Pratik Windows Olay Müdahale Komutları

wmic startup list full - Startup öğelerini gösterir

ipconfig /displaydns - Son çözülmüş DNS adreslerini gösterir

wmic process get description,processid,parentprocessid,commandline /format:csv - CSV olarak mevcutta çalışan process'leri gösterir

wmic service list full | more -  Çalışan servisleri gösterir

netstat -bona - Tüm açık socket bağlantılarını PID ve EXE bağlantılarıyla gösterir

wmic product get name, version - Sistemde kurulu yazılım envanterini çıkarır

wmic qfe list full - Sistemin yama geçmişi

wmic os get lastbootuptime - Sistem en son ne zaman yeniden başlamış

wmic computersystem get username - Aktif olarak oturum açmış kullanıcılar listesi

wmic useraccount list full - Tanımlı tüm kullanıcılar listesi

Son çalıştırılan EXE'leri görmek için

reg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" shimcache.reg

ve

python shimcacheparser.py -o output.csv -r shimcache.reg

shimcacheparser.py @ https://github.com/mandiant/ShimCacheParser

Kaynak: http://909research.com/

Furkan ÇALIŞKAN

Read more posts by this author.