انتشارات Microsoft Press به تازگی کتابی تحت عنوان Microsoft Windows Comman Line منتشر کرده است که این کتاب به تشریح کامل دستورای خط فرمانی سیستم عامل ویندوز پرداخته است .

دستورات زیر چکیده ای از دستورات مورد نیاز مدیران شبکه و البته هکرهای عزیز است .

شما حتما با برنامه Scheduled Tasks در ویندوز کار کرده اید . این برنامه که رابطی در محیط گرافیکی دارد می تواند طوری تنظیم شود که در یک زمان یک برنامه را اجرا کند .

توسط دستور SchTasks می توان تنظیمات این برنامه را به صورت Command Line انجام داد .

به دلیل ساده بودن سوییج ها از توضیح آنها صرف نظر کرده و فقط به مثال هایی از این دستور اکتفا می کنیم .

شکل کلی این دستور به شکل زیر است :

SchTasks /Create or ... /TN [TaskName] /TR [TaskToRun] /SC [ScheDuleType] /MO [ModiFier]

در قسمت اول که مشخص می کنیم میخواهیم Task را ایجاد، پاک و یا ... کنیم .

در قسمت /TN نامی را برای Task خود انتخاب می کنیم .

در قسمت /TR مسیر برنامه ای را که می خواهیم اجرا شود را مشخص می کنیم . ( اگر فرد تیز هوشی باشید می توانید دستورات خود را هم اجرا کنید . به این صورت که دستورات را داخل NotePad می نویسید و بعد با پسوند Bat ذخیره می کنید و بعد آدرس این فایل را میدهید )

در قسمت /SC قالب اجرای برنامه را مشخص می کنید که می تواند شامل Monthly Weekly Daily Minute Once OnLogon OnStart باشد .

ـ و در قسمت /MO می توان زمان و تاریخ اجرای برنامه را تعریف نمود .

این دستور برنامه ی مورد نظر را هر ۱۰ دقیقه اجرا می کند :

SchTasks /Create /TN "MOJY" /TR c:windowssystem۳۲Keyloger.exe /SC minute /MO ۱۰

این دستور برنامه ی مورد نظر را در هنگام بالا آمدن ویندور اجرا می کند :

SchTasks Create /TN "MOJY" /TR c:windowssystem۳۲Keyloger.exe /SC onStart

از این دستور بجای اجرای خودکار برنامه از طریق ریجستری می توان استفاده کرد و از دست AntiVirus تا حدودی فرار کرد . الته اگر فردی به این دستورات کاملا تسلط داشته باشد با سوییچ /Query این دستور می تواند از این موضوع مطلع شود .

با اضافه کردن سوییچ /SD به آخر این دستور و دادن تاریخ مورد نظر به صورت mm/dd/yyyy میتوان برنامه را در یک تاریخ معین اجرا کرد .

برای پاک کردن یک Task از سوییچ /Delete به صورت زیر می توان استفاده کرد :

SchTasks /Delete /TN [TaskName]

برای متوقف کردن Task بدین صورت می توان عمل کرد :

SchTasks /End /TN [TaskName]

برای دیدن تمام Task ها بدین صورت عمل می کنیم :

SchTasks /Query

بسته به خلاقیت شما میتوان دستورهای جالبی را خلق کرد .

یکی از مزییت های دیگر این دستور این است که ما نمی خواهیم هنگامی که داخل کامپوتر قربانی هستیم دستوری را اجرا یا برنامه ای را فعال کنیم چون ممکن است باعث گیر افتادن ما شود . برنامه را کوک می کنیم برای موقعی که ما از سیستم قربانی بیرون رفته ایم .

آیا می دانید که از طریق خط فرمان هم امکان ویرایش در Registry وجود دارد ؟

بله می شود . با دستور Reg می توان این کار را عملی کرد .

به شرح این دستور می پردازیم .

همان طور که می دانید ریجستری دارای ۵ شاخه یا RootKey می باشد .

در این دستور این ۵ شاخه به صورت زیر تعریف شده اند :

HKEY_CURRENT_USER > HKCU

HKEY_LOCAL_MECHINE > HKLM

HKEY_CLASSES_ROOT > HKCR

HKEY_USER > HKU

HKEY_CURRENT_CONFIG > HKCC

مقدار ها هم به صورت زیر تعریف شده اند :

BINARY VALUE > REG_BINARY

DWORD VALUE > REG_DWORD

STRING VALUE > REG_EXPAND_SZ

به دلیل ساده بودن سوییج ها از توضیح آنها صرف نظر کرده و فقط به مثال هایی از این دستور اکتفا می کنیم .

