidencia=res%ltados=evidencia.txt
-mprime todos los p%ertos a/iertos3
as! como las aplicaciones 2%e los
estn %sando3 en el archivo
evidencia.txt
pslist,, M%estra informacin acerca de
procesos 9 s%/procesos.
psinfo,, Slo mostrar los datos del campo
con el 2%e coincida el filtro
psloggedon,, "specifica %n nom/re de
%s%ario3 BsIoggedOn /%sca en la
red los e2%ipos en los 2%e dicho
%s%ario ha9a iniciado sesin.
Res%lta $til si desea aseg%rarse de
2%e %n %s%ario concreto no tiene
%na sesin activa c%ando est a
p%nto de cam/iar s% config%racin
de perfil de %s%ario.
ntlast,, Bermite escanear rpidamente la
informacin de inicio de sesin para
determinar 2%iDn inicia sesin3
intentar iniciar %na sesin 9 c%ndo.
arp Ca,, Activa o desactiva el %so del
protocolo ARB de la interfaz.
Bermite modificar las ta/las de
protocolo ARB 2%e cam/ia -B en
direcciones MA#
listdlls.exe,, M%estra el res%ltado de la e+ec%cin
de listdlls so/re s! misma.
mode,, #omando m%ltipropsito %sado para
la config%racin de dispositivos de
sistema. Usado sin parmetros
m%estra el estado de los
dispositivos #OM(3 #OM&3 IB;( 9
#O:.
fs%til fsinfo drives,, >s%til es el comando %sado para la
administracin del sistema de
archivos 9 vol$menes 9 a s% vez
tiene s%/comandos entre estos
>SU;-I >S-:>O 1R-E"S sirve para
o/tener informacin de %nidades en
el sistema.
fs%til fsinfo drivest9pe c6,, "ste comando se %tiliza para
o/tener informacin de %na %nidad
en especifico 9 para el e+emplo es la
%nidad c.
fs%til fsinfo ntfsinfo c6,,6 permite o/tener informacin :;>S
del vol%men c6
fs%til fsinfo statistics c6 Bermite o/tener todas las
estad!sticas del vol%men c6
ntfsinfo c6,,6 Bermite ver el tamaJo de
asignacin de %n vol%men.
mdKs%m c6,, M%estra %na cadena alfan%mDrica
Gletras 9 textosH 2%e representan
%na especie de ?h%ella digital@ del
archivo.
attri/ c6= 7a6h,,6 M%estra o cam/ia los atri/%tos de
%n archivo 9 el atri/%to a se %sa
para marcar archivos 2%e han sido
modificados3 el atri/%to h para
archivos oc%ltos 9 evitar s% daJo de
forma accidental.
dir 7t6c7a7s7o6d c6=,, M%estra el contenido de %n
directorio 9 los atri/%tos especifican
la informacin 2%e 2%iero ver.