Bài viết sưu tầm
Mỗi người dùng máy tính đều phải đối mặt với vấn đề những máy chạy Windows bị tấn công. Và trong một số môi trường, thì điều này xảy ra rất thường. May thay, Microsoft đã xây dựng một loạt các công cụ trong Windows để các nhà quản trị cũng như người dùng có kinh nghiệm có thể phân tích chiếc máy tính của mình xem liệu nó có đang bị xâm phạm hay không. Trong hướng dẫn thủ thuật này- bao gồm 2 phần, tác giả bài viết sẽ giới thiệu năm công cụ dòng lệnh hữu ích được tích hợp (build-in) trong Windows cho mục đích này.
1) WMIC: Một thế giới mạo hiểm đang chờ
Nó đưa ra một giao diện dòng lệnh cho Windows Management Instrumentation API cực mạnh mẽ bên trong Windows. WMIC cho phép người dùng quản trị truy cập tất cả các loại thông tin chi tiết về máy tính chạy Windows, bao gồm chi tiết các thuộc tính của hàng ngàn thiết lập và đối tượng. WMIC được tích hợp trong Windows XP Professional, Windows 2003 and Windows Vista. Để sử dụng WMIC, người dùng cần kích hoạt nó bằng cách chạy lệnh WMIC với tham số là lĩnh vực của máy mà người dùng quan tâm tìm hiểu ( thường được tham chiếu như một tên tắt trong hệ thống) Ví dụ, để biết về các tiến trình đang chạy trên máy, người dùng có thể chạy:
C:\> wmic process
Đầu ra của lệnh này có vẻ sẽ rất kinh khủng vì format đầu ra đã không được chỉ ra. Với WMIC, đầu ra có thể được định dạng theo vài cách, tuy nhiên 2 trong số những định dạng hữu dụng nhất cho việc phân tích khả năng hệ thống bị tấn công là lựa chọn “list full” , chỉ ra một lượng lớn các chi tiết cho mỗi lĩnh vực của máy tính mà người dùng quan tâm và lựa chọn “list brief” , cung cấp một hàng tin cho một mục báo cáo trong danh sách các thực thể, chẳng hạn như các tiến trình đang chạy, các phần mềm tự khởi động và các chia sẽ đang có.
Ví dụ, chúng ta có thể coi một tổng kết các tiến trình đang chạy trên máy bằng cách gõ vào:
C:\> wmic process list brief
Lệnh này sẽ chỉ ra tên, ID của tiến trình và độ ưu tiên của mỗi tiến trình đang chạy, cũng như các thuộc tính khác ít quan trọng hơn. Để có thông tin chi tiết hơn, ta nhập lệnh:
C:\> wmic process list full
Lệnh này xuất ra toàn bộ các chi tiết , gồm đường dẫn đầy đủ của mã thực thi liên quan tới các tiến trình và tham số của chúng. Khi điều tra để tìm sự lây nhiễm của máy tính, người quản trị cần xem xét từng tiến trình để xác định xem liệu chúng có sử dụng máy một cách hợp pháp, tìm kiếm các tiến trình không được mong chờ và không được biết đến bằng cách áp dụng các cổ máy tìm kiếm.
Ngoài các tên tắt của các tiến trình, người dùng có thể xem xét quá trình khởi động để có được danh sách các phần mềm tự khởi động , bao gồm các phần mềm được khởi động trong quá trình hệ thống boot up, được xác định bởi các khóa hay thư mục auto-start registry.
C:\> wmic process list full
(Nguyễn KimTuấn - K.CNTT)
» Tin mới nhất:
- Ứng dụng ngăn xếp trong việc chuyển biểu thức trung tố sang hậu tố (18/11/2024)
- Tìm hiểu về FIREWALL (18/11/2024)
- Hướng dẫn khác phục lỗi VPCS không PING ra được Internet (17/11/2024)
- White-Box Testing - Phần 3 (17/11/2024)
- Các hàm xử lý list trong Python (17/11/2024)
» Các tin khác:
- Thay Đổi Các Kiểu Coins Cho Biểu Đồ (Chart) (16/12/2015)
- Chuyển Một Dãy Số Sang Dạng Ngày Tháng Năm (16/12/2015)
- Tối ưu hóa trong học máy (14/12/2015)
- Khoa học phân tích dữ liệu lớn và Học máy thống kê (14/12/2015)
- LÝ THUYẾT HỌC THỐNG KÊ (statistical learning theory) (13/12/2015)
- Một số mô hình máy học (Machine Learning model) (13/12/2015)
- Chương trình định giá biểu thức hậu tố sử dụng ngăn xếp (10/12/2015)
- Thuật toán định giá biểu thức Q dùng ngăn xếp (10/12/2015)
- 6to4 tunnel (18/11/2015)
- Dynamic Multipoint Virtual Private Network (18/11/2015)
