معلومات حول الأقراص الصلبة
هذه الأوامر هي الإبلاغ عن برامج البدء
ملاحظة: هذه الأوامر تنتج قائمة مع جميع البرامج بدء جنبا إلى جنب مع مفاتيح التسجيل الخاصة بهم، وصف البرنامج واسم البرنامج. الخيارات المعروضة أعلاه تعطيك مخرجات مختلفة. مثيرة جدا للاهتمام عند القيام البرمجيات الخبيثة التحليل السلوكي.
ملاحظة: سيؤدي ذلك إلى تمكين دكب.
ملاحظة: سيؤدي ذلك إلى تمكين دكب من تعطيل الخدمة تلقائيا أو يدويا.
ملاحظة: تغيير إب عن بعد لاستخدام دكب
مجموعات الأوامر أعلاه تسمح لك التعامل مع كل نوع من معالجة العملية:
ملاحظة: عمليات أوامر الأوامر المذكورة أعلاه في جهاز ويندوز.
ملاحظة: بعد تشغيل الأمر، يتم تخزين النتائج بتنسيق شمل. هذا هو الشكل الوحيد المدعوم، ولكن هذا هو سجل مفيد من ما كتبته، عند كتابته، والنتائج التي حصلت عليها.
إيمب وشبكة دنس تجتاح
بعد الاستيلاء على مربع ويندوز يمكنك استخدامه كمحور، ولكن ماذا يحدث إذا كان مربع مقيدة ولا يمكنك تحميل أو تحميل أي أدوات؟ حسنا سوف الأوامر التالية القيام بهذه المهمة
ملاحظة: سوف يقوم تسلسل الأمر هذا بإرسال حزمة واحدة فقط والإبلاغ عن هذا الجهاز الذي يحتوي على حقل صفر بلا تل. سيتم تخزين مخرجات الحلقة في ملف يدعى
ملاحظة: سيقوم هذا التسلسل الأمر بإجراء بحث دنس العكسي باستخدام ملقم دنس المحلي (يمكن ملاحقة دنس خادم خارجي أيضا). سيتم تخزين الإخراج في ملف سجل يسمى dnslog.txt
ملاحظة: يجمع هذا الأمر بين وظائف بينغ و تراسرت. سوف باثبينغ أولا قائمة عدد من القفزات المطلوبة للوصول إلى العنوان الذي يتم اختبار ثم إرسال عدة بينغ لكل جهاز التوجيه بينك وبين الوجهة. بعد ذلك، فإنه يحسب النتائج على أساس حزم عاد من كل جهاز التوجيه. ونظرا لأن درجة المسير تعرض درجة فقدان الرزم في أي موجه أو وصلة معينة، يمكنك تحديد الموجهات أو الشبكات الفرعية التي قد تواجه مشكلات في الشبكة. لاحظ أن العملية برمتها قد تستهلك 5-10 دقائق لأن العديد من بينغ يتم إرسالها. هناك مفاتيح لتعديل العملية وهذه يمكن أن ينظر إليه عن طريق إدخال "باثبينغ /؟" في موجه الأوامر. سوف تسلسل الأوامر أعلاه خريطة الشبكة بأكملها جنبا إلى جنب مع طرقها (وهذا سيكون مطول).
ملاحظة: هذا سوف تفعل توجيه تتبع بسيط من الشبكة المحلية بأكملها.
ويندوز اتصال اتصال الشبكة
التعامل مع مستخدمي ويندوز
تعرض الأمثلة التالية قائمة بجميع حسابات المستخدمين للكمبيوتر المحلي (بعض الأوامر تفعل ذلك جنبا إلى جنب مع غيرها من المعلومات المفيدة):
يعرض المثال التالي معلومات حول حساب المستخدم سوميوسر:
تدقيق السياسات الأمنية
ينطبق على: ويندوز 7 و ويندوز سيرفر 2008 و ويندوز سيرفر 2008 R2 و ويندوز فيستا يعرض معلومات حول ويؤدي وظائف لمعالجة سياسات التدقيق. للحصول على أمثلة حول كيفية استخدام هذا الأمر راجع قسم الأمثلة في كل موضوع.
دعونا نلقي نظرة على بعض الاستخدام المثال. للتعرف على الأسماء المستعارة المتاحة، افتح موجه الأوامر واكتب:
بيانات الاعتماد المقدمة
على سبيل المثال، استعلام يقوم فقط بإرجاع مثيلات Win32_process التي تطابق اسم إميت:
وميك هو عالم في حد ذاته، معقدة للغاية، وقادرة على قراءة عدة آلاف من الإعدادات على صندوق ويندوز، وتحديث المئات، مرة أخرى على حد سواء محليا وبعد. وهو يتضمن لغة الاستعلام الخاصة بها، يسمى وقل، ل ومي الاستعلام اللغة، مجموعة فرعية من أنسي سكل.
ولكن بونتيفيكاتينغ بما فيه الكفاية! دعونا الحصول على التدريب العملي على. وهنا بعض الأشياء متعة يمكنك القيام به مع وميك التي خدمتنا بشكل جيد للغاية في البحث مكافحة التجسس لدينا:
أو، أفضل من ذلك، حاول هذا واحد على لحجم:
يتيح لك قتل العمليات بالاسم.
تحصل على أسماء المستخدمين
ن يعمل قليلا مثل لينكس "بس -
عد ذلك، افتح c: \ os.html في المتصفح، وانقع في هذا الإخراج الجميل.
للحصول على قائمة أنواع التنسيق التي تدعمها وميك، يمكنك كتابة
التحديث السابع:
التحديث 8:
قارئ آخر، رغبة عدم الكشف عن هويته، يتحدث عن خيارات تكوين واجهة الشبكة التي تقدمها وميك، مثل:
هذا سوف تعطيك قائمة من واجهات إب.
أو، لتغيير عنوان إب في سطر الأوامر، يمكنك
بالنسبة إلى دكب، يمكنك إجراء ذلك:
آخر الذي يريد عدم الكشف عن هويته.
برامج بدء التشغيل
وميك تنفيذ الأوامر عن بعد:
إذا كان لديك لاستخدام وميك، مما يمكنك الإختراق في طريقك من خلال خلط نتائج
للحصول على أصحاب كافة عمليات taskeng.exe (عمليات جدولة المهام ويندوز المهام الفردية):
تاسكيل: يستخدم هذا الأمر لإنهاء العملية أو قتل أي عملية قيد التشغيل في النظام الخاص بك. اكتب قائمة المهام لإدراج كل العملية قيد التشغيل على النظام.
اكتب الأمر التالي لقتل عملية المفكرة من العملية
هذا الأمر أغلق بقوة جميع العمليات التي لا تستجيب. (هنا / و حدد القوات لقتل العملية)، اكتب الأمر التالي
يمكنك أيضا إجراء نفس جمع البيانات عبر الشبكة دون تسجيل الدخول إلى الجهاز البعيد بعد أن تعرف أن لديك بعض بيانات الاعتماد الإدارية التي يقبلها النظام البعيد.
يبدو الأمر نفسه الصادر ضد نظام بعيد في نطاق آخر كما يل
على سبيل المثال، يمكنك جمع قائمة من المجموعات على النظام المحلي باستخدام الأمر التالي:
بدء تطبيق
إنهاء تطبيق
الحصول على قائمة معرفات العملية
معلومات النظام والإعدادات
يمكنك جمع قائمة متغيرات البيئة (بما في ذلك باث) مع هذا الأمر
المنتجات / البرامج المثبتة التقرير هتمل منسق
تشغيل سطح المكتب البعيد عن بعد
الحصول على استخدام محرك الأقراص الخادم عن بعد
الحصول على الرقم التسلسلي بيسي
الحصول على رقم المنتج بيسي
البحث عن الأشياء التي تبدأ في التمهيد
إعادة التشغيل أو إيقاف التشغيلا
الحصول على قائمة بدء التشغيل
معلومات حول الأقراص الصلبة
معلومات حول نظام التشغيل
معلومات حول الملفات
يمكن الحصول على معلومات المستخدمين والمجموعات المحلية باستخدام هذه الأوامر:
بالنسبة لوحدات التحكم بالمجال، يجب أن يوفر ذلك قائمة بجميع حسابات المستخدمين والمجموعات في النطاق. إصدار "سيساكونت" يوفر لك حسابات النظام المدمج في وغيرها، وهو أمر مفيد لأي حسابات إضافية قد تكون قد أضيفت من قبل الجذور الخفية.
تحديد أي حسابات النظام المحلي التي تم تمكين (ضيف، وما إلى ذلك)
عدد عمليات تسجيل الدخول لكل وسيريد
الحصول على أسماء النطاقات وعند تعيين الأشخاص ذوي الإعاقة في الحساب على انتهاء الصلاحية
إدارة التصحيح
تحتاج إلى معرفة ما إذا كان هناك أي بقع مفقودة على النظام؟ وميك يمكن أن تساعدك على معرفة مع هذا كومان
تشارك
يمكن جمع تعداد جميع الأسهم المحلية باستخدام الأمر
استخدم الأمر التالي لاستخراج قائمة محولات الشبكة ومعلومات عنوان إب:
الحصول على عنوان ماك:
تحديث عنوان إب الثابت:
تغيير بوابة الشبكة:
تمكين دكب
الحصول على قائمة من واجهات إب
وميك يمكن سرد كافة الخدمات المثبتة وتكويناتها باستخدام هذا الأمر:
وسيشمل الإخراج الأمر الكامل المستخدم لبدء الخدمة ووصفها المطول.
خدمات تقرير عن جهاز بعيد هتمل تنسيق:
الحصول على ستارتمود من الخدمات
ميزة أخرى مثيرة للاهتمام من وميك هو قدرته على تسجيل الأمر وقت التشغيل تنفيذها وتكوين وقت التشغيل في كل ملف شمل واحد. قد تبدو الجلسة المسجلة على النحو التالي:
وبطبيعة الحال، منذ لم يتم تصميم وميك كجهاز تسجيل، وهناك بعض المحاذير لاستخدام شمل. أولا، يمكنك فقط استخدام إخراج شمل، لا توجد صيغ أخرى محددة.
سجلات الأحداث
الحصول على نوع معين من الحدث من إيفنتلوغ
مسح إيفنتلوغ
استرداد قائمة من التحذيرات والأحداث الخطأ ليس من سجلات النظام أو الأمن
هذه الأوامر هي الإبلاغ عن برامج البدء
wmic startup
wmic startup list full
wmic startup list brief
wmic startup list system
wmic /node:machinename startup list full
wmic STARTUP GET Caption, Command, User
ملاحظة: سيؤدي ذلك إلى تغيير بوابة الشبكة
wmic nicconfig where index=9 call enabledhcp
wmic service where caption="DHCP Client" call changestartmode "Disabled"
wmic service where caption="DHCP Client" call changestartmode "Automatic"
wmic service where caption="DHCP Client" call changestartmode "Manual"
wmic /node:machinename nicconfig where Index=1 call EnableDHCP
wmic /node:machinename nicconfig where Index=1 call EnableStatic ("172.16.10.10"), ("255.255.0.0")
مجموعات الأوامر أعلاه تسمح لك التعامل مع كل نوع من معالجة العملية:
wmic process
wmic process list brief
wmic process list full
wmic process list system
wmic /record:processes.xml process list brief
wmic /record:processes.xml process list full
wmic /record:processes.xml process list system
wmic process where name='process_name.exe'
wmic process where name='process_name.exe' list brief
wmic process where name='process_name.exe' list full
wmic process where name='process_name.exe' list system
wmic process where name='process_name.exe' delete
بعد الاستيلاء على مربع ويندوز يمكنك استخدامه كمحور، ولكن ماذا يحدث إذا كان مربع مقيدة ولا يمكنك تحميل أو تحميل أي أدوات؟ حسنا سوف الأوامر التالية القيام بهذه المهمة
for /L %I in (1,1,254) DO @ping -n 1 192.168.1.%I | findstr "TTL=128" >> pinglog.txt
ملاحظة: سوف يقوم تسلسل الأمر هذا بإرسال حزمة واحدة فقط والإبلاغ عن هذا الجهاز الذي يحتوي على حقل صفر بلا تل. سيتم تخزين مخرجات الحلقة في ملف يدعى
pinglog.txt.
for /L %I in (1,1,254) DO @nslookup 192.168.1.%I | find "Name:" >> dnslog.txt
pathping targethost (for a single host only)
for /L %I in (1,1,254) DO @pingpath -n 192.168.1.%I >> traceping.txt
for /L %I in (1,1,254) DO @echo -Route: %I- >> trace.txt & @pathping -n 1 192.168.1.%I >> trace.txt
ملاحظة: هذا سوف تفعل توجيه تتبع بسيط من الشبكة المحلية بأكملها.
ويندوز اتصال اتصال الشبكة
التعامل مع مستخدمي ويندوز
تعرض الأمثلة التالية قائمة بجميع حسابات المستخدمين للكمبيوتر المحلي (بعض الأوامر تفعل ذلك جنبا إلى جنب مع غيرها من المعلومات المفيدة):
net user
wmic useraccount
wmic useraccount list brief
net user someuser
wmic service list brief
netsh int ip delete arpcache
ينطبق على: ويندوز 7 و ويندوز سيرفر 2008 و ويندوز سيرفر 2008 R2 و ويندوز فيستا يعرض معلومات حول ويؤدي وظائف لمعالجة سياسات التدقيق. للحصول على أمثلة حول كيفية استخدام هذا الأمر راجع قسم الأمثلة في كل موضوع.
Auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:"System","Detailed Tracking","Object Access"
دعونا نلقي نظرة على بعض الاستخدام المثال. للتعرف على الأسماء المستعارة المتاحة، افتح موجه الأوامر واكتب:
wmic alias list brief
wmic volume list brief
wmic process where "name ='notepad.exe'"
wmic process where "name like '%notepad%'"
ولكن بونتيفيكاتينغ بما فيه الكفاية! دعونا الحصول على التدريب العملي على. وهنا بعض الأشياء متعة يمكنك القيام به مع وميك التي خدمتنا بشكل جيد للغاية في البحث مكافحة التجسس لدينا:
wmic process [pid] delete
أو، أفضل من ذلك، حاول هذا واحد على لحجم:
wmic process where name='cmd.exe'
يتيح لك قتل العمليات بالاسم.
wmic process list brief /every:1
wmic useraccount
wmic qfe
wmic /?
wmic startup list full
wmic /?:full > wmic_docs_that_stink.txt
wmic /output:c:\os.html os get /format:hform
عد ذلك، افتح c: \ os.html في المتصفح، وانقع في هذا الإخراج الجميل.
Ooooohhhh. Ahhhhhhh.
للحصول على قائمة أنواع التنسيق التي تدعمها وميك، يمكنك كتابة
wmic [stuff to do] /format /?
wmic process list /format /?
wmic /record:test.xml process list brief
قارئ آخر، رغبة عدم الكشف عن هويته، يتحدث عن خيارات تكوين واجهة الشبكة التي تقدمها وميك، مثل:
wmic nicconfig where IPEnabled='true'
أو، لتغيير عنوان إب في سطر الأوامر، يمكنك
wmic nicconfig where Index=1 call EnableStatic ("10.10.10.10"), ("255.255.255.0")
بالنسبة إلى دكب، يمكنك إجراء ذلك:
wmic nicconfig where Index=1 call EnableDHCP
netsh /?
wmic process get processid,commandline
wmic process where "name like '%chrome%'" get processid,commandline
sc query type= service
برامج بدء التشغيل
wmic startup list brief
wmic /node:10.0.0.1 /user:Administrator process call create "cmd.exe /c calc.exe"
===============================
wmic process list full | more ===
wmic process list full > output.txt ===
===============================
إذا كان لديك لاستخدام وميك، مما يمكنك الإختراق في طريقك من خلال خلط نتائج
Get-WmiObject -Class Win32_Process |
Select-Object Name, @{
Name = 'Owner'
Expression = {
$_.GetOwner().User
}
}
wmic process get Name
للحصول على أصحاب كافة عمليات taskeng.exe (عمليات جدولة المهام ويندوز المهام الفردية):
wmic process where "name='taskeng.exe'" call GetOwner
اكتب الأمر التالي لقتل عملية المفكرة من العملية
taskkill /IM notepad.exe
هذا الأمر أغلق بقوة جميع العمليات التي لا تستجيب. (هنا / و حدد القوات لقتل العملية)، اكتب الأمر التالي
taskkill /f /fi
يمكنك أيضا إجراء نفس جمع البيانات عبر الشبكة دون تسجيل الدخول إلى الجهاز البعيد بعد أن تعرف أن لديك بعض بيانات الاعتماد الإدارية التي يقبلها النظام البعيد.
يبدو الأمر نفسه الصادر ضد نظام بعيد في نطاق آخر كما يل
wmic /user:”FOREIGN_DOMAINAdmin” /password:”Password” /node:192.168.33.25 group list brief
wmic group list brief
بدء تطبيق
wmic process call create “calc.exe”
إنهاء تطبيق
wmic process where name=”calc.exe”
الحصول على قائمة معرفات العملية
wmic process where (Name=’svchost.exe’)
معلومات النظام والإعدادات
يمكنك جمع قائمة متغيرات البيئة (بما في ذلك باث) مع هذا الأمر
wmic environment list
المنتجات / البرامج المثبتة التقرير هتمل منسق
wmic /output:c:product.html product get /format:hform
تشغيل سطح المكتب البعيد عن بعد
Wmic /node:”servername” /user:”user@domain” /password: “password” RDToggle where ServerName=”server
name” call SetAllowTSConnections 1
الحصول على استخدام محرك الأقراص الخادم عن بعد
WMIC /Node:%%A LogicalDisk Where DriveType=”3" Get DeviceID,FileSystem,FreeSpace,Size /Format:csv MORE /E +2 >> SRVSPACE.CSV
الحصول على الرقم التسلسلي بيسي
wmic /node:”HOST” bios get serialnumber
wmic /node:”HOST” baseboard get product
wmic STARTUP GET Caption, Command, User
wmic os where buildnumber=”2600" call reboot
wmic startup list full
wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem, size, volumeserialnumber
wmic os get bootdevice, buildnumber, caption, freespaceinpagingfiles, installdate, name, systemdrive, windowsdirectory /format:htable > c:osinfo.htm
wmic path cim_datafile where “Path=’\windows\system32\wbem\’ and FileSize>1784088” > c:wbemfiles.txt
wmic useraccount list
wmic group list
wmic sysaccount list
بالنسبة لوحدات التحكم بالمجال، يجب أن يوفر ذلك قائمة بجميع حسابات المستخدمين والمجموعات في النطاق. إصدار "سيساكونت" يوفر لك حسابات النظام المدمج في وغيرها، وهو أمر مفيد لأي حسابات إضافية قد تكون قد أضيفت من قبل الجذور الخفية.
تحديد أي حسابات النظام المحلي التي تم تمكين (ضيف، وما إلى ذلك)
wmic USERACCOUNT WHERE “Disabled=0 AND LocalAccount=1” GET Name”
عدد عمليات تسجيل الدخول لكل وسيريد
wmic netlogin where (name like “%skodo”) get numberoflogons
WMIC UserAccount GET name,PasswordExpires /Value
تحتاج إلى معرفة ما إذا كان هناك أي بقع مفقودة على النظام؟ وميك يمكن أن تساعدك على معرفة مع هذا كومان
wmic qfe list
يمكن جمع تعداد جميع الأسهم المحلية باستخدام الأمر
wmic share list
wmic nicconfig list
wmic nic get macaddress
wmic nicconfig where index=9 call enablestatic(“192.168.16.4”), (“255.255.255.0”)
wmic nicconfig where index=9 call setgateways(“192.168.16.4”, “192.168.16.5”),(1,2)
wmic nicconfig where index=9 call enabledhcp
wmic nicconfig where IPEnabled=’true’
wmic services list
wmic service where caption=”DHCP Client” call changestartmode “Disabled”
wmic /output:c:services.htm /node:server1 service list full / format:htable
Wmic service get caption, name, startmode, state
wmic /record:users_list.xml useraccount list
سجلات الأحداث
الحصول على نوع معين من الحدث من إيفنتلوغ
wmic ntevent where (message like “%logon%”) list brief
wmic nteventlog where (description like “%secevent%”) call cleareventlog
WMIC NTEVENT WHERE “EventType < 3 AND LogFile != ‘System’ AND LogFile != ‘Security’” GET LogFile, SourceName, EventType, Message, TimeGenerated /FORMAT:”htable.xsl”:” datatype = number”:” sortby = EventType” > c:appevent.htm
Post a Comment