Thứ Bảy, 17 tháng 12, 2011
Thứ Năm, 15 tháng 12, 2011
Khái Quát Tín Hiệu Đèn Trên Modem
ADSL ( ở 1 số modem là: DSL, LINK...)
Chức năng: báo tín hiệu đường cáp
Trạng thái:
+ Sáng đứng: đường cáp tốt+ Tắt - chậm: không tốt
+ Nháy nhanh: đang kết nối đến ISP
Alrm (ở 1 số modem sẽ không có đèn tính hiệu này)
Chức năng: báo tín hiệu đường cáp
Trạng thái:
+ Sáng đứng: đường cáp không tốt+ Tắt - chậm: đường cáp tốt
Lan (ở 1 số modem là Ethrnet)
Chức năng: báo tính hiệu kết nối giữa modem và máy tính
Trạng thái:
+ Sáng đứng: kết nối tốt+ Tắt: kết nối không tốt
+ Nhấp nháy: dữ liệu đang được gửi/nhận đến máy tính
ACT (ở 1 số modem là: PPP, TATA, READY, INTERNET.....)
Chức năng: báo tín hiệu gửi/nhận dữ liệu
Trạng thái:
+ nhấp nháy: dữ liệu đang được gửi/nhận đến ASP+ Tắt: không gửi/nhận dữ liệu đến ASP
Ý Nghĩa Của Các Tên Miền
- .com: là các tổ chức, công ty thương mại
- .org: là các tổ chức phi lợi nhuận
- .net: các trung tâm hỗ trợ về mạng
- .edu: các tổ chức giáo dục
- .gov: là các tổ chức thuộc chính phủ
- .mil: các tổ chức quân sự
- .int: các tổ chức được thành lập bởi các hiệp ước quốc tế
- .arts: các tổ chức liên quan đến nghệ thuật và kiến trúc
- .rec: các tổ chức có tính chất giải trí, thể thao
- .firm: các tổ chức kinh doanh thương mại
- .info: các tổ chức liên quán đến thông tin
- .vn: tên miền quốc gia Việt Nam
- .us: tên miền quốc gia Mĩ
- .uk: tên miền quốc gia Anh
- .jp: tên miền quốc gia Nhật
- .cn: tên miền quốc gia Trung Quốc
Thứ Ba, 13 tháng 12, 2011
Quàng Trâu Công Chúa
Tập 1
Chuyện tình Bin La Đen
Tập 2
Hàm Hôi bị sàm sỡ
Tập 3
Quàng Hậu Đi Đánh Ghen
Tập 4
Hạ Tử Vy chơi ngãi
Tập 5
Hoàng Thượng phá án
Tập 6
Nước mắt mỹ nhân
Lần đầu tiên tìm thấy hành tinh giống trái đất
Một hành tinh ở ngoài hệ mặt trời đã được NASA tìm thấy, rất giống với trái đất, thậm chí có thể tốt hơn. Khí hậu trên hành tinh này giống như khí hậu của thành phố biển Key West, Florida của Mỹ.
Được gọi là Kepler-22b, đây là hành tinh đầu tiên được xác nhận có thể sinh sống được, có nước trên bề mặt hành tinh để hỗ trợ cho sự sống. Hành tinh này to gấp 2,5 lần trái đất và cách trái đất tới 600 năm ánh sáng.Theo , các nhà khoa học ước tính nhiệt độ trên hành tinh này khoảng 72 độ. Kepler-22b quay quanh một ngôi sao rất giống với mặt trời nhưng trong thời gian ngắn hơn một chút. Do đó một năm trên Kepler-22b chỉ kéo dài khoảng 290 ngày.Các nhà khoa học cho biết nó giống với hành tinh có đất và nước, nhưng cũng không thể loại trừ khả năng rằng đây là một hành tinh hoàn toàn khí. Điều này sẽ hạn chế tiềm năng của nó như là một trạm trung chuyển giữa các thiên hà.Sứ mệnh Kepler của NASA là tìm kiếm tất cả các hành tinh có khả năng sinh sống, bằng cách xác định tất cả ứng viên có trong những hệ mặt trời khác và có kích thước gần giống trái đất. Các hành tinh này phải nằm trong vùng sinh sống được thuộc hệ mặt trời của nó. Dữ liệu gần đây nhất của nhiệm vụ là xác định 48 hành tinh và Kepler 22-b là hành tinh đầu tiên được xác định.
Biển chết từng "chết" một lần
Biển Chết là hồ có nồng độ muối cao nhất và là cũng là khu vực thấp nhất trên bề mặt trái đất. Nằm giữa Jordan, Israel và Palestine, Biển Chết là nơi nghỉ mát lý tưởng đối với du khách bởi dù không biết bơi họ cũng không bao giờ bị chìm do độ mặn rất cao.
Giáo sư Moti Stein, một nhà địa lý của Đại học Jerusalem tại Israel, cùng một số nhà khoa học quốc tế khoan nhiều lỗ vào lớp trầm tích dưới đáy Biển Chết để tìm hiểu các sự kiện lớn từng xảy ra với hồ trong hàng triệu năm qua. Họ nhận thấy nước trong Biển Chết từng cạn kiệt cách đây chừng 120.000 năm do nhiệt độ ở khu vực Trung Đông tăng vọt dẫn đến tình trạng hạn hán, cho biết.
