Skip to content

Commandes Windows

Jump to bottom
Pierre MENARD edited this page Apr 5, 2026 · 2 revisions

🪟 Windows CLI Basics — Wiki

Plateforme : TryHackMe | Module : Operating Systems Basics

🗺️ Vue d'ensemble

Le Command Prompt (CMD) est l'interface en ligne de commande native de Windows. Moins connue que l'interface graphique, elle est indispensable en cybersécurité : plus rapide, plus précise, scriptable, et accessible même quand la GUI est inaccessible ou compromise. Cette room couvre la navigation, la recherche de fichiers et la collecte d'informations système sur Windows.

🖥️ Qu'est-ce que le Command Prompt ?

CMD est une interface texte pour interagir avec le système Windows. On tape des commandes au lieu de cliquer sur des menus. C'est l'équivalent Windows du terminal Linux.

Pourquoi les professionnels cyber utilisent CMD :

  • Tout n'est pas visible dans l'interface graphique
  • Les fichiers peuvent être cachés ou enfouis profondément dans l'arborescence
  • Les analystes ont besoin de réponses rapides sans naviguer dans des menus
  • Les outils CLI sont plus rapides, plus précis, et automatisables via scripts

📁 Navigation dans le système de fichiers

cd — Répertoire courant / changer de répertoire

C:\Users\Administrator> cd
C:\Users\Administrator

Utilisé seul, cd affiche le répertoire courant (équivalent de pwd sous Linux).

cd Documents          # entrer dans Documents
cd ..                 # remonter d'un niveau
cd C:\Windows\System32  # aller à un chemin absolu

dir — Lister le contenu d'un répertoire

C:\Users\Administrator> dir

Affiche les fichiers et dossiers visibles par défaut.

Avec les fichiers cachés :

C:\Users\Administrator> dir /a

/a affiche tous les éléments y compris ceux marqués comme cachés par Windows. Caché ne signifie pas secret — Windows les masque simplement par défaut.

Point GRC / Forensics : les malwares et les mécanismes de persistance se cachent souvent dans des dossiers ou fichiers marqués comme "hidden". dir /a est systématiquement utilisé lors d'une investigation pour les révéler. Équivalent de ls -al sous Linux.

dir /s <fichier> — Rechercher un fichier récursivement

C:\Users\Administrator> dir /s task_brief.txt

/s recherche dans tous les sous-répertoires à partir du répertoire courant. Retourne le chemin complet si le fichier existe. C'est l'équivalent Windows de find ~ -name fichier.txt.

type <fichier> — Lire le contenu d'un fichier

C:\Users\Administrator> type task_brief.txt

Affiche le contenu du fichier directement dans le terminal. Équivalent de cat sous Linux.

Flux de travail type pour trouver un fichier inconnu

1. cd                            → confirmer l'emplacement courant
2. dir                           → voir le contenu visible
3. dir /a                        → révéler les éléments cachés
4. dir /s nom_du_fichier.txt     → localiser le fichier
5. cd <chemin trouvé>            → naviguer jusqu'au fichier
6. dir                           → confirmer la présence du fichier
7. type nom_du_fichier.txt       → lire le contenu

🔍 Collecte d'informations système

whoami — Utilisateur connecté

C:\Users\Administrator> whoami
desktop-xyz\administrator

Retourne hostname\username. Format important : on voit à la fois la machine et l'utilisateur. Différents utilisateurs ont différentes permissions — savoir avec quel compte on opère est fondamental.

Point cyber : whoami est la première commande qu'un attaquant tape après avoir obtenu un accès. En réponse à incident, c'est aussi la première chose à vérifier sur un processus suspect ou une session ouverte. Un whoami retournant nt authority\system indique des droits maximaux sur le système.

hostname — Nom de la machine

C:\Users\Administrator> hostname
DESKTOP-ABC123

Dans une organisation, le nom de la machine permet de l'identifier sur le réseau et dans les logs. Utile pour corréler des événements lors d'une investigation.

systeminfo — Informations système complètes

C:\Users\Administrator> systeminfo

Champs clés à analyser :

Champ Information
OS Name Version de Windows (ex : Windows Server 2019)
OS Version Numéro de build
System Type Architecture (x64-based PC)
Total Physical Memory RAM installée
Network Card(s) Interfaces réseau
Hotfix(s) Correctifs installés

⚠️ Focus : triage initial sur une machine Windows suspecte

Lors d'un incident ou d'une investigation, les premières commandes CMD à lancer dans l'ordre :

whoami              → qui suis-je et avec quels droits ?
hostname            → quelle machine est-ce ?
systeminfo          → quelle version Windows, quels patches ?
ipconfig            → comment est-elle connectée au réseau ?
dir /a C:\Users\    → y a-t-il des fichiers cachés dans les profils ?

Cette séquence donne une photographie rapide de l'environnement avant d'approfondir l'investigation.

📋 Questions d'audit

  • Les comptes administrateurs locaux sont-ils inventoriés et leurs usages justifiés ?
  • systeminfo révèle-t-il des hotfixes manquants sur des CVE critiques ?
  • Les fichiers cachés dans les répertoires utilisateurs font-ils l'objet d'un scan de sécurité ?
  • L'accès CMD est-il restreint sur les postes utilisateurs standards ?
  • Les commandes CLI exécutées sur les systèmes sensibles sont-elles journalisées (audit PowerShell/CMD) ?

🔗 Liens utiles

# 🪟 Windows CLI Basics — Wiki

Clone this wiki locally