Windows Examination (تحليل النظام)

أهلا بكم في هذه المقالة سوف نتحدث عن Windows Examination (تحليل نظام الوندوز)

عناصر المقالة

  • مقدمة
  • التحليل

مقدمة

تحليل الوندوز من أهم الخطوات في عملية الإستجابة للحوادث الرقمية بعملية تحليل النظام بشكل سليم سوف نحصل على إجابات لعدة أسئلة أهمها التأكد من الحادثة وما إذا كان الجهاز مصاب أو لا.
يمكننا تحليل النظام بعدة طرق مختلفة لكن في هذه المقالة سوف أستعين بعدة أوامر مهمة تمكننا من الحصول على إجابات وتحليل مبدئي سليم.

التحليل

Network

نبدأ عملية التحليل ب البحث عن Listener بإستخدام أداة netstat

بكتاب الأمر التالي سوف نحصل على Active connection سوأ على UDP port أو TCP port وعنوان الانترنت (IP) المرتبط فيه والحالة

  • Listening
  • Established
  • Close_wait
  • Time_wait
  • …. الخ

netstat -na

يمكننا معرفة تفاصيل الحالة من هنا

يمكننا أيضا إستخادم الأمر للحصول على رقم الprocess المرتبطة ب Listener
netstat -nao

يمكننا بإستخدام الأمر التالي معرفة ملفات exe, dll المرتبطة بأي Listening port
netstat -naob

Process

من الممكن معرفة Process التي تعمل في النظام بعدة طرق من الممكن نبدأ بإستخدام الأمر
taskmgr

أيضًا نستخدم الأمر tasklist /v
بإستخدام هذا الأمر سوف نحصل على معلومات مهمة مثل:

  • Image name
  • PID
  • user name

ممكن أيضا الاستعانة ب استخدام wmic للحصول على معلومات أكثر ومهمة ل كل process
wmic process list full

وسوف نحصل على المعلومات التالية لكل process

  • CommandLine
  • CSName
  • Description
  • ExecutablePath
  • ExecutionState
  • Handle
  • HandleCount
  • InstallDate
  • KernelModeTime
  • MaximumWorkingSetSize
  • MinimumWorkingSetSize
  • Name
  • OSName
  • OtherOperationCount
  • OtherTransferCount
  • PageFaults
  • PageFileUsage
  • ParentProcessId
  • PeakPageFileUsage
  • PeakVirtualSize
  • PeakWorkingSetSize
  • Priority
  • PrivatePageCount
  • ProcessId
  • QuotaNonPagedPoolUsage
  • QuotaPagedPoolUsage
  • QuotaPeakNonPagedPoolUsage
  • QuotaPeakPagedPoolUsage
  • ReadOperationCount
  • ReadTransferCount
  • SessionId
  • Status
  • TerminationDate
  • ThreadCount
  • UserModeTime
  • VirtualSize
  • WindowsVersion
  • WorkingSetSize
  • WriteOperationCount
  • WriteTransferCount

يمكن أيضا إستخدام wmic بشكل محدد أكثر كأن نبحث عن تفأصيل process معينة وتحديد قيم المخرجات التي نريد النظر فيها بكتابة الاوامر التالية

  • بالبحث عن الأسم:
    wmic process where name="svchost.exe" list full

  • بالبحث عن رقم process:
    wmic process where processid=10452 list full

  • بالبحث عن parentprocess:
    wmic process where parentprocessid=8 list full

يمكن أيضا تحديدد المخرجات المراد النظر فيها بشكل خاص بإستخدام get ومن ثم كتابة المخرجات يفصل بينها ,

wmic process where processid=23580 get name,commandline,processid,parentprocessid

Accounts

يمكن البحث عن الحسابات المرتبطة ب الجهاز تحديداً ك administrators بإستخدام هذا الأمر net localgroup administrators , هذا الامر يساعدنا في معرفة في ما اذا كان هناك اثر لحساب مشبوه لم يتم إنشاءة من قبل المستخدم أو Admin 13

استعرضت في هذه المقالة بعض الأوامر التي من الممكن الاستفادة منها في عملية تحليل مبدية لا يمكن أن تكون هذه الأوامر كافية بل قد تساعدننا من معرفة بعض الأمور المتعلقة ب الحادثة وبنأ تصور مبدأي للحادثة.

قرأة وتعلم ممتع و ل السؤال والاستفسار يمكنكم إيجادي بتويتر على الحساب @s4o_o

جميع الحقوق محفوظة

سارة آل جابر

كُتب في 10/04/2021