Comandos Windows para analizar el sistema (II)

Publicado por admin el 29 de junio de 2008 en Windows

En el informe anterior hemos colocado 5 de los más importantes comandos en Windows para descubrir si el sistema ha sido hackeado y alguien se ha hecho con el control del mismo, los comandos fueron WMIC, net, openfiles, netstat y find. Ahora se abordará 5 comandos, para llegar al total de los 10 comandos más importante y útiles en Windows, además se analizará como los profesionales de la seguridad pueden utilizar cada uno de ellos para poder hacer mejor sus trabajos.

Interactuando con los procesos usando tasklist
En la anterior elaboración se miró la forma en que el comando de WMIC ofrece interesantes conocimientos sobre los procesos en ejecución. El comando tasklist también tiene algunas características agradables dignos de inclusión, tirando de un proceso atributos que son difíciles o imposibles de discernir utilizando WMIC.

Cuando se ejecuta por sí solo, sin opciones, el comando tasklist muestra una lista de todos los procesos activos, mostrando sus nombres, números de PID y otras estadísticas. Para obtener aún más de tasklist, considere la posibilidad de correr como este:

C:\> tasklist /svc

Este comando le dice a tasklist para demostrar que los servicios se están ejecutando dentro de cada proceso. Muchos usuarios de Windows no entienden la relación entre los servicios y procesos, teniendo en el mejor de una turbia idea de que son diferentes pero las entidades vinculadas. En realidad, cada servicio en un cuadro de Windows debe ejecutar dentro de un proceso, y algunos procesos tienen múltiples servicios que viven dentro de ellos. Por lo tanto, hay un uno-a-muchos relación entre procesos y servicios, que el comando tasklist puede revelar.

Otro útil invocación del comando tasklist es:

C:\> tasklist /m

La “m” significa “módulos”, o la forma en que se refiere a tasklist DLLs, bibliotecas de código cargado de procesos, ya que para hacer funcionar sus máquinas a licitación. Cuando se invoca este modo, cada muestra tasklist DLL cargados actualmente en todos los procesos activos. Esto proporciona a los usuarios una gran cantidad de información sobre lo que está pasando en sus equipos en un momento dado. Si bien el análisis de esta producción es una tarea de enormes proporciones, la información contenida es útil para los investigadores de malware tratan de determinar la naturaleza de los procesos que se ejecutan en sus cajas. Google busca los procedimientos específicos y DLLs puede devolver las descripciones de los programas maliciosos de los sitios antivirus de proveedores, que proporciona una útil información sobre los atacantes de los motivos con una determinada muestra.

El comando  reg para el análisis del registro
El comando reg permite a los usuarios interactuar con el registro de sus máquinas en la línea de comandos. En lugar de utilizar los engorrosos regedit GUI para navegar por el registro, la seguridad pros pop puede simplemente abrir un shell de comandos de Windows y ejecute el comando reg para leer o actualizar el registro. Sin embargo, el comando reg no permite la navegación interactiva de la matrícula; los usuarios necesitan para conocer la ruta completa a la claves del registro que desea ver o modificar. Sin embargo, habida cuenta de que camino, el comando reg es una forma fácil de hacer cambios.

Para ver la configuración de una determinada clave del registro, utilice la “query” la posibilidad de reg comando de la siguiente manera:

C:\> reg query hklm\software\microsoft\windows\currentversion\run

Esta tecla diversos controles auto-iniciar programas en Windows que se ejecutan cuando una máquina es arrancado y, posteriormente, cuando los usuarios conectarse al sistema. Muchos ejemplares de malware modificar esta clave para garantizar que corren cuando el sistema es reiniciado.

Para exportar llaves individuales o secciones completas del registro a un archivo para el análisis o la instalación en un sistema separado, el comando reg apoya la “reg export” función. Además de la lectura y la exportación de configuración de registro, el comando reg puede actualizar de ellos también. El “reg add” comando actualizará el valor de una clave ya existente, o crear una clave si no existe. El comando “reg import” puede importar varias claves del registro.

Usando ipconfig para analizar las DNS
La mayoría de los usuarios de Windows graves están familiarizados con el comando ipconfig, lo cual es útil para mostrar la configuración de red de un cuadro de Windows. Pero hay una característica particularmente útil de ipconfig que un montón de gente no son conscientes de – una función que es bastante beneficioso para la seguridad pros dada la capacidad de la actual botnets. El comando ipconfig puede mostrar el local de la máquina Windows DNS cache de la siguiente manera:

C:\> ipconfig /displaydns

La salida del comando muestra los diversos nombres de dominio en caché, sus correspondientes direcciones IP y el tiempo de vida (en segundos) para el registro DNS. Si los usuarios ejecutar el comando en varias ocasiones, pueden ver el tiempo de vida disminuye hasta los registros caducan y se descartan, o conseguir la renovación. Al ver la caché DNS y tiempo de vida (TTL) valores es particularmente importante cuando la investigación de flujo rápido botnets, que utilizan los registros DNS con pequeñas TTLS a la fuerza constante de actualizaciones y confundir a los investigadores en relación con la ubicación de los hacker’s crítico de back-end de servidores. Es cierto que, ipconfig no tiene el mayor número de opciones de lujo como los otros comandos incluidos en esta serie, al igual que tasklist y reg. Pero este uso del comando es inmensamente útil.

