پاسخگوئی به حوادث در ویندوز

در پاسخ به حادثه، بررسی فعالیت کاربر بسیار ضروری است. برای یافتن اینکه آیا حساب کاربری مشکوکی وجود دارد یا مجوزهای محدودی به کاربر اختصاص داده شده است استفاده می شود. با بررسی حساب کاربری می توان به سوالاتی مانند اینکه کدام کاربر در حال حاضر وارد شده است و چه نوع حساب کاربری دارد، پاسخ دریافت کرد.راه هایی که می توان حساب های کاربری را مشاهده کرد عبارتند از:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مشاهده تخفیف های ویژه امروز کلیک کنید

Users

Process

برای دریافت لیست تمام فرآیندهای در حال اجرا در سیستم، می توانید از Task Manger برای این منظور استفاده کنید. با استفاده از این دستور(Ctrl+Alt+Del) ، می توانید لیستی از فرآیندهای فضای حافظه استفاده شده، زمان اجرا، نام فایل تصویر، سرویس های در حال اجرا در فرآیند و غیره را دریافت کنید.

برای مشاهده فرآیندها می توانید از روش های زیر استفاده کنید.

Services

برای شناسایی اینکه آیا سرویس غیرعادی در سیستم شما در حال اجرا است یا برخی از سرویس ها به درستی کار نمی کند، می توانید سرویس های خود را مشاهده کنید.

Task Scheduler

Task Scheduler کامپوننتی در ویندوز است که امکان زمان‌بندی راه‌اندازی برنامه‌ها یا هر اسکریپت را در یک زمان از پیش تعریف شده یا پس از بازه‌های زمانی مشخص فراهم می‌کند. می توانید این وظایف برنامه ریزی شده را مشاهده کنید که دارای دسترسی های بالایی هستند و مشکوک به نظر می رسند. برای مشاهده Task Scheduler در رابط کاربری گرافیکی، از طریق کنترل پنل Administrative Tools این پنل قابل مشاهده میباشد.

Startup

پوشه startup در ویندوز، به طور خودکار برنامه ها را هنگام ورود به سیستم اجرا می کند. بنابراین، یک کنترل کننده حادثه، باید برنامه هایی را که به طور خودکار شروع می شوند مشاهده و بررسی نماید.

برای مشاهده برنامه‌ها در منوی Startup در رابط کاربری گرافیکی، Task Manager را باز کرده و روی منوی Startup کلیک کنید. با این کار می توانید ببینید که کدام برنامه ها در هنگام راه اندازی فعال و غیرفعال می شوند.

Registry

گاهی اوقات اگر بدافزار غیرپیچیده ای وجود داشته باشد، می توان با نگاهی به کلید اجرای رجیستری ویندوز، آن را پیدا کرد.

Active TCP and UDP port

به عنوان یک Incident Responder باید به دقت به پورت های TCP و UDP فعال سیستم خود توجه کنید.

آمار شبکه یک سیستم می تواند با استفاده از یک ابزار باشد. معیارهای آزمایش شده عبارتند از اتصالات ورودی و خروجی، جداول مسیریابی، گوش دادن به پورت و آمار استفاده. CMD را باز کنید، netstat -ano را تایپ کنید و اینتر را فشار دهید.

File Sharing

به‌عنوان پاسخ‌دهنده حادثه، باید مطمئن شوید که هر اشتراک‌گذاری فایل حساب‌دار و معقول است و هیچ اشتراک‌گذاری غیر ضروری فایل وجود ندارد.

برای بررسی گزینه‌های اشتراک‌گذاری فایل در خط فرمان cmd ، عبارت net view \\<localhost> را تایپ کرده و enter را فشار دهید.

SMBShare

برای مشاهده اشتراک‌گذاری فایل در PowerShell، می‌توانید «Get -SMBShare» را تایپ کنید و اینتر را فشار دهید.

Files

برای مشاهده فایل‌هایی که می‌توانند مخرب باشند یا به پسوند خاصی ختم شوند، می‌توانید از دستور «forfiles» استفاده کنید. Forfiles یک نرم افزار کاربردی خط فرمان است. با مایکروسافت ویندوز ویستا ارسال شد. در آن زمان، مدیریت چندین فایل از طریق خط فرمان دشوار بود زیرا اکثر دستورات در آن زمان روی فایل‌های منفرد کار می‌کردیم.

برای مشاهده فایل‌های exe به همراه مسیرشان برای یافتن آنها در خط فرمان،

«forfiles /D -10 /S /M *.exe /C «cmd /c echo @path» را تایپ کرده و enter را فشار دهید.

برای مشاهده فایل‌ها بدون مسیر و جزئیات بیشتر پسوند فایل خاص و تاریخ اصلاح آن،

«forfiles /D -10 /S /M *.exe /C «cmd /c echo @ext @fname @fdate» را تایپ کنید و فشار دهید

برای بررسی فایل های اصلاح شده در 10 روز گذشته، عبارت forfiles /p c: /S /D -10 را تایپ کنید.

Firewall Setting

پاسخ دهنده حادثه باید به تنظیمات و تنظیمات فایروال توجه کند و باید آن را به طور منظم حفظ کند. برای مشاهده تنظیمات فایروال در خط فرمان، "netsh firewall show config" را تایپ کرده و enter را فشار دهید تا ترافیک ورودی و خروجی را مشاهده کنید.

برای مشاهده تنظیمات فعلی فایروال در خط فرمان، عبارت netsh advfirewall show currentprofile را تایپ کرده و enter را فشار دهید.

Session with other system

برای بررسی جزئیات session که با سیستم های دیگر ایجاد می شود، می توانید "net use" را در خط فرمان تایپ کنید .

Open Session

می‌توانید «net session» را در خط فرمان تایپ کنید تا هر session باز سیستم خود را ببینید. جزئیات مربوط به مدت session را به شما می دهد.

Log Entries

برای مشاهده لاگ های وردی در رابط کاربری گرافیکی، می‌توانید از طریق Run و تایپ کردن عبارت "eventvwr.msc"به پنجره ی لاگها دسترسی پیدا کنید

References

• https://www.hackingarticles.in/incident-response-linux-cheatsheet/
• https://www.hackingarticles.in/incident-response-windows-cheatsheet/

جمال مهربان پور

کارشناس شبکه و زیرساخت و امنیت شبکه

عاشق یادگیری و آموزش

پاسخگوئی به حوادث در ویندوز

نظرات