برای پیدا نمودن یا انجام یک پرس و جو از یک مقدار در ریجستری بدین صورت عمل میکنیم :

Reg Qurey [RootKey] /v [ValueName]

Reg Query HKLMsoftwaremicrosoftwindowscurrentversionRun /v Keyloger

برای ایجاد یک مقدار در ریجستری بدین صورت عمل می کنیم :

Reg Add [RootKey] /v [ValeuName] /t DataType /d Data

Reg Add HKLMsoftwaremicrosoftwindowscurrentversionRun /v Keyloger /t REG_EXPAND_SZ /d &#۰۳۹;%systemRoot%system۳۲keyloger.exe&#۰۳۹;

برای پاک کردن یک مقدار از ریجستری بدین عمل می کنیم :

Reg Delete [RootKey] /v [ValueNme]

Reg Delete HKLMsoftwaremicrosoftwindowscurrentversionRun /v Keyloger

مدیریت سرویس ها یکی از مهمترین کارهای اساسی یک مدیر شبکه است .

Stop Run Disable Enable کردن سرویس ها .

گرفتن اطلاعات در مورد یک سرویس خاص و کارهای دیگری که در مدیریت سرویس ها قابل انجام است .

همه این کارها را از طریق خط فرمان و با دستور Sc می توان انجام داد .

این دستور دارای سوییچ های بسیار متعدد است که البته چند مورد از آنها که توضیح داده می شود مور نیاز ما هستند .

سوییچ های مورد نیاز ما Qurey Strat Stop Pause Continue Config می باشند که در مورد هر کدام مثال هایی خواهیم زد .

برای دیدن تمام سرویس های Run Disable و ... از این دستور استفاده می کنیم :

Local > Sc Query Type= service state= all

Remote > Sc \[IP Address ] Query type= service state= all

برای دیدن تمام سرویس های فعال :

Sc Query type= service state= Active

برای دیدن تمام سرویس های غیر فعال :

Sc Query type= service state= inactive

برای دیدن اطلاعات کامل در مورد یک سرویس :

Sc qc [ServiceName]

برای Start Stop Pause Continue کردن یک سرویس به ترتیب :

Sc Start [ServixeName]

Sc Stop [ServixeName]

Sc Pause [ServixeName]

Sc Continue [ServixeName]

سرویس ها را به سه صورت می شه Config کرد : Automatic Manoel Disable

Config کردن سرویس به صورت Automatic :

Sc Config [ServiceName] Start=Auto

Config کردن سرویس به صورت Manoel :

Sc Config [ServiceName] start=Demand

Config کردن سرویس به صورت Disable :

Sc Config [ServiceName] Start=Disabled

مدیریت Log File ها نتنها در ویندوز بلکه در تمام سیستم عامل ها و وب سرور ها و در تمام روتین های امنیتی کاری بسیار مهم و ضروری است .

این Log File ها مانند یک IDS کوچک هستنند . چرا که تمام فعالیت های امنیتی . کاربردی و سیستمی را Monitor کرده و از آنها Log بر میدارند .

مطالعه این فایلها در تشخیص نفوذ به ما خیلی کمک می کنند .

سیستم عامل ویندوز دارای یک ابزار گرافیکی ویک ابزار خط فرمان برای مطالعه این Log File ها می باشد که ما ابزار خط فرمان ویندوز را توضیح میدهیم .

با استفاده از فرمان EventQuery میتوان این فایل ها را مشاهده کرد .

EventQuery [LogNmae]

که برای دیدن Log های Security Application System به ترتیب از دستور های زیر استفاده می کنیم :

EvenQuery /L "Security"

EvenQuery /L "Application"

EvenQuery /L "System"

اما با این دستور این Log File ها را فقط می توان مشاهده نمود و نمی توان آنها را ویرایش کرد .

توسط برنامه WinZapper که دارای حجم بسیار کمی هم هست می توان به صورت Local نوع Log File را مشخص نمود و تک تک آن ها را پاک کرد .

این برنامه رو می توانید از سایت http://www.NtSecurity.nu به صورت رایگان Download کنید .

▪ دستور Convert :

توسط این دستور بدون نیاز به Fdisk مجدد می توان فت یک درایو را از Fat ۱۶ به NTFS تغییر داد :

Convert [DraiveName]:/fs:NTFS

Convert c:/fs:NTFS

دوستان عزیز این دستور ها و کلا بیشتر مباحث شبکه مانند چاغوی دو لبه هستند .

هم می توان از آنها استفاده صلح آمیز کرد هم برای ساخت بمب اتم استفاده کرد .