赛博“听诊器”：手把手教你用Windows命令给电脑做体检

如果你刚接触网络安全，可能会觉得“命令行”是黑客电影里才有的东西——黑底白字、一串串看不懂的代码，敲几下就能“入侵系统”。其实，Windows系统自带的命令工具，本质是“系统管理员的小助手”：它能帮你快速排查网络问题、发现潜在风险，甚至验证自己的电脑是否安全。

这篇文章会避开复杂的术语，用“生活化比喻+完整实例”带你认识10个最常用的Windows安全命令。哪怕你从没碰过命令行，也能跟着操作。

一、先搞懂：为什么学这些命令？

想象你的电脑是一栋房子：

• ipconfig是“查门牌号”（看电脑在网络里的地址）；

• ping是“敲邻居门”（测试能不能连到另一台设备）；

• netstat是“看窗户有没有被撬”（查哪些程序在偷偷联网）；

• tasklist是“列家里所有成员”（看哪些程序在运行）。

这些命令不是“黑客工具”，而是系统自带的“安全检查工具”——就像你定期检查家门锁、窗户一样，用来确认电脑是否“正常”。

二、准备工作：打开命令行的正确方式

所有命令都在“命令提示符（CMD）”或“PowerShell”里运行。新手推荐用CMD，更简单：

1. 按键盘上的 Win + R（Win是Windows图标键）；

2. 输入 cmd，按回车——会弹出一个黑底白字的窗口（别怕，这不是黑客界面，是你的电脑“控制台”）。

注意：部分命令需要“管理员权限”（比如修改防火墙规则），此时需要：

• 右键点击“开始菜单”→选择“命令提示符（管理员）”或“Windows PowerShell（管理员）”。

三、10个核心命令：从“查信息”到“防风险”

下面每个命令都会讲：它能做什么→怎么用→实例+逐行解释→安全场景。

1. ipconfig：查你的“网络身份证”

作用：查看电脑的IP地址、子网掩码、网关（相当于你家的“门牌号+小区入口”）。

为什么安全要学它？​ 比如你怀疑电脑被“蹭网”，或想确认是否连到了正确的Wi-Fi（避免连到黑客伪造的“免费Wi-Fi”）。

实例：

在CMD里输入 ipconfig，回车，你会看到类似这样的结果：

以太网适配器 以太网:  
   连接特定的 DNS 后缀 . . . . . . . :  
   本地链接 IPv6 地址. . . . . . . . : fe80::a1b2:c3d4:e5f6%12  
   IPv4 地址 . . . . . . . . . . . . : 192.168.1.100  （重点！）  
   子网掩码  . . . . . . . . . . . . : 255.255.255.0  
   默认网关  . . . . . . . . . . . . : 192.168.1.1    （重点！）

逐行解释：

• IPv4地址：你的电脑在当前网络里的“唯一门牌号”（比如192.168.1.100）。如果是169.254.x.x，说明没连上网（系统自动分配的无效地址）。

• 默认网关：你家路由器的地址（比如192.168.1.1），所有上网请求都要经过它。如果网关不是你家的路由器（比如变成了192.168.2.1），可能是连到了陌生网络！

2. ping：测试“能不能找到对方”

作用：向目标设备（比如网站、路由器）发送“小数据包”，看对方是否“回应”——就像你喊“有人在吗？”，对方回“我在！”。

安全场景：判断网络是否被拦截（比如访问某网站失败，是网站挂了？还是你的网络被黑客干扰？）。

实例：

输入 ping www.baidu.com，回车，结果可能是：

正在 Ping www.a.shifen.com [180.101.50.242] 具有 32 字节的数据:  
来自 180.101.50.242 的回复: 字节=32 时间=15ms TTL=55  
来自 180.101.50.242 的回复: 字节=32 时间=16ms TTL=55

