Latest Security News

חקירת המצאות רוגלות במערכת באמצעות פקודות cmd פשוטות

קראתי מאמר של אד סקודיס (san instatute) המדבר על העובדה שחלק גדול מחקירת מחשבים החשודים כנגועים ב mallwares ניתנת לביצוע ע"י שימוש בפקודות built in במערכת ההפעלה.
מניסיוני כאיש אבטחת מידע בארגון גדול , אני נדרש לעתים תכופות לבדוק מחשבים החשודים כ"נגועים" ,ולעתים בזמן בדיקה זו אין ברשותי גישה לכילים מקצועיים וכלי GUI למיניהם. המאמר נותן הסברים לכל פקודה אך אני אחסוך את זה מימני ומימכם (אנחנו כבר מכירים את משמעות הפקודות...)
אז ברוח הOLD SCHOOL להלן מספר פקודות לזיהוי מהיר של יתכנות רוגלות במערכת.


netstat –ano

קבלת מידע על מערך התקשורת TCP UDP +PID בנוסף, החל מ 2SP ניתן להשתמש ב b- המאפשר הצגת התכניות (EXE) המתקשרות על כל פורט בהתאמה .ניתן לזהות במהירות תקשורת על פורטים לא סטנדרטיים +חיפוש הפורט ב GOOGLE , אני ממליץ על חיפוש בסיגנון: insite:mcafee.com port 4444

טבלהזו מציינת פורטים סטנדרטיים של שירותי מערכת -חשוב לדעת למניעת fals positive

*

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

reg query HKCU\Software\Microsoft\Windows\CurrentVersionRun

מקומות נפוצים ב REGISTRY להמצאות רוגלות - ניתן להסיר את הרשומות החשודות ( לא לשכוח לגבות לפני:))

*

dir /A "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"

ישנם רוגלות הממקמות קבצים בספריה ידועה ונשכחת זו ...

*

'tasklist /svc'

מאפשרת צפיה בתהליכים ובתת תהליכים הרצים במערכת .

*

net users

net localgroup administrators

הצגת משתמשי המערכת - ישנם רוגלות ובוטים (BOTS) המוסיפים משתמשי מערכת - רצוי לבדוק זאת .

wmic startup list full

פקודה שהיתה חדשה לי עד לא מזמן ,מאפשרת קבלת נתונים מפורטים על כל התוכניות והתהליכים העולים ב startup . שימושי ביותר!

עד כאן.

לגבי פקודת WMIC - אני אפרט בפוסט נפרד

אני יותר שהזכרתי כאן נישכחות לחלק מהאנשים ,אך האמינו לי - הפקודות האלה שימושית ביותר .