세상에 하나 뿐인~~

<POWERSHELL 활용>
제 파워쉘 버전은 5.1버전입니다

## GET-...
" PROCESS 프로세스 정보를 확인합니다
(gps)# get-process

" PROCESS [s] 로 시작하는 모든 프로세스를 확인합니다
# get-process [s]*

" PROCESS 어떤 프로세스가 700개 이상의 핸들을 점유하고 있는 지 확인합니다
# get-process | where handles -gt 700 | sort cpu -descending

" PROCESS workingset 메모리가 100M 이상인 프로세스를 확인합니다
# get-process | where-object {$_.workingset -gt 100mb} | sort pm -descending

" PROCESS 프로세스 중 마지막 10개만 정렬해서 htm 문서화합니다
# get-process | select-object -last 10 | select-object name, handle, cpu, id, workingset | convertto-html | out-file c:\process.htm

" PROCESS 프로세스 이름이 sv로 시작하는 프로세스를 확인합니다
# get-process | where ProcessName -Like sv*

" PROCESS gvim 프로세스의 자세한 정보를 확인합니다
# get-process gvim | format-list *

"" PROCESS wmi*로 시작하는 프로세스를 전부 종료합니다
# get-process | where processname -like wmi* | kill

"" PROCESS vmw*로 시작하는 프로세스를 전부 종료합니다
# get-process | where processname -like vmw* | stop-process -Force






"" SCHEDULEDTASK ashley라는 이름의 예약작업 정보를 확인합니다
# get-scheduledtask | where taskname -like *ashley* | fl *





"WMIOBJECT win32_pingstatus를 이용해 IP를 확인합니다
# get-wmiobject win32_pingstatus -filter "address='localhost'"

"" WMIOBJECT win32_logicaldisk를 이용해 c:\ 정보를 확인합니다
# get-wmiobject win32_logicaldisk

"" WMIOBJECT 설치된 프로그램 중 sql이 포함된 프로그램을 확인합니다
# get-wmiobject win32_product | where-object -filterscript { $_.tostring() -match "sql"}








" CHILDITEM dir 과 비슷한 명령어입니다
(dir)# get-childitem

"" CHILDITEM 현재 폴더에서 *.html 파일 중 100mb 이하인 파일을 모두 삭제합니다
# get-childitem .\* -include *.html | where-object -filterscript { $_.length -lt 100mb} | remove-item -force

"" CHILDITEM 해당 폴더에서 .jpg 파일을 전부 찾은 다음 이름순에 따라 겹치는 항목 없이 정렬합니다
# get-childitem c:\users\gyurs\desktop\edward\ -include *.jpg -recurse | sort-object -property directoryname -unique

"" CHILDITEM 현재 폴더에 있는 .jpg 파일들 중 20160101 이후에 수정되거나 생성된 파일만 해당 경로로 강제로 복사합니다 (백업시 사용)
# get-childitem .\* -recurse -include *.jpg | where-object {($_.lastwritetime -gt 2016-01-01) -and ($_.creationtime -gt 2016-01-01)} | copy-item -destination c:\users\gyurs\downloads\ -force




" PSDRIVE 현재 드라이브 정보를 조회할 수 있습니다
# get-psdrive


" COMMAND 특정 명령어의 커맨드 리스트를 보여줍니다
# get-command get-member


" COMMAND form이라는 동사 커맨드가 들어간 커맨드를 찾을 때 사용합니다
# get-command -verb *form*


" HELP 특정 커맨드의 사용법을 알려줍니다
# get-help get-member


" HELP GET-MEMBER의 상세한 설명을 확인합니다
# get-help get-member -detailed


" HELP GET-MEMBER의 모든 설명을 봅니다
# get-help get-member -full



" ALIAS 모든 별칭의 리스트를 볼 수 있습니다
# get-alias



" DATE 현재의 시간을 구합니다
# get-date



" ITEM c:\Windows 폴더에 가장 최근 접근한 시간을 보여줍니다
# (get-item C:\Windows).LastAccessTime

" ITEM c:\Windows\의 모든 파일을 w를 제외하고 보여줍니다
# get-item c:\Windows\*.* -exclude w*




" HISTORY 지금까지 입력한 command의 목록을 볼 수 있습니다
# get-history



" EVENTLOG 이벤트로그 목록을 확인합니다
# get-eventlog -list

" EVENTLOG 이벤트로그를 20160805 이후에 생성된 installer 구문이 들어간 로그를 10개만 확인합니다
# get-eventlog -logname application -message *installer* -after 2016-08-05 -newest 10

"" EVENTLOG 이벤트로그(6009)로 시스템 부팅 시 발생한 로그를 확인합니다
# get-eventlog system | Where-Object {$_.eventid -eq 6009} | more

"" EVENTLOG 이벤트로그를 통해 에러가 났던 로그를 확인합니다 (format-table형식으로)
# get-eventlog system | Where-Object {$_.entrytype -match "error"} | format-table eventid, source, timewritten -autosize | more






"" SERVICE 현재 running 상태인 서비스 목록을 확인합니다
(gsv)# get-service | where-object {$_.status -eq "running"}

"" SERVICE running 서비스 중에서 sql 글자가 들어간 서비스를 검색합니다
# get-service | where-object {$_.status -eq "running"} | where Name -like *sql*

"" SERVICE sql*로 시작하는 프로세스 중 동작 중인 프로세스를 종료합니다
# get-service | where Name -like sql* |where status -eq running | Stop-Service -Force




"" APPXPACKAGE 파워쉘을 이용해 microsoft EDGE를 설치합니다
# get-appxpackage -allusers -name microsoft.microsoftedge | foreach {add-appxpackage -disabledevelopmentmode -register "$($_.installlocation)\appxmanifest.xml" -verbose}

"" APPXPACKAGE get started 윈도우 10 app을 삭제합니다
# get-appxpackage *getstarted* | remove-appxpackage






## STOP-...
" PROCESS lmgrd 프로세스를 종료하면 어떤 결과가 발생할 지 예측합니다
# stop-process -name lmgrd -whatif

" PROCESS lmgrd 프로세스를 종료할 때 확인 프롬프트를 띄웁니다
# stop-process -name lmgrd -confirm





## SET-...
" EXECUTIONPOLICY 스크립트 실행 보안을 해제합니다
# set-executionpolicy remotesigned


" EXECUTIONPOLICY 공유폴더에 위치한 서명안된 스크립트를 실행합니다
# set-executionpolicy unrestricted





## EXPORT-..., IMPORT-...
" CSV process 목록을 csv로 저장시킨 후 정렬해서 불러옵니다
# ps | export-csv pslist.csv
# import-csv pslist.csv | select-object starttime | sort processname -Descending




## NEW-...
" ITEM mkdir과 비슷하게 폴더를 만듭니다
(ni)# new-item -type directory -path "path_name"

"" ITEM 새로운 txt 파일을 내용을 갖춘채로 만듭니다
# new-item .\new_file.txt -type file -force -value "this is text added to the file"

" ITEM 디렉토리를 만들면 어떤 결과물이 나올지를 확인합니다(whatif)
# new-item -path c:\ -name dirtest -itemtype directory -whatif




## REMOVE-...
"" ITEM alias로 등록되어 있는 get_event를 지웁니다
# remove-item alias::get_event





## .NET FRAMEWORK
" MATH::POW .net에서 함수를 가져와 2의 3승을 계산합니다
# [math]::pow(2,3)




=================================================================================
<POWERSHELL 스크립트>

## show_uptime.ps1 { $Machine }

" 지정 한 서버의 uptime 을 출력합니다.
param([string] $Machine = ".")
" Win32_OperationSystem 오브젝트를 변수에 저장.
$OS = Get-WmiObject Win32_OperatingSystem -ComputerName $Machine
" 시스템 관리용 시간 값을 일반적인 시간 값으로 변경하여 변수에 저장.
$LastBootUpTime = [System.Management.ManagementDateTimeconverter]::ToDateTime($OS.LastBootUpTime)
" 현재 시간을 구함.
$Now = Get-Date
" Uptime 계산.
$UpTime = $Now - $LastBootUpTime
" 각 값을 계산하여 string 형식으로 변환 후 출력
[string]$UpTime.Days + " Days, " + [string]$UpTime.Hours + " Hours, " + [string]$UpTime.Minutes + " Minutes."





=================================================================================
<$ 변수의 활용>

## $ Variables
" PowerShell 버전을 확인할 수 있습니다 
# $PSVersionTable 

" ComputerName 컴퓨터 이름을 확인합니다 
# $env:computername 



## EXAMPLES
# 1
$a = 5
$a.gettype() " .net 내장타입을 알 수 있습니다
$a.gettype().name " .net의 내장타입을 알 수 있습니다2


# 2 (iexplore 프로세스를 여는 예제코드)
$ie = new-object -comobject "internetexplorer.application"
$ie | get-member -membertype method
$ie.navigate("http://www.naver.com")
$ie.visible = $true


# 3 (%userprofile% 로 이동합니다)
cd $env:userprofile




# 4 (schtasks에서 ashley 글자가 들어간 예약내용을 확인합니다)
$tasks = schtasks.exe /query /fo csv | ConvertFrom-Csv
$tasks | Where-Object {$_.taskname -like "*ashley*"}




=================================================================================
<POWERSHELL 함수>

## Variable Functions

"" 핑을 날려 서버상태를 확인합니다
# pingsrv "ip_adrress"

function pingsrv ([string] $srv )
{
$wmiobj=get-wmiobject win32_pingstatus -filter "address='$srv'"
if($wmiobj.statuscode -eq 0)
{
write-host $srv "연결됐습니다!"
}
else
{
write-host $srv " 연결이안되네요!"
}
}


"" POWERSHELL 프롬프트 형식을 바꿉니다
# Prompt
function prompt
{
$historyList = @(get-history)
if($historyList.count -gt 0)
{
$lastcommand = $historyList[$historyList.count - 1]
$lastid = $lastcommand.id }
write-host ("PS(" + ($lastid+1) + ") " + $(get-location) +">") -nonewline
return " "
}

<WMIC 명령어 활용>

' OS 관련정보 출력 (간략하게)
# wmic os list brief /format:list  
 
' OS 정보를 html 형식으로 출력해서 확인합니다
# wmic /output:osinfo.html os get /format:hform  

'' OS 시스템을 종료하거나 리부팅합니다 
# wmic os where "status='ok'" call shutdown
# wmic os where "status='ok'" call reboot


' CPU 관련정보 출력 (간략하게)
# wmic cpu list brief /format:list


' LOGICALDISK 관련정보를 확인합니다
# wmic logicaldisk where drivetype=3 get name,size,freespace,systemname /format:list  


' VOLUME 볼륨 정보를 확인합니다
# wmic volume list brief /format:list 



'' LOGON 모든 로그온 세션의 목록을 확인합니다
# wmic logon list full /format:list | more




'' ENVIRONMENT 환경설정 목록을 확인합니다
# wmic environment list full /format:list | more




'' DESKTOP 데스크탑 화면 설정을 확인합니다
# wmic desktop list full /format:list | more 




' SERVICE 정보를 확인합니다
# wmic service list brief /format:list


' SERVICE 정보를 html table 형식으로 출력해서 확인합니다
# wmic /output:service.html service list brief /format:htable 
 
'' SERVICE %ora% 구문이 들어가있는 이름의 서비스를 확인합니다
# wmic service where "name like '%ora%'" list brief
 
'' SERVICE 특정 서비스를 시작하거나 중지합니다
# wmic service where name="service_name" call startservice
# wmic service where name="service_name" call stopservice




' COMPUTERSYSTEM 정보를 html 형식으로 출력해서 확인합니다
# wmic /output:compsystem.html computersystem get /format:hform 


'  BIOS 컴퓨터 s/n 넘버 확인하기
# wmic bios get serialnumber 


' MEMORYCHIP 메모리 확인하기
# wmic memorychip get banklabel, capacity


' PATH 프로세스 시작 (생성)시간 확인하기
# wmic path win32_processor get numberofcores, numberoflogicalprocessors, processorid





