Hello WinDows
systeminfo , msinfo32
để kiểm tra phiên bản hệ điều hành và hệ điều hành đã được active chưa thì chúng ta có thể dùng các lệnh sau
"wmic os get caption,version,OSArchitecture"
"wmic csproduct get vendor,name,identifyingnumber"
"slmgr/xpr"
"slmgr.vbs -dlv"
"wmic cpu get caption, deviceid, name, numberofcores, maxclockspeed, status"
"wmic MEMORYCHIP get BankLabel, DeviceLocator, MemoryType, Capacity, Speed, serialnumber, manufacturer"
"wmic memphysical get MaxCapacity, MemoryDevices"
"wmic diskdrive get model, serialnumber"
"diskpart"
"list disk"
"diskmgmt.msc"
"ipconfig /all"
"compmgmt.msc"
7.1 Check trạng thái port:
Điền nầy là cần thiết nếu bạn muốn biết máy tính bạn đang chạy những chương trình gì, và những chương trình nào đang âm thầm chạy ngầm cùng hệ thống. Chỉ 1 vài dòng lệnh thôi chúng ta đã biết được điều đó, điều nầy giúp ích cho bạn rất nhiều trong công tác bảo mật hệ thống cũng như kiểm tra đụng độ port.
– Đầu tiên chúng ta mở CMD lên và gõ lệnh : netstat -an |find /i “listening” Lúc nầy hệ thống sẽ xuất ra các port đang trong trạng thái Listening ( có nghĩa là port đang ở trang thái lắng nghe, và đã được thiết lập trong hệ thống).
– Tương tự như vậy ta check các port đã establishing trên windows với câu lệnh netstat -an |find /i “established”. Hệ thống sẽ show cho ta thấy các port nào đã establish ( có nghĩa là các port đã thiết lập kết nối và đang được sử dụng)
7.2 Hiện thị danh sách các process tương ứng với mỗi kết nối (PID):
– Dùng lệnh netstat -ao |find /i “listening” hoặc netstat –no để show các PID tương ứng với các connection sau đó mở taskmanager để kiểm tra PID đó tương ứng với application nào.
Cấu trúc lệnh NETSTAT trên Windows:
Netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval]
Option: [-a] hiển thị tất cả các kết nối giữa máy tính local với các máy tính remote trong hay bên ngoài.
Lệnh: netstat –an
Option: [-b] hiển thị các tiến trình thực thi kết nối
Option: [-e] hiển thị thống kê card mạng ethernet
Option [-r] hiển thị thông tin bảng định tuyến
Option [-f] hiển thị thông tin đầy đủ tên Domain FQDN
Option [-n] hiển thị địa chỉ ip remote host
Option [-o] hiển thị thông tin ID tiến trình của 1 kết nối. lệnh netstat –on
Option [-p] hiển thị các giao thức kết nối
Cú pháp: netstat –p [udp|tcp|tcpv6|udpv6|icmp|ip]
Option [-s] hiển thị thống kê giao thức
netsh advfirewall set privateprofile state off
netsh advfirewall set currentprofile state on
ncetsh advfirewall set publicprofile state off
netsh advfirewall set currentprofile state off
netsh advfirewall show currentprofile
netsh advfirewall firewall show rule name=all
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=block
Net stop wuauserv (tắt dịch vụ windows update)
Net start wuauserv (bật dịch vụ windows update)
TCP/80 --> http
TCP/443 --> https
TCP/22 --> ssh
TCP/23 --> Telnet
TCP/445 --> Share file (CIFS)
TCP/88 --> Kerberos
TCP/389 --> ldap
UDP/53 --> Client query dns
TCP/53 --> dns zone transfer file
TCP/25 - SMTP
UPD/161 - SNMP
UDP/123 - NTP
ICMP - không có port
netsh wlan show profile
netsh wlan show profile "coffee_wifi" key=clear
1. gõ lệnh "regedit" nếu lệnh không chạy, 99% máy bị virus (lưu ý: phiên bản windows Home không có lệnh này)
2. Kiểm tra windows firewall (on/off), tường lửa đang bị tắt, khả năng cao là bị nhiễm virus
3. Lệnh "netstat -ano" không chạy được lệnh, 99% máy bị virus
4. Kiểm tra task scheduler, xem có chương trình nào lạ được cho phép chạy cùng khi máy tính khi khởi động máy lên
5. Kết nối internet và mở ứng dụng tcpview để kiểm tra các kết nối.
6. Sử dụng Antivirus MalwareByte phiên bản miễn phí (được 15 ngày) để diệt virus (vì nó nhẹ, quét nhanh).
7. dùng lệnh "sfc /scannow" để fix lại registry.
8. Sử dụng WiresShark để bắt các gói tin có trong hệ thống mạng LAN, xác định máy tính phát gói tin broadcats.
9. Search các mã lỗi "Enternalblue", "bluekeep" trên hệ điều hành đang chạy (có thể dùng Nmap để xác định nhanh).
10. Dùng lệnh "netshare" để kiểm tra các thư mục đã chia sẻ (có được phân quyền rõ ràng hay không).
Đặc biệt: Lỗ hỏng bảo mật từ con người là nguy hiểm nhất... "Quản trị viên chịu thua cái lỗi này"