Comandos Windows CMD para profissionais de segurança
A linha de comando do Windows ® é um aplicativo do Windows ® disponível na maioria das versões do Microsoft Windows em que o aplicativo oferece a capacidade de inserir comandos específicos. Esses comandos podem sondar o sistema, executar funções administrativas, executar scripts especializados que automatizam operações, solucionar problemas ou isolar problemas ou realizar investigações ao vivo se ocorrer um incidente .
É importante observar que, para que isso funcione na máquina que você está investigando, o usuário atual deve ter direitos de administrador .
Informações do sistema de arquivos
O utilitário do sistema de arquivos fsutilé um conjunto de operações de linha de comando para exibir e gerenciar determinadas propriedades de arquivos e unidades. É uma ferramenta avançada destinada principalmente a administradores de sistema, mas os profissionais de segurança também descobrirão que ela possui várias aplicações possíveis . O fsutilutilitário contém uma série de subcomandos listados abaixo. Cada um desses subcomandos pode, por sua vez, ter subcomandos adicionais próprios :
textoPS C:\Users\JOSEPH> fsutil ---- Commands Supported ---- 8dot3name 8dot3name management behavior Control file system behavior bypassIo BypassIo management dax Dax volume management dirty Manage volume dirty bit file File specific commands fsInfo File system information hardlink Hardlink management objectID Object ID management quota Quota management repair Self healing management reparsePoint Reparse point management storageReserve Storage Reserve management resource Transactional Resource Manager management sparse Sparse file control tiering Storage tiering property management trace File system trace management transaction Transaction management usn USN management volume Volume management wim Transparent wim hosting management
Para obter informações sobre o sistema de arquivos, use o fsinfosubcomando. Este comando lista todas as unidades, consulta o tipo de unidade, consulta informações de volume, consulta informações de volume específicas do NTFS ou consulta estatísticas do sistema de arquivos. Este subcomando também possui seus próprios subcomandos que podem ser consultados para obter informações específicas do sistema de arquivos. Eles estão listados abaixo :
textoPS C:\Users\JOSEPH> fsutil fsinfo ---- FSINFO Commands Supported ---- drives List all drives driveType Query drive type for a drive ntfsInfo Query NTFS specific volume information refsInfo Query REFS specific volume information sectorInfo Query sector information statistics Query file system statistics volumeInfo Query volume information
Para listar todas as unidades contidas no disco rígido do sistema, digite o seguinte comando :
textoPS C:\Users\JOSEPH> fsutil fsinfo drives Drives: C:\ D:\
Para exibir o tipo de unidade para uma unidade específica, insira o comando abaixo :
textoPS C:\Users\JOSEPH> fsutil fsinfo Drivetype D: D: - Fixed Drive
Para exibir estatísticas importantes sobre um volume, insira o seguinte comando :
textoPS C:\Users\JOSEPH> fsutil fsinfo statistics D: File System Type : NTFS UserFileReads : 89 UserFileReadBytes : 22896640 UserDiskReads : 1705 UserFileWrites : 0 UserFileWriteBytes : 0 UserDiskWrites : 0 MetaDataReads : 24 MetaDataReadBytes : 376832 MetaDataDiskReads : 32 MetaDataWrites : 0 MetaDataWriteBytes : 0 MetaDataDiskWrites : 0
Para obter informações para um volume especificado, como o tipo de sistema de arquivos e se o volume oferece suporte a nomes de arquivo com distinção entre maiúsculas e minúsculas, unicode em nomes de arquivo, cotas de disco ou é um volume de acesso direto (DAX), insira o comando abaixo :
textoPS C:\Users\JOSEPH> fsutil fsinfo volumeinfo D: Volume Name : NTFS1 Volume Serial Number : 0x5048ccc7 Max Component Length : 255 File System Name : NTFS Is ReadOnly Not Thinly-Provisioned Supports Case-sensitive filenames Preserves Case of filenames Supports Unicode in filenames Preserves & Enforces ACL's Supports file-based Compression Supports Disk Quotas Supports Sparse files Supports Reparse Points Returns Handle Close Result Information Supports Bypass IO Supports Object Identifiers Supports Encrypted File System Supports Named Streams Supports Transactions Supports Hard Links Supports Extended Attributes Supports Open By FileID Supports USN Journal
Para exibir informações de volume específicas do NTFS para um volume especificado, digite o comando abaixo . Este comando lista informações como o número de setores, clusters totais, clusters livres, bytes por cluster e o início e o fim da Zona MFT .
textoPS C:\Users\JOSEPH> fsutil fsinfo ntfsinfo D: NTFS Volume Serial Number : 0xda5048e85048ccc7 NTFS Version : 3.1 LFS Version : 1.1 Total Sectors : 1,008,895 (492.6 MB) Total Clusters : 1,008,895 (492.6 MB) Free Clusters : 887,522 (433.4 MB) Total Reserved Clusters : 0 ( 0.0 KB) Reserved For Storage Reserve : 0 ( 0.0 KB) Bytes Per Sector : 512 Bytes Per Physical Sector : 512 Bytes Per Cluster : 512 (0 KB) Bytes Per FileRecord Segment : 1024 Clusters Per FileRecord Segment : 2 Mft Valid Data Length : 96.00 KB Mft Start Lcn : 0x00000000000521aa Mft2 Start Lcn : 0x000000000007b27f Mft Zone Start : 0x0000000000052260 Mft Zone End : 0x0000000000070e60 MFT Zone Size : 61.50 MB Max Device Trim Extent Count : 524543 Max Device Trim Byte Count : 0x1001fe00 Max Volume Trim Extent Count : 62 Max Volume Trim Byte Count : 0x1001fe00
Comportamento do sistema de arquivos NTFS
O comportamento fsutil é uma ferramenta de linha de comando que pode ser usada para consultar ou modificar o comportamento do sistema de arquivos NTFS. O comando fsutil behavior tem mais dois subcomandos:
- consulta - Isso exibe os valores atuais para configurações de opção
- set - Isso é usado para alterar as configurações atuais. Os comandos que envolvem "definir" podem alterar as entradas do Registro e podem exigir uma reinicialização para entrar em vigor.
Possui várias opções que podem ser utilizadas para consultar ou modificar o comportamento do sistema de arquivos da seguinte forma :
Opção | Valores possíveis |
permitirextchar | 0 ou 1 |
desativar8ponto3 | 0 ou 1 |
desabilitar compressão | 0 ou 1 |
desabilitarúltimo acesso | 0, 1, 2 |
desabilitar criptografia | 0 ou 1 |
arquivo de criptografia | 0 ou 1 |
mftzone | 0 a 4 |
uso de memória | 0, 1, 2 |
cota notificar | 1 a 4294967295 segundos |
SymlinkEvaluation | Vários |
Por exemplo, para verificar se a última atualização dos timestamps de acesso está habilitada ou não, digite o seguinte comando :
textoPS C:\Users\JOSEPH> fsutil behavior query disablelastaccess DisableLastAccess = 2 (System Managed, Last Access Time Updates ENABLED)
Executando processos e serviços
Os aplicativos, processos associados e serviços do sistema que estão em execução ou em uso podem fornecer informações investigativas úteis e, claro, fornecer uma linha de base do estado do sistema sob investigação. O objetivo é identificar o serviço malicioso e o software em execução na máquina.
Harlan Carvey sugeriu documentar as seguintes informações sobre processos em execução .
- A imagem executável do processo
- A linha de comando usada para iniciar o processo
- Há quanto tempo o processo está em execução
- O contexto de segurança em que ele é executado
- Módulos ou bibliotecas (DLLs) que ele acessa
- Memória que o processo consome
O comando tasklist lista os processos em execução em um sistema Windows, incluindo seu nome e PID .
textoPS C:\Users\JOSEPH> tasklist Image Name PID Session Name Session# Mem Usage ========================= ======== ================ =========== ============ System Idle Process 0 Services 0 8 K System 4 Services 0 1,008 K Secure System 72 Services 0 23,644 K Registry 124 Services 0 74,176 K smss.exe 448 Services 0 1,040 K csrss.exe 652 Services 0 4,268 K wininit.exe 732 Services 0 4,792 K csrss.exe 752 Console 1 5,520 K services.exe 804 Services 0 7,892 K lsass.exe 812 Services 0 20,480 K svchost.exe 944 Services 0 34,488 K fontdrvhost.exe 972 Services 0 2,476 K WUDFHost.exe 1000 Services 0 11,180 K svchost.exe 880 Services 0 17,012 K svchost.exe 968 Services 0 7,492 K winlogon.exe 1128 Console 1 10,836 K fontdrvhost.exe 1180 Console 1 7,908 K dwm.exe 1256 Console 1 90,628 K svchost.exe 1308 Services 0 3,432 K svchost.exe 1408 Services 0 6,400 K svchost.exe 1428 Services 0 9,544 K svchost.exe 1440 Services 0 10,480 K svchost.exe 1516 Services 0 9,764 K svchost.exe 1528 Services 0 14,828 K svchost.exe 1620 Services 0 7,140 K svchost.exe 1648 Services 0 9,136 K
Existem muito mais opções e estas são fornecidas por interruptores. A sintaxe completa é fornecida abaixo. Deve-se observar que o comando não diferencia maiúsculas de minúsculas .
textotasklist [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
A tabela abaixo descreve os vários parâmetros :
Parâmetro | Descrição |
| Especifica o sistema remoto ao qual se conectar. Não é necessário para o computador local. |
| Especifica o contexto do usuário. Não é necessário para o computador local. |
| Especifica a senha para o contexto de usuário fornecido (se necessário). |
| Lista todas as tarefas que possuem módulos DLL carregados que correspondem ao nome do padrão fornecido. Se o nome do módulo não for especificado, exibe todos os módulos carregados por cada tarefa. |
| Exibe serviços em cada processo. |
| Especifica que as informações detalhadas devem ser exibidas. |
| Exibe um conjunto de tarefas que correspondem a um determinado critério especificado pelo filtro. |
| Especifica o formato de saída. Valores válidos: "TABLE", "LIST", "CSV". |
| Especifica que o "cabeçalho da coluna" não deve ser exibido na saída. Válido apenas para os formatos "TABLE" e "CSV" . |
Esses parâmetros adicionais permitem que o Tasklist forneça informações muito detalhadas sobre o sistema. Pode ser muito útil conhecer o relacionamento entre um processo e os serviços que estão sendo executados em um sistema. Para obter uma tabela relacionando Nome da Imagem, PID e Serviços utilize o comando abaixo :
textoPS C:\Users\JOSEPH> tasklist /svc Image Name PID Services ========================= ======== ============================================ System Idle Process 0 N/A System 4 N/A Secure System 72 N/A Registry 124 N/A smss.exe 448 N/A csrss.exe 652 N/A wininit.exe 732 N/A csrss.exe 752 N/A services.exe 804 N/A lsass.exe 812 EFS, KeyIso, SamSs, VaultSvc svchost.exe 944 BrokerInfrastructure, DcomLaunch, PlugPlay, Power, SystemEventsBroker fontdrvhost.exe 972 N/A WUDFHost.exe 1000 N/A svchost.exe 880 RpcEptMapper, RpcSs svchost.exe 968 LSM winlogon.exe 1128 N/A fontdrvhost.exe 1180 N/A dwm.exe 1256 N/A svchost.exe 1308 HvHost svchost.exe 1408 BTAGService svchost.exe 1428 BthAvctpSvc svchost.exe 1440 bthserv svchost.exe 1516 NcbService svchost.exe 1528 Schedule svchost.exe 1620 nsi
Os invasores reconheceram o valor de usar o svchost.exe como uma cobertura para seu malware; qualquer processo chamado svchost.exe sem os serviços correspondentes do Windows deve ser tratado como suspeito. O comando sc pode ser usado para fornecer a descrição de um serviço. Para encontrar a descrição de BthAvctpSvc do PID 1428 acima, digite o seguinte comando :
textoC:\Windows\system32>sc qdescription BthAvctpSvc [SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: BthAvctpSvc DESCRIPTION: This is Audio Video Control Transport Protocol service
Informações estendidas sobre o estado de um serviço podem ser encontradas com o comando abaixo :
textoC:\Windows\system32> sc queryex BthAvctpSvc SERVICE_NAME: BthAvctpSvc TYPE : 30 WIN32 STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 PID : 1428 FLAGS :
Os processos podem usar muitos arquivos DLL diferentes chamando vários procedimentos de suas bibliotecas. Para descobrir quais DLLs são usadas por cada processo, use o seguinte comando. Isso retornará uma tabela relacionando Nome da Imagem, PID e Módulos. "Módulos" aqui indica DLLs .
textoPS C:\Users\JOSEPH> tasklist /m Image Name PID Modules ========================= ======== ============================================ System Idle Process 0 N/A System 4 N/A Secure System 72 N/A Registry 124 N/A smss.exe 448 N/A csrss.exe 652 N/A wininit.exe 732 N/A csrss.exe 752 N/A services.exe 804 N/A lsass.exe 812 ntdll.dll, KERNEL32.DLL, KERNELBASE.dll, RPCRT4.dll, lsasrv.dll, ucrtbase.dll, msvcp_win.dll, LSAADT.dll, sechost.dll, samsrv.dll, CRYPT32.dll, bcrypt.dll, ncrypt.dll, NTASN1.dll, Wldp.dll, msvcrt.dll, bcryptprimitives.dll, msprivs.DLL, netprovfw.dll, JOINUTIL.DLL, MSASN1.dll, negoexts.DLL, CRYPTBASE.dll, CRYPTSP.dll, kerberos.DLL, USERENV.dll, KerbClientShared.dll, WS2_32.dll, gpapi.dll, cryptdll.dll, mswsock.dll, msv1_0.DLL, NtlmShared.dll, netlogon.DLL, gmsaclient.dll, tspkg.DLL, advapi32.dll, SspiCli.dll, pku2u.DLL, cloudAP.DLL, profapi.dll, aadcloudap.dll, combase.dll, ntmarta.dll, kernel.appcore.dll, MicrosoftAccountCloudAP.dll, DPAPI.DLL,
A saída pode ser reduzida a parâmetros específicos usando filtros e a chave /FI. Existem vários operadores de comparação e estes são dados na tabela abaixo :
Operador | Descrição |
equação | É igual a |
ne | Não é igual |
gt | Maior que. Usado apenas com valores numéricos |
lt | Menor que. Usado apenas com valores numéricos |
ge | Melhor que ou igual a. Usado apenas com valores numéricos |
le | Menos que ou igual a. Usado apenas com valores numéricos |
Nem todos os operadores podem ser usados com todos os parâmetros e os valores permitidos são mostrados para os parâmetros mais úteis na tabela abaixo :
Parâmetros | Operadores válidos | Valores válidos |
ImageName | eq, ne | Qualquer string válida |
PID | eq, ne, gt, lt, ge, le | Qualquer inteiro positivo válido |
MemUsage | eq, ne, gt, lt, ge, le | Qualquer número inteiro positivo válido (em kilobytes) |
Status | eq, ne | Correndo, sem responder, desconhecido |
Nome de usuário | eq, ne | Qualquer nome de usuário válido (inclui SISTEMA, SERVIÇO LOCAL, SERVIÇO DE REDE) |
WindowTitle | eq, ne | Qualquer string válida |
Sessão | eq, ne, gt, lt, ge, le | número da sessão |
Serviços | eq, ne | Nome do Serviço |
Módulos | eq, ne | nome da DLL |
CPUTime | eq, ne, gt, lt, ge, le | Tempo de CPU no formato hh:mm:ss. |
Um exemplo de uso de um filtro é um comando para encontrar todos os processos criados pelo sistema e que não usaram nenhum tempo de CPU. O comando seria o seguinte :
textoPS C:\Users\JOSEPH> TaskList /V /FO LIST /FI “USERNAME eq System” /FI “CPUTIME eq 0:00:00” Image Name: Secure System PID: 72 Session Name: Services Session#: 0 Mem Usage: 23,640 K Status: Unknown User Name: NT AUTHORITY\SYSTEM CPU Time: 0:00:00 Window Title: N/A Image Name: smss.exe PID: 492 Session Name: Services Session#: 0 Mem Usage: 1,044 K Status: Unknown User Name: NT AUTHORITY\SYSTEM CPU Time: 0:00:00 Window Title: N/A Image Name: wininit.exe PID: 772 Session Name: Services Session#: 0 Mem Usage: 4,140 K Status: Unknown User Name: NT AUTHORITY\SYSTEM CPU Time: 0:00:00
Os comandos básicos do utilitário Tasklist não mostram serviços, que são aplicativos especiais executados em segundo plano. Para ver os serviços, você deve digitar Taskist /SVC e pressionar Enter. A saída inclui o nome da imagem, PID e serviços fornecidos pelo processo. Você não pode usar a opção de linha de comando /SVC com as opções de linha de comando /V ou /M, portanto, não é possível obter informações detalhadas sobre os serviços. Infelizmente, a saída desse comando inclui todos os aplicativos além dos serviços. Você tem várias maneiras de contornar o problema de ver processos com os serviços. Uma técnica é confiar no fato de que SvcHost.EXE é o nome da imagem do aplicativo que executa a maioria (mas não todos) dos serviços. Para localizar os serviços de baixo nível (aqueles não associados a aplicativos) em execução em seu sistema,:
textoPS C:\Users\JOSEPH> taskList /SVC /FI “ImageName eq SvcHost.EXE” Image Name PID Services ========================= ======== ============================================ svchost.exe 992 BrokerInfrastructure, DcomLaunch, PlugPlay, Power, SystemEventsBroker svchost.exe 1028 RpcEptMapper, RpcSs svchost.exe 1068 LSM svchost.exe 1356 HvHost svchost.exe 1384 lmhosts svchost.exe 1404 BTAGService svchost.exe 1432 BthAvctpSvc svchost.exe 1472 bthserv svchost.exe 1564 NcbService svchost.exe 1580 Schedule svchost.exe 1624 ProfSvc svchost.exe 1632 TimeBrokerSvc svchost.exe 1732 nsi svchost.exe 1744 UserManager svchost.exe 1780 DisplayEnhancementService svchost.exe 1832 netprofm svchost.exe 1840 EventSystem svchost.exe 2004 DeviceAssociationService svchost.exe 1040 CoreMessagingRegistrar svchost.exe 1508 camsvc svchost.exe 1804 SENS svchost.exe 2260 Dnscache svchost.exe 2376 EventLog svchost.exe 2392 DispBrokerDesktopSvc svchost.exe 2404 Winmgmt
Ao examinar os processos, também gostaríamos de mapear as bibliotecas de vínculo dinâmico que são carregadas por todos os processos ou por um processo específico. O comando abaixo faz isso para chrome.exe .
textoPS C:\Users\JOSEPH> tasklist /m /FI "ImageName eq chrome.exe" Image Name PID Modules ========================= ======== ============================================ chrome.exe 9916 ntdll.dll, KERNEL32.DLL, KERNELBASE.dll, apphelp.dll, AcLayers.DLL, msvcrt.dll, SHLWAPI.dll, chrome_elf.dll, VERSION.dll, ADVAPI32.dll, sechost.dll, RPCRT4.dll, CRYPTBASE.DLL, bcryptPrimitives.dll, ntmarta.dll, ucrtbase.dll, SHELL32.dll, msvcp_win.dll, USER32.dll, win32u.dll, GDI32.dll, gdi32full.dll, IMM32.DLL, windows.storage.dll, combase.dll, wintypes.dll, SHCORE.dll, chrome.dll, OLEAUT32.dll, WS2_32.dll, WINTRUST.dll, CRYPT32.dll, WINMM.dll, dbghelp.dll, IPHLPAPI.DLL, USERENV.dll, Secur32.dll, UIAutomationCore.DLL, WINHTTP.dll, DWrite.dll, WINSPOOL.DRV, dhcpcsvc.DLL, SSPICLI.DLL, MSASN1.dll, uxtheme.dll, gpapi.dll, wkscli.dll, netutils.dll, ole32.dll, kernel.appcore.dll, MSCTF.dll, powrprof.dll, UMPDC.dll, profapi.dll, COMCTL32.dll, DPAPI.dll, nlansp_c.dll, NSI.dll, dhcpcsvc6.DLL, DNSAPI.dll, clbcatq.dll, textinputframework.dll, wevtapi.dll, Windows.UI.dll, WTSAPI32.dll, WINSTA.dll, mscms.dll, bcrypt.dll, cfgmgr32.dll, SETUPAPI.dll, DEVOBJ.dll, MMDevApi.dll, wpnapps.dll,
Existe uma maneira melhor de executar o comando acima para obter informações adicionais. Primeiro, você deve especificar a opção /V ou verbose, que fornecerá maiores detalhes sobre cada processo. Em seguida, você pode usar a opção de formato de saída /FO para especificar o tipo de saída. Dois formatos de saída populares são TABLE e CSV (valor separado por vírgula). Isso é valioso se você planeja analisar os processos e serviços em execução posteriormente usando um programa de planilhas como o Microsoft Excel .
textoPS C:\Users\JOSEPH> tasklist /v /FO CSV "Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU Time","Window Title" "System Idle Process","0","Services","0","8 K","Unknown","NT AUTHORITY\SYSTEM","25:51:58","N/A" "System","4","Services","0","1,008 K","Unknown","N/A","0:25:41","N/A" "Secure System","72","Services","0","23,644 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "Registry","124","Services","0","74,884 K","Unknown","NT AUTHORITY\SYSTEM","0:00:01","N/A" "smss.exe","448","Services","0","1,040 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "csrss.exe","652","Services","0","4,280 K","Unknown","NT AUTHORITY\SYSTEM","0:00:02","N/A" "wininit.exe","732","Services","0","4,468 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "csrss.exe","752","Console","1","5,608 K","Running","NT AUTHORITY\SYSTEM","0:00:13","N/A" "services.exe","804","Services","0","7,840 K","Unknown","NT AUTHORITY\SYSTEM","0:00:19","N/A" "lsass.exe","812","Services","0","20,272 K","Unknown","NT AUTHORITY\SYSTEM","0:00:10","N/A" "svchost.exe","944","Services","0","34,308 K","Unknown","NT AUTHORITY\SYSTEM","0:00:28","N/A" "fontdrvhost.exe","972","Services","0","2,260 K","Unknown","Font Driver Host\UMFD-0","0:00:00","N/A" "WUDFHost.exe","1000","Services","0","11,068 K","Unknown","NT AUTHORITY\LOCAL SERVICE","0:00:00","N/A" "svchost.exe","880","Services","0","17,076 K","Unknown","NT AUTHORITY\NETWORK SERVICE","0:00:47","N/A" "svchost.exe","968","Services","0","7,436 K","Unknown","NT AUTHORITY\SYSTEM","0:00:01","N/A" "winlogon.exe","1128","Console","1","10,728 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "fontdrvhost.exe","1180","Console","1","9,120 K","Unknown","Font Driver Host\UMFD-1","0:00:03","N/A" "dwm.exe","1256","Console","1","98,720 K","Running","Window Manager\DWM-1","1:18:46","DWM Notification Window" "svchost.exe","1308","Services","0","3,408 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "svchost.exe","1408","Services","0","6,348 K","Unknown","NT AUTHORITY\LOCAL SERVICE","0:00:00","N/A" "svchost.exe","1428","Services","0","9,520 K","Unknown","NT AUTHORITY\LOCAL SERVICE","0:00:00","N/A" "svchost.exe","1440","Services","0","10,424 K","Unknown","NT AUTHORITY\LOCAL SERVICE","0:00:00","N/A" "svchost.exe","1516","Services","0","9,720 K","Unknown","NT AUTHORITY\SYSTEM","0:00:01","N/A" "svchost.exe","1528","Services","0","14,676 K","Unknown","NT AUTHORITY\SYSTEM","0:00:04","N/A" "svchost.exe","1620","Services","0","7,264 K","Unknown","NT AUTHORITY\LOCAL SERVICE","0:00:02","N/A" "svchost.exe","1648","Services","0","9,044 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "svchost.exe","1704","Services","0","6,984 K","Unknown","NT AUTHORITY\SYSTEM","0:00:00","N/A" "svchost.exe","1720","Services","0","16,496 K","Unknown","NT AUTHORITY\NETWORK SERVICE","0:00:22","N/A"
A saída acima segue a ordem especificada abaixo :
texto"Image Name","PID","Session Name","Session#","Mem Usage","Status", "User Name","CPU Time","Window Title"
Para entender melhor a saída resultante junto com o valor forense potencial, considere a tabela abaixo .
Você também pode precisar determinar o relacionamento entre os processos em execução no sistema examinando os relacionamentos pai-filho. O comando a seguir listará os PIDs pai juntamente com os PIDs e os caminhos para os executáveis .
textoC:\Users\JOSEPH>wmic process get name, processid, parentprocessid, executablepath ExecutablePath Name ParentProcessId ProcessId System Idle Process 0 0 System 0 4 Secure System 4 72 Registry 4 124 smss.exe 4 492 csrss.exe 648 688 wininit.exe 648 772 csrss.exe 764 792 services.exe 772 844 lsass.exe 772 852 svchost.exe 844 992 WUDFHost.exe 844 1012 fontdrvhost.exe 772 96 svchost.exe 844 1028 svchost.exe 844 1068 winlogon.exe 764 1172 fontdrvhost.exe 1172 1228 dwm.exe 1172 1308 svchost.exe 844 1356 svchost.exe 844 1384 svchost.exe 844 1404 svchost.exe 844 1432 svchost.exe 844 1472 svchost.exe 844 1564 svchost.exe 844 1580 svchost.exe 844 1624 svchost.exe 844 1632 svchost.exe 844 1732 svchost.exe 844 1744 svchost.exe 844 1780 svchost.exe 844 1832 svchost.exe 844 1840 svchost.exe 844 2004 svchost.exe 844 1040 svchost.exe 844 1508 svchost.exe 844 1804 igfxCUIService.exe 844 2144 svchost.exe 844 2260 svchost.exe 844 2376 svchost.exe 844 2392 svchost.exe 844 2404 svchost.exe 844 2480 svchost.exe 844 2500 svchost.exe 844 2600 svchost.exe 844 2616 Memory Compression 4 2624 svchost.exe 844 2716 svchost.exe 844 2844 svchost.exe 844 2892 svchost.exe 844 2924 svchost.exe 844 3036 RtkAudioService64.exe 844 2372 svchost.exe 844 3092 svchost.exe 844 3100 svchost.exe 844 3216 svchost.exe 844 3224 svchost.exe 844 3236 svchost.exe 844 3364 svchost.exe 844 3428 svchost.exe 844 3452 svchost.exe 844 3516 RAVBg64.exe 2372 3664 RAVBg64.exe 2372 3684 RAVBg64.exe 2372 3692 spoolsv.exe 844 3732 svchost.exe 844 3892 AnyDesk.exe 844 3932 svchost.exe 844 3944 svchost.exe 844 3960 svchost.exe 844 3980 fpCSEvtSvc.exe 844 3996 HotKeyServiceUWP.exe 844 4024 HPSIsvc.exe 844 4040 ibtsiva.exe 844 4060 IpOverUsbSvc.exe 844 3132 svchost.exe 844 3616 LanWlanWwanSwitchingServiceUWP.exe 844 4104 svchost.exe 844 4176 svchost.exe 844 4192 svchost.exe 844 4200 svchost.exe 844 4224 SynTPEnhService.exe 844 4240 valWBFPolicyService.exe 844 4276 svchost.exe 844 4324 MsMpEng.exe 844 4336 svchost.exe 844 4344 svchost.exe 844 4432 WUDFHost.exe 844 4716 AggregatorHost.exe 3960 5480 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe SynTPEnh.exe 4240 6104 C:\Windows\system32\sihost.exe sihost.exe 1744 864 C:\Windows\system32\svchost.exe svchost.exe 844 4128 PresentationFontCache.exe 844 5960 svchost.exe 844 5432 C:\Windows\system32\svchost.exe svchost.exe 844 5408 svchost.exe 844 5232 C:\Windows\System32\DriverStore\FileRepository\hpqkbsoftwarecompnent.inf_amd64_8598cf7f18c538c5\HPHotkeyNotification.exe HPHotkeyNotification.exe 4024 4976 C:\Windows\system32\taskhostw.exe taskhostw.exe 1580 6192 svchost.exe 844 6476 SynTPHelper.exe 1400 6576 svchost.exe 844 6604 C:\Windows\Explorer.EXE
Para saber mais sobre o comando wmic, você pode ver esta postagem .
Às vezes, é desejável encerrar um programa ou processo na linha de comando. O processo pode estar travado ou não responder ou considerado suspeito. Embora o utilitário gráfico Gerenciador de Tarefas possa ser usado para encerrar programas que estão travados, a linha de comando pode ser mais rápida e fácil de usar. O comando Taskkill é capaz de filtros sofisticados . A sintaxe do comando é a seguinte :
textoTASKKILL [/S system [/U username [/P[password]]]]{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
Parâmetro | Descrição |
| Especifica o sistema remoto ao qual se conectar. Não é necessário para o computador local. |
| Especifica o contexto do usuário. Não é necessário para o computador local. |
| Especifica a senha para o nome de usuário fornecido |
| Especifica o PID do processo que deve ser finalizado. Não usado quando o nome da imagem é fornecido no comando. |
| Especifica o nome da imagem do processo que deve ser encerrado. O curinga '*' pode ser usado para especificar todos os nomes de imagens. Não usado se o PID for fornecido no comando. |
| Força o encerramento de todos os processos. |
| Exibe um conjunto de tarefas que correspondem a um determinado critério especificado pelo filtro. |
| Eliminação de árvore: encerra o processo especificado e quaisquer processos filhos que foram iniciados por ele |
Para fechar o processo WhatsApp.exe, por exemplo, o comando apropriado é dado da seguinte forma :
textoPS C:\Users\JOSEPH> taskkill /im WhatsApp.exe /f SUCCESS: The process "WhatsApp.exe" with PID 4452 has been terminated.
Você também pode fechar vários programas de uma só vez .
textoPS C:\Users\JOSEPH> taskkill /f /im notepad.exe /im mspaint.exe SUCCESS: The process "mspaint.exe" with PID 7480 has been terminated. SUCCESS: The process "Notepad.exe" with PID 4904 has been terminated.
O Taskkill torna-se especialmente poderoso quando os filtros são usados com a opção "/fi". Várias regras podem ser formadas usando os operadores de comparação. Os operadores de filtro e os parâmetros permitidos permanecem os mesmos do comando tasklist. Com os filtros, você pode impor um conjunto específico de condições que devem ser atendidas. Os filtros oferecem uma versatilidade considerável ao Taskkill e permitem que você ajuste o alvo. Observe que um nome de imagem ou PID específico não precisa ser incluído ao usar filtros .
Para encerrar à força todos os processos que não estão respondendo, digite o seguinte comando :
textoPS C:\Users\JOSEPH> taskkill /f /fi "status eq not responding" INFO: No tasks running with the specified criteria.
Você pode querer desligar à força todos os programas usando um arquivo DLL específico. Isso deve ser usado com cuidado, mas um aplicativo pode ser para interromper processos que se acredita estarem associados a uma DLL de spyware ou cavalo de Tróia .
textotaskkill /f /fi "modules eq MFC42UL.dll"
Para fechar todos os programas que usam grandes quantidades de memória, digamos 40 MB :
textotaskkill /f /fi "memusage gt 40000"
Para fechar programas que usam mais de 40 MB de memória, mas não o Google Chrome .
textotaskkill /f /fi "imagename ne chrome.exe" /fi "memusage gt 40000"
Informação de Rede
A próxima área de consideração imediata é a informação básica da rede, em outras palavras - como o sistema sob investigação está conectado ao mundo externo? .
Um bom lugar para começar é com o ipconfig comando. Para obter todas as informações disponíveis, o ipconfig /allcomando é usado. O comando fornece informações básicas, como o nome do host, os endereços de protocolo da Internet e o endereço físico da interface de rede (normalmente referido como endereço MAC) e o sufixo DNS (que normalmente fornecerá uma pista sobre o provedor de serviços de Internet que o sistema usos). Além disso, são fornecidas informações sobre interfaces de rede com fio, sem fio, Bluetooth e máquina virtual .
Outra opção de comando importante em ipconfig é o ipconfig /displaydns comando. A execução desse comando fornece detalhes dos serviços de nome de domínio em execução para o usuário conectado no momento. Mais especificamente, este comando exibe o cache do resolvedor de traduções de DNS para o sistema .
textoPS C:\Users\JOSEPH> ipconfig /displaydns Windows IP Configuration desktop-tso5jmr.mshome.net ---------------------------------------- No records of type AAAA desktop-tso5jmr.mshome.net ---------------------------------------- Record Name . . . . . : DESKTOP-TSO5JMR.mshome.net Record Type . . . . . : 1 Time To Live . . . . : 589186 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 172.22.0.1 1.0.22.172.in-addr.arpa ---------------------------------------- Record Name . . . . . : 1.0.22.172.in-addr.arpa. Record Type . . . . . : 12 Time To Live . . . . : 589186 Data Length . . . . . : 8 Section . . . . . . . : Answer PTR Record . . . . . : DESKTOP-TSO5JMR.mshome.net
Depois de identificar os processos em execução e detalhes específicos relacionados a esses processos, precisamos dar uma olhada em como esses processos estão se comunicando com o ambiente externo via rede. Podemos usar o comando netstat para sondar informações de rede ativas. Ele fornece uma maneira de verificar se vários aspectos do TCP/IP estão funcionando e quais conexões estão presentes. Existem várias maneiras pelas quais um administrador de sistema pode usar a variedade de switches . Uma breve descrição dos interruptores é dada abaixo :
textoPS C:\Users\JOSEPH> netstat /? Displays protocol statistics and current TCP/IP network connections. NETSTAT [-a] [-b] [-e] [-f] [-i] [-n] [-o] [-p proto] [-r] [-s] [-t] [-x] [-y] [interval] -a Displays all connections and listening ports. -b Displays the executable involved in creating each connection or listening port. In some cases well-known executables host multiple independent components, and in these cases the sequence of components involved in creating the connection or listening port is displayed. In this case the executable name is in [] at the bottom, on top is the component it called, and so forth until TCP/IP was reached. Note that this option can be time-consuming and will fail unless you have sufficient permissions. -e Displays Ethernet statistics. This may be combined with the -s option. -f Displays Fully Qualified Domain Names (FQDN) for foreign addresses. -i Displays the time spent by a TCP connection in its current state. -n Displays addresses and port numbers in numerical form. -o Displays the owning process ID associated with each connection. -p proto Shows connections for the protocol specified by proto; proto may be any of: TCP, UDP, TCPv6, or UDPv6. If used with the -s option to display per-protocol statistics, proto may be any of: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, or UDPv6. -q Displays all connections, listening ports, and bound nonlistening TCP ports. Bound nonlistening ports may or may not be associated with an active connection. -r Displays the routing table. -s Displays per-protocol statistics. By default, statistics are shown for IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, and UDPv6; the -p option may be used to specify a subset of the default. -t Displays the current connection offload state. -x Displays NetworkDirect connections, listeners, and shared endpoints. -y Displays the TCP connection template for all connections. Cannot be combined with the other options. interval Redisplays selected statistics, pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics. If omitted, netstat will print the current configuration information once.
Vamos começar com um comando netstat simples que relata todas as (–a) conexões e portas de escuta, exibe os valores numéricos (–n) para os números de porta e endereços e exibe o ID do processo ou PID do processo proprietário (–o) :
textoPS C:\Users\JOSEPH> netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:5040 0.0.0.0:0 LISTENING 6576 TCP 0.0.0.0:7070 0.0.0.0:0 LISTENING 3932 TCP 0.0.0.0:49664 0.0.0.0:0 LISTENING 848 TCP 0.0.0.0:49665 0.0.0.0:0 LISTENING 768 TCP 0.0.0.0:49666 0.0.0.0:0 LISTENING 1576 TCP 0.0.0.0:49667 0.0.0.0:0 LISTENING 2416 TCP 0.0.0.0:49668 0.0.0.0:0 LISTENING 3624 TCP 0.0.0.0:49669 0.0.0.0:0 LISTENING 840 TCP 127.0.0.1:1001 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:49670 0.0.0.0:0 LISTENING 6668 TCP 192.168.56.1:139 0.0.0.0:0 LISTENING 4 TCP 192.168.176.57:139 0.0.0.0:0 LISTENING 4 TCP 192.168.176.57:52011 20.44.10.122:443 TIME_WAIT 0 TCP 192.168.176.57:52013 23.73.0.192:443 FIN_WAIT_1 3440 TCP 192.168.176.57:52015 204.79.197.203:443 FIN_WAIT_1 4576 TCP 192.168.176.57:52016 152.199.19.161:80 TIME_WAIT 0 TCP 192.168.176.57:52019 204.79.197.203:443 TIME_WAIT 0 TCP 192.168.176.57:52030 102.132.101.61:5222 TIME_WAIT 0 TCP 192.168.176.57:52031 204.79.197.239:443 TIME_WAIT 0 TCP 192.168.176.57:52033 197.210.32.33:443 ESTABLISHED 1452 TCP 192.168.176.57:52034 102.132.101.60:443 ESTABLISHED 1452 TCP 192.168.176.57:52035 13.107.4.52:80 TIME_WAIT 0 TCP 192.168.176.57:52037 102.132.101.60:443 ESTABLISHED 1452 TCP 192.168.176.57:52038 13.107.4.52:80 TIME_WAIT 0 TCP 192.168.176.57:52057 152.199.21.118:443 ESTABLISHED 10180 TCP 192.168.176.57:52058 13.107.246.56:443 ESTABLISHED 10180 TCP 192.168.176.57:52059 13.107.246.56:443 ESTABLISHED 10180 TCP 192.168.176.57:52060 172.217.23.202:443 ESTABLISHED 10180 TCP 192.168.176.57:52061 172.217.23.202:443 ESTABLISHED 10180 TCP 192.168.176.57:52062 152.199.21.118:443 ESTABLISHED 10180 TCP 192.168.176.57:52063 208.115.231.126:443 ESTABLISHED 3932 TCP 192.168.176.57:52064 13.107.42.14:443 ESTABLISHED 10180 TCP 192.168.176.57:52065 20.199.120.182:443 ESTABLISHED 4368 TCP 192.168.176.57:52067 45.54.49.5:443 ESTABLISHED 10180 TCP 192.168.176.57:52072 216.58.223.206:443 ESTABLISHED 10180 TCP 192.168.176.57:52073 108.157.78.77:443 ESTABLISHED 10180 TCP 192.168.176.57:52076 13.107.246.56:443 ESTABLISHED 10180 TCP 192.168.176.57:52079 108.157.78.7:443 ESTABLISHED 10180 TCP 192.168.176.57:52080 216.239.32.117:443 ESTABLISHED 10180 TCP 192.168.176.57:52082 52.210.27.198:443 ESTABLISHED 10180 TCP 192.168.176.57:52083 52.210.27.198:443 ESTABLISHED 10180 TCP 192.168.176.57:52084 34.120.195.249:443 ESTABLISHED 10180 TCP 192.168.176.57:52085 20.199.120.182:443 ESTABLISHED 4368 TCP 192.168.176.57:52087 54.144.30.117:443 ESTABLISHED 10180 TCP 192.168.176.57:52088 54.144.30.117:443 ESTABLISHED 10180 TCP 192.168.176.57:52089 54.144.30.117:443 ESTABLISHED 10180 TCP 192.168.176.57:52090 104.109.143.19:443 ESTABLISHED 10180 TCP 192.168.176.57:52093 152.199.21.118:443 ESTABLISHED 10180 TCP 192.168.176.57:52097 152.199.21.118:443 ESTABLISHED 10180 TCP 192.168.176.57:52098 209.197.3.8:80 ESTABLISHED 3972 TCP 192.168.176.57:52099 152.199.21.118:443 ESTABLISHED 10180 TCP 192.168.176.57:52100 152.199.21.118:443 ESTABLISHED 10180 TCP 192.168.176.57:52103 13.107.246.67:443 ESTABLISHED 10180 TCP 192.168.176.57:52106 204.79.197.200:443 ESTABLISHED 9036 TCP 192.168.176.57:52107 204.79.197.200:443 ESTABLISHED 9036 TCP 192.168.176.57:52109 13.107.246.67:443 ESTABLISHED 10180 TCP 192.168.176.57:52114 23.73.0.158:443 ESTABLISHED 4576 TCP 192.168.176.57:52115 104.225.98.131:443 SYN_SENT 10180 TCP 192.168.176.57:52116 104.225.98.131:443 SYN_SENT 10180 TCP [::]:135 [::]:0 LISTENING 884 TCP [::]:445 [::]:0 LISTENING 4
As informações exibidas incluem o protocolo, o endereço local, o endereço remoto (estrangeiro) e o estado da conexão. Observe que os vários endereços IP também incluem informações de porta. Uma explicação dos diferentes estados de conexão é fornecida abaixo .
Estado | Descrição |
FECHADO | Indica que o servidor recebeu um sinal ACK do cliente e a conexão foi encerrada. |
CLOSE_WAIT | Indica que o servidor recebeu o primeiro sinal FIN do cliente e a conexão está sendo encerrada. |
ESTABELECIDO | Indica que o servidor recebeu o sinal SYN do cliente e a sessão foi estabelecida. |
FIN_WAIT_1 | Isso indica que a conexão ainda está ativa, mas não está sendo usada no momento |
FIN_WAIT_2 | Indica que o cliente acabou de receber a confirmação do primeiro sinal FIN do servidor |
LAST_ACK | Isso indica que o servidor está enviando seu próprio sinal FIN |
AUDIÇÃO | Indica que o servidor está pronto para aceitar uma conexão |
SYN_RECEIVED | Isso indica que o servidor acabou de receber um sinal SYN do cliente |
SYN_SEND | Indica que esta conexão específica está aberta e ativa |
TEMPO DE ESPERA | Indica que o cliente reconhece a conexão como ainda ativa, mas não está sendo usada no momento |
Em seguida, conectaríamos a atividade de rede com os processos específicos que foram gerados a partir do comando tasklist. Examinando os resultados do comando tasklist, podemos identificar facilmente alguns processos que devem ter conexões de rede ativas (por exemplo, WhatsApp.exe). Digamos que desejamos apenas enviar informações relacionadas a este processo e exibir o resultado apenas se o estado da conexão for ESTABELECIDO. Examinando a saída da lista de tarefas, podemos identificar o PID para WhatsApp.exe (1452). Podemos fazer isso conectando a saída do comando netstat com o comando findstr usando um operador pipe (|). O comando e a saída resultantes são mostrados abaixo .
textoPS C:\Users\JOSEPH> netstat -ano | findstr 1452 | findstr ESTABLISHED TCP 192.168.176.57:52034 102.132.101.60:443 ESTABLISHED 1452
Para descobrir quais programas estão fazendo conexões com o mundo exterior, podemos usar o comando abaixo. Isso pode ser usado para detectar aplicativos mal-intencionados em potencial.
textoPS C:\Users\JOSEPH> netstat -b Active Connections Proto Local Address Foreign Address State TCP 127.0.0.1:49670 DESKTOP-TSO5JMR:49671 ESTABLISHED [Explorer.EXE] TCP 127.0.0.1:49671 DESKTOP-TSO5JMR:49670 ESTABLISHED [msedge.exe] TCP 192.168.176.57:49830 192.229.221.95:http FIN_WAIT_1 [WhatsApp.exe] TCP 192.168.176.57:58159 13.107.4.52:http TIME_WAIT TCP 192.168.176.57:58160 20.199.120.85:https ESTABLISHED WpnService [svchost.exe] TCP 192.168.176.57:58161 relay-94aea023:https TIME_WAIT TCP 192.168.176.57:58162 relay-cf3fb52a:https ESTABLISHED [AnyDesk.exe] TCP 192.168.176.57:58164 20.199.120.85:https ESTABLISHED WpnService [svchost.exe] TCP 192.168.176.57:58165 52.184.216.246:https TIME_WAIT TCP 192.168.176.57:58169 wr-in-f188:5228 ESTABLISHED [chrome.exe] TCP 192.168.176.57:58170 whatsapp-chatd-edge-shv-01-los2:https TIME_WAIT TCP 192.168.176.57:58171 20.234.163.55:https TIME_WAIT TCP 192.168.176.57:58172 13.107.42.14:https ESTABLISHED [chrome.exe] TCP 192.168.176.57:58173 197.210.93.34:https TIME_WAIT TCP 192.168.176.57:58174 20.234.163.55:https TIME_WAIT TCP 192.168.176.57:58175 whatsapp-cdn-shv-01-los2:https TIME_WAIT TCP 192.168.176.57:58177 197.210.93.34:https ESTABLISHED [WhatsApp.exe] TCP 192.168.176.57:58178 102.88.19.33:https ESTABLISHED [WhatsApp.exe] TCP 192.168.176.57:58179 197.210.93.99:https ESTABLISHED [WhatsApp.exe] TCP 192.168.176.57:58180 whatsapp-cdn-shv-01-los2:https ESTABLISHED
Na verdade, é melhor verificar por um período de tempo e podemos adicionar um número que defina o comando para ser executado em intervalos fixos. Além disso, é melhor criar um registro escrito das conexões feitas durante um determinado período de tempo. O comando pode então ser escrito como :
textonetstat -b 5 >> D:\connections.txt
Este comando será executado em intervalos de cinco segundos até ser interrompido digitando "Ctrl+c", que é um comando geral para sair .
Você também pode querer visualizar os nomes de domínio totalmente qualificados (FQDN) para endereços remotos (estrangeiros) aos quais o sistema está fazendo conexões :
textoPS C:\Users\JOSEPH> netstat -f Active Connections Proto Local Address Foreign Address State TCP 192.168.176.57:52031 204.79.197.239:https TIME_WAIT TCP 192.168.176.57:52033 197.210.32.33:https ESTABLISHED TCP 192.168.176.57:52034 whatsapp-cdn-shv-01-los2.fbcdn.net:https ESTABLISHED TCP 192.168.176.57:52037 whatsapp-cdn-shv-01-los2.fbcdn.net:https ESTABLISHED TCP 192.168.176.57:52058 13.107.246.56:https ESTABLISHED TCP 192.168.176.57:52060 prg03s05-in-f10.1e100.net:https ESTABLISHED TCP 192.168.176.57:52061 prg03s05-in-f10.1e100.net:https ESTABLISHED TCP 192.168.176.57:52062 152.199.21.118:https ESTABLISHED TCP 192.168.176.57:52063 relay-28682325.net.anydesk.com:https ESTABLISHED TCP 192.168.176.57:52064 13.107.42.14:https ESTABLISHED TCP 192.168.176.57:52065 20.199.120.182:https ESTABLISHED TCP 192.168.176.57:52072 los02s03-in-f14.1e100.net:https ESTABLISHED TCP 192.168.176.57:52073 server-108-157-78-77.los50.r.cloudfront.net:https ESTABLISHED TCP 192.168.176.57:52076 13.107.246.56:https ESTABLISHED TCP 192.168.176.57:52079 server-108-157-78-7.los50.r.cloudfront.net:https ESTABLISHED TCP 192.168.176.57:52080 216.239.32.117:https ESTABLISHED TCP 192.168.176.57:52082 ec2-52-210-27-198.eu-west-1.compute.amazonaws.com:https ESTABLISHED TCP 192.168.176.57:52083 ec2-52-210-27-198.eu-west-1.compute.amazonaws.com:https TIME_WAIT TCP 192.168.176.57:52084 249.195.120.34.bc.googleusercontent.com:https ESTABLISHED TCP 192.168.176.57:52085 20.199.120.182:https ESTABLISHED TCP 192.168.176.57:52087 ec2-54-144-30-117.compute-1.amazonaws.com:https ESTABLISHED TCP 192.168.176.57:52090 a104-109-143-19.deploy.static.akamaitechnologies.com:https ESTABLISHED TCP 192.168.176.57:52093 152.199.21.118:https ESTABLISHED TCP 192.168.176.57:52097 152.199.21.118:https CLOSE_WAIT TCP 192.168.176.57:52098 vip0x008.map2.ssl.hwcdn.net:http ESTABLISHED TCP 192.168.176.57:52099 152.199.21.118:https CLOSE_WAIT TCP 192.168.176.57:52100 152.199.21.118:https ESTABLISHED TCP 192.168.176.57:52106 a-0001.a-msedge.net:https ESTABLISHED TCP 192.168.176.57:52107 a-0001.a-msedge.net:https ESTABLISHED
Uma área adicional de preocupação é a da tabela de roteamento atual. As tabelas de roteamento são basicamente um conjunto de regras que controlam como os pacotes IP são direcionados. Todos os dispositivos, incluindo computadores, switches, roteadores, firewalls e outros dispositivos de rede, contêm uma tabela de roteamento. Como as tabelas de roteamento contêm endereços IP específicos, se as tabelas fossem alteradas de forma maliciosa (geralmente chamadas de envenenamento), os pacotes poderiam ser direcionados a dispositivos de rede intermediários para interceptar ou alterar os pacotes que saem de uma rede com base nessas regras de roteamento envenenadas .
O comando netstat fornece uma maneira simples de capturar a tabela de roteamento atual usando a opção –r. Antes de desligar ou encerrar o sistema, é prudente capturar o estado atual da tabela de roteamento, pois a tabela normalmente não é persistente e seria mais difícil reconstruir postmortem .
textoPS C:\Users\JOSEPH> netstat -r =========================================================================== Interface List 6...0a 00 27 00 00 06 ......VirtualBox Host-Only Ethernet Adapter 5...34 02 86 39 2b 1a ......Microsoft Wi-Fi Direct Virtual Adapter 29...36 02 86 39 2b 19 ......Microsoft Wi-Fi Direct Virtual Adapter #2 16...80 9f 9a 50 54 53 ......Generic Mobile Broadband Adapter 33...34 02 86 39 2b 1d ......Bluetooth Device (Personal Area Network) 11...34 02 86 39 2b 19 ......Intel(R) Dual Band Wireless-AC 7265 1...........................Software Loopback Interface 1 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.176.205 192.168.176.57 65 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 192.168.56.0 255.255.255.0 On-link 192.168.56.1 281 192.168.56.1 255.255.255.255 On-link 192.168.56.1 281 192.168.56.255 255.255.255.255 On-link 192.168.56.1 281 192.168.176.0 255.255.255.0 On-link 192.168.176.57 321 192.168.176.57 255.255.255.255 On-link 192.168.176.57 321 192.168.176.255 255.255.255.255 On-link 192.168.176.57 321 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.56.1 281 224.0.0.0 240.0.0.0 On-link 192.168.176.57 321 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.56.1 281 255.255.255.255 255.255.255.255 On-link 192.168.176.57 321 =========================================================================== Persistent Routes: None IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 1 331 ::1/128 On-link 6 281 fe80::/64 On-link 11 321 fe80::/64 On-link 6 281 fe80::5796:a945:bc30:9006/128 On-link 11 321 fe80::7610:ff89:867a:21e2/128 On-link 1 331 ff00::/8 On-link 6 281 ff00::/8 On-link 11 321 ff00::/8 On-link =========================================================================== Persistent Routes: None
O caminho real entre dois computadores na Internet não é uma linha reta, mas consiste em vários segmentos ou "saltos" de um computador intermediário para outro. O comando tracert mostra cada passo do caminho percorrido. Pode ser interessante ver o quão complicado é. Os tempos de cada salto e os endereços IP de cada computador intermediário são exibidos. Tracert mostra até 30 saltos. É conveniente descobrir se há um segmento específico que está causando uma conexão lenta ou ruim .
textoPS C:\Users\JOSEPH> tracert sans.org Tracing route to sans.org [45.60.103.34] over a maximum of 30 hops: 1 3 ms 1 ms 2 ms 192.168.176.205 2 174 ms 1272 ms 374 ms 10.8.255.254 3 86 ms 46 ms 73 ms 172.24.240.34 4 90 ms 132 ms 57 ms 172.24.240.92 5 45 ms 48 ms 54 ms 172.24.240.98 6 42 ms 44 ms 79 ms 192.168.10.2 7 160 ms 157 ms 141 ms 149.6.148.18 8 478 ms 144 ms 152 ms 149.6.148.17 9 201 ms 188 ms 140 ms 154.54.61.253 10 297 ms 216 ms 245 ms 154.54.82.34 11 230 ms 307 ms 325 ms 66.28.4.237 12 493 ms 597 ms 468 ms 154.54.43.17 13 885 ms 565 ms 256 ms 154.54.41.205 14 214 ms 218 ms 217 ms 66.28.4.246 15 216 ms 217 ms 220 ms 38.32.231.34 16 257 ms 213 ms 226 ms 45.60.103.34 Trace complete.
Para determinar a localização do endereço IP consultado, deve-se prestar atenção ao último, penúltimo salto ou dispositivo de roteamento individual, antes que o destino real seja alcançado. O uso do traceroute fornece a maneira mais confiável de determinar a localização mais provável de um endereço IP. Mesmo o APNIC, o registro regional de endereços da Internet para a região da Ásia-Pacífico afirma em um artigo que eles: " consideram o IP na mesma economia que o LG se o traceroute confirmar uma proximidade topológica " . não atendem aos seus padrões. Nenhum banco de dados IP2Geo no mundo será infalível, então a única maneira de encontrar uma área geográfica é usar física básica para determinar quanto tempo leva para eletricidade ou luz viajar para um meio chamado 'cabo de rede '.
Outro bom comando é o comando pathping. Este comando combina as funções de Ping e Tracert. O pathping listará primeiro o número de saltos necessários para alcançar o endereço que você está testando e, em seguida, enviará vários pings para cada roteador entre você e o destino. Depois disso, ele calcula os resultados com base nos pacotes retornados de cada roteador. Como o pathping exibe o grau de perda de pacotes em qualquer roteador ou link, você pode determinar quais roteadores ou sub-redes podem estar com problemas de rede. Observe que todo o processo pode consumir de 5 a 10 minutos porque muitos pings estão sendo enviados. Existem opções para modificar o processo e elas podem ser vistas digitando "pathping /?" no prompt de comando .
textoPS C:\Users\JOSEPH> pathping sans.org Tracing route to sans.org [45.60.103.34] over a maximum of 30 hops: 0 DESKTOP-TSO5JMR [192.168.176.57] 1 192.168.176.205 2 192.168.223.22 3 172.24.246.82 4 * 172.24.246.180 5 172.24.246.193 6 * * * Computing statistics for 125 seconds... Source to Here This Node/Link Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address 0 DESKTOP-TSO5JMR [192.168.176.57] 0/ 100 = 0% | 1 6ms 0/ 100 = 0% 0/ 100 = 0% 192.168.176.205 1/ 100 = 1% | 2 122ms 3/ 100 = 3% 2/ 100 = 2% 192.168.223.22 0/ 100 = 0% | 3 112ms 1/ 100 = 1% 0/ 100 = 0% 172.24.246.82 0/ 100 = 0% | 4 115ms 1/ 100 = 1% 0/ 100 = 0% 172.24.246.180 0/ 100 = 0% | 5 105ms 1/ 100 = 1% 0/ 100 = 0% 172.24.246.193 Trace complete.
Outro comando bastante útil e que oferece opções adicionais para trabalhar com redes é o shell de serviços de rede (netsh) .
textoPS C:\Users\JOSEPH> netsh /? Usage: C:\Windows\system32\netsh.exe [-a AliasFile] [-c Context] [-r RemoteMachine] [-u [DomainName\]UserName] [-p Password | *] [Command | -f ScriptFile] The following commands are available: Commands in this context: ? - Displays a list of commands. add - Adds a configuration entry to a list of entries. advfirewall - Changes to the `netsh advfirewall' context. bridge - Changes to the `netsh bridge' context. delete - Deletes a configuration entry from a list of entries. dhcpclient - Changes to the `netsh dhcpclient' context. dnsclient - Changes to the `netsh dnsclient' context. dump - Displays a configuration script. exec - Runs a script file. firewall - Changes to the `netsh firewall' context. help - Displays a list of commands. http - Changes to the `netsh http' context. interface - Changes to the `netsh interface' context. ipsec - Changes to the `netsh ipsec' context. lan - Changes to the `netsh lan' context. mbn - Changes to the `netsh mbn' context. namespace - Changes to the `netsh namespace' context. netio - Changes to the `netsh netio' context. nlm - Changes to the `netsh nlm' context. p2p - Changes to the `netsh p2p' context. ras - Changes to the `netsh ras' context. rpc - Changes to the `netsh rpc' context. set - Updates configuration settings. show - Displays information. trace - Changes to the `netsh trace' context. wcn - Changes to the `netsh wcn' context. wfp - Changes to the `netsh wfp' context. winhttp - Changes to the `netsh winhttp' context. winsock - Changes to the `netsh winsock' context. wlan - Changes to the `netsh wlan' context. The following sub-contexts are available: advfirewall bridge dhcpclient dnsclient firewall http interface ipsec lan mbn namespace netio nlm p2p ras rpc trace wcn wfp winhttp winsock wlan To view help for a command, type the command, followed by a space, and then type ?.