解释：

• 180.101.50.242是百度服务器的IP（域名www.baidu.com对应的“真实地址”）；

• 时间=15ms是“往返时间”（越短越快，超过100ms可能网络拥堵）；

• 如果显示“请求超时”，可能是对方服务器关了，或你的网络被防火墙拦截。

小技巧：ping 192.168.1.1（你的路由器网关），如果超时，说明路由器可能坏了，或你被踢出了网络（比如Wi-Fi密码错了）。

3. netstat：看“谁在偷偷联网”

作用：列出电脑当前所有的“网络连接”——哪些程序在和外界通信？有没有陌生的IP在连你的电脑？

安全场景：发现“可疑连接”（比如某个陌生程序在偷偷上传你的文件）。

必学参数：netstat -ano（a=所有连接，n=显示IP不解析域名，o=显示进程ID）。

实例：

输入 netstat -ano，回车，你会看到类似表格：

逐行解释：

• 本地地址：你的电脑IP+端口（比如52341是临时端口，类似“快递单号”）；

• 外部地址：连接的对方IP+端口（443是HTTPS默认端口，通常是浏览器访问网站）；

• 状态：ESTABLISHED表示“正在连接”（正常，比如你开着浏览器）；LISTENING表示“电脑在等别人连”（比如你开了共享文件夹）；

• PID：进程ID（关键！用它找“哪个程序在联网”）。

实战：揪出可疑程序​

如果发现一个外部地址是45.76.123.45:6667（陌生IP+非常用端口），PID是9999：

1. 打开任务管理器（Ctrl+Shift+Esc）→“详细信息”标签→按PID排序，找到PID=9999的程序（比如叫strange.exe）；

2. 百度搜索该程序名，或用杀毒软件扫描——如果是陌生程序，可能是木马！

4. tasklist：列“正在运行的程序”

作用：列出电脑里所有正在运行的“进程”（程序的后台形态）。

安全场景：配合netstat找“偷偷运行的恶意程序”（比如没有图标、名字奇怪的进程）。

实例：

输入 tasklist，回车，你会看到：

映像名称                       PID 会话名        会话#    内存使用  
========================= ======== ================ ======== ============  
chrome.exe                    1234 Console            1     200,000 K  
svchost.exe                   5678 Services           0      50,000 K  
strange.exe                   9999 Console            1       5,000 K  （可疑！）

解释：

• chrome.exe是Chrome浏览器（正常）；

• svchost.exe是系统服务（正常，但如果有多个同名进程，可能是病毒伪装）；

• strange.exe名字陌生、内存占用小（可能是“潜伏的木马”，需要进一步检查）。

5. taskkill：“结束”可疑程序

作用：强制关闭某个进程（比如你发现strange.exe是恶意的，需要立刻停掉它）。

实例：

如果PID=9999的程序可疑，输入：

taskkill /pid 9999 /f

• /pid 9999：指定要结束的进程ID；

• /f：强制结束（避免程序“赖着不走”）。

注意：别乱结束svchost.exe或lsass.exe（系统关键进程，结束会导致电脑蓝屏！）

6. tracert：追踪“数据包的旅行路线”

作用：显示你的电脑到目标服务器（比如百度）经过的所有“中间节点”（路由器、网关）——就像快递的“物流轨迹”。

安全场景：判断网络延迟是否因为“被绕路”（比如黑客劫持了你的网络流量）。

实例：

输入 tracert www.baidu.com，回车，你会看到：

1    <1 毫秒   <1 毫秒   <1 毫秒  192.168.1.1  （你的路由器）  
2     5 ms     4 ms     5 ms     100.64.0.1    （运营商网关）  
3    10 ms     9 ms    10 ms     202.96.128.1  （城市节点）  
...  
6    15 ms    16 ms    15 ms     180.101.50.242  （百度服务器）

解释：

• 如果某一行显示* * *（请求超时），可能是该节点禁用了追踪（正常）；

• 如果前几跳就超时（比如第2跳），可能是你的路由器或运营商网络有问题；

• 如果最后一跳不是目标IP（比如百度服务器IP变了），可能是DNS被劫持（黑客篡改了域名解析）。

7. systeminfo：查“系统漏洞的线索”

作用：列出电脑的系统版本、补丁安装情况（比如是否打了“永恒之蓝”漏洞补丁）。

安全场景：确认系统是否“过时”——未打补丁的系统容易被病毒攻击（比如WannaCry勒索病毒就是利用未修复的漏洞）。

实例：

输入 systeminfo，回车，重点看：

OS 名称:                   Microsoft Windows 11 家庭版  
OS 版本:                  10.0.22621 暂缺 Build 22621  
系统类型:                 x64-based PC  
已安装的补丁:             [01]: KB5034441  [02]: KB5034123  ...

解释：

• 如果“已安装的补丁”很少，或系统版本是Windows 7/8（已停止支持），说明风险很高——赶紧更新系统！

8. netsh advfirewall：管理Windows防火墙

作用：查看/修改防火墙规则（防火墙是电脑的“防盗门”，阻止陌生连接）。

安全场景：确认防火墙是否开启，或临时关闭某个端口（比如测试某个程序是否需要联网）。

实例1：查看防火墙状态

输入 netsh advfirewall show allprofiles，回车，会显示：

域配置文件设置:  
----------------------------------------------------------------------  
状态                                  启用  （必须启用！）

如果状态是“禁用”，立刻启用（输入 netsh advfirewall set allprofiles state on）。

实例2：临时关闭某个端口（比如445端口，永恒之蓝漏洞利用的端口）

netsh advfirewall firewall add rule name="Block 445" dir=in action=block protocol=TCP localport=445

• 这条命令会添加一个规则：“阻止所有入站的TCP 445端口连接”（防止黑客通过445端口攻击你的电脑）。

9. findstr：快速“搜索关键信息”

作用：在文本中搜索指定字符串（比如从日志里找“错误”或“攻击记录”）。

安全场景：分析日志文件（比如防火墙日志、系统日志），快速定位异常。

实例：

查看系统日志（C:\Windows\System32\winevt\Logs\System.evtx）里的“错误”事件：

wevtutil qe System /f:text | findstr "错误"

• wevtutil qe System：导出系统日志；

• |：管道符（把前面的结果传给后面的命令）；

• findstr "错误"：只显示包含“错误”的行。

10. sfc /scannow：修复“被篡改的系统文件”

作用：扫描并修复损坏或篡改的系统文件（比如病毒替换了notepad.exe为恶意程序）。

实例：

输入 sfc /scannow（需要管理员权限），回车，系统会扫描：

开始系统扫描。此过程将需要一些时间。  
验证 100% 已完成。  
Windows 资源保护找到了损坏文件并成功修复了它们。

如果提示“无法修复”，可能需要用安装盘修复，或重装系统（说明系统被严重破坏）。

四、新手常见误区：这些操作别乱试！

1. 别用shutdown命令整人：shutdown -s -t 0会立刻关机，乱发给别人是恶作剧（甚至违法）；

2. 别随便结束lsass.exe：这是系统登录进程，结束会导致电脑蓝屏、无法登录；

3. 别用net user改密码：net user 用户名 新密码能改别人密码（未经允许是违法的！）；

4. 命令参数别乱删：比如netstat -ano少了o，就看不到PID，没法定位程序。

五、互动时间：你遇到过这些情况吗？

• 电脑突然变慢，怀疑有程序偷偷联网？用netstat -ano+任务管理器查！

• 连了公共Wi-Fi后，网银登不上？用ipconfig看网关是不是陌生IP！

• 系统提示“有漏洞”，但不知道补丁号？用systeminfo查已安装补丁！

欢迎在评论区分享你的经历——比如“我用ping发现路由器被蹭网了！”或“netstat看到一个奇怪的IP，求帮忙分析！”

最后：重要警示！

本文所有命令仅用于合法的系统管理、网络安全学习或自查。

• 未经允许扫描他人电脑、攻击网站、破解密码，属于违法行为（《网络安全法》《刑法》均有明确规定）；

• 任何技术都有两面性：你可以用这些命令保护自己的电脑，也可以用它做坏事——选择在你，但后果自负。

网络安全的核心是“保护自己，不伤害他人”。学好命令，做自己的“电脑安全管家”吧！ 🛡️