קראתי מאמר של אד סקודיס (san instatute) המדבר על העובדה שחלק גדול מחקירת מחשבים החשודים כנגועים ב mallwares ניתנת לביצוע ע"י שימוש בפקודות built in במערכת ההפעלה.
מניסיוני כאיש אבטחת מידע בארגון גדול , אני נדרש לעתים תכופות לבדוק מחשבים החשודים כ"נגועים" ,ולעתים בזמן בדיקה זו אין ברשותי גישה לכילים מקצועיים וכלי GUI למיניהם. המאמר נותן הסברים לכל פקודה אך אני אחסוך את זה מימני ומימכם (אנחנו כבר מכירים את משמעות הפקודות...)
אז ברוח הOLD SCHOOL להלן מספר פקודות לזיהוי מהיר של יתכנות רוגלות במערכת.
netstat –ano
קבלת מידע על מערך התקשורת TCP UDP +PID בנוסף, החל מ 2SP ניתן להשתמש ב b- המאפשר הצגת התכניות (EXE) המתקשרות על כל פורט בהתאמה .ניתן לזהות במהירות תקשורת על פורטים לא סטנדרטיים +חיפוש הפורט ב GOOGLE , אני ממליץ על חיפוש בסיגנון: insite:mcafee.com port 4444
טבלהזו מציינת פורטים סטנדרטיים של שירותי מערכת -חשוב לדעת למניעת fals positive
*
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
reg query HKCU\Software\Microsoft\Windows\CurrentVersionRun
מקומות נפוצים ב REGISTRY להמצאות רוגלות - ניתן להסיר את הרשומות החשודות ( לא לשכוח לגבות לפני:))
*
dir /A "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"
ישנם רוגלות הממקמות קבצים בספריה ידועה ונשכחת זו ...
*
'tasklist /svc'
מאפשרת צפיה בתהליכים ובתת תהליכים הרצים במערכת .
*
net users
net localgroup administrators
הצגת משתמשי המערכת - ישנם רוגלות ובוטים (BOTS) המוסיפים משתמשי מערכת - רצוי לבדוק זאת .
wmic startup list full
פקודה שהיתה חדשה לי עד לא מזמן ,מאפשרת קבלת נתונים מפורטים על כל התוכניות והתהליכים העולים ב startup . שימושי ביותר!
עד כאן.
לגבי פקודת WMIC - אני אפרט בפוסט נפרד
אני יותר שהזכרתי כאן נישכחות לחלק מהאנשים ,אך האמינו לי - הפקודות האלה שימושית ביותר .