Para exibir vários endereços IP e configurações de TCP/IP, execute o seguinte comando .
textoPS C:\Users\JOSEPH> netsh interface ip show config Configuration for interface "Ethernet 2" DHCP enabled: No IP Address: 192.168.56.1 Subnet Prefix: 192.168.56.0/24 (mask 255.255.255.0) InterfaceMetric: 25 Statically Configured DNS Servers: None Register with which suffix: Primary only Statically Configured WINS Servers: None Configuration for interface "Local Area Connection* 1" DHCP enabled: Yes InterfaceMetric: 25 DNS servers configured through DHCP: None Register with which suffix: Primary only WINS servers configured through DHCP: None Configuration for interface "Local Area Connection* 2" DHCP enabled: Yes InterfaceMetric: 25 DNS servers configured through DHCP: None Register with which suffix: Primary only WINS servers configured through DHCP: None Configuration for interface "Cellular" DHCP enabled: No InterfaceMetric: 25 Statically Configured DNS Servers: None Register with which suffix: Primary only Statically Configured WINS Servers: None
Outro exemplo de uso do contexto Netsh Internet Ip é a redefinição do TCP/IP. Por vários motivos, incluindo infestação de malware, essas configurações podem ser corrompidas. Netsh contém um comando que redefinirá a pilha TCP/IP para as configurações originais que existiam quando o sistema operacional foi instalado. Essas configurações podem não ser as mais atualizadas para o seu sistema, mas permitirão que você reconfigure após uma invasão de spyware ou outro problema. O comando para redefinir o TCP/IP é fornecido abaixo. Observe que você deve incluir um nome de arquivo onde será colocado um log das ações. Assim, se o arquivo de log for D:\tcplog.txt, o comando também é fornecido abaixo .
textonetsh interface ip reset {logfile} netsh interface ip reset D:\tcplog.txt
A desinstalação de spyware ou aplicativos mal escritos pode corromper as configurações do Winsock e resultar em perda de conectividade de rede. Existem dois comandos para gerenciar as configurações. Para exibir uma lista de vários serviços instalados (LSP, BSP, NSP), digite o seguinte comando :
textoPS C:\Users\JOSEPH> netsh winsock show catalog Winsock Catalog Provider Entry ------------------------------------------------------ Entry Type: Base Service Provider Description: Hyper-V RAW Provider ID: {1234191B-4BF7-4CA7-86E0-DFD7C32B5445} Provider Path: %SystemRoot%\system32\mswsock.dll Catalog Entry ID: 1005 Version: 2 Address Family: 34 Max Address Length: 36 Min Address Length: 36 Socket Type: 1 Protocol: 1 Service Flags: 0x20026 Protocol Chain Length: 1 Winsock Catalog Provider Entry ------------------------------------------------------ Entry Type: Base Service Provider Description: MSAFD Tcpip [TCP/IPv6] Provider ID: {F9EAB0C0-26D4-11D0-BBBF-00AA006C34E4} Provider Path: %SystemRoot%\system32\mswsock.dll Catalog Entry ID: 1006 Version: 2 Address Family: 23 Max Address Length: 28 Min Address Length: 28 Socket Type: 1 Protocol: 6 Service Flags: 0x20066 Protocol Chain Length: 1
Para redefinir o Winsock para a configuração padrão, digite o comando abaixo :
textonetsh winsock reset catalog
Observe que qualquer software instalado que use conexões com a Internet pode ser parcialmente desabilitado por esta ação e deve ser reinstalado. Isso incluiria a maioria dos softwares que se atualizam automaticamente e programas antivírus que usam servidores proxy. Portanto, este comando só deve ser utilizado para os casos em que o grau de corrupção o torne necessário .
Você também pode querer visualizar todas as redes sem fio às quais o sistema se conectou. O seguinte comando exibirá a lista :
textoPS C:\Users\JOSEPH> netsh wlan show profiles Profiles on interface Wi-Fi: Group policy profiles (read only) ---------------------------------User profiles ------------- All User Profile : Galaxy S10+ All User Profile : itel A58 Lite All User Profile : TECNO POP 7 Pro All User Profile : itel S18
Para visualizar a senha de qualquer uma das conexões sem fio acima, digite o seguinte comando :
textonetsh wlan show profile name="TECNO POP 7 Pro" key=clear Security settings ----------------- Authentication : WPA2-Personal Cipher : CCMP Authentication : WPA2-Personal Cipher : GCMP Security key : Present Key Content : hausaman3
Outros comandos importantes que você pode querer examinar no subcomando show incluem:
textoC:\Users\JOSEPH>netsh wlan show The following commands are available: Commands in this context: show all - Shows complete wireless device and networks information. show allowexplicitcreds - Shows the allow shared user credentials settings. show autoconfig - Shows whether the auto configuration logic is enabled or disabled. show blockednetworks - Shows the blocked network display settings. show createalluserprofile - Shows whether everyone is allowed to create all user profiles. show drivers - Shows properties of the wireless LAN drivers on the system. show filters - Shows the allowed and blocked network list. show hostednetwork - Show hosted network properties and status. show interfaces - Shows a list of the wireless LAN interfaces on the system. show networks - Shows a list of networks visible on the system. show onlyUseGPProfilesforAllowedNetworks - Shows the only use GP profiles on GP configured networks setting. show profiles - Shows a list of profiles configured on the system. show randomization - Shows whether MAC randomization is enabled or disabled. show settings - Shows the global settings of wireless LAN. show tracing - Shows whether wireless LAN tracing is enabled or disabled. show wirelesscapabilities - Shows the wireless capabilities of the system show wlanreport - Generate a report showing recent wireless session information.
Para configurar a prioridade de rede, anote o nome da conexão de rede para obter o mais alto da saída do comando acima e insira o seguinte comando :
textoset profileorder name="type network name here" interface="type adapter name here" priority=1
Para remover uma rede sem fio da lista de redes com as quais o sistema fez conexões, digite o seguinte comando :
textoPS C:\Users\JOSEPH> netsh wlan delete profile name="TECNO POP 7 Pro" Profile "TECNO POP 7 Pro" is deleted from interface "Wi-Fi".
Por fim, há outra configuração de Wi-Fi a ser apresentada, e esta é a opção de usar seu computador com Windows para criar um ponto de acesso móvel pessoal que você pode compartilhar com outras pessoas .
textonetsh wlan set hostednetwork mode=allow ssid=network name key=password
Malware e Detecção e Remediação de Invasões Externas
Existem muitos níveis de ameaças a um sistema de computador. Existem ameaças à rede como um todo, servidores e máquinas individuais. Uma ameaça pode ser interna de usuários, configurações incorretas, falta de segurança ou externa de indivíduos nefastos que pretendem prejudicar sua organização. Uma ameaça pode ser pessoal, como um usuário individual baixando um vírus, ou corporativa, como alguém tentando roubar a propriedade intelectual mais recente de sua rede. Você deve combinar software preventivo e de detecção com treinamento, políticas e outros elementos para criar uma defesa eficaz contra todas essas ameaças. Mais importante ainda, o administrador inteligente está constantemente pensando fora da caixa porque o adversário certamente está .
Detectar e remover malware
A Ferramenta de Remoção de Software Malicioso (MRT) ajuda a remover software malicioso comum do seu sistema. Você pode encontrar uma descrição deste utilitário neste artigo . É importante revisar este artigo da Base de Conhecimento com relativa frequência porque a Microsoft o atualiza todos os meses com a lista de vírus que o MRT pode detectar. Se você for um administrador, verifique as instruções de implantação neste artigo . Para usar a GUI baseada em assistente do MRT, digite MRT e pressione Enter .
Verifique os arquivos do sistema
Os vírus geralmente substituem os arquivos do sistema por versões corrigidas que contêm o código do vírus. Pegar carona em um arquivo de sistema existente torna menos provável que alguém remova o vírus e garante que o vírus tenha uma chance de ser executado, então os criadores de vírus são motivados a usar arquivos de sistema sempre que acharem que podem.
Para verificar todos os arquivos protegidos do sistema imediatamente e reparar qualquer dano encontrado, digite o seguinte comando :
textoSFC /ScanNow
O utilitário normalmente depende do conteúdo da pasta <%SystemDrive%>\WINDOWS\system32\dllcache para fazer reparos nos arquivos do sistema. Em muitos casos, você desejará saber quais reparos o SFC fará antes de permitir que o SFC os faça. Neste caso, digite o seguinte comando :
textoPS C:\Users\JOSEPH> SFC /VerifyOnly Beginning system scan. This process will take some time. Beginning verification phase of system scan. Verification 100% complete. Windows Resource Protection found integrity violations. For online repairs, details are included in the CBS log file located at windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. For offline repairs, details are included in the log file provided by the /OFFLOGFILE flag.
O processo de verificação SFC pode exigir um tempo prolongado para ser concluído (até 15 minutos em muitos sistemas). Você provavelmente não vai querer esperar todo esse tempo se suspeitar que apenas um arquivo está corrompido ou contaminado de alguma forma. Neste caso, digite o seguinte comando :
textoPS C:\Users\JOSEPH> SFC /ScanFile=C:\Hackware\MagnetRESPONSEv170\MagnetRESPONSE.exe
Também é possível verificar um arquivo, em vez de digitalizá-lo. Verificar o arquivo economiza tempo em alguns casos. O SFC simplesmente informa se o arquivo está corrompido ou não e, em seguida, você pode substituí-lo usando qualquer técnica que funcione melhor. Para verificar um arquivo, digite o comando :
textoSFC /VerifyFile=C:\Hackware\MagnetRESPONSEv170\MagnetRESPONSE.exe
Comentários
Postar um comentário