Trong hướng dẫn gồm hai phần này, phần đầu tiên chúng tôi sẽ giới thiệu cho các bạn về 5 công cụ dòng lệnh hữu dụng trong Windows để thực hiện một hành động phân tích đó.
1. WMIC Windows Management Instrumentation Command-line (WMIC) không chỉ đơn thuần là một lệnh mà có rất nhiều tính năng khác. Công cụ này có một giao diện dòng lệnh cho Windows Management Instrumentation API bên trong Windows. WMIC cho phép quản lý người dùng truy cập các thông tin chi tiết trên máy tính Windows, gồm có các thuộc tính chi tiết của hàng ngàn các thiết lập và đối tượng. WMIC được xây dựng bên trong Windows XP Professional, Windows 2003 và Windows Vista. Để sử dụng nó, người dùng phải khởi chạy chương trình bằng cách chạy lệnh WMIC, theo sau là phần mà người dùng quan tâm (thường được gọi là các alias bên trong hệ thống). Cho ví dụ, để biết về các quá trình đang chạy trên máy tính, người dùng có thể chạy lệnh: C:\> wmic process Phần đầu ra của lệnh này có vẻ khá khó đọc vì định không được chỉ định. Tuy nhiên với WMIC, đầu ra mà công cụ này cung cấp được định dạng hoàn toàn khác, trong đó phần "list full" sẽ hiển thị các thông tin chi tiết cho mỗi lĩnh vực mà người dùng quan tâm, còn phần "list brief" sẽ cung cấp một dòng đầu ra cho mỗi một mục báo cáo dưới sạng danh sách các mục, chẳng hạn như các quá trình đang chạy, các chương trình tự động khởi chạy và những chia sẻ hiện hữu. Cho ví dụ, chúng ta có thể quan sát mọi quá trình đang chạy trên máy tính bằng cách chạy lệnh: C:\> wmic process list brief Lệnh trên sẽ hiển thị tên, ID của quá trình và quyền ưu tiên của mỗi quá trình đang chạy cũng như các thuộc tính khác. Để nhận thêm các thông tin chi tiết hơn, chạy lệnh: C:\> wmic process list full Lệnh này sẽ hiển thị tất cả các thông tin chi tiết, gồm có đường dẫn của file thực thi có liên kết với quá trình và lệnh triệu gọi dòng lệnh của nó. Khi nghiên cứu một máy tính có bị tiêm nhiễm hay không, quản trị viên cần phải xem xét từng quá trình để xác định xem các quá trình này có hợp lệ trên máy tính hay không, sau đó nghiên cứu các quá trình lạ hoặc không mong đợi bằng cách sử dụng các cỗ máy tìm kiếm. Ngoài các alias về các quá trình, người dùng có thể thay thế startup để nhận danh sách các chương trình tự động khởi chạy trên máy tính, gồm có các chương trình khởi chạy khi hệ thống khởi động hoặc người dùng đăng nhập, đây là những chương trình được định nghĩa bởi một auto-start registry key hoặc thư mục: C:\> wmic startup list full Rất nhiều malware có thể tự động chạy trên máy tính bằng cách thêm một mục auto-start bên cạnh các mục hợp lệ khác có bên trong các công cụ antivirus hay các chương trình system tray. Người dùng có thể quan sát các thiết lập khác trên máy tính với WMIC bằng cách thay thế "startup" bằng "QFE" (cụm chữ cái viết tắt cho Quick Fix Engineering) để thấy được mức vá của một hệ thống, bằng "share" để xem danh sách các file chia sẻ trên Windows hoặc bằng "useraccount" để thấy được các thiết lập tài khoản chi tiết của người dùng. Một tùy chọn khác bên trong WMIC là khả năng chạy một lệnh để thu thập thông tin trên trên một chu kỳ nào đó bằng cách sử dụng cú pháp "/every:[N]" sau phần còn lại của lệnh WMIC. [N] ở đây là một số nguyên, chỉ thị rằng WMIC sẽ chạy lệnh trên cứ [N] giây một lần. Bằng cách đó, người dùng có thể tìm kiếm các thay đổi trong các thiết lập của hệ thống theo thời gian, cho phép khảo sát một cách kỹ lưỡng đầu ra. Sử dụng chức năng này để kéo toàn bộ các thông tin về quá trình trong 5 giây một lần, người dùng có thể chạy: C:\> wmic process list brief /every:1 Nhấn CTRL+C sẽ dừng chu kỳ. |