Nhóm nghiên cứu dự báo Biển Chết có thể biến mất một lần nữa nếu Trung Đông trải qua một đợt hạn hán dài. Sông Jordan – sông cung cấp nước ngọt cho Biển Chết - ngày càng thu hẹp do người dân lấy nước để tưới đồng ruộng. Vì thế lượng nước ngọt chảy vào Biển Chết cũng giảm dần. Nhóm nghiên cứu cho rằng ngày nay mực nước của Biển Chết giảm tới một mét mỗi năm. Các nghiên cứu khác cho thấy mực nước trong Biển Chết đã giảm tới 25 m trong vòng 40 năm qua.
“Tôi có thể nói rằng sự kết hợp giữa biến đổi khí hậu và những thay đổi do con người gây nên xung quanh Biển Chết có thể dẫn tới thảm họa. Sau khi Biển Chết cạn hoàn toàn cách đây 120.000 năm, nó hồi sinh do nước ngọt tiếp tục chảy vào hồ. Giờ đây con người đã chặn nguồn cung cấp nước ngọt của Biển Chết nên nước sẽ không thể quay trở lại”, Stein nói.
Vị giáo sư nhận định cách duy nhất để bảo vệ Biển Chết là ngừng chặn dòng nước ngọt của nó. Nhưng ông cũng cảnh báo việc đó có thể gây tác động xấu tới nguồn cung cấp nước ngọt của nhiều quốc gia trong khu vực.
Thứ Hai, 12 tháng 12, 2011
kiểm tra (sự toàn vẹn của) hệ thống khi (nghi ngờ) hệ thống bị tấn công
Mỗi người dùng máy tính đều phải đối mặt với vấn đề những máy
chạy Windows bị tấn công. Và trong một số môi trường, thì điều này
xảy ra rất thường. May thay, Microsoft đã xây dựng một loạt các công
cụ trong Windows để các nhà quản trị cũng như người dùng có kinh
nghiệm có thể phân tích chiếc máy tính của mình xem liệu nó có đang
bị xâm phạm hay không. Trong hướng dẫn thủ thuật này- bao gồm 2 phần,
tác giả bài viết sẽ giới thiệu năm công cụ dòng lệnh hữu ích được tích hợp
(build-in) trong Windows cho mục đích này.
1) WMIC: Một thế giới mạo hiểm đang chờ
Nó đưa ra một giao diện dòng lệnh cho Windows Management Instrumentation API
cực mạnh mẽ bên trong Windows. WMIC cho phép người dùng quản trị truy cập tất
cả các loại thông tin chi tiết về máy tính chạy Windows, bao gồm chi tiết các thuộc
tính của hàng ngàn thiết lập và đối tượng. WMIC được tích hợp trong Windows XP
Professional, Windows 2003 and Windows Vista. Để sử dụng WMIC, người dùng cần
kích hoạt nó bằng cách chạy lệnh WMIC với tham số là lĩnh vực của máy mà người
dùng quan tâm tìm hiểu ( thường được tham chiếu như một tên tắt trong hệ thống)
Ví dụ, để biết về các tiến trình đang chạy trên máy, người dùng có thể chạy:
Đầu ra của lệnh này có vẻ sẽ rất kinh khủng vì format đầu ra đã không được chỉ ra.
Với WMIC, đầu ra có thể được định dạng theo vài cách, tuy nhiên 2 trong số những
định dạng hữu dụng nhất cho việc phân tích khả năng hệ thống bị tấn công là lựa chọn
“list full” , chỉ ra một lượng lớn các chi tiết cho mỗi lĩnh vực của máy tính mà người dùng
quan tâm và lựa chọn “list brief” , cung cấp một hàng tin cho một mục báo cáo trong danh
sách các thực thể, chẳng hạn như các tiến trình đang chạy, các phần mềm tự khởi động và
các chia sẽ đang có.
Ví dụ, chúng ta có thể coi một tổng kết các tiến trình đang chạy trên máy bằng cách gõ vào:
Lệnh này sẽ chỉ ra tên, ID của tiến trình và độ ưu tiên của mỗi tiến trình đang chạy,
cũng như các thuộc tính khác ít quan trọng hơn. Để có thông tin chi tiết hơn, ta nhập lệnh:
Lệnh này xuất ra toàn bộ các chi tiết , gồm đường dẫn đầy đủ của mã thực thi liên quan
tới các tiến trình và tham số của chúng. Khi điều tra để tìm sự lây nhiễm của máy tính,
người quản trị cần xem xét từng tiến trình để xác định xem liệu chúng có sử dụng máy
một cách hợp pháp, tìm kiếm các tiến trình không được mong chờ và không được biết đến
bằng cách áp dụng các cổ máy tìm kiếm.
Ngoài các tên tắt của các tiến trình, người dùng có thể xem xét quá trình khởi động để có
được danh sách các phần mềm tự khởi động , bao gồm các phần mềm được khởi động trong
quá trình hệ thống boot up, được xác định bởi các khóa hay thư mục auto-start registry.
Phần lớn các malware tự chạy trên máy bằng cách thêm một dòng tự khởi động cùng với các
phần mềm hợp lệ khác, có thể thuộc các công cụ antivirus và các chương trình khác trên khay
hệ thống. Người dùng có thể xem các thiết lập khác trên máy với dòng lệnh WMIC bằng cách
thay thế “startup” bởi “QFE” (viết tắt của “Kỹ Thuật Sửa chữa Nhanh” - Quick Fix Engineering)
để thấy được mức độ được Vá (Patch) của hệ thống, với tùy chọn “share” để xem danh sách
các tệp chia sẻ có trên máy và với “useraccount” để xem chi tiết vể thiết lập tài khoản người dùng.
Một sự lựa chọn rất tiện dụng của WMIC là khả năng chạy lệnh thu thập thông tin trên cơ sở lặp
lại bằng cách sử dụng cú pháp “ /every:[N]” ở cuối cùng của dòng lệnh WMIC. [N] ở đây là số
nguyên, chỉ ra rằng WMIC sẽ phải thực thi lệnh được chỉ định cứ mỗi [N] giây. Bằng cách này,
người dùng có thể thấy sự thay đổi trong các thiết lập của hệ thống theo thời gian, cho phép
kiểm soát kỹ lưỡng đầu ra. Để sử dụng chức năng này nhằm đánh giá các process cứ sau 5 giây,
người dùng cần chạy dòng lệnh:
Nhấn tổ hợp CTRL+C sẽ ngưng chu trình này.
2) Lệnh net: cũ nhưng tốt
Trong khi WMIC là lệnh tương đối mới , chúng ta cũng không quên một số lệnh cũ hữu ích.
Một trong những lệnh rất được ưa chuộng là “net”. Người quản trị có thể dùng lệnh này để
hiển thị toàn bộ các kiểu thông tin hữu ích.
Ví dụ, lệnh “net user” chỉ ra toàn bộ các tài khoản người dùng được xác định trên máy.
Lệnh "net localgroup" sẽ chỉ ra các nhóm (groups), lệnh "net localgroup administrators" sẽ
chỉ ra các thành viên quản trị của Nhóm và lệnh “net start” cho ta xem các dịch vụ đang chạy.
Những kẻ tấn công thường thêm users vào hệ thống hoặc chèn tài khoản riêng của chúng vào
Nhóm Quản trị (administrators groups) , vậy nên việc kiểm tra đầu ra của dòng lệnh này là ý t
ưởng hay để xem kẻ tấn công có can thiệp vào các tài khoản người dùng trên máy không.
Những kẻ tấn công cũng có thể tạo các dịch vụ độc hại trên máy, vậy nên người dùng cũng
cần kiểm soát được khả năng này.
3) Openfiles: Cái nhìn sâu xa
Có nhiều quản trị Windows không biết sức mạnh của lệnh openfiles có trong Windows.
Như tên gọi của mình, lệnh này đưa ra toàn bộ những files đang được mở, chỉ ra tên
những process đang tương tác với mỗi file. Lệnh này được xây dựng trong các phiên
bản Windows mới , từ XP Pro tới Vista. Tương tự như lệnh lsof rất phổ biến trong Linux
và Unix, nó sẽ đưa ra toàn bộ các tệp đang mở trên máy, chỉ ra tên các process và đường
dẫn đầy đủ tới mổi file. Tuy nhiên điểm khác với lệnh lsof là nó không cung cấp nhiều chi
tiết hơn, như số hiệu process ID, số hiệu người dùng ( user number) và những thông tin khác.
Xét trên số lượng thông tin mà lệnh này thu thập, có thể thấy lệnh openfiles là một gánh
nặng năng suất. Bởi thế nên tài khoản liên quan với openfiles bị tắt theo mặc định, nghĩa
là người dùng không thể lôi được bất kỳ thông tin gì từ lệnh này cho tới khi nó được mở.
Chức năng này có thể được kích hoạt bằng cách sau:
Người dùng sẽ cần phải khởi động lại máy, khi có lại hệ thống, ta có thể chạy lệnh openfiles như sau:
C:\> openfiles /query /v
Lệnh này sẽ trưng ra một đầu ra dài dòng, bao gồm tài khoản người dùng mà mỗi tiến
trình (process) cùng với file đang mở mà nó chạy ở dưới. Để có thể hình dung malware
đã được cài đặt như thế nào, hoặc giả kẻ tấn công có thể làm gì trên hệ thống, người
dùng cần tìm những file không bình thường hoặc không mong đợi, đặc biệt những file
có liên quan với những người dùng bất thường trên máy.
Khi lệnh openfiles kết thúc, chức năng tài khoản của nó sẽ được tự tắt và hệ thống sẽ
trở lại năng xuất bình thường bằng cách chạy lệnh tiếp theo và khởi động lại.
4) Netstat: Cho tôi xem hệ thống mạng
Bởi malware thường giao tiếp thông qua mạng, nên người dùng có thể tìm các kết nối
không bình thường và không được mong chờ trên đầu ra của netstat, chạy như sau:
Tham số tùy chọn –n chỉ cho netstat hiển thị số của máy tính, thay vì hiển thị tên máy
và giao thức, và thay vì chỉ ra địa chỉ IP và số hiệu cổng TCP hoặc UDP. Tùy chọn –a để
hiển thị toàn bộ các kết nối và các ports đang lắng nghe. Tùy chọn –o khi ta cần netsat
hiển thị số hiệu processID của mỗi chương trình đang giao tiếp với cổng TCP hay UDP. Nếu
như, thay vì TCP và UDP, bạn quan tâm ICMP, thì hãy chạy netstat như sau:
Dòng lệnh sẽ trả về thống kê (-s) của giao thức ICMP Tuy không được chi tiết như đầu ra của
TCP và UDP, người dùng có thể thấy liệu máy có đang gửi ICMP traffic thông thường hay bất
thường lên mạng. Một số backdoors và malware giao tiếp bằng cách sử dụng tải trọng của các
thông điệp ICMP Echo, tương tự như những gói ping thông thường vẫn thấy trên phần lớn các
hệ thống mạng.
Giống như WMIC, netstat cũng cho phép ta chạy nó cứ mỗi N giây. Tuy nhiên, thay vì sử dụng
syntax của WMIC là "/every:[N]", ta chỉ cần thêm vào cuối cùng của dòng lệnh netstat dấu cách
và một số nguyên. Như vậy để list ra các cổng TCP và UDP đang mở trên máy cứ mỗi 2 giây, ta nhập lệnh:
5) Find: Tìmcác thứ hay ho ở đầu ra (kết xuất)
Phần lớn các lệnh thảo luận ở đây cho tới giờ đều cho ra rất nhiều thông tin đầu ra, có thể khó cho ta
khi cần xem và tìm thứ mình quan tâm.Tuy nhiên, Windows sẽ giúp ta. Người dùng có thể tìm trên đầu
ra của lệnh bằng cách sử dụng các lệnh bên trong Windows là find và findstr. Lệnh find sẽ tìm trên một
chuỗi đơn, trong khi findstr hỗ trợ tìm các regular expressions, một cách thức phức tạp hơn để chỉ ra
các mẫu tìm kiếm. Do vì regular expressions được hỗ trợ bởi findstr nằm ngoài khuôn khổ bài này nên ta
sẽ chỉ tập trung vào lệnh find. Mặc định, find là lệnh có phân biệt chữ in hoa và thường – ta dùng tùy
chọn /i để làm cho nó không phân biệt chữ thường hay hoa nữa.
Lệnh find cũng có khả năng đếm. Khi lệnh được kích hoạt với /c , nó sẽ đếm số hàng của đầu ra mà
chuỗi cho trước có. Người dùng thường muốn đếm số lượng các hàng có trong đầu ra của lệnh để xác
định có bao nhiêu tiến trình đang chạy, có bao nhiêu chương trình được khởi động từ đầu, hoặc vài
thứ hay khác trên máy. Để đếm số hàng của đầu ra, ta chỉ cần pipe đầu ra của nó thông qua find /c /v””
Lệnh này sẽ đếm số lượng (/c) hàng không có hàng trống (blank line) (“”) trong nó. Bằng cách đếm số
lượng các hàng không trống, lệnh này thực chất là đã đếm số lượng hàng.
Vậy là với lệnh find, ta có thể xét toàn bộ đầu ra của mỗi lệnh mà chúng ta đã xét ở trên để có thể tìm
ra gì đó hay ho. Ví dụ, để xem thông tin về tiến trình lệnh cmd.exe cứ sau mỗi giây trên máy, ta đánh:
Hoặc, để xem xem chương trình tự khởi động nào liên quan registry hive HKLM, ta chạy:
Để đếm số các tệp đang mở trên máy mà tài khoản lệnh openfiles đang được kích hoạt, ta đánh:
Cứ khi nào đếm các mục theo kiểu này, ta nhớ trừ đi số hàng liên quan với đầu cột (column headers).
Và với ví dụ cuối cùng, ta sẽ cùng xem với độ chính xác 1 giây khi nào trạng thái cổng TCP 2222 bắt
đầu được sử dụng trên máy, cùng với processID sử dụng cổng. Ta chạy:
Nghiên cứu đầu ra:
Với 5 công cụ này, người dùng có thể thu được lượng lớn thông tin về cấu hình và tình trạng
an toàn của máy chạy Windows. Để sử dụng từng lệnh trong việc phát hiện sự xâm phạm thì
người dùng tuy nhiên sẽ phải so sánh các thiết lập hiện thời của máy dưới sự phân tích là trạng
thái “bình thường”, của máy không bị nhiễm bệnh.
Có ba lựa chọn để thiết lập ranh giới so sánh căn bản. Thứ nhất, nếu người dùng là người có
kinh nghiệm săn lùng malware, anh hay cô ta sẽ có linh cảm với những gì là đúng hay sai đối
với mỗi kiểu máy, và sẽ phát hiện malware hay chỉ là sự cố bất thường dựa trên kinh nghiệm
cá nhân. Một cách khác, so sánh kết quả thực hiện lệnh có thể được thực hiện đối với một
máy sạch, không bị nhiễm nếu ta sẵn có. Còn nếu không có, người dùng có thể phải viện đến
lựa chọn thứ ba – nghiên cứu các files, các tên process, các tên file đặc trưng và các số hiệu
cổng được xác định bởi lệnh này và tìm kiếm thông tin về chúng trên Internet để xác định xem
chúng có là bình thường đối với một hệ thống phần cứng và phần mềm được cài trên đó, hay
là liệu chúng có liên quan với một loại malware nào đó.
Trong bài này, chúng ta đã xem xét năm lệnh bên trong rất mạnh mẽ của Windows. Ở bài tới,
cúng ta sẽ xét nốt cho đủ 10 danh mục bằng cách xem xét các tính năng ít được biết đến
nhưng hết sức hữu ích của các lệnh tasklist, reg và ipconfig , và không kém thú vị là vòng
lặp FOR cũng như việc chạy giao diện quản trị GUIs thông qua dòng lệnh
chạy Windows bị tấn công. Và trong một số môi trường, thì điều này
xảy ra rất thường. May thay, Microsoft đã xây dựng một loạt các công
cụ trong Windows để các nhà quản trị cũng như người dùng có kinh
nghiệm có thể phân tích chiếc máy tính của mình xem liệu nó có đang
bị xâm phạm hay không. Trong hướng dẫn thủ thuật này- bao gồm 2 phần,
tác giả bài viết sẽ giới thiệu năm công cụ dòng lệnh hữu ích được tích hợp
(build-in) trong Windows cho mục đích này.
1) WMIC: Một thế giới mạo hiểm đang chờ
Nó đưa ra một giao diện dòng lệnh cho Windows Management Instrumentation API
cực mạnh mẽ bên trong Windows. WMIC cho phép người dùng quản trị truy cập tất
cả các loại thông tin chi tiết về máy tính chạy Windows, bao gồm chi tiết các thuộc
tính của hàng ngàn thiết lập và đối tượng. WMIC được tích hợp trong Windows XP
Professional, Windows 2003 and Windows Vista. Để sử dụng WMIC, người dùng cần
kích hoạt nó bằng cách chạy lệnh WMIC với tham số là lĩnh vực của máy mà người
dùng quan tâm tìm hiểu ( thường được tham chiếu như một tên tắt trong hệ thống)
Ví dụ, để biết về các tiến trình đang chạy trên máy, người dùng có thể chạy:
Code:
C:\> wmic process
Đầu ra của lệnh này có vẻ sẽ rất kinh khủng vì format đầu ra đã không được chỉ ra.
Với WMIC, đầu ra có thể được định dạng theo vài cách, tuy nhiên 2 trong số những
định dạng hữu dụng nhất cho việc phân tích khả năng hệ thống bị tấn công là lựa chọn
“list full” , chỉ ra một lượng lớn các chi tiết cho mỗi lĩnh vực của máy tính mà người dùng
quan tâm và lựa chọn “list brief” , cung cấp một hàng tin cho một mục báo cáo trong danh
sách các thực thể, chẳng hạn như các tiến trình đang chạy, các phần mềm tự khởi động và
các chia sẽ đang có.
Ví dụ, chúng ta có thể coi một tổng kết các tiến trình đang chạy trên máy bằng cách gõ vào:
Code:
C:\> wmic process list brief
Lệnh này sẽ chỉ ra tên, ID của tiến trình và độ ưu tiên của mỗi tiến trình đang chạy,
cũng như các thuộc tính khác ít quan trọng hơn. Để có thông tin chi tiết hơn, ta nhập lệnh:
Code:
C:\> wmic process list full
Lệnh này xuất ra toàn bộ các chi tiết , gồm đường dẫn đầy đủ của mã thực thi liên quan
tới các tiến trình và tham số của chúng. Khi điều tra để tìm sự lây nhiễm của máy tính,
người quản trị cần xem xét từng tiến trình để xác định xem liệu chúng có sử dụng máy
một cách hợp pháp, tìm kiếm các tiến trình không được mong chờ và không được biết đến
bằng cách áp dụng các cổ máy tìm kiếm.
Ngoài các tên tắt của các tiến trình, người dùng có thể xem xét quá trình khởi động để có
được danh sách các phần mềm tự khởi động , bao gồm các phần mềm được khởi động trong
quá trình hệ thống boot up, được xác định bởi các khóa hay thư mục auto-start registry.
Code:
C:\> wmic process list full
Phần lớn các malware tự chạy trên máy bằng cách thêm một dòng tự khởi động cùng với các
phần mềm hợp lệ khác, có thể thuộc các công cụ antivirus và các chương trình khác trên khay
hệ thống. Người dùng có thể xem các thiết lập khác trên máy với dòng lệnh WMIC bằng cách
thay thế “startup” bởi “QFE” (viết tắt của “Kỹ Thuật Sửa chữa Nhanh” - Quick Fix Engineering)
để thấy được mức độ được Vá (Patch) của hệ thống, với tùy chọn “share” để xem danh sách
các tệp chia sẻ có trên máy và với “useraccount” để xem chi tiết vể thiết lập tài khoản người dùng.
Một sự lựa chọn rất tiện dụng của WMIC là khả năng chạy lệnh thu thập thông tin trên cơ sở lặp
lại bằng cách sử dụng cú pháp “ /every:[N]” ở cuối cùng của dòng lệnh WMIC. [N] ở đây là số
nguyên, chỉ ra rằng WMIC sẽ phải thực thi lệnh được chỉ định cứ mỗi [N] giây. Bằng cách này,
người dùng có thể thấy sự thay đổi trong các thiết lập của hệ thống theo thời gian, cho phép
kiểm soát kỹ lưỡng đầu ra. Để sử dụng chức năng này nhằm đánh giá các process cứ sau 5 giây,
người dùng cần chạy dòng lệnh:
Code:
C:\> wmic process list brief /every:5
Nhấn tổ hợp CTRL+C sẽ ngưng chu trình này.
2) Lệnh net: cũ nhưng tốt
Trong khi WMIC là lệnh tương đối mới , chúng ta cũng không quên một số lệnh cũ hữu ích.
Một trong những lệnh rất được ưa chuộng là “net”. Người quản trị có thể dùng lệnh này để
hiển thị toàn bộ các kiểu thông tin hữu ích.
Ví dụ, lệnh “net user” chỉ ra toàn bộ các tài khoản người dùng được xác định trên máy.
Lệnh "net localgroup" sẽ chỉ ra các nhóm (groups), lệnh "net localgroup administrators" sẽ
chỉ ra các thành viên quản trị của Nhóm và lệnh “net start” cho ta xem các dịch vụ đang chạy.
Những kẻ tấn công thường thêm users vào hệ thống hoặc chèn tài khoản riêng của chúng vào
Nhóm Quản trị (administrators groups) , vậy nên việc kiểm tra đầu ra của dòng lệnh này là ý t
ưởng hay để xem kẻ tấn công có can thiệp vào các tài khoản người dùng trên máy không.
Những kẻ tấn công cũng có thể tạo các dịch vụ độc hại trên máy, vậy nên người dùng cũng
cần kiểm soát được khả năng này.
3) Openfiles: Cái nhìn sâu xa
Có nhiều quản trị Windows không biết sức mạnh của lệnh openfiles có trong Windows.
Như tên gọi của mình, lệnh này đưa ra toàn bộ những files đang được mở, chỉ ra tên
những process đang tương tác với mỗi file. Lệnh này được xây dựng trong các phiên
bản Windows mới , từ XP Pro tới Vista. Tương tự như lệnh lsof rất phổ biến trong Linux
và Unix, nó sẽ đưa ra toàn bộ các tệp đang mở trên máy, chỉ ra tên các process và đường
dẫn đầy đủ tới mổi file. Tuy nhiên điểm khác với lệnh lsof là nó không cung cấp nhiều chi
tiết hơn, như số hiệu process ID, số hiệu người dùng ( user number) và những thông tin khác.
Xét trên số lượng thông tin mà lệnh này thu thập, có thể thấy lệnh openfiles là một gánh
nặng năng suất. Bởi thế nên tài khoản liên quan với openfiles bị tắt theo mặc định, nghĩa
là người dùng không thể lôi được bất kỳ thông tin gì từ lệnh này cho tới khi nó được mở.
Chức năng này có thể được kích hoạt bằng cách sau:
Code:
C:\> openfiles /local on
Người dùng sẽ cần phải khởi động lại máy, khi có lại hệ thống, ta có thể chạy lệnh openfiles như sau:
C:\> openfiles /query /v
Lệnh này sẽ trưng ra một đầu ra dài dòng, bao gồm tài khoản người dùng mà mỗi tiến
trình (process) cùng với file đang mở mà nó chạy ở dưới. Để có thể hình dung malware
đã được cài đặt như thế nào, hoặc giả kẻ tấn công có thể làm gì trên hệ thống, người
dùng cần tìm những file không bình thường hoặc không mong đợi, đặc biệt những file
có liên quan với những người dùng bất thường trên máy.
Khi lệnh openfiles kết thúc, chức năng tài khoản của nó sẽ được tự tắt và hệ thống sẽ
trở lại năng xuất bình thường bằng cách chạy lệnh tiếp theo và khởi động lại.
Code:
C:\> openfiles /local off
4) Netstat: Cho tôi xem hệ thống mạng
Bởi malware thường giao tiếp thông qua mạng, nên người dùng có thể tìm các kết nối
không bình thường và không được mong chờ trên đầu ra của netstat, chạy như sau:
Code:
C:\> netstat -nao
Tham số tùy chọn –n chỉ cho netstat hiển thị số của máy tính, thay vì hiển thị tên máy
và giao thức, và thay vì chỉ ra địa chỉ IP và số hiệu cổng TCP hoặc UDP. Tùy chọn –a để
hiển thị toàn bộ các kết nối và các ports đang lắng nghe. Tùy chọn –o khi ta cần netsat
hiển thị số hiệu processID của mỗi chương trình đang giao tiếp với cổng TCP hay UDP. Nếu
như, thay vì TCP và UDP, bạn quan tâm ICMP, thì hãy chạy netstat như sau:
Code:
C:\> netstat –s –p icmp
Dòng lệnh sẽ trả về thống kê (-s) của giao thức ICMP Tuy không được chi tiết như đầu ra của
TCP và UDP, người dùng có thể thấy liệu máy có đang gửi ICMP traffic thông thường hay bất
thường lên mạng. Một số backdoors và malware giao tiếp bằng cách sử dụng tải trọng của các
thông điệp ICMP Echo, tương tự như những gói ping thông thường vẫn thấy trên phần lớn các
hệ thống mạng.
Giống như WMIC, netstat cũng cho phép ta chạy nó cứ mỗi N giây. Tuy nhiên, thay vì sử dụng
syntax của WMIC là "/every:[N]", ta chỉ cần thêm vào cuối cùng của dòng lệnh netstat dấu cách
và một số nguyên. Như vậy để list ra các cổng TCP và UDP đang mở trên máy cứ mỗi 2 giây, ta nhập lệnh:
Code:
C:\> netstat –na 2
5) Find: Tìmcác thứ hay ho ở đầu ra (kết xuất)
Phần lớn các lệnh thảo luận ở đây cho tới giờ đều cho ra rất nhiều thông tin đầu ra, có thể khó cho ta
khi cần xem và tìm thứ mình quan tâm.Tuy nhiên, Windows sẽ giúp ta. Người dùng có thể tìm trên đầu
ra của lệnh bằng cách sử dụng các lệnh bên trong Windows là find và findstr. Lệnh find sẽ tìm trên một
chuỗi đơn, trong khi findstr hỗ trợ tìm các regular expressions, một cách thức phức tạp hơn để chỉ ra
các mẫu tìm kiếm. Do vì regular expressions được hỗ trợ bởi findstr nằm ngoài khuôn khổ bài này nên ta
sẽ chỉ tập trung vào lệnh find. Mặc định, find là lệnh có phân biệt chữ in hoa và thường – ta dùng tùy
chọn /i để làm cho nó không phân biệt chữ thường hay hoa nữa.
Lệnh find cũng có khả năng đếm. Khi lệnh được kích hoạt với /c , nó sẽ đếm số hàng của đầu ra mà
chuỗi cho trước có. Người dùng thường muốn đếm số lượng các hàng có trong đầu ra của lệnh để xác
định có bao nhiêu tiến trình đang chạy, có bao nhiêu chương trình được khởi động từ đầu, hoặc vài
thứ hay khác trên máy. Để đếm số hàng của đầu ra, ta chỉ cần pipe đầu ra của nó thông qua find /c /v””
Lệnh này sẽ đếm số lượng (/c) hàng không có hàng trống (blank line) (“”) trong nó. Bằng cách đếm số
lượng các hàng không trống, lệnh này thực chất là đã đếm số lượng hàng.
Vậy là với lệnh find, ta có thể xét toàn bộ đầu ra của mỗi lệnh mà chúng ta đã xét ở trên để có thể tìm
ra gì đó hay ho. Ví dụ, để xem thông tin về tiến trình lệnh cmd.exe cứ sau mỗi giây trên máy, ta đánh:
Code:
C:\> wmic process list brief /every:1 | find "cmd.exe"
Hoặc, để xem xem chương trình tự khởi động nào liên quan registry hive HKLM, ta chạy:
Code:
C:\> wmic startup list brief | find /i "hklm"
Để đếm số các tệp đang mở trên máy mà tài khoản lệnh openfiles đang được kích hoạt, ta đánh:
Code:
C:\> openfiles /query /v | find /c /v ""
Cứ khi nào đếm các mục theo kiểu này, ta nhớ trừ đi số hàng liên quan với đầu cột (column headers).
Và với ví dụ cuối cùng, ta sẽ cùng xem với độ chính xác 1 giây khi nào trạng thái cổng TCP 2222 bắt
đầu được sử dụng trên máy, cùng với processID sử dụng cổng. Ta chạy:
Code:
C:\> netstat –nao 1 | find "2222"
Nghiên cứu đầu ra:
Với 5 công cụ này, người dùng có thể thu được lượng lớn thông tin về cấu hình và tình trạng
an toàn của máy chạy Windows. Để sử dụng từng lệnh trong việc phát hiện sự xâm phạm thì
người dùng tuy nhiên sẽ phải so sánh các thiết lập hiện thời của máy dưới sự phân tích là trạng
thái “bình thường”, của máy không bị nhiễm bệnh.
Có ba lựa chọn để thiết lập ranh giới so sánh căn bản. Thứ nhất, nếu người dùng là người có
kinh nghiệm săn lùng malware, anh hay cô ta sẽ có linh cảm với những gì là đúng hay sai đối
với mỗi kiểu máy, và sẽ phát hiện malware hay chỉ là sự cố bất thường dựa trên kinh nghiệm
cá nhân. Một cách khác, so sánh kết quả thực hiện lệnh có thể được thực hiện đối với một
máy sạch, không bị nhiễm nếu ta sẵn có. Còn nếu không có, người dùng có thể phải viện đến
lựa chọn thứ ba – nghiên cứu các files, các tên process, các tên file đặc trưng và các số hiệu
cổng được xác định bởi lệnh này và tìm kiếm thông tin về chúng trên Internet để xác định xem
chúng có là bình thường đối với một hệ thống phần cứng và phần mềm được cài trên đó, hay
là liệu chúng có liên quan với một loại malware nào đó.
Trong bài này, chúng ta đã xem xét năm lệnh bên trong rất mạnh mẽ của Windows. Ở bài tới,
cúng ta sẽ xét nốt cho đủ 10 danh mục bằng cách xem xét các tính năng ít được biết đến
nhưng hết sức hữu ích của các lệnh tasklist, reg và ipconfig , và không kém thú vị là vòng
lặp FOR cũng như việc chạy giao diện quản trị GUIs thông qua dòng lệnh
Tổng hợp lệnh Run + công dụng
Để truy cập nhanh đến một ứng dụng, một tiện ích, một chức năng, hay một công cụ nào đó trong Windows thì có lẽ bạn thường chọn giải pháp tạo Shortcut trên màn hình Desktop, nhưng nếu làm như vậy thì cái Desktop của bạn làm sao chứa hết và nhìn rất lộn xộn.
Một giải pháp khác dành cho người dùng là họ có thể sử dụng các lệnh tắt để chạy ứng dụng từ hộp lệnh Run có sẵn trong Windows. Dưới đây là tổng hợp các lệnh phổ biến nhất có liên quan đến công việc hàng ngày của bạn.
Để mở cửa sổ Run:
Đối với Windows XP bạn có thể kích hoạt nó từ nút Start
Đối với Windows 7 bạn có thể sử dụng tổ phím Windows+R để kích hoạt nó
Windows Run Commands
1. Một số môi trường cơ bản
Một số lệnh tắt sau đây sẽ giúp bạn mở các thư mục thông dụng trong Windows.
LỆNH CHỨC NĂNG
Một giải pháp khác dành cho người dùng là họ có thể sử dụng các lệnh tắt để chạy ứng dụng từ hộp lệnh Run có sẵn trong Windows. Dưới đây là tổng hợp các lệnh phổ biến nhất có liên quan đến công việc hàng ngày của bạn.
Để mở cửa sổ Run:
Đối với Windows XP bạn có thể kích hoạt nó từ nút Start
Đối với Windows 7 bạn có thể sử dụng tổ phím Windows+R để kích hoạt nó
Windows Run Commands
1. Một số môi trường cơ bản
Một số lệnh tắt sau đây sẽ giúp bạn mở các thư mục thông dụng trong Windows.
LỆNH CHỨC NĂNG
%ALLUSERSPROFlLE% Mở tất cả các Profile người dùng2. Các lệnh phổ biến
%HomeDrive% Mở ổ đĩa hệ thống
%UserProfile% Mở Profile của bạn
%temp% Mở thư mục chứa files tạm
%systemroot% Mở thư mục Windows
access.cpl: Cửa sổ thiết lập Accessibility (Windows XP)
hdwwiz.cpl: Trình quản lý thiết bị Divice Manager
appwiz.cpl: Cửa sổ quản lý cài đặt và gỡ bỏ chương trình “Add/ Remove Programs”
control admintools: Các công cụ quản trị hệ thống “Administrative Tools”
wuaucpl.cpl: Cửa sổ cập nhật tự động “Automatic Updates”
calc: Máy tính
fsquirt: Trình quản lý Bluetooth (nếu có)
certmgr.msc: Quản lý các chứng chỉ trong Windows “Certificate Manager”
charmap: Bản đồ các ký tự đặc biệt “Character Map”
chkdsk: Kiểm tra đĩa cứng “Check Disk”
clipbrd: Xem các bản ghi Clipboard
cmd: Cửa sổ lệnh Command Prompt
dcomcnfg: Các dịch vụ Component của máy tính
compmgmt.msc: Cửa sổ quản lý Computer Management
control panel: Cửa sổ Cotrol Panel
timedate.cpl: Cấu hình ngày giờ hệ thống
devmgmt.msc: Quản lý thiết bị Device Manager
dxdiag: Công cụ hiển thị cấu hình hệ thống và phiên bản DirectX Diagnostic
cleanmgr: Tiện ích dọn dẹp đĩa “Disk Cleanup”
dfrg.msc: Trình chống phân mảnh ổ đĩa “Disk Defragment”
diskmgmt.msc: Trình quản lý đĩa cứng “Disk Management”
diskpart: Quản lý các phân vùng đĩa cứng
control desktop: Các thuộc tính Desktop
desk.cpl: Cài đặt màn hình hiển thị
control folders: Cài đặt thuộc tính Folders
control fonts: Quản lý Fonts
fonts: Quản lý Fonts
freecell: Chơi game “Free Cell Card”
joy.cpl: Quản lý Game Controllers
gpedit.msc: Cửa sổ thiết lập “Group Policy Editor”
mshearts: Chơi game “Hearts Card”
inetcpl.cpl: Cài đặt và cấu hình các thuộc tính Internet
Iexplore: Kích hoạt trình duyệt Internet Explorer
control keyboard: Thiết lập thuộc tính của bàn phím
secpol.msc: Cửa sổ quản lý Local Security Policy
lusrmgr.msc: Cửa sổ quản lý Local Users and Groups
control mouse: Thiết lập thuộc tính của chuột
ncpa.cpl: Cấu hình kết nối mạng
perfmon.msc: Thực thi màn hình “Performance Monitor”
telephon.cpl: Cửa sổ thiết lập “Phone and Modem Options”
powercfg.cpl: Quản lý nguồn
control printers: Cửa sổ quản lý “Printers and Faxes”
eudcedit: Trình biên tập ký tự riêng “Private Character Editor”
intl.cpl: Xác lập miền “Regional Settings”
regedit: Trình chỉnh sửa hệ thống Registry Editor
mstsc: Điều khiển máy tính từ xa “Remote Desktop”
wscui.cpl: Trung tâm bảo mật hệ thống “Sicurity Center”
services.msc: Các dịch vụ của hệ điều hành
fsmgmt.ms: Quản lý các thư mục chia sẻ “Shared Folders”
shutdown: Tắt máy tính
mmsys.cpl: Trình quản lý âm thanh “Sound and audio”
cliconfg: Cấu hình SQL Client
msconfig: Tiện ích cấu hình hệ thống “System Configuration Utility”
sