في هذا المنشور، قمنا بتغطية التحقيق في جهاز يعمل بنظام التشغيل Windows تم اختراقه باستخدام WMI Backdoors. كان هذا جزءًا من TryHackMe التحقيق في نظام التشغيل Windows 2.0 مختبر.
يعد التحقيق في أجهزة Windows جزءًا من عملية الاستجابة للحوادث. في هذا البرنامج التعليمي، أجرينا تحليلًا جنائيًا مباشرًا على الجهاز والذي يتم إجراؤه عادةً بعد إجراء نسخة تدريجية من القرص وذاكرة الوصول العشوائي نظرًا لأن الأجهزة المخترقة لا يمكن الاعتماد عليها في تحقيقات الطب الشرعي ويمكن تغيير مخرجات كل أمر بواسطة البرامج الضارة أو rootkit.
الجهاز الذي نقوم بالتحقق منه مصاب بباب خلفي WMI (Windows Management Instrumentation). تعتمد WMI Backdoors على عوامل تصفية الأحداث ومستهلكي الأحداث. عوامل تصفية الأحداث هي الشروط التي يتم تنفيذها في حالة استيفاء مستهلكي الأحداث والتي عادةً ما تكون إجراءات محددة يتم تنفيذها على النوافذ.
مثال على WMI Backdoor هو هنا
قم بتنزيل المادة المختصرة لهذا المنشور بصيغة PDF
إجابات المهمة
ما هو مفتاح التسجيل الذي يحتوي على نفس الأمر الذي يتم تنفيذه ضمن مهمة مجدولة؟
HKCU\Environment\UserIntMprLogonScript
ما هي أداة التحليل التي سيتم إغلاقها فورًا إذا/عندما حاولت تشغيلها؟
procexp64.exe
ما هو استعلام WQL الكامل المرتبط بهذا البرنامج النصي؟
حدد * من Win32_ProcessStartTrace حيث اسم العملية = 'procexp64.exe'
ما هي لغة السيناريو؟
فبسكريبت
ما هو اسم السيناريو الآخر؟
إطلاق BeaconingBackdoor
ما هو اسم شركة البرمجيات الظاهرة داخل البرنامج النصي؟
برنامج موتوبيت
ما الموقعان المرتبطان بشركة البرمجيات هذه؟ (الإجابة، الإجابة)
http://www.motobit.com، http://motobit.cz
ابحث عبر الإنترنت عن اسم البرنامج النصي من Q5 وأحد مواقع الويب من الإجابة السابقة. ما هو نص الهجوم الذي يظهر في بحثك؟
WMIBackdoor.ps1
ما هو موقع هذا الملف داخل الجهاز المحلي؟
ج:\تمب
ما العمليتان اللتان تفتحان وتغلقان بسرعة كبيرة كل بضع دقائق؟ (الإجابة، الإجابة)
mim.exe، بوويرشيل.exe
ما هي العملية الأصلية لهاتين العمليتين؟
ملف ملف Svchost.exe
ما هي العملية الأولى لأولى العمليتين؟
بدء العملية
فحص خصائص التواجد الأول لهذه العملية. في علامة التبويب "الحدث"، ما هي المعلومات الأربعة المعروضة؟ (الإجابة، الإجابة، الإجابة، الإجابة)
معرف المنتج الأصلي، سطر الأوامر، الدليل الحالي، البيئة
فحص عمليات القرص، ما اسم العملية غير العادية؟
لا توجد عملية
تشغيل لوكي. فحص الإخراج. ما هو اسم الوحدة بعد فيه?
WMIScan
بالنسبة للإنذار الثاني، ما اسم فلتر الحدث؟
ProcessStartTrigger
بالنسبة للإنذار الرابع ما هو اسم الفصل؟
__FilterToConsumerBinding
ما هو التنبيه الثنائي الذي يحتوي على 4d5a90000300000004000000ffff0000b8000000 التالي كـ FIRST_BYTES؟
nbtscan.exe
وفقا للنتائج، ما هو الوصف المذكور للسبب 1؟
كلاسيكيات الاستخدام السيئ / المزدوج المعروفة
ما هو التنبيه الثنائي الذي تم وضع علامة APT Cloaked عليه؟
p.exe
ما هي المباريات؟ (شارع 1، شارع 2)
psexesvc.exe، Sysinternals PsExec
ما هو التنبيه الثنائي المرتبط بشيءwindows.dmp الموجود في C:\TMP؟
schtasks-backdoor.ps1
ما هو الثنائي المشفر الذي يشبه حصان طروادة؟
xCmd.exe
هناك ثنائي يمكن أن يتنكر على أنه عملية/صورة أساسية شرعية لنظام التشغيل Windows. ما هو المسار الكامل لهذا الثنائي؟
C:\Users\Public\svchost.exe
ما هو موقع المسار الكامل للنسخة الشرعية؟
جيم:\ويندوز\System32
ما هو الوصف المذكور للسبب 1؟
الأشياء تعمل حيث لا ينبغي أن تعمل عادةً
يوجد ملف في نفس موقع المجلد يسمى hacktool. ما هو اسم الملف؟
ar-US.js
ما هو اسم مباراة قواعد يارا؟
كاكتوستورش
ما هو الثنائي الذي لم يظهر في نتائج Loki؟
mim.exe
أكمل ملف قاعدة yar الموجود داخل مجلد الأدوات على سطح المكتب. ما هي السلاسل الثلاثة لإكمال القاعدة من أجل اكتشاف الثنائي الذي لم يضغط عليه Loki؟ (الإجابة، الإجابة، الإجابة)
mk.ps1، mk.exe، v2.0.50727
فيديو تجول