' PROCESS processid가 7332인 프로세스의 정보를 간략하게 확인합니다
# wmic process where processid=7332 list brief /format:list

' PROCESS 해당 프로세스를 종료합니다
# wmic process where processid=7836 delete

' PROCESS 해당 프로세스를 디버깅합니다
# wmic process where processid=5256 call attachdebugger

'' PROCESS 해당 cmd 명령을 실행합니다 
# wmic process call create "cmd.exe /c ipconfig" >> result.txt

'' PROCESS iexplore.exe 를 종료합니다
# wmic process where name="iexplore.exe" call terminate

'' PROCESS notepad.exe 의 우선순위를 64로 설정합니다 
# wmic process where name="notepad.exe" call setpriority 64




'' CSPRODUCT 장비의 사양을 확인합니다
# wmic csproduct list brief /format:list



'' DISKDRIVE 디스크 모델명을 확인합니다 
# wmic diskdrive list brief /format:list



'' STARTUP 시작프로그램 목록을 확인합니다
# wmic startup list brief



'' PRODUCT 설치된 프로그램 리스트를 확인합니다
# wmic product get name 

'' PRODUCT  설치된 프로그램을 삭제합니다
# wmic product where name="Adobe Reader 9" call uninstall




'' USERACCOUNT 이름에 ad가 포함된 계정을 확인합니다
# wmic useraccount where "name like '%ad%'" list full

'' USERACCOUNT 관리자(administrator)의 이름을 edward로 바꿉니다
# wmic useraccount where name="administrator" call rename name="edward"



'' SYSDRIVER 시스템 드라이버를 간략하게 확인합니다
# wmic sysdriver list brief /format:list



---------------------------------------------------------------------------------------------------------
<Batch 스크립트>


'' OS, COMPUTERSYSTEM, SERVICE 관련 정보를 수집하는 스크립트입니다
'' .bat 파일로 저장하신 후 실행하시면 됩니다
# getsysteminfo.bat 

@echo off
if %1$==$ (
 rem use the localcomputername if nothing is specified
set computer=%computername%
) else (
rem use the computername passed as a parameter
set computer=%1
)
rem  Creating report for %computer%
set htmlfile=%computer%.html

rem redirect wmic output to NULL since we don't really need to see it
wmic OS get /format:hform   > "%htmlfile%"
wmic computersystem get /format:hform  >> "%htmlfile%"
wmic service where state="running" get caption,name,pathname,state,status,acceptpause,acceptstop,processid,systemname,startname  /format:htable >> "%htmlfile%"
wmic service where state="stopped" get caption,name,pathname,state,status,acceptpause,acceptstop,processid,systemname,startname  /format:htable >> "%htmlfile%"
wmic csproduct list brief /format:htable >> "%htmlfile%"
wmic cpu list brief /format:htable >>"%htmlfile%"
wmic diskdrive list brief /format:htable >>"%htmlfile%"
wmic logicaldisk list brief /format:htable >>"%htmlfile%"
wmic volume list brief /format:htable >>"%htmlfile%"
wmic NICCONFIG list brief /format:htable >>"%htmlfile%"


---------------------------------------------------------------------------------------------------------
<여러가지 옵션들>

# /format : csv, list ...

# list full, brief, free, status, system...

'' OS의 속성을 확인할 수 있습니다 (컬럼)
# wmic os get /?



---------------------------------------------------------------------------------------------------------
<WMI란 무엇인가?>

## Windows Management Instrumentation 
     # WMI는 네트워크에서 관리정보를 액세스하고 공유하는 표준을 만들기 위해 Microsoft에서 구현한 프로그램입니다
     
     # WMIC(Windows Management Instrumentation Command-line) 이란
          # WMI에 대한 간단한 명령줄 프로그램입니다

<CMD 명령어 모음>
모든 명령어는 win + R키나 cmd 명령창에서 실행하실 수 있습니다
아랫쪽에 SYSINTERNALS 도구와 NIRSOFT 도구, 기타 명령어 목록도 있습니다

$$ CMD 명령어
$ .MSC

eventvwr.msc(이벤트뷰어)
gpedit.msc(로컬 그룹 정책 설정)
secpol.msc(로컬 보안 설정)
wmimgmt.msc(WMI 관리자)
certlm.msc (인증서관리자 - 로컬컴퓨터)
certmgr.msc(인증서관리자 - 현재사용자)
fsmgmt.msc(공유폴더)
lusrmgr.msc(로컬 사용자 및 그룹)
printmanagement.msc(프린터 관리)
wf.msc(방화벽고급관리자)
devmgmt.msc (장치 관리자)(= hdwwiz.cpl)
compmgmt.msc(컴퓨터관리)
perfmon.msc(성능모니터)
taskschd.msc(작업 스케쥴러)
comexp.msc (구성요소 COM,COM+,DCOM 서비스)(= dcomcnfg.exe)








$ .EXE

$ type.exe (파일 내용 확인)(리눅스 cat과 같은 명령어)
        # edward.txt 파일의 내용을 cmd창에 표시합니다
        $ type edward.txt



$ takeown.exe (파일 권한 부여)
        # 20130202.png 파일의 소유자를 현재 계정으로 설정합니다
        $ takeown.exe /f C:\Users\gyurs\Downloads\20130202.png

        # 20130202.png 파일의 소유자를 Administrators 그룹으로 넘깁니다
        $ takeown.exe /f C:\Users\gyurs\Downloads\20130202.png /A

        # Downloads 폴더 안에 있는 모든 파일의 권한을 Administrators 그룹으로 넘깁니다
        # Administrators 그룹으로 넘김, 모든 하위파일까지 적용, 중간에 읽기 권한없는 폴더를 만나도 권한을 부여하고 계속 실행
        $ takeown.exe /f C:\Users\gyurs\Downloads\* /A /r /d y





$ attrib.exe (파일 속성 설정 도구)
        # edward.txt 파일의 속성을 숨김, 읽기전용, 시스템파일로 변경합니다
        $ attrib.exe +h +r +s edward.txt

