در پاسخ به حادثه، بررسی فعالیت کاربر بسیار ضروری است. برای یافتن اینکه آیا حساب کاربری مشکوکی وجود دارد یا مجوزهای محدودی به کاربر اختصاص داده شده است استفاده می شود. با بررسی حساب کاربری می توان به سوالاتی مانند اینکه کدام کاربر در حال حاضر وارد شده است و چه نوع حساب کاربری دارد، پاسخ دریافت کرد.راه هایی که می توان حساب های کاربری را مشاهده کرد عبارتند از:
Users
Process
برای دریافت لیست تمام فرآیندهای در حال اجرا در سیستم، می توانید از Task Manger برای این منظور استفاده کنید. با استفاده از این دستور(Ctrl+Alt+Del) ، می توانید لیستی از فرآیندهای فضای حافظه استفاده شده، زمان اجرا، نام فایل تصویر، سرویس های در حال اجرا در فرآیند و غیره را دریافت کنید.
برای مشاهده فرآیندها می توانید از روش های زیر استفاده کنید.
Services
برای شناسایی اینکه آیا سرویس غیرعادی در سیستم شما در حال اجرا است یا برخی از سرویس ها به درستی کار نمی کند، می توانید سرویس های خود را مشاهده کنید.
Task Scheduler
Task Scheduler کامپوننتی در ویندوز است که امکان زمانبندی راهاندازی برنامهها یا هر اسکریپت را در یک زمان از پیش تعریف شده یا پس از بازههای زمانی مشخص فراهم میکند. می توانید این وظایف برنامه ریزی شده را مشاهده کنید که دارای دسترسی های بالایی هستند و مشکوک به نظر می رسند. برای مشاهده Task Scheduler در رابط کاربری گرافیکی، از طریق کنترل پنل Administrative Tools این پنل قابل مشاهده میباشد.
Startup
پوشه startup در ویندوز، به طور خودکار برنامه ها را هنگام ورود به سیستم اجرا می کند. بنابراین، یک کنترل کننده حادثه، باید برنامه هایی را که به طور خودکار شروع می شوند مشاهده و بررسی نماید.
برای مشاهده برنامهها در منوی Startup در رابط کاربری گرافیکی، Task Manager را باز کرده و روی منوی Startup کلیک کنید. با این کار می توانید ببینید که کدام برنامه ها در هنگام راه اندازی فعال و غیرفعال می شوند.
Registry
گاهی اوقات اگر بدافزار غیرپیچیده ای وجود داشته باشد، می توان با نگاهی به کلید اجرای رجیستری ویندوز، آن را پیدا کرد.
Active TCP and UDP port
به عنوان یک Incident Responder باید به دقت به پورت های TCP و UDP فعال سیستم خود توجه کنید.
آمار شبکه یک سیستم می تواند با استفاده از یک ابزار باشد. معیارهای آزمایش شده عبارتند از اتصالات ورودی و خروجی، جداول مسیریابی، گوش دادن به پورت و آمار استفاده. CMD را باز کنید، netstat -ano را تایپ کنید و اینتر را فشار دهید.
File Sharing
بهعنوان پاسخدهنده حادثه، باید مطمئن شوید که هر اشتراکگذاری فایل حسابدار و معقول است و هیچ اشتراکگذاری غیر ضروری فایل وجود ندارد.
برای بررسی گزینههای اشتراکگذاری فایل در خط فرمان cmd ، عبارت net view \\<localhost> را تایپ کرده و enter را فشار دهید.
SMBShare
برای مشاهده اشتراکگذاری فایل در PowerShell، میتوانید «Get -SMBShare» را تایپ کنید و اینتر را فشار دهید.
Files
برای مشاهده فایلهایی که میتوانند مخرب باشند یا به پسوند خاصی ختم شوند، میتوانید از دستور «forfiles» استفاده کنید. Forfiles یک نرم افزار کاربردی خط فرمان است. با مایکروسافت ویندوز ویستا ارسال شد. در آن زمان، مدیریت چندین فایل از طریق خط فرمان دشوار بود زیرا اکثر دستورات در آن زمان روی فایلهای منفرد کار میکردیم.
برای مشاهده فایلهای exe به همراه مسیرشان برای یافتن آنها در خط فرمان،
«forfiles /D -10 /S /M *.exe /C «cmd /c echo @path» را تایپ کرده و enter را فشار دهید.
برای مشاهده فایلها بدون مسیر و جزئیات بیشتر پسوند فایل خاص و تاریخ اصلاح آن،
«forfiles /D -10 /S /M *.exe /C «cmd /c echo @ext @fname @fdate» را تایپ کنید و فشار دهید
برای بررسی فایل های اصلاح شده در 10 روز گذشته، عبارت forfiles /p c: /S /D -10 را تایپ کنید.
Firewall Setting
پاسخ دهنده حادثه باید به تنظیمات و تنظیمات فایروال توجه کند و باید آن را به طور منظم حفظ کند. برای مشاهده تنظیمات فایروال در خط فرمان، "netsh firewall show config" را تایپ کرده و enter را فشار دهید تا ترافیک ورودی و خروجی را مشاهده کنید.
برای مشاهده تنظیمات فعلی فایروال در خط فرمان، عبارت netsh advfirewall show currentprofile را تایپ کرده و enter را فشار دهید.
Session with other system
برای بررسی جزئیات session که با سیستم های دیگر ایجاد می شود، می توانید "net use" را در خط فرمان تایپ کنید .
Open Session
میتوانید «net session» را در خط فرمان تایپ کنید تا هر session باز سیستم خود را ببینید. جزئیات مربوط به مدت session را به شما می دهد.
Log Entries
برای مشاهده لاگ های وردی در رابط کاربری گرافیکی، میتوانید از طریق Run و تایپ کردن عبارت "eventvwr.msc"به پنجره ی لاگها دسترسی پیدا کنید
References
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود