以下为黑客攻防实战中常用的CMD命令速查图表与技巧解析，结合网络安全攻防场景分类整理，涵盖信息收集、漏洞探测、权限控制等核心环节。内容综合多源技术文档及实战经验，建议结合具体场景灵活应用。

一、网络探测与诊断类命令

| 命令 | 功能描述 | 攻防应用场景 | 参数示例 |

|-|||--|

| ping | 检测目标主机可达性及响应时间 | 攻击：网络存活扫描
防御：网络连通性验证 | `ping -t 192.168.1.1`（持续探测）
`ping -l 65500`（大包DDOS测试） |

| tracert | 追踪数据包路径并分析路由节点 | 攻击：网络拓扑测绘
防御：路由异常排查 | `tracert -d www.target.com`（禁用反向解析加速追踪） |

| arp -a | 显示ARP缓存表（IP-MAC映射） | 攻击：ARP欺骗检测
防御：MAC地址伪造监控 | `arp -s 192.168.1.1 00-11-22-33-44-55`（静态绑定防御ARP攻击） |

| nslookup| 查询DNS记录与域名解析 | 攻击：域名劫持检测
防御：DNS服务器配置核查 | `nslookup -type=mx example.com`（查询邮件服务器记录） |

二、系统与进程管理类命令

| 命令 | 功能描述 | 攻防应用场景 | 参数示例 |

|--|||--|

| tasklist | 列出所有运行进程及PID | 攻击：杀毒软件进程识别
防御：恶意进程检测 | `tasklist /svc`（显示进程关联服务） |

| taskkill | 强制终止指定进程 | 攻击：关闭安全防护进程
防御：清理恶意程序 | `taskkill /IM "malware.exe" /F`（强制终止） |

| netstat -ano| 显示所有活动连接及端口状态 | 攻击：后门端口扫描
防御：异常连接监控 | `netstat -ano | findstr :8080`（定位特定端口进程） |

| schtasks | 管理计划任务（权限维持关键） | 攻击：创建定时启动后门
防御：排查可疑任务 | `schtasks /create /tn "Update" /tr C:backdoor.exe /sc hourly` |

三、权限与日志操控类命令

| 命令 | 功能描述 | 攻防应用场景 | 参数示例 |

|--|||--|

| net use | 映射远程共享资源 | 攻击：横向渗透文件窃取
防御：共享权限审计 | `net use Z: 192.168.1.100share /user:admin password`（挂载共享） |

| logman | 管理性能监视日志 | 攻击：篡改日志掩盖入侵痕迹
防御：日志完整性校验 | `logman delete trace01`（删除监控日志） |

| whoami /priv| 查看当前用户权限 | 攻击：提权漏洞利用
防御：最小权限原则验证 | `whoami /groups`（检查用户组权限） |

四、高级攻防技巧全解

1. 网络隐蔽渗透

2. 权限维持与提权

3. 痕迹清除与反检测

4. 组合命令实战案例

cmd

for /L %i in (1,1,254) do ping -n 1 192.168.1.%i | find "Reply" >> alive_hosts.txt

该命令批量扫描C段存活主机，生成IP列表用于后续渗透。

五、防御方监控要点

1. 定期执行`netstat -ano`监控异常端口连接。

2. 使用`arp -a`检查ARP表是否存在异常MAC地址绑定。

3. 通过`tasklist /svc`比对系统进程与已知服务白名单。

4. 配置审计策略记录`schtasks`等高危命令执行日志。

扩展工具推荐：

如需完整命令参数表或具体攻防场景的详细操作手册，可参考来源网页。