image

Windows commando's voor als je gehackt bent

donderdag 29 mei 2008, 11:54 door Redactie, 16 reacties

Het is gewoon een feit dat Windows machines gehackt en geïnfecteerd worden, gelukkig heeft Microsoft verschillende tools in het besturingssysteem aangebracht waarmee administrators een machine kunnen analyseren. Ed Skoudis verzamelde 10 Windows commando's die inzicht geven of een systeem daadwerkelijk gecompromitteerd is.

"Met deze tools kun je veel informatie over de configuratie en veiligheid van een Windows machine achterhalen. Om elk commando bij het ontdekken van een aanval te gebruiken, moet de gebruiker de huidige instellingen van de machine vergelijken met die van toen de machine nog niet besmet was."

1.) WMIC voor het bekijken van processen.
C:> wmic process
C:> wmic process list brief
C:> wmic process list brief /every:1
C:> wmic process list full
C:> wmic startup list full

2.) Net voor het bekijken van gebruikers en groepen.
"net user"
"net localgroup"
"net localgroup administrators"
"net start"

3.) Openfiles voor het bekijken van actieve bestanden.
C:> openfiles /local on
C:> openfiles /query /v
C:> openfiles /local off

4.) Netstat voor het bekijken van netwerkactiviteit.
C:> netstat -nao
C:> netstat –s –p icmp
C:> netstat –na 2

5.) Find, voor het maken van leesbare output.
C:> wmic process list brief /every:1 | find "cmd.exe"
C:> wmic startup list brief | find /i "hklm"
C:> openfiles /query /v | find /c /v ""
C:> netstat –nao 1 | find "2222"

6.) Tasklist voor het bekijken van processen en DLL-bestanden.
C:> tasklist /svc
C:> tasklist /m

7.) Reg voor het analyseren van het register.
C:> reg query hklmsoftwaremicrosoftwindowscurrentversionrun

8.) Ipconfig voor DNS analyse.
C:> ipconfig /displaydns

9.) FOR /L voor het herhalen van commando's
C:> for /L %[var] in ([start],[step],[stop]) do [command]
C:> for /L %i in (1,1,10) do @echo %i
C:> for /L %i in (1,0,2) do @tasklist
C:> for /L %i in (1,0,2) do @tasklist & ping --n 6 127.0.0.1 > nul

10.) Het starten van admin GUIs via de command line.
C:> lusrmgr.msc (local user manager)
C:> Secpol.msc (security policy manager)
C:> Services.msc (services control panel)
C:> Control (Configuratiescherm)
C:> Taskmgr.exe (taakbeheer)
C:> Explorer.exe (Windows verkenner)
C:> Eventvwr.msc (Windows Event Viewer)

Reacties (16)
29-05-2008, 12:29 door Anoniem
Ik mis logparser voor het doorzoeken analyseren van logfiles zoals de
eventlogs, iis logs etc
29-05-2008, 13:13 door Sheriffnl
Hmm..

copy/paste ...

hendig lijstje...

thanx Security.nl ;)
29-05-2008, 13:22 door Anoniem
4.) Netstat voor het bekijken van netwerkactiviteit.
C:> netstat -nao

ah, nog steeds BSD voor networking :)
29-05-2008, 13:28 door SirDice
Jammer dat er voorbij gegaan wordt aan het feit dat geen
enkele output van de gebruikte tools te vertrouwen is als de
machine daadwerkelijk gekraakt is.
29-05-2008, 14:20 door Anoniem
Als die-hard linux user kan ik dit lijstje toch zeker waarderen!
thanx!

goestin.
29-05-2008, 14:33 door Anoniem
De meest onmisbare tools voor windows zijn voor mij nog
steeds HijackThis en Unlocker. Of is er tegenwoordig al een
ingebouwd commando om een file die 'vastgehouden' wordt toch
te verwijderen?

Gisteren heb ik weer een windows XP moeten fixen voor een
vriend (network stack stuk, windows logon notifier virus).
XP -1, Linux +1
29-05-2008, 15:03 door Anoniem
De komkommertijd is nu echt aangekomen...
we posten een lijst met 'handige' commando's voor een stel
windows druiden... alleen een echte admin weet hoe die de
ouput moet interpreteren en weet dan zeker of hij gehackt is
of niet. Zullen we nu het zelfde lijstje posten voor Un*X
computers...

Nothing to see, move along
29-05-2008, 16:10 door Anoniem
Komkommerpolitiekeberaadslagingen zijn nu ook doorgedrongen
in de IT
29-05-2008, 17:38 door Anoniem
Als je gehacked bent, kan het zijn dat je een rootkit hebt.
Maar dat weet je niet zeker. Dus weet je niet zeker of de
antwoorden van de (misschien veranderde) commando\'s wel alle
informatie geven.
Dus een pc je niet meer vertrouwt, moet je niet meer
opstarten met het geïnstalleerde os. om verdere schade te
voorkomen.
Dus waarom adviseert men geen BartPE of Knoppix of dergelijke?
29-05-2008, 18:26 door Anoniem
Is aan de hand van je linux logs exact te zien wat je hebt
gedaan op je pc?
29-05-2008, 19:56 door Anoniem
Misschien handig als je systeem gehackt is en je geen internet hebt, heb je dit
wel, ga dan naar http://technet.microsoft.com/en-us/sysinternals/default.aspx

de tools van sysinternals zijn vele malen beter dan wat microsoft meelevert.
29-05-2008, 21:10 door NoNonsense
Nu het toch gaat over Windows commando's; ik zag ooit een
commando voorbij komen op het internet waarmee je onlangs
geopende bestanden kon terug zien, en dan iets meer dan die
in het lijstje van het startmenu worden weergegeven. Iemand
een idee welk commando dit is?
29-05-2008, 23:04 door Anoniem
oeh oeh ik wil ook: FireFox is beter dan Explorer!
01-06-2008, 10:39 door _Peterr
TIP: Internet NIET onder een admin account. Daarmee vang je
al 80% van de problemen af en heb je deze tools meestal niet
eens nodig.
02-06-2008, 12:10 door Anoniem
Door _Peterr
TIP: Internet NIET onder een admin account. Daarmee vang je
al 80% van de problemen af en heb je deze tools meestal niet
eens nodig.

Hier een aanvulling: Maak een guest account aan voor internet. (start browser
op met
runas. In vista werkt alleen Firefox onder runas).
Maak een andere guest account aan voor je mail. (start deze ook met runas.
outlook, etc)

Nu alleen geen onbekende meldingen wegklikken als admin.

SOFAR RFV
03-06-2008, 09:03 door Anoniem
Allereerst wil ik security.nl bedanken voor de opsomming van commando's.
Zeer nuttige informatie, ondanks dat het meeste bekend is, is het toch prettig
er weer even aan herinnerd te worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.