Hello WinDows


PHẦN I CÁC MẸO ĐỂ KIỂM TRA MÁY TÍNH SỬ DỤNG HỆ ĐIỀU HÀNH WINDOWS BẰNG CMD

1. KIỂM TRA HỆ ĐIỀU HÀNH


systeminfo , msinfo32


để kiểm tra phiên bản hệ điều hành và hệ điều hành đã được active chưa thì chúng ta có thể dùng các lệnh sau


"wmic os get caption,version,OSArchitecture"


"wmic csproduct get vendor,name,identifyingnumber"


"slmgr/xpr"


"slmgr.vbs -dlv"



2. KIỂM TRA THÔNG SỐ CPU


"wmic cpu get caption, deviceid, name, numberofcores, maxclockspeed, status"



3. KIỂM TRA THÔNG SỐ RAM


"wmic MEMORYCHIP get BankLabel, DeviceLocator, MemoryType, Capacity, Speed, serialnumber, manufacturer"


"wmic memphysical get MaxCapacity, MemoryDevices"



4. KIỂM TRA THÔNG SỐ Ỗ CỨNG


"wmic diskdrive get model, serialnumber"

"diskpart"


"list disk"


"diskmgmt.msc"



5. KIỂM TRA ĐỊA CHỈ IP

"ipconfig /all"



6. GIAO DIỆN CONFIG

"compmgmt.msc"



7.CHECK PORTS ĐÃ OPEN OR ESTABLISH TRÊN WINDOWS

7.1 Check trạng thái port:


Điền nầy là cần thiết nếu bạn muốn biết máy tính bạn đang chạy những chương trình gì, và những chương trình nào đang âm thầm chạy ngầm cùng hệ thống. Chỉ 1 vài dòng lệnh thôi chúng ta đã biết được điều đó, điều nầy giúp ích cho bạn rất nhiều trong công tác bảo mật hệ thống cũng như kiểm tra đụng độ port.


– Đầu tiên chúng ta mở CMD lên và gõ lệnh : netstat -an |find /i “listening” Lúc nầy hệ thống sẽ xuất ra các port đang trong trạng thái Listening ( có nghĩa là port đang ở trang thái lắng nghe, và đã được thiết lập trong hệ thống).


– Tương tự như vậy ta check các port đã establishing trên windows với câu lệnh netstat -an |find /i “established”. Hệ thống sẽ show cho ta thấy các port nào đã establish ( có nghĩa là các port đã thiết lập kết nối và đang được sử dụng)


7.2 Hiện thị danh sách các process tương ứng với mỗi kết nối (PID):


– Dùng lệnh netstat -ao |find /i “listening” hoặc netstat –no để show các PID tương ứng với các connection sau đó mở taskmanager để kiểm tra PID đó tương ứng với application nào.


Cấu trúc lệnh NETSTAT trên Windows:


Netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval]


Option: [-a] hiển thị tất cả các kết nối giữa máy tính local với các máy tính remote trong hay bên ngoài.


Lệnh: netstat –an


Option: [-b] hiển thị các tiến trình thực thi kết nối


Option: [-e] hiển thị thống kê card mạng ethernet


Option [-r] hiển thị thông tin bảng định tuyến


Option [-f] hiển thị thông tin đầy đủ tên Domain FQDN


Option [-n] hiển thị địa chỉ ip remote host


Option [-o] hiển thị thông tin ID tiến trình của 1 kết nối. lệnh netstat –on


Option [-p] hiển thị các giao thức kết nối


Cú pháp: netstat –p [udp|tcp|tcpv6|udpv6|icmp|ip]


Option [-s] hiển thị thống kê giao thức


8. FIREWALL

netsh advfirewall set privateprofile state off


netsh advfirewall set currentprofile state on


ncetsh advfirewall set publicprofile state off


netsh advfirewall set currentprofile state off


netsh advfirewall show currentprofile


netsh advfirewall firewall show rule name=all


netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow


netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=block


Net stop wuauserv (tắt dịch vụ windows update)


Net start wuauserv (bật dịch vụ windows update)


9. CHẠY MỘT CHƯƠNG TRÌNH BẰNG LỆNH CMD

C:\Users\PC\Downloads>chuong_trinh.exe /passive

10. MỘT SỐ CỔNG DỊCH VỤ CƠ BẢN

TCP/80 --> http


TCP/443 --> https


TCP/22 --> ssh


TCP/23 --> Telnet


TCP/445 --> Share file (CIFS)


TCP/88 --> Kerberos


TCP/389 --> ldap


UDP/53 --> Client query dns


TCP/53 --> dns zone transfer file


TCP/25 - SMTP


UPD/161 - SNMP


UDP/123 - NTP


ICMP - không có port


11. SHOW PASS WIFI

netsh wlan show profile


netsh wlan show profile "coffee_wifi" key=clear


12.CÁC BƯỚC KIỂM TRA MÁY TÍNH WINDOWS XEM CÓ BỊ VIRUS KHÔNG

1. gõ lệnh "regedit" nếu lệnh không chạy, 99% máy bị virus (lưu ý: phiên bản windows Home không có lệnh này)


2. Kiểm tra windows firewall (on/off), tường lửa đang bị tắt, khả năng cao là bị nhiễm virus


3. Lệnh "netstat -ano" không chạy được lệnh, 99% máy bị virus


4. Kiểm tra task scheduler, xem có chương trình nào lạ được cho phép chạy cùng khi máy tính khi khởi động máy lên


5. Kết nối internet và mở ứng dụng tcpview để kiểm tra các kết nối.


6. Sử dụng Antivirus MalwareByte phiên bản miễn phí (được 15 ngày) để diệt virus (vì nó nhẹ, quét nhanh).


7. dùng lệnh "sfc /scannow" để fix lại registry.


8. Sử dụng WiresShark để bắt các gói tin có trong hệ thống mạng LAN, xác định máy tính phát gói tin broadcats.


9. Search các mã lỗi "Enternalblue", "bluekeep" trên hệ điều hành đang chạy (có thể dùng Nmap để xác định nhanh).


10. Dùng lệnh "netshare" để kiểm tra các thư mục đã chia sẻ (có được phân quyền rõ ràng hay không).


Đặc biệt: Lỗ hỏng bảo mật từ con người là nguy hiểm nhất... "Quản trị viên chịu thua cái lỗi này"