[درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

الآن نأتي إلى أمر مهم آخر وهو tasklist هذا الأمر يعرض العمليات الجارية على الحاسوب سواء المحلي أو حاسوب على الشبكة.

كود:

---

tasklist /svn

---

مهم جداً لأنه يسمح لنا بمعرفة الخدمات التي تستخدم كل عملية. مثل عملية svchost.exe نستطيع معرفة الخدمات التي تستخدمها فإذا وجدنا عملية مشبوهة نقوم باستخدام غوغل للتأكد إن كانت كذلك أم انها عملية مشروعة.

كود:

---

tasklist /m

---

/m تظهر لنا مكتبات ال dll التي تستخدمها كل عملية. النتائج التي ستظهر تحليلها يحتاج إلى وقت طويل ولكن باستخدام غوغل للبحث عن مكتبات dll و العمليات التي تستخدمها يمكننا التقليل هذا من هذا الوقت والوصول إلى معلومات مفيدة جداً.

الاخوة الاعضاء...هل سبق وان استخدمتم ipconfig؟

اتوقع ان العديد منكم يعرف هذا الامر واستخدمه على الاقل مرة واحدة. ولكن هل سبق أن جربتموه بهذه الصيغة؟

كود:

---

ipconfig /displaydns

---

انتظر إجاباتكم ونكمل لاحقاً إن شاء الله.

اقتباس:

---

الآن نأتي إلى أمر مهم آخر وهو tasklist هذا الأمر يعرض العمليات الجارية على الحاسوب سواء المحلي أو حاسوب على الشبكة.
كود:

tasklist /svn

---

هل تقصد tasklist /svc

واى خدمه

اقتباس:

---

ipconfig /displaydns

---

جامد موووت الامر ده

بس فيه مشكله ان مش كل حاجه بتتعرض

فى طريقه ان اننا نعرضها صفحه صفحه

وشكرا جدددددا على هذا الموضوع

اقتباس:

---

المشاركة الأصلية كتبت بواسطة yasserxpnew

هل تقصد tasklist /svc

واى خدمه

---

الأمر هو tasklist

/svc هي خاصية أو ملحق بالأمر وتعني عرض الخدمات في كل عملية.

اقتباس:

---

المشاركة الأصلية كتبت بواسطة yasserxpnew

جامد موووت الامر ده

بس فيه مشكله ان مش كل حاجه بتتعرض

فى طريقه ان اننا نعرضها صفحه صفحه

وشكرا جدددددا على هذا الموضوع

---

نعم في ويندوز يوجد أمر اسمه More وطريقة استخدامه كما في المثال التالي:

كود:

---

ipconfig /displaydns | more

---

وتعني اعرض نتيجة الأمر ipconfig /displaydns على شكل صفحة صفحة

اقتباس:

---

عم في ويندوز يوجد أمر اسمه More وطريقة استخدامه كما في المثال التالي:

كود:

ipconfig /displaydns | more

وتعني اعرض نتيجة الأمر ipconfig /displaydns على شكل صفحة صفحة

---

شكرا جدا

السلام عليكم
جربت الامر tasklist /svc وظهرت لي النتيجة ، احببت ان اضع svchost.exe والعمليات المرتبطة به:

كود:

---

svchost.exe                1456 DcomLaunch, TermService
svchost.exe                1552 RpcSs
svchost.exe                1700 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc,
                                EventSystem, FastUserSwitchingCompatibility,
                                helpsvc, HidServ, lanmanserver,
                                lanmanworkstation, Netman, Nla, RasMan,
                                Schedule, seclogon, SENS, SharedAccess,
                                ShellHWDetection, srservice, TapiSrv,
                                Themes, TrkWks, W32Time, winmgmt, wuauserv,
                                WZCSVC
svchost.exe                1800 Dnscache
svchost.exe                1952 LmHosts, RemoteRegistry, SSDPSRV, WebClient

---

المشكلة اني لا اعرف ماهي العمليات المهمه والشرعية من المهمات الغير شرعيه؟

btw الامر more يعرض النتائج line by line وليس page by page .

ممكن تشرح لنا مخرجات الامر ipconfig /displaydns وماهي علاقته باكتشاف الاختراق ؟

كود:

---

C:\Documents and Settings\power user>ipconfig /displaydns

Windows IP Configuration

        1.0.0.127.in-addr.arpa
        ----------------------------------------
        Record Name . . . . . : 1.0.0.127.in-addr.arpa.
        Record Type . . . . . : 12
        Time To Live  . . . . : 572381
        Data Length . . . . . : 4
        Section . . . . . . . : Answer
        PTR Record  . . . . . : localhost


        localhost
        ----------------------------------------
        Record Name . . . . . : localhost
        Record Type . . . . . : 1
        Time To Live  . . . . : 572381
        Data Length . . . . . : 4
        Section . . . . . . . : Answer
        A (Host) Record . . . : 127.0.0.1



C:\Documents and Settings\power user>

---

اقتباس:

---

المشكلة اني لا اعرف ماهي العمليات المهمه والشرعية من المهمات الغير شرعيه؟

---

تمام. هنا نحتاج إلى عمل تطبيع بمعنى معرفة العمليات الاساسية والضرورية للنظام وبعد تحديدها نراقب اذا ما ظهرت عملية جديدة وهل هي عملية نعلم بها أم لا فإن كانت جديدة ولا نعلم بها نقوم باستشارات خبير العمليات غوغل عن هذه العملية (أو الخدمة) غوغل سيظهر لنا نتائج كثيرة من خلالها نستطيع معرفة اذا كانت العملية طبيعة ام لا.

اقتباس:

---

btw الامر more يعرض النتائج line by line وليس page by page .

---

الاثنان معاً أخي الكريم. إذا ضغطت enter فستظهر النتائج سطراً سطراً اما اذا ضغطت مفتاح المسافة فستظهر النتائج صفحة صفحة جرب وسترى ;)

اقتباس:

---

ممكن تشرح لنا مخرجات الامر ipconfig /displaydns وماهي علاقته باكتشاف الاختراق ؟

---

سؤال ممتاز اخي مجلد جديد

هذا الامر سيظهر لنا اسم النطاق عنوانه (الآي بي) و أيضاً TTL أو Time To Live إذا قمت بتنفيذ الأمر مرة أخرى ستلاحظ أن TTL ينقص حتى يتنهي record أو وبالتالي يتم تجاهله أو تجديده.

هذه الطريقة تساعد في اكتشاف بعض شبكات (او برمجيات تستخدمها شبكات) تعرف باسم Botnet اخدى هذه ال botnet تعرف باسم fast-flux تستخدم TTL قليل جداً وذلك حتى تستمر في التجديد بشكل سريع في محاولة للتضليل المحققين حول مصدرها.

تعقيب بسيط أخي مجلد جديد على مخرجات الأمر tasklist /svc والتي تكرمت بوضعها حول محاولة معرفة العملية الشرعية من غير الشرعية كما تلاحظ في النتائج هناك خدمة SENS وهي خدمة شرعية هناك أيضاً Trojan.SENS وهو كما ترى تروجان لنفرض أني لا أعرف شيئاً عن SENS أستخدم غوغل بالطريقة التالي

https://www.google.com/search?hl=en&...NS&btnG=Search

اضغط على أول وصلة
https://support.microsoft.com/kb/314056

ستظهر لك مخرج طبيعي للأمر tasklist

SOME ONE TRY HACHING ME TIME AFTER TIME BUT NORTON BLOCKED HIM BUT ALTHOUGH THAT THE HACKER PUT A STRANGE TEXT FILE ON MY DRIVE C: AFTER I DELETED IT HE TRIED TO KACH ME AND PUT THIS FILE AGAIN
WHAT CAN I DO TO PREVENT THIS TYPE OF HACKING??????????????

اكمل باحث عن المعرفه والله والله ان فيهم فائده لايعلمها الكثير

الله يوفقك وين مارحت

مشكور اخى باحث عن المعرفة على مجموعة الاوامر المهمة

الله يعطيك العافية والله شي رائع