Ejecutar repetidamente con FOR /L loops
A veces los administradores o profesionales de la seguridad quieren que ejecutar un comando en varias ocasiones, tal vez a cinco segundos de intervalo para buscar cambios en su producción. Para lograr este objetivo, pueden confiar en Windows para los bucles. Windows admite cinco tipos diferentes de bucles DE, que puede iterar sobre archivo de enteros, los nombres de los archivos, nombres de directorios, el contenido de los ficheros y cadenas. El foco aquí será en el más simple de estos bucles, específicamente para el / L variedad, que itera más enteros, ya que puede usarse para hacer ejecutar comandos continuamente. La sintaxis de  FOR /L loop es:

C:\> for /L %[var] in ([start],[step],[stop]) do [command]

El [var] es nuestra variable iterador, una sola carta alfabético que se llevará a diferentes valores a cada paso a través del bucle. El usuario entonces specifys el valor inicial de la variable, la cantidad debería ser incrementado a cada paso a través del bucle, y su valor máximo que se detiene el bucle. Un comando a ejecutar en cada paso a través del bucle también debe ser especificado. Para ilustrar, considere lo siguiente:

C:\> for /L %i in (1,1,10) do @echo %i

Este bucle uso % i como una variable, a partir de un valor de 1. En cada iteración a través del bucle,% i se incrementará en 1, de hasta un 10. Luego, en el bucle, el usuario puede simplemente imprimir el valor de la variable iterador en la pantalla utilizando el comando echo. La @ le dice al sistema, no para imprimir el comando propio, con lo que la salida de un poco bonitas. El usuario sólo le dijo al sistema a contar desde 1 a 10.

Ahora, veamos cómo usar este comando para hacer que el comando tasklist ejecuta continuamente:

C:\> for /L %i in (1,0,2) do @tasklist

Con este comando, un usuario que está diciendo la máquina para iniciar un bucle con una variable a 1, contando por cero, todo el camino hasta 2. Que va a contar para siempre, hasta que el usuario hits CTRL-C para detenerlo. Un usuario puede simplemente ejecutar el comando tasklist en cada iteración.

Para añadir un retraso de unos segundos entre repeticiones, basta con un ping a localhost (127.0.0.1) varias veces en cada iteración a través del bucle, añadiendo “y ping – n 6 127.0.0.1> NUL” de la siguiente manera:

C:\> for /L %i in (1,0,2) do @tasklist & ping –n 6 127.0.0.1 > nul

Desde la línea de comandos de Windows no tiene un sueño en función a esperar a que un determinado retraso, los usuarios pueden hacer una demora suceder con ping. El comando ping anteriormente la dirección localhost seis veces (n-6), que presenta un retraso de cinco segundos (el primer ping sucede inmediatamente, seguido por un ping por segundo durante cinco segundos). Estamos dumping la fea salida de ping en NUL, lo que lo hace desaparecer. El resultado es un comando tasklist que se ejecuta cada cinco segundos. Esta técnica puede utilizarse para ejecutar cada uno de los comandos incluidos en esta serie en repetidas ocasiones, dejar que los usuarios examinar con mayor detenimiento la salida. Más compleja sintaxis puede incluso analizar la salida del comando para permitir la generación de scripts para el sistema detallado análisis, pero esa sintaxis va más allá del alcance de estas sugerencias mensuales.

Lanzar admin GUIs via línea de comandos
Si bien la línea de comandos de Windows tiene muchas herramientas de gran alcance, créanlo o no, a veces, una herramienta GUI puede hacer el trabajo mejor que la línea de comandos. Sin embargo, memorizar los oscuros lugares en los que Microsoft ha enterrado varios controles en su GUI es una tarea desconcertante.

Afortunadamente, los usuarios no tienen que excavar a través del GUI para encontrar lo que quieren, sino que pueden confiar en la línea de comandos atajos. Por ejemplo, en lugar de ir al menú de inicio para encontrar y ejecutar usuario local gerente GUI, los usuarios pueden ir a la parte más cercana de comandos y escriba:

C:\> lusrmgr.msc

Hay muchos otros controles de GUI que puede ser lanzado desde la línea de comandos de esta forma, lo que ahorra mucho tiempo. Aquí están algunos de mis favoritos:

  • Secpol.msc: Esta es la política de seguridad local gestor, que sirve para configurar cientos de opciones de seguridad en la caja.
  • Services.msc: Este comando se inicia el panel de control de los servicios de GUI.
  • Control: Este comando abre el panel de control conjunto de herramientas.
  • Taskmgr.exe: Este comando inicia el Administrador de Tareas.
  • Explorer.exe: Para invocar el explorador de archivos de Windows, ejecute este comando.
  • Eventvwr.msc: Este comando ejecuta el Visor de eventos de Windows, útil para el análisis de log.

Conclusión:
Al principio, puede parecer que los distintos comandos de Windows incluidas en estos consejos son oscuros o difíciles de memorizar. Pero, con la diligente práctica, estos Windows herramientas de línea de comandos puede ayudar a los administradores y los profesionales de seguridad ejercen mucho más poder sobre sus máquinas Windows, la configuración más segura y analizar en mayor detalle cuando se analizaron.

Escribir un comentario sobre Comandos Windows para analizar el sistema (II)




Suscribirse

A los siguientes comentarios suscribiéndose a Comandos Windows para analizar el sistema (II) Comments RSS feed.