21 Ocak 2018 Pazar

Acil Müdahele Windows (CMD) Komutları

wmic startup list full; Başlangıçta çalışan Programları Listeler.

ipconfig /displaydns; En son ziyaret ettiğiniz web adresleri dns belleğinde tutar bu belleğe cach denir, Cache geçici bir bellektir bunun bir yaşam süresi vardır . Bu komut ziyaret edilen siteleri yani cache bellekdeki hafızayı size liste halinde listeler.

ipconfig /flushdnsipconfig /displaydns; komutu ile görüntülediğiniz cache belleği siler.

wmic process get description,processid,parentprocessid,commandline /format:csv; Mevcutta çalışan işlemlerin yazılan sütunlara uygun biçimde CSV (virgülle ayrılmış veri dosyası) olarak listeler.

wmic service list full | more; Windowsta çalışan tüm servisleri gösterir. | more paremetresi sayfalama içindir.

netstat -bona;Tüm açık socket bağlantılarını PID ve EXE bağlantılarıyla gösterir.
Parametreleri;
-a : Tüm TCP ve UDP bağlantıları ekrana basar.
-e : Gelen ve giden paket sayısının istatistiklerini görüntüler.
-n : Tüm bağlantıları rakamsal olarak görüntüler.
-o : Tüm bağlantıları PID numarası ve uygulama adına göre listeler.
-p : Bağlantıların kullandığı uygulama ve PID numaralarını ekrana basar.
-s : Kurallara göre istatistiksel verileri ekrana basar.
-r : IP yönlendirme tablosunun içeriğini görüntüler.

Bağlantı durumları;

ESTABLISHED : Soket bağlantı gerçekleşmiş durumdadır.
SYN_SENT : Soket bağlantı kurmaya çalışıyordur.
SYN_RECV : Ağdan bir bağlantı isteği gelmiştir. FIN_WAIT1 : Soket kapatılmış, bağlantı sonlandırılmak üzeredir.
FIN_WAIT2 : Bağlantı sonlandırılmıştır.Soket karşı ucun bağlantıyı sonlandırmasını beklemektedir.
TIME_WAIT : Soket kapandıktan sonra gelebilecek paketleri alabilmek için beklemektedir.
CLOSED : Soket kullanılmamaktadır.
CLOSE_WAIT : Karşı uç bağlantıyı kapatmıştır. Soketin kapanması beklenmektedir.
LAST_ACK : Karşı uç bağlantıyı sonlandırmış ve soketi kapatmıştır.Onay beklenmektedir.
LISTEN : Soket gelebilecek bağlantılar için dinleme konumundadır.
CLOSING : Yerel ve uzak soketler kapatılmış fakat tüm verilerini göndermemiş durumdadır.Tüm veriler gönderilmeden soketler kapanmaz.
netstat -nty; Tüm TCP ve UDP Bağlantıları Listeler.

Sistemde çalışmış exe geçmişinin kayıt dosyasından alma;
reg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" Kayit_dosya_ismi.reg
oluşturulan reg dosyasını çözümlemek için;
https://github.com/mandiant/ShimCacheParser adresinden ShimCacheParser-master.zip dosyası inidir ve aç.
pcde python kurulu olmalı veya kali linux kullan. Kayit_dosya_ismi.reg dosyasını açılan klasörün içine at ve
python ShimCacheParser.py -o cikis_dosya_ismi.csv -r Kayit_dosya_ismi.reg

cikis_dosya_ismi.csv dosyayı excelde içe aktar veya istediğin gibi aç ve filtrele.

Hiç yorum yok :

Yorum Gönder