Loading...

Mỗi người dùng máy tính đều phải đối mặt với vấn đề những máy chạy Windows bị tấn công. Và trong một số môi trường, thì điều này xảy ra rất thường. May thay, Microsoft đã xây dựng một loạt các công cụ trong Windows để các nhà quản trị cũng như người dùng có kinh nghiệm có thể phân tích chiếc máy tính của mình xem liệu nó có đang bị xâm phạm hay không. Trong hướng dẫn thủ thuật này- bao gồm 2 phần, tác giả bài viết sẽ giới thiệu năm công cụ dòng lệnh hữu ích được tích hợp (build-in) trong Windows cho mục đích này.


1) WMIC: Một thế giới mạo hiểm đang chờ 

Nó đưa ra một giao diện dòng lệnh cho Windows Management Instrumentation API cực mạnh mẽ bên trong Windows. WMIC cho phép người dùng quản trị truy cập tất cả các loại thông tin chi tiết về máy tính chạy Windows, bao gồm chi tiết các thuộc tính của hàng ngàn thiết lập và đối tượng. WMIC được tích hợp trong Windows XP Professional, Windows 2003 and Windows Vista. Để sử dụng WMIC, người dùng cần kích hoạt nó bằng cách chạy lệnh WMIC với tham số là lĩnh vực của máy mà người dùng quan tâm tìm hiểu ( thường được tham chiếu như một tên tắt trong hệ thống) Ví dụ, để biết về các tiến trình đang chạy trên máy, người dùng có thể chạy: 

C:\> wmic process 

Đầu ra của lệnh này có vẻ sẽ rất kinh khủng vì format đầu ra đã không được chỉ ra. Với WMIC, đầu ra có thể được định dạng theo vài cách, tuy nhiên 2 trong số những định dạng hữu dụng nhất cho việc phân tích khả năng hệ thống  bị tấn công là lựa chọn “list full” , chỉ ra một lượng lớn các chi tiết cho mỗi lĩnh vực của máy tính mà người dùng quan tâm và lựa chọn “list brief” , cung cấp một hàng tin cho một mục báo cáo trong danh sách các thực thể, chẳng hạn như các tiến trình đang chạy, các phần mềm tự khởi động và các chia sẽ đang có.  
Ví dụ, chúng ta có thể coi một tổng kết các tiến trình đang chạy trên máy bằng cách gõ vào: 

C:\> wmic process list brief 

Lệnh này sẽ chỉ ra tên, ID của tiến trình và độ ưu tiên của mỗi tiến trình đang chạy, cũng như các thuộc tính khác ít quan trọng hơn. Để có thông tin chi tiết hơn, ta nhập lệnh: 

C:\> wmic process list full 

Lệnh này xuất ra toàn bộ các chi tiết , gồm đường dẫn đầy đủ của mã thực thi liên quan tới các tiến trình và tham số của chúng. Khi điều tra để tìm sự lây nhiễm của máy tính, người quản trị cần xem xét từng tiến trình để xác định xem liệu chúng có sử dụng máy một cách hợp pháp, tìm kiếm các tiến trình không được mong chờ và không được biết đến bằng cách áp dụng các cổ máy tìm kiếm. 
Ngoài các tên tắt của các tiến trình, người dùng có thể xem xét quá trình khởi động để có được danh sách các phần mềm tự khởi động , bao gồm các phần mềm được khởi động trong quá trình hệ thống boot up, được xác định bởi các khóa hay thư mục auto-start registry. 

C:\> wmic process list full 

Phần lớn các malware tự chạy trên máy bằng cách thêm một dòng tự khởi động cùng với các phần mềm hợp lệ khác, có thể thuộc các công cụ antivirus và các chương trình khác trên khay hệ thống. Người dùng có thể xem các thiết lập khác trên máy với dòng lệnh WMIC bằng cách thay thế “startup” bởi “QFE” (viết tắt của “Kỹ Thuật Sửa chữa Nhanh” - Quick Fix Engineering) để thấy được mức độ được Vá (Patch) của hệ thống, với tùy chọn “share” để xem danh sách các tệp chia sẻ có trên máy và với “useraccount” để xem chi tiết vể thiết lập tài khoản người dùng. 
Một sự lựa chọn rất tiện dụng của WMIC là khả năng chạy lệnh thu thập thông tin trên cơ sở lặp lại bằng cách sử dụng cú pháp “ /every:[N]” ở cuối cùng của dòng lệnh WMIC. [N] ở đây là số nguyên, chỉ ra rằng WMIC sẽ phải thực thi lệnh được chỉ định cứ mỗi [N] giây. Bằng cách này, người dùng có thể thấy sự thay đổi trong các thiết lập của hệ thống theo thời gian, cho phép kiểm soát kỹ lưỡng đầu ra. Để sử dụng chức năng này nhằm đánh giá các process cứ sau 5 giây, người dùng cần chạy dòng lệnh: 

C:\> wmic process list brief /every:5 

Nhấn tổ hợp CTRL+C sẽ ngưng chu trình này.

Từ khóa:

Ý kiến của bạn

Mã bảo vệ
Làm mới

Hãy đăng quảng cáo trên TuHocAnNinhMang.com

Bài xem nhiều nhất

Tự học lập trình C - Bài 1: Một số khái niệm cơ bản

Khái niệm tên rất quan trọng trong quá trình lập trình, ...

MySQL – Bài 8: Khóa chính (primary key) và khóa ngoại (foreign key) của table

Với ràng buộc này thì, việc người sử dụng vô tình hay cố ...

Tự học lập trình C - Bài 10: Mảng một chiều

Mảng 1 chiều là tập hợp các phần tử có cùng kiểu dữ ...

Tự học lập trình JAVA – Bài 1: Bước đầu với Java

Một chương trình java có thể được định nghĩa như là một ...

Tự học lập trình C - Bài 2: Cấu trúc chương trình C

Một chương trình bao gồm một hoặc nhiều hàm, mỗi hàm ...

Tự học lập trình Assembly - Bài 1: Bước đầu với lập trình Assembly trên vi xử lý Intel 8086/8088

Như đã biết, lệnh ngôn ngữ máy là một dãy các con số 0, ...

Hướng dẫn in ấn trong Word 2007/2010 – Step by Step

[Tự học] - Tiêu đề đầu trang (Header)/tiêu đề cuối ...

Hãy đăng quảng cáo trên TuHocAnNinhMang.com

Về đầu trang Hỏi - Đáp