ກວດເບິ່ງການໃຊ້ງານເນັດເວິກທີ່ຜິດປົກກະຕິ
• ເບິ່ງໄຟລ໌ແຊຣ໌
– C:/WINDOWS/system32>net view 127.0.0.1
• ເບິ່ງວ່າມີໃຜເປີດ session ກັບເຄື່ອງຂອງເຮົາຢູ່
– C:/WINDOWS/system32>net session
• ເບິ່ງວ່າເຮົາເປີດ session ໄປຫາເຄື່ອງໃດຢູ່
– C:/WINDOWS/system32>net use
• ເບິ່ງການກະທຳຂອງ NetBIOS ເທິງ tcp/ip
– C:/WINDOWS/system32>nbtstat -S
• ເບິ່ງພອດ tcp ແລະ udp ທີ່ເປີດຢູ່
– C:/WINDOWS/system32>netstat -naob
• ເບິ່ງການຕັ້ງຄ່າຂອງ firewall
– C:/WINDOWS/system32>netsh advfirewall show currentprofile
ການເບິ່ງ process ທີ່ຜິດປົກກະຕິ
– C:/WINDOWS/system32>tasklist
• ເບິ່ງ process ແລະ service ທີ່ຖືກຮຽກໃຊ້
– C:/WINDOWS/system32>tasklist /svc
• ການເບິ່ງ process ແບບມີຂໍ້ມູນເຕັມ
– C:/WINDOWS/system32>wmic process list full
• ການຫາ process id ແລະ parentprocessid
– C:/WINDOWS/system32>wmic process get name,processid,parentprocessid
• ການຫາ dll ທີ່ກ່ຽວຂ້ອງກັບ process ນັ້ນ
– C:/WINDOWS/system32>tasklist /m /fi “pid eq 2504”
• ການຫາ command line ຂອງ process ນັ້ນ
– C:/WINDOWS/system32>wmic process where processid-1956 get commandline
ການເບິ່ງ service ທີ່ຜິດປົກກະຕິ
– C:/WINDOWS/system32>services.msc
• ເບິ່ງ service ທີ່ຣັນຢູ່
– C:/WINDOWS/system32>net start
• ເບິ່ງລາຍລະອຽດຂອງ service ທີ່ຣັນຢູ່
– C:/WINDOWS/system32>sc query
ການເບິ່ງ registry ທີ່ຜິດປົກກະຕິ
• Malware ສ່ວນຫລາຍຈະຖືກຮຽກເຮັດວຽກຈາກ registry key ເພື່ອທີ່ຈະ execute ໂປຣແກຣມຕອນລະບົບຖືກເປີດ ຫລື ຕອນທີ່ຜູ້ໃຊ້ງານລັອກອິນ ການເບິ່ງ registry key ໃຫ້ເປັນຈຶ່ງເປັນເລື່ອງທີ່ສຳຄັນ ໃຫ້ລອງກວດ :
– HKLM/Software/Microsoft/Windows/CurrentVersion/Run
– HKLM/Software/Microsoft/Windows/CurrentVersion/Runonce
– HKLM/Software/Microsoft/Windows/CurrentVersion/RunonceEx
• ຮຽກ regedit gui -> C:/WINDOWS/system32>regedit
• ການເບິ່ງການຕັ້ງຄ່າຂອງ registry key ໃຫ້ໃຊ້ C:/WINDOWS/system32>reg query
– C:/WINDOWS/system32>reg query hklm/software/microsoft/windowscurrentversion/run
ການເບິ່ງໂປຣແກຣມ startup ທີ່ຜິດປົກກະຕິ
ການເບິ່ງສະຖານະໂປຣແກຣມ startup -> C:/WINDOWS/system32>wmic process list full
ການຫາ account ທີ່ຜິດປົກກະຕິ
• ການຮຽກໜ້າຄວບຄຸມ ແລະ ຈັດການຂອງ account -> C:/WINDOWS/system32>lusrmgr.mcs
– ຄລິກ groups
– ດັບເບີ້ນຄລິກ Administrators (ແຮກເກີຣ໌ຈະຍົກລະດັບຕົວເອງໃຫ້ເປັນ admin ເພື່ອທີ່ຈະເພີ່ມເທກນິກໃນການໂຈມຕີຫລາຍຂຶ້ນ)
• ເບິ່ງລາຍການຂອງຜູ້ໃຊ້ງານ
– C:/WINDOWS/system32>net user
• ເບິ່ງລາຍການ administrators
– C:/WINDOWS/system32>net localgroup adminstrators
ການເບິ່ງ scheduled tasks ທີ່ຜິດປົກກະຕິ
• ການເບິ່ງ scheduled tasks ເປັນສິ່ງທີ່ admin ຫຼາຍຄົນມອງຂ້າມເລື້ອຍແຕ່ວ່າເປັນສິ່ງທີ່ສຳຄັນຫລາຍແລະ ຄວນໃຫ້ຄວາມສົນໃຈກັບມັນເນື່ອງຈາກການໂຈມຕີບໍລິສັດໃຫຍ່ທີ່ອາເມຣິກາມີການໂຈມຕີແບບ logic bomb ຫລາຍ
– Logic bomb ຄືການຕັ້ງຄ່າເວລາໂປຣແກຣມເພື່ອທີ່ຈະໃຫ້ມັນເຮັດຄຳສັ່ງຕາມເວລາທີ່ໄດ້ກຳນົດໄວ້ ເຊັ່ນ ໃນວັນທີ 01/1/2018 ໃຫ້ລົບໄຟລ໌ທັງໝົດ
• ການເບິ່ງ scheduled tasks -> C:/WINDOWS/system32>schtasks
• ວິທີລົບ scheduled task
– C:/WINDOWS/system32>schtasks /delete /tn DropboxUpdateTaskMachineCore
ການເບິ່ງ log ທີ່ຜິດປົກກະຕິ
• ການຮຽກໜ້າຈໍເບິ່ງລັອກ -> C:/WINDOWS/system32>eventvwr.msc
• ຫາອັນທີ່ຫນ້າສົງໄສເຊັ່ນ
– “Event log service was stopped”
– “Windows file protection is not active on this system”
– “The MS Telnet Service has started successfully”
– ເບິ່ງການລັອກອິນທີ່ບໍ່ສຳເລັດທີ່ມີຫລາຍກວ່າປົກກະຕິ
• ການເບິ່ງ log ໃນ command prompt ໃຊ້
– ສຳລັບ windows 7 ຂຶ້ນໄປ
• C:/WINDOWS/system32>wevtutil qe security /f:text
– ສຳລັບເກົ່າກວ່າ windows 7
• C:/WINDOWS/system32>eventquery.vbs /L security
