Windows commando's voor als je gehackt bent
Het is gewoon een feit dat Windows machines gehackt en geïnfecteerd worden, gelukkig heeft Microsoft verschillende tools in het besturingssysteem aangebracht waarmee administrators een machine kunnen analyseren. Ed Skoudis verzamelde 10 Windows commando's die inzicht geven of een systeem daadwerkelijk gecompromitteerd is.
"Met deze tools kun je veel informatie over de configuratie en veiligheid van een Windows machine achterhalen. Om elk commando bij het ontdekken van een aanval te gebruiken, moet de gebruiker de huidige instellingen van de machine vergelijken met die van toen de machine nog niet besmet was."
1.) WMIC voor het bekijken van processen.
C:> wmic process
C:> wmic process list brief
C:> wmic process list brief /every:1
C:> wmic process list full
C:> wmic startup list full
2.) Net voor het bekijken van gebruikers en groepen.
"net user"
"net localgroup"
"net localgroup administrators"
"net start"
3.) Openfiles voor het bekijken van actieve bestanden.
C:> openfiles /local on
C:> openfiles /query /v
C:> openfiles /local off
4.) Netstat voor het bekijken van netwerkactiviteit.
C:> netstat -nao
C:> netstat –s –p icmp
C:> netstat –na 2
5.) Find, voor het maken van leesbare output.
C:> wmic process list brief /every:1 | find "cmd.exe"
C:> wmic startup list brief | find /i "hklm"
C:> openfiles /query /v | find /c /v ""
C:> netstat –nao 1 | find "2222"
6.) Tasklist voor het bekijken van processen en DLL-bestanden.
C:> tasklist /svc
C:> tasklist /m
7.) Reg voor het analyseren van het register.
C:> reg query hklmsoftwaremicrosoftwindowscurrentversionrun
8.) Ipconfig voor DNS analyse.
C:> ipconfig /displaydns
9.) FOR /L voor het herhalen van commando's
C:> for /L %[var] in ([start],[step],[stop]) do [command]
C:> for /L %i in (1,1,10) do @echo %i
C:> for /L %i in (1,0,2) do @tasklist
C:> for /L %i in (1,0,2) do @tasklist & ping --n 6 127.0.0.1 > nul
10.) Het starten van admin GUIs via de command line.
C:> lusrmgr.msc (local user manager)
C:> Secpol.msc (security policy manager)
C:> Services.msc (services control panel)
C:> Control (Configuratiescherm)
C:> Taskmgr.exe (taakbeheer)
C:> Explorer.exe (Windows verkenner)
C:> Eventvwr.msc (Windows Event Viewer)
eventlogs, iis logs etc
copy/paste ...
hendig lijstje...
thanx Security.nl ;)
C:> netstat -nao
ah, nog steeds BSD voor networking :)
enkele output van de gebruikte tools te vertrouwen is als de
machine daadwerkelijk gekraakt is.
thanx!
goestin.
steeds HijackThis en Unlocker. Of is er tegenwoordig al een
ingebouwd commando om een file die 'vastgehouden' wordt toch
te verwijderen?
Gisteren heb ik weer een windows XP moeten fixen voor een
vriend (network stack stuk, windows logon notifier virus).
XP -1, Linux +1
we posten een lijst met 'handige' commando's voor een stel
windows druiden... alleen een echte admin weet hoe die de
ouput moet interpreteren en weet dan zeker of hij gehackt is
of niet. Zullen we nu het zelfde lijstje posten voor Un*X
computers...
Nothing to see, move along
Maar dat weet je niet zeker. Dus weet je niet zeker of de
antwoorden van de (misschien veranderde) commando\'s wel alle
informatie geven.
Dus een pc je niet meer vertrouwt, moet je niet meer
opstarten met het geïnstalleerde os. om verdere schade te
voorkomen.
Dus waarom adviseert men geen BartPE of Knoppix of dergelijke?
gedaan op je pc?
wel, ga dan naar http://technet.microsoft.com/en-us/sysinternals/default.aspx
de tools van sysinternals zijn vele malen beter dan wat microsoft meelevert.
commando voorbij komen op het internet waarmee je onlangs
geopende bestanden kon terug zien, en dan iets meer dan die
in het lijstje van het startmenu worden weergegeven. Iemand
een idee welk commando dit is?
al 80% van de problemen af en heb je deze tools meestal niet
eens nodig.
TIP: Internet NIET onder een admin account. Daarmee vang je
al 80% van de problemen af en heb je deze tools meestal niet
eens nodig.
Hier een aanvulling: Maak een guest account aan voor internet. (start browser
op met
runas. In vista werkt alleen Firefox onder runas).
Maak een andere guest account aan voor je mail. (start deze ook met runas.
outlook, etc)
Nu alleen geen onbekende meldingen wegklikken als admin.
SOFAR RFV
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.