        # edward.txt 파일의 숨김, 읽기전용, 시스템파일 속성을 해제합니다
        $ attrib.exe -h -r -s edward.txt

        # 현재 cmd창이 가리키는 폴더와 하위파일,폴더를 전부 숨김, 읽기전용, 시스템파일로 변경합니다
        $ attrib.exe +h +r +s /s /d





$ icacls.exe (파일의 사용권한 설정 도구)
        # test.txt 파일의 권한 중 edward 계정이 파일의 모든 권한을 획득합니다
        $ icacls.exe C:\Users\edward\Downloads\test.txt /grant edward:F

        # 20130202.png파일의 권한 중 edward 계정의 모든 접근을 거부합니다 (쓰기, 읽기, 수정,삭제...)
        $ icacls.exe C:\Users\edward\Downloads\20130202.png /deny edward:F

        # 20130203.png 파일의 권한 상속을 제거합니다
        $ icacls.exe C:\Users\edward\Downloads\20130203.png /inheritance:R

        # fire.txt 파일의 권한 중 edward 계정이 가지고 있는 모든 권한을 제거합니다 (edward 계정은 해당 파일에 어떤 수정도 못합니다)
        $ icacls.exe C:\Users\edward\Downloads\fire.txt /remove:g edward

        # fire.txt 파일의 권한 중 edward 계정이 가지고 있는 모든 접근 제한들을 제거합니다
        $ icacls.exe C:\Users\edward\Downloads\fire.txt /remove:d edward

        # Downloads 파일 안에 있는 모든 파일과 폴더를 edward는 접근할 수 없게 합니다
        $ icacls.exe C:\Users\edward\Downloads\* /deny edward:F /T /C

        # 모든 변경사항을 DEFAULT 값으로 되돌립니다
        $ icacls.exe C:\Users\edward\Downloads\* /reset

        # modify.txt 파일의 권한을 확인합니다
        $ icacls.exe C:\Users\edward\Downloads\modify.txt

        # modify.txt 파일의 권한을 edward 계정에게 오직 읽기 권한만 줍니다 (쓰기, 삭제 등등 불가)(상속이 안되어있는 경우에만)
        $ icacls.exe C:\Users\edward\Downloads\modify.txt /grant edward:R








$ ver.exe (윈도우 버전 확인)




$ findstr.exe (문자열 검색)
        # create 구문이 oracledatabase_admin2.sql 파일안에 있는지 검색합니다
        # 라인수, 파일이름, 대소문자를 구분없이
        $ findstr.exe /n /s /i create oracledatabase_admin2.sql

        # C드라이브의 모든 파일 중 create 구문이 들어간 파일을 검색합니다
        $ findstr.exe /n /s /i create c:\*

        # gyurs 유저 폴더 안에서 create 구문을 검색하고 결과를 result.txt에 저장합니다
        $ findstr.exe /n /s /i create c:\users\gyurs\* > result.txt






$ w32tm.exe (Windows Time 서비스 설정)
        # 현재의 TimeZone을 확인합니다
        $ w32tm.exe /tz

        # 현재 로컬컴퓨터의 시간을 동기화합니다
        $ w32tm.exe /resync

        # 1601년 1월 1일부터 지난 시간(초)를 계산해 날짜를 표시해줍니다(NT 시스템 시간)
        $ w32tm.exe /ntte 131028948948477834

        # 1900년 1월 1일부터 지난 시간(초)를 계산해 날짜를 표시해줍니다 (NTP 시스템 시간)
        $ w32tm.exe /ntpte 3763314900





$ schtasks.exe (윈도우 스케쥴러)(예약작업)(taskschd.msc로 쉽게 확인가능합니다)
        # 현재 등록된 모든 예약작업을 확인합니다
        $ schtasks.exe /query /fo LIST /v | more

        # Ashley라는 이름으로 매주 월요일 아침 8시마다 시스템계정으로 calc.exe 프로그램을 실행합니다
        $ schtasks.exe /create /tn "Ashley" /tr "c:\windows\system32\calc.exe" /sc weekly /d MON /st 08:00:00 /ru "System"

        $ ashley2라는 이름으로 1분마다 notepad.exe 프로그램을 최고권한으로 실행합니다
        $ schtasks.exe /create /tn ashley2 /tr "c:\windows\system32\notepad.exe" /sc minute /mo 1 /rl highest

        # ashley3라는 이름으로  최고권한으로 실행해서1분마다 hello라는 메세지창을 출력합니다
        $ schtasks.exe /create /tn ashley3 /tr "c:\windows\system32\msg.exe * /v /w hello" /sc minute /mo 1 /rl highest

        # ashley라는 이름의 예약작업을 강제로 삭제합니다
        $ schtasks.exe /delete /tn ashley /f

        # 생성한 ashley라는 예약작업의 계정 (SID)를 확인합니다
        $ schtasks.exe /ShowSid /TN "\ashley





$ winmgmt.exe (WMI 관리도구)
$ color.exe (프롬프트 색상을 바꿉니다)
        # 흰 색상에 검정글씨로 바꿉니다
        $ color f0


$ fsquirt.exe (블루투스를 이용한 파일 송수신)
$ getmac.exe (MAC주소를 출력하는 프로그램)
        # MAC주소를 자세히 확인합니다
        $ getmac.exe /v





$ cls.exe (cmd창 깨끗하게 정리해주는 도구)




$ nbtstat.exe (NETBIOS 프로토콜 확인)
        # 현재 캐시에 저장된 NBT 상태를 확인합니다
        $ nbtstat.exe -c

        # 저장된 NBT 세션들의 목록을 보여줍니다
        $ nbtstat.exe -S





$ label.exe (디스크 볼륨레이블 지정)
$ pnputil.exe (pnp 디바이스 열거/설치/삭제)
        # c:\drivers에 모든 패키지를 추가합니다
        $ pnputil.exe -a c:\drivers\*.inf
        
        # 패키지를 열거합니다
        $ pnputil.exe -e


$ psr.exe (단계레코더)
$ qprocess.exe (tasklist의 단순형 프로그램)
$ launchtm.exe (작업관리자)(taskmgr.exe와 동일합니다)
$ makecab.exe (cab 파일 만들기)
$ narrator.exe (음성지원 나레이터)
$ ping.exe (ping을 날리는 프로그램)
$ pathping.exe (ping + 패킷이 전달되는 루트를 추적합니다)
$ ftp.exe (ftp 클라이언트 프로그램)
$ useraccountcontrolsettings.exe (UAC 세팅)
$ bdehdcfg.exe (bitlocker 드라이브 준비도구)
$ dfrgui.exe (디스크 조각 모음)
$ changepk.exe (윈도우즈 제품키 입력)
$ certutil.exe (인증서 유틸리티)
$ diskpart.exe (디스크 파티션 설정)
$ eventcreate.exe (사용자 지정 이벤트 생성)
$ chkntfs.exe (디스크검사 예약)
        $ chkntfs.exe c: /c

$ chkdsk.exe (디스크 검사)
        # D드라이브를 검사하고 에러가 나면 복구합니다
        $ chkdsk.exe D: /f /r



$ sfc.exe (시스템 파일 복구)
        # 시스템파일을 검사하고 이상이 있으면 복구합니다
        $ sfc.exe /scannow
        # 시스템파일을 검사만 합니다
        $ sfc.exe /verifyonly



$ certreq.exe (요청을 인증기관으로 제출하는 유틸리티)
$ mrt.exe(악성소프트웨어 제거도구)
$ cprintui.exe(프린터 UI)
$ sigverif.exe(File Signature Verification Tool)
$ resmon.exe(리소스 모니터)
$ robocopy.exe (견고한 파일복사)
        # desktop에 있는 파일들을 c:\test에 복사합니다
        # 비어있는 디렉토리 제외, Multi Thread 20개 사용, 복사실패 시 1번 재시도, 대기시간 1초, 7개의 하위디렉토리 복사
        $ robocopy.exe C:\Users\edward\Desktop c:\test /S /MT:20 /R:1 /W:1 /LEV:7



$ xcopy.exe (파일복사 프로그램)
        # deskop에 있는 파일들을 c:\test에 복사합니다
        # 하위 디렉토리, 오류가 생겨도 계속 복사, 조용히 복사, 겹치는 파일 묻지 않고 복사, 특성을 복사, 숨겨진파일과 시스템파일 모두 복사합니다
        $ xcopy.exe C:\Users\edward\Desktop c:\test /s /c /q /y /k /h
        # WebcacheV01.dat 파일을 바탕화면에 복사합니다 (taskhost, dllhost 프로세스를 먼저 종료해야합니다)
        $ xcopy.exe /s /h /i /y "%Localappdata%\Microsoft\Windows\Webcache\*.dat" %userprofile%\desktop



$ copy.exe (간단한 파일복사)
$ charmap.exe(문자표)
$ wbemtest.exe(WMI 테스터)
$ magnify.exe(돋보기)
$ setx.exe
        # path 환경변수를 영구적으로 설정합니다
        $ setx.exe path "%path%;경로" /m  

$ shutdown.exe (컴퓨터 종료)
        # 컴퓨터를 바로 강제로 종료합니다
        $ shutdown.exe /s /t 0 /f

        $ shutdown.exe /r /t 0 /f
        $ shutdown.exe /l


$ tlntsvr.exe (텔넷서버실행) (추가기능 설치에서 telnet을 설치해야합니다)
$ tlntadmn.exe (텔넷서버관리) (윈도우8부터는 없어진듯합니다)
$ wbadmin.exe(윈도우 백업관리자)
$ fsutil.exe(디스크 구성 도구)
$ fltmc.exe(필터 드라이버 로딩 언로딩 목록 보기)
$ cleanmgr.exe(디스크 정리)
$ sndvol.exe (스피크 볼륨 콘트롤)
$ wevtutil.exe(이벤트로그 수집도구)
$ slidetoshutdown.exe (화면을 슬라이드해서 종료)
$ esentutl.exe(서버데이터베이스 관리 도구)
        # 해당 .dat 파일의 상태를 확인합니다
        $ esentutl.exe /mh WebCacheV01.dat
        # 해당 .dat 파일이 dirty shutdown 상태이면 clean shutdown 상태로 고쳐줍니다
        $ esentutl.exe /p WebCacheV01.dat



$ mmc.exe (콘솔 루터)
$ msconfig.exe (시스템 구성요소 유틸리티)
$ mstsc.exe (원격 데스크톱 연결)
$ odbcad32.exe(odbc 데이터 원본 관리자)
$ wuapp.exe(윈도우 업데이트)
$ dxdiag.exe (다이렉트X 정보)
$ msinfo32.exe (시스템 정보)
$ slui.exe (라이센스 등록)
$ slmgr.exe (라이센스 등록2)
        $slmgr.exe /ipk /dlv /ato


$ osk.exe (화상 키보드)
$ wmplayer.exe (미디어 플레이어)
$ mkdir.exe (디렉토리 만들기)
$ mklink.exe (바로가기 폴더 만들기)
        # aaa 폴더의 바로가기 폴더 bbb를 만듭니다
        $ mklink.exe /d c:/bbb c:/aaa


$ taskmgr.exe (작업 관리자)
$ cmd.exe (명령 프롬프트)
$ explorer.exe (윈도우 탐색기)
$ rstrui.exe(시스템복원)
$ systeminfo.exe(시스템정보)
$ taskkill.exe (프로세스 종료)
        # 메모장 프로세스를 강제로 자식노드까지 전부 종료합니다
        $ taskkill.exe /f /im "notepad.exe" /t

        # PID가 1000보다 큰 모든 프로세스들을 종료합니다
        $ taskkill.exe /fi "pid gt 1000" /f




$ tasklist.exe (프로세스 목록)
       # svchost.exe 프로그램의 서비스목록을 확인합니다 
       $ tasklist /svc /fi "imagename eq svchost.exe" 
        
       $ tasklist.exe /svc /fi "services eq <servicename>"
     
