أوامر windows
وهناك الكثير من البرامج الضارة يعمل تلقائيا على الجهاز عن طريق إضافة دخول لصناعة السيارات في بداية جنبا إلى جنب مع تلك المشروعة التي قد تنتمي إلى أدوات مكافحة الفيروسات وبرامج علبة النظام المختلفة. يمكن للمستخدمين النظر في إعدادات أخرى على جهاز مع وميك عن طريق استبدال "بدء التشغيل" مع "كف" (اختصار الذي يقف على "الإصلاح السريع الهندسة") لمعرفة مستوى التصحيح من نظام، مع "حصة" لرؤية قائمة من ملف ويندوز الأسهم المتاحة على الجهاز ومع "وسركونت" للاطلاع على إعدادات حساب المستخدم مفصلة.
وهناك خيار مفيد داخل وميك هو القدرة على تشغيل أمر جمع المعلومات على أساس متكرر باستخدام بناء الجملة "/ كل: [N]" بعد بقية الأمر وميك. و [N] هنا هو عدد صحيح، مشيرا إلى أن وميك يجب تشغيل الأمر المعطى كل [N] ثانية. وبهذه الطريقة، يمكن للمستخدمين البحث عن التغييرات في إعدادات النظام مع مرور الوقت، مما يتيح التدقيق الدقيق للناتج. باستخدام هذه الوظيفة لسحب ملخص العملية كل 5 ثوان، يمكن للمستخدمين تشغيل:
wmic process list brief /every:1
CTRL + C اقافة الامر
3) أوبنفيلز: التدقيق العميق
العديد من المسؤولين ويندوز غير مألوفة مع الأمر أوبنفيلز قوية في صلب ويندوز. كما يوحي اسمها، يظهر هذا الأمر كافة الملفات التي يتم فتحها في المربع، مما يشير إلى اسم العملية التي تتفاعل مع كل ملف. انها بنيت في الإصدارات الحديثة من ويندوز، من زب برو إلى ويندوز فيستا. مثل الأمر لسوف شعبية لينكس و أونيكس، وسوف تظهر المسؤولين جميع الملفات المفتوحة على الجهاز، وإعطاء اسم العملية والمسار الكامل لكل ملف. على عكس لسوف، ومع ذلك، فإنه لا يوفر الكثير من التفاصيل، مثل رقم معرف العملية، رقم المستخدم وغيرها من المعلومات.
وبالنظر إلى حجم المعلومات التي تجمعها، فإنه ليس من المستغرب أن الأمر أوبنفيلز هو خنزير الأداء. وبالتالي، يتم إيقاف المحاسبة المرتبطة أوبنفيلز بشكل افتراضي، وهذا يعني لا يمكن للمستخدمين سحب أي بيانات من هذا الأمر حتى يتم تشغيله. هذه الوظيفة يمكن تفعيلها عن طريق تشغيل:
openfiles /local on
سوف يحتاج المستخدمون إلى إعادة التشغيل، وعندما يعود النظام، فإنها سوف تكون قادرة على تشغيل الأمر أوبنفيلز على النحو التالي:
openfiles /query /v
سيظهر هذا الأمر إخراج مطول، والذي يتضمن حساب المستخدم أن كل عملية مع ملف مفتوح قيد التشغيل. للحصول على فكرة عن البرامج الضارة التي تم تثبيتها أو ما قد يقوم به المهاجم على الجهاز، يجب على المستخدمين البحث عن ملفات غير عادية أو غير متوقعة، خاصة تلك المرتبطة بالمستخدمين المحليين غير المتوقعين على الجهاز.
عند الانتهاء مع الأمر أوبنفيلز، يمكن إيقاف تشغيل وظائف المحاسبة الخاصة به وعاد النظام إلى الأداء العادي عن طريق تشغيل الأمر التالي وإعادة التشغيل:
openfiles /local off
الخيار -n يخبر نيتستات لعرض الأرقام في إنتاجها، وليس أسماء الآلات والبروتوكولات، وبدلا من ذلك يظهر عناوين إب وأرقام المنفذ تكب أو أودب. -A يشير إلى عرض جميع الاتصالات ومنافذ الاستماع. يخبر الخيار -o نيتستات لإظهار رقم بروسيسيد لكل برنامج يتفاعل مع منفذ تكب أو أودب. إذا، بدلا من تكب و أودب، كنت مهتما في إيمب، يمكن تشغيل نيتستات على النحو التالي
netstat –s –p icmp
يشير هذا إلى أن الأمر سيعود إحصائيات (-s) من بروتوكول إيمب. على الرغم من أنه ليس كما هو مفصل مثل تكب و أودب الإخراج، يمكن للمستخدمين معرفة ما إذا كان الجهاز يرسل حركة المرور إيمب متكررة وغير متوقعة على الشبكة. بعض الخلفيات وغيرها من البرامج الضارة التواصل باستخدام حمولة رسائل إيمب صدى، الحزم مألوفة وغير ضارة تبحث بينغ ينظر على معظم الشبكات بشكل دوري.
مثل وميك، الأمر نيتستات يتيح لنا أيضا تشغيل كل N ثانية. ولكن بدلا من استخدام بنية وميك "/ كل: [N]"، المستخدمين ببساطة اتبع استدعاء نيتستات مع مساحة وعدد صحيح. وهكذا، لقائمة منافذ تكب و أودب في استخدام على الجهاز كل 2 ثانية، يمكن للمستخدمين تشغيل:
netstat –na 2
البحث: البحث عن الإخراج عن الاشياء المفيدة
معظم الأوامر التي ناقشتها حتى الآن يقذف الكثير من الإخراج على الشاشة، والتي يمكن أن يكون من الصعب على الإنسان أن ننظر من خلال العثور على عنصر معين من الفائدة. ولكن، يأتي ويندوز للانقاذ. يمكن للمستخدمين البحث من خلال إخراج الأمر باستخدام المدمج في العثور على أوامر فيندستر في ويندوز. يبحث الأمر فيند عن سلاسل بسيطة، في حين يدعم فيندستر التعبيرات العادية، وهي طريقة أكثر تعقيدا لتحديد أنماط البحث. لأن التعبيرات العادية التي تدعمها فيندستر تتجاوز نطاق هذه المقالة غيض، دعونا نركز على أمر البحث. بشكل افتراضي، يكون البحث حساس لحالة الأحرف - استخدم الخيار i / i لجعله غير حساس لحالة الأحرف.
لديه أمر البحث أيضا القدرة على الاعتماد. عند استدعاء الأمر / c، سيحسب عدد أسطر المخرجات التي تتضمن سلسلة معينة. غالبا ما يرغب المستخدمون في حساب عدد الأسطر في إخراج أمر لتحديد عدد العمليات قيد التشغيل، وعدد عناصر بدء التشغيل موجودة، أو مجموعة متنوعة من الحكايات الأخرى المثيرة للاهتمام على الجهاز. لحساب خطوط الإخراج، يمكن للمستخدمين ببساطة أنابيب إنتاجها من خلال البحث / ج / V "". سيحسب هذا الأمر (/ c) عدد الأسطر التي لا تحتوي على (/ v) سطر فارغ ("") فيها. من خلال عد عدد الخطوط غير الفارغة، الأمر هو، في الواقع، عد عدد الأسطر.
الآن، مع أمر البحث، يمكن للمستخدمين ننظر من خلال إخراج كل من الأوامر التي ناقشتها حتى الآن للعثور على الحكايات مثيرة للاهتمام. على سبيل المثال، لإلقاء نظرة على المعلومات في كل ثانية حول عمليات cmd.exe قيد التشغيل على جهاز اكتب:
c: \> وميك قائمة عملية موجزة / كل: 1 | العثور على "cmd.exe"
wmic process list brief /every:1 | find "cmd.exe"
أو، لمعرفة برامج التشغيل التلقائي التي ترتبط مع خلية التسجيل هكلم، تشغيل:
C: \> وميك قائمة بدء التشغيل موجز | العثور على / ط "هكلم"
wmic startup list brief | find /i "hklm"
لحساب عدد الملفات المفتوحة على الجهاز الذي يتم تنشيط أوبينفيلز أكونتينغ، اكتب:
C: \> أوبنفيلز / كيري / v | فيند / c / v ""
openfiles /query /v | find /c /v ""
كلما عد العناصر في هذه الطريقة، تذكر لطرح عدد من خطوط المرتبطة رؤوس الأعمدة. وكمثال أخير، لمعرفة دقة ثانية واحدة عند بدء تشغيل منفذ تكب
2222 يتم استخدامه على الجهاز، جنبا إلى جنب مع معرف العملية باستخدام المنفذ، تشغيل:
netstat –nao 1 | find "2222"
وهناك الكثير من البرامج الضارة يعمل تلقائيا على الجهاز عن طريق إضافة دخول لصناعة السيارات في بداية جنبا إلى جنب مع تلك المشروعة التي قد تنتمي إلى أدوات مكافحة الفيروسات وبرامج علبة النظام المختلفة. يمكن للمستخدمين النظر في إعدادات أخرى على جهاز مع وميك عن طريق استبدال "بدء التشغيل" مع "كف" (اختصار الذي يقف على "الإصلاح السريع الهندسة") لمعرفة مستوى التصحيح من نظام، مع "حصة" لرؤية قائمة من ملف ويندوز الأسهم المتاحة على الجهاز ومع "وسركونت" للاطلاع على إعدادات حساب المستخدم مفصلة.
وهناك خيار مفيد داخل وميك هو القدرة على تشغيل أمر جمع المعلومات على أساس متكرر باستخدام بناء الجملة "/ كل: [N]" بعد بقية الأمر وميك. و [N] هنا هو عدد صحيح، مشيرا إلى أن وميك يجب تشغيل الأمر المعطى كل [N] ثانية. وبهذه الطريقة، يمكن للمستخدمين البحث عن التغييرات في إعدادات النظام مع مرور الوقت، مما يتيح التدقيق الدقيق للناتج. باستخدام هذه الوظيفة لسحب ملخص العملية كل 5 ثوان، يمكن للمستخدمين تشغيل:
wmic process list brief /every:1
CTRL + C اقافة الامر
3) أوبنفيلز: التدقيق العميق
العديد من المسؤولين ويندوز غير مألوفة مع الأمر أوبنفيلز قوية في صلب ويندوز. كما يوحي اسمها، يظهر هذا الأمر كافة الملفات التي يتم فتحها في المربع، مما يشير إلى اسم العملية التي تتفاعل مع كل ملف. انها بنيت في الإصدارات الحديثة من ويندوز، من زب برو إلى ويندوز فيستا. مثل الأمر لسوف شعبية لينكس و أونيكس، وسوف تظهر المسؤولين جميع الملفات المفتوحة على الجهاز، وإعطاء اسم العملية والمسار الكامل لكل ملف. على عكس لسوف، ومع ذلك، فإنه لا يوفر الكثير من التفاصيل، مثل رقم معرف العملية، رقم المستخدم وغيرها من المعلومات.
وبالنظر إلى حجم المعلومات التي تجمعها، فإنه ليس من المستغرب أن الأمر أوبنفيلز هو خنزير الأداء. وبالتالي، يتم إيقاف المحاسبة المرتبطة أوبنفيلز بشكل افتراضي، وهذا يعني لا يمكن للمستخدمين سحب أي بيانات من هذا الأمر حتى يتم تشغيله. هذه الوظيفة يمكن تفعيلها عن طريق تشغيل:
openfiles /local on
سوف يحتاج المستخدمون إلى إعادة التشغيل، وعندما يعود النظام، فإنها سوف تكون قادرة على تشغيل الأمر أوبنفيلز على النحو التالي:
openfiles /query /v
سيظهر هذا الأمر إخراج مطول، والذي يتضمن حساب المستخدم أن كل عملية مع ملف مفتوح قيد التشغيل. للحصول على فكرة عن البرامج الضارة التي تم تثبيتها أو ما قد يقوم به المهاجم على الجهاز، يجب على المستخدمين البحث عن ملفات غير عادية أو غير متوقعة، خاصة تلك المرتبطة بالمستخدمين المحليين غير المتوقعين على الجهاز.
عند الانتهاء مع الأمر أوبنفيلز، يمكن إيقاف تشغيل وظائف المحاسبة الخاصة به وعاد النظام إلى الأداء العادي عن طريق تشغيل الأمر التالي وإعادة التشغيل:
openfiles /local off
الخيار -n يخبر نيتستات لعرض الأرقام في إنتاجها، وليس أسماء الآلات والبروتوكولات، وبدلا من ذلك يظهر عناوين إب وأرقام المنفذ تكب أو أودب. -A يشير إلى عرض جميع الاتصالات ومنافذ الاستماع. يخبر الخيار -o نيتستات لإظهار رقم بروسيسيد لكل برنامج يتفاعل مع منفذ تكب أو أودب. إذا، بدلا من تكب و أودب، كنت مهتما في إيمب، يمكن تشغيل نيتستات على النحو التالي
netstat –s –p icmp
يشير هذا إلى أن الأمر سيعود إحصائيات (-s) من بروتوكول إيمب. على الرغم من أنه ليس كما هو مفصل مثل تكب و أودب الإخراج، يمكن للمستخدمين معرفة ما إذا كان الجهاز يرسل حركة المرور إيمب متكررة وغير متوقعة على الشبكة. بعض الخلفيات وغيرها من البرامج الضارة التواصل باستخدام حمولة رسائل إيمب صدى، الحزم مألوفة وغير ضارة تبحث بينغ ينظر على معظم الشبكات بشكل دوري.
مثل وميك، الأمر نيتستات يتيح لنا أيضا تشغيل كل N ثانية. ولكن بدلا من استخدام بنية وميك "/ كل: [N]"، المستخدمين ببساطة اتبع استدعاء نيتستات مع مساحة وعدد صحيح. وهكذا، لقائمة منافذ تكب و أودب في استخدام على الجهاز كل 2 ثانية، يمكن للمستخدمين تشغيل:
netstat –na 2
البحث: البحث عن الإخراج عن الاشياء المفيدة
معظم الأوامر التي ناقشتها حتى الآن يقذف الكثير من الإخراج على الشاشة، والتي يمكن أن يكون من الصعب على الإنسان أن ننظر من خلال العثور على عنصر معين من الفائدة. ولكن، يأتي ويندوز للانقاذ. يمكن للمستخدمين البحث من خلال إخراج الأمر باستخدام المدمج في العثور على أوامر فيندستر في ويندوز. يبحث الأمر فيند عن سلاسل بسيطة، في حين يدعم فيندستر التعبيرات العادية، وهي طريقة أكثر تعقيدا لتحديد أنماط البحث. لأن التعبيرات العادية التي تدعمها فيندستر تتجاوز نطاق هذه المقالة غيض، دعونا نركز على أمر البحث. بشكل افتراضي، يكون البحث حساس لحالة الأحرف - استخدم الخيار i / i لجعله غير حساس لحالة الأحرف.
لديه أمر البحث أيضا القدرة على الاعتماد. عند استدعاء الأمر / c، سيحسب عدد أسطر المخرجات التي تتضمن سلسلة معينة. غالبا ما يرغب المستخدمون في حساب عدد الأسطر في إخراج أمر لتحديد عدد العمليات قيد التشغيل، وعدد عناصر بدء التشغيل موجودة، أو مجموعة متنوعة من الحكايات الأخرى المثيرة للاهتمام على الجهاز. لحساب خطوط الإخراج، يمكن للمستخدمين ببساطة أنابيب إنتاجها من خلال البحث / ج / V "". سيحسب هذا الأمر (/ c) عدد الأسطر التي لا تحتوي على (/ v) سطر فارغ ("") فيها. من خلال عد عدد الخطوط غير الفارغة، الأمر هو، في الواقع، عد عدد الأسطر.
الآن، مع أمر البحث، يمكن للمستخدمين ننظر من خلال إخراج كل من الأوامر التي ناقشتها حتى الآن للعثور على الحكايات مثيرة للاهتمام. على سبيل المثال، لإلقاء نظرة على المعلومات في كل ثانية حول عمليات cmd.exe قيد التشغيل على جهاز اكتب:
c: \> وميك قائمة عملية موجزة / كل: 1 | العثور على "cmd.exe"
wmic process list brief /every:1 | find "cmd.exe"
أو، لمعرفة برامج التشغيل التلقائي التي ترتبط مع خلية التسجيل هكلم، تشغيل:
C: \> وميك قائمة بدء التشغيل موجز | العثور على / ط "هكلم"
wmic startup list brief | find /i "hklm"
لحساب عدد الملفات المفتوحة على الجهاز الذي يتم تنشيط أوبينفيلز أكونتينغ، اكتب:
C: \> أوبنفيلز / كيري / v | فيند / c / v ""
openfiles /query /v | find /c /v ""
كلما عد العناصر في هذه الطريقة، تذكر لطرح عدد من خطوط المرتبطة رؤوس الأعمدة. وكمثال أخير، لمعرفة دقة ثانية واحدة عند بدء تشغيل منفذ تكب
2222 يتم استخدامه على الجهاز، جنبا إلى جنب مع معرف العملية باستخدام المنفذ، تشغيل:
netstat –nao 1 | find "2222"
Post a Comment