       $ tasklist.exe | find /i "explorer"

       # tasklist.exe 프로그램이 사용하는 dll 목록을 확인합니다
       $ tasklist.exe /m /fi "imagename eq tasklist.exe"




$ timeout.exe (지정된 시간을 기다리는 프로그램)
        $ timeout.exe /t 100 /nobreak

$ tskill.exe (간단한 프로세스 종료 프로그램)
$ systempropertiesadvanced.exe (시스템속성 - 고급)
$ systempropertiesdataexecutionprevention.exe (시스템속성 - 데이터실행방지 dep)
$ systempropertiescomputername.exe (시스템속성 - 컴퓨터이름)
$ systempropertieshardware.exe (시스템속성 - 장치관리자)
$ systempropertiesperformance.exe (시스템속성 - 성능옵션)
$ systempropertiesremote.exe (시스템속성 - 원격)
$ gpupdate.exe(그룹 정책 업데이트)
        $ gpupdate.exe /force


$ cmdkey.exe(자격증명 저장 관리)
        $ cmdkey.exe /add:<targetname> /user:<username> /pass:<password>

$ find.exe (특정 문자열 찾기)
        # mysql_ed.sql 파일에서 create가 들어간 구문을 찾습니다
        $ find.exe mysql_ed.sql "create" /n /i

        # abc.txt 파일의 라인 수를 셉니다
        $ find.exe /c /v abc.txt ""

        # 현재 동작하는 프로세스 중 대소문자를 구분하지 않고 sql 글자가 들어간 구문을 검색합니다
        $ tasklist.exe | find.exe /i "sql"



$ optionalfeatures.exe(윈도우 기능 켜기/끄기)
$ forfiles.exe (하위파일까지 전체탐색)(루프돌리는 배치파일 만들 때 유용)
$ regedit.exe (레제스트리 GUI 편집도구)
$ regsvr32.exe (COM 모듈 등록/해제)
$ cleanmgr.exe(Disk Clean Up)
$ rundll32.exe
        # 절전 모드
        $ rundll32.exe powrprof.dll SetSuspendState 0,1,0
        # 환경 변수
        $ rundll32.exe sysdm.cpl EditEnvironmentVariables
        # 화면 잠금
        $ rundll32.exe user32.dll LockWorkStation
        # 자격증명 저장 관리
        $ rundll32.exe keymgr.dll KRShowKeyMgr


$ runas.exe (권한상승 후 프로그램 실행)
$ snippingtool.exe(캡처도구)
$ dcomcnfg.exe(구성요소 COM,COM+,DCOM 서비스)(=comexp.msc)
$ winver.exe(윈도우버전)
$ where.exe (Linux find와 비슷한 명령어, 검색명령어)
        # 바탕화면에서 edw로 시작하는 파일을 전부 검색합니다
        $ where.exe edw* /r c:\users\gyurs\Desktop\


$ control.exe (제어판)
$ sc.exe (서비스컨트롤 명령어)
$ powercfg.exe (전원옵션 명령어)
$ soundrecorder.exe (음성 녹음기)
$ reg.exe (레지스트리 추가/수정 명령어)
        # 해당 레지스트리 값을 추가합니다 (psexec을 사용하기 위해)
        $ reg.exe add hklm\software\microsoft\windows\currentversion\policies\system /v LocalAccountTokenFilterPolicy /t reg_dword /d 1 /f
        # UAC 세팅을 해제합니다 (재부팅 필요)
        $ reg.exe add hklm\software\microsoft\windows\currentversion\policies\system /v EnableLua /t reg_dword /d 0 /f
        # IPC$의 기본공유를 해제합니다
        $ reg.exe add hkey_local_machine\system\currentcontrolset\control\lsa\ /v RestrictAnonymous /t reg_dword /d 2 /f
        # ADMIN$, C$의 기본공유를 해제합니다
        $ reg.exe add hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters /v AutoshareWks /t reg_dword /d 0 /f


$ net.exe (네트워크 설정 명령어)

$ NET STATS
        # 시스템 마지막 부팅시간을 확인합니다
        $ net stats work

$ NET SHARE
        # IPC$ 자동공유를 중지합니다 (C$, ADMIN$도 삭제할 수 있습니다)
        $ net.exe share IPC$ /delete
        # IPC$ 자동공유를 다시 설정합니다
        $ net.exe share IPC$ /grant:gyurse,full

$ NET USER
        # ashley 라는 계정을 생성합니다. 비밀번호는 qwer1234 fullname은 Iron Man, comment는 hello guys, 계정은 활성화상태입니다
        $ net.exe user ashley qwer1234 /add /fullname:"Iron Man" /comment:"hello guys" /active:yes
        
        # ashley의 자세한 정보를 확인합니다
        $ net.exe user ashley

        # ashley 계정을 삭제합니다
        $ net.exe user ashley /delete

$ NET LOCALGROUP
        # ashleygroup 이라는 이름의 localgroup을 생성합니다 comment도 같이 생성합니다
        $ net.exe localgroup ASHLEYGROUP /add /comment:"here is ashley world"

        # ashley 계정을 ASHLEYGROUP 그룹에 추가시킵니다
        $ net.exe localgroup ASHLEYGROUP ashley /add

$ NET USE
        # localhost의 컴퓨터 자체에 계정명 ashley, 패스워드 qwer1234로 접속합니다 (사용자와 연결이 아닙니다)
        $ net.exe use \\localhost\IPC$ /user:ashley qwer1234

        # localhost의 share라는 폴더에 계정명/패스워드로 접속합니다
        $ net.exe use \\localhost\share /user:ashley qwer1234


$ NET TIME
        # localhost의 시간을 확인할 수 있습니다
        $ net time \\localhost




$ msg.exe (네트워크 사용자들에게 메세지 보내는 명령어)
        # 컴퓨터의 모든 사용자들에게 5초동안 유효한 hello guys 메세지를 보냅니다
        $ msg.exe * /v /time:5 hello guys

        # localhost의 모든 세션 사용자들에게 hello guys2 메세지를 보냅니다
        $ msg.exe * /server:localhost /v /w hello guys2



$ subst.exe (디렉토리, 주소를 가상 드라이브로 치환해주는 명령어)
        # c:\temp 경로를 X: 드라이브로 치환합니다
        $ subst.exe X: C:\temp\

        # X 드라이브에 접속합니다
        $ cmd> X:

        # 해당 치환경로를 삭제합니다
        $ subst.exe X: /d




$ netsh.exe (IP, 방화벽 등등 네트워크 설정 명령어 )

$ NETSH ADVFIREWALL (cmd> wf를 통해 확인할 수 있습니다)
        # 새로운 방화벽 허용룰을 추가합니다 이름은 TCP-445이고 tcp 445번 포트의 접속을 허용합니다
        $ netsh.exe advfirewall firewall add rule name="TCP-445" dir=in action=allow protocol=tcp localport=445

        # tcp-445라는 이름을 가진 방화벽 정책을 확인합니다
        $ netsh.exe advfirewall firewall show rule name="tcp-445"

        # 현재 방화벽 설정을 파일로 저장하고 나중에 가져올 수 있습니다
        $ netsh.exe advfirewall export c:\advfirewallpolicy.wfw
        $ netsh.exe advfirewall import c:\advfirewallpolicy.wfw

        # 현재 방화벽 설정을 볼 수 있습니다
        $ netsh.exe advfirewall firewall show rule name=all | more

        # 2000 - 3000 번 포트 접속을 막습니다
        $ netsh.exe advfirewall firewall add rule name="Block_2000_3000" dir=in action=block protocol=tcp localport=2000-3000


$ NETSH INTERFACE
        # 네트워크 인터페이스 목록을 확인합니다
        $ netsh.exe interface show interface

        # 모든 네트워크 인터페이스 목록을 확인합니다
        $ netsh.exe interface dump

        # 원격포트가 443번인 모든 ipv4 tcp 연결을 확인합니다
        $ netsh.exe interface ipv4 show tcpconnections remoteport=443

        # ipv4 프로토콜의 여러 매개변수들을 확인합니다
        $ netsh.exe interface ipv4 show global

        # 현재 네트워크카드의 IP 관련된 설정을 확인합니다
        $ netsh.exe interface ipv4 show config

        # IP를 DHCP로 설정합니다
        $ netsh.exe interface ip set address name ="Ethernet" source=dhcp
        $ netsh.exe interface ip set dns "Ethernet" dhcp



$ sihost.exe (explorer.exe 다시 시작하는 프로그램)

$ smartscreensetting.exe (smartscreen on/off 하는 명령어)

$ systemreset.exe (시스템초기화 명령어)

$ sdclt.exe (백업 & 복구 관리자)

$ quser.exe (현재 사용자 출력)

$ logoff.exe (현재 계정 로그오프)


$ dism.exe (배포 이미지 서비스 및 관리도구)
        # Winsxs 폴더를 정리합니다. 구성요소저장소에 있는 모든 구성요소의 교체된 버전이 제거됩니다
        $ dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase












$ .CPL (CONTROL PANEL 제어판)

$ powercfg.cpl(전원옵션)
$ firewall.cpl(방화벽 관리)
$ desk.cpl(디스플레이)
$ appwiz.cpl(프로그램추가/제거)
$ main.cpl(마우스)
$ mmsys.cpl(사운드 및 오디오장치)
$ hdwwiz.cpl (장치관리자)(= devmgmt.msc)
$ sysdm.cpl(시스템속성)
$ inetcpl.cpl(인터넷속성)
$ netplwiz.cpl(사용자계정2) (= control userpasswords2)
$ ncpa.cpl(네트워크 연결)
$ wscui.cpl(관리센터)
$ timedate.cpl(날짜 시간 속성)
$ control /name Microsoft.NetworkandSharingCenter(네트워크 공유센터)
$ control desktop(개인 설정)
$ control /name Microsoft.Troubleshooting(문제해결)
$ control userpasswords(사용자 계정)
$ control userpasswords2 (사용자계정2) (= netplwiz)
$ control printers(장치 및 프린터)
$ control folders(폴더옵션)
$ control keyboard(키보드 옵션)
$ control admintools(관리 도구)







$ 기본 명령어
$ dir (디렉토리 목록 확인)
        # 숨겨진 파일, 시스템 파일 등 모든 파일을 확인합니다
        $ dir /a
        # 디렉토리에 붙은 PROGRA~1 같은 별칭들을 확인합니다
        $ dir /x
        # 간단하게 이름만 확인합니다
        $ dir /b
        # 내컴퓨터의 모든 파일을 하위디렉토리까지 전부 확인해서 myallfiles.txt로 저장합니다 
        $ dir /s c:\ > myallfiles.txt
        # 해당 디렉토리에서 edw로 시작하는 파일만 확인합니다
        $ dir /a /x edw*
        # 해당 디렉토리의 소유자를 확인합니다
        $ dir /q





$ cd (디렉토리 이동)
        # c 드라이브로 이동합니다
        $ cd c:\
        # 사용자 계정폴더로 이동합니다
        $ cd %userprofile%





$ date (날짜)
        # 현재 날짜를 확인합니다
        $ date /t



$ time (시간)
        # 현재 시간을 확인합니다
        $ time /t



$ chcp (cmd창 언어)
        # cmd창 언어코드를 한글로 설정합니다
        $ chcp 949
        # cmd창 언어코드를 영어로 설정합니다
        $ chcp 437




$ start (파일 또는 폴더 열기)
        # 현재 cmd창이 가리키는 폴더를 엽니다
        $ start .

        # edward.txt라는 파일을 메모장으로 생성합니다
        $ start notepad edward.txt




$ tree (디렉토리 구조 확인)





-----------------------------------------------------------------------------------------------------------
<SYSINTERNALS & NIRSOFT 명령어>
$$ SYSINTERNALS 명령어

$ psexec.exe (원격명령어 실행 도구)
        # 원격컴퓨터에서 실행해야할 명령어들
        # ADMIN$, IPC$ 공유가 설정되어있어야 합니다
        $ net.exe share

        # 타겟컴퓨터에 해당 레지스트리 값을 추가합니다
        $ reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

        # 타겟컴퓨터에 445번 포트를 개방합니다
        $ netsh.exe advfirewall firewall add rule name="TCP-445" dir=in action=allow protocol=tcp localport=445

        # 타겟컴퓨터 Start -> Run -> secpol.msc -> Local Policies -> Security Options -> Network Access: Sharing > and security model for local accounts > Classic – local users authenticate as themselves

        # 내컴퓨터, psexec 명령어를 사용합니다
        $ psexec \\172.30.1.15 -u <hostname> -p <password> <command>






$ autorunsc.exe (자동실행 목록 확인)
        # service 자동시작프로그램들을 확인합니다
        # 띄어쓰기로 구분, 서비스목록만 확인, EULA 서약 자동 확인
        $ autorunsc.exe -ct -a s /accepteula


        # 컴퓨터 시작시 동작하는 프로그램들을 확인합니다
        # 띄어쓰기로 구분, 시간형식 timestamp로, 로그온목록만 확인, EULA 서약 자동 확인
        $ autorunsc.exe -ct -t -a lb /accepteula








$$ NIRSOFT 명령어
$ nircmd.exe (nirsoft cmd)
        # 프로그램을 hide 모드로 실행합니다
        $ nircmd.exe exec hide <processname>

        # 컴퓨터 음량을 최대치로 설정합니다
        $ nircmd.exe setsysvolume 65535

        # 컴퓨터의 음량을 음소거합니다
        $ nircmd.exe mutesysvolume 1

        # chrome.exe 프로그램의 볼륨을 제거합니다
        $ nircmd.exe changeappvolume chrome.exe -1

        # 컴퓨터의 밝기를 최저로 합니다
        $ nircmd.exe setbrightness 0




        # cmd 프로그램을 관리자권한으로 엽니다
        $ nircmd.exe elevate cmd

        # 주파수가 500 정도인 소리를 2초동안 냅니다
        $ nircmd.exe beep 500 2000

        # explorer.exe 프로세스를 강제로 재시작합니다
        $ nircmd.exe restartexplorer

        # cdrom을 엽니다
        $ nircmd.exe cdrom open

        # 시스템에서 로그아웃하거나 종료합니다
        $ nircmd.exe exitwin logoff
        $ nircmd.exe exitwin poweroff force

        # 시스템을 잠급니다
        $ nircmd.exe lockws

        # 시스템을 절전모드로 합니다
        $ nircmd.exe standby

        # 시스템을 강제로 최대절전모드로 합니다
        $ nircmd.exe hibernate force


        # 컴퓨터의 화면을 끕니다
        $ nircmd.exe monitor off

        # 휴지통을 비웁니다
        $ nircmd.exe emptybin



        # 현재화면을 스크린샷으로 찍어서 해당 계정 폴더에 pic.png 파일로 저장합니다
        $ nircmd.exe savescreenshot %userprofile%\pic.png
        # 현재 화면을 10번씩 5초단위로 찍어서 scr~.png이름으로 저장합니다
        $ nircmd.exe loop 10 5000 savescreenshot %userprofile%\scr~$loopcount$.png




        # 마우스를 우클릭하게 합니다
        $ nircmd.exe sendmouse right click

        # 마우스를 더블클릭하게 합니다
        $ nircmd.exe sendmouse left dblclick

        # 마우스를 (30,-20)픽셀만큼 이동합니다
        $ nircmd.exe sendmouse move 30 -20

        # A를 타이핑합니다
        $ nircmd.exe sendkey A press

        # ctrl 키를 계속 누른상태로 유지합니다 (shift, esc 가능)
        $ nircmd.exe sendkey ctrl down



        # hello라는 이름의 메세지 창을 2초 간격으로 3번 생성합니다
        $ nircmd.exe loop 3 2000 infobox "hello" "message"

        # open calc?라는 물음창이 뜨고 확인을 누르면 calc.exe를 생성합니다
        $ nircmd.exe qbox "open calc?" "message" "calc.exe"






----------------------------------------------------------------------------------------------------------
<기타 여러 프로그램들 명령어>
$$ 기타 여러 프로그램들 명령어

$ putty.exe (윈도우 환경 SSH 클라이언트 프로그램)
        # putty에 저장해놓은 192.168.0.123 세션으로 접속합니다
        $ putty.exe -load 192.168.0.123

        # ssh 서버로 edward라는 계정이름을 이용해 192.168.0.234의 6645 포트로 접속합니다
        $ putty.exe -ssh edward@192.168.0.234 6645





$ pscp.exe (putty 파일 전송 프로그램)
        # pscp를 이용해 tempuser 계정과 qwer1234 비밀번호를 사용해서 원격에  tigerk 하위폴더의 모든 내용을 내 컴퓨터의 바탕화면에 복사합니다
        $ pscp.exe -r -pw qwer1234 tempuser@172.30.1.25:C:\\Users\\tigerk0430\\Desktop\\tigerk c:\\users\\gyurs\\Desktop



$ msd.exe (커맨드라인 이메일 전송 프로그램) 
        # smtp.dum.net:465 이메일 서버를 이용해서 gyurse 유저가 qwer1234 비밀번호를 사용해서 hello man! 이라는 제목으로 edward.txt 파일을 첨부해서 buddy@naver.com 으로 전송합니다 
        $ msd.exe -smtp smtp.daum.net -port 465 -ssl -t buddy@naver.com -f gyurse@naver.com -sub "hello man!" -auth -user gyurse -pass qwer1234 -attach edward.txt,a 



$ rar.exe (RAR 압축 커맨드라인 프로그램) (하루에 10번정도 사용할 수 있는 라이센스 제한이 걸려있습니다)
        # 바탕화면에 있는 파일들을 24MB 단위로 분할압축해서 현재 cmd창이 가리키는 폴더에 컴퓨터이름.rar로 저장합니다 
        $ rar.exe a .\%computername%.rar %userprofile%\desktop\ -v24000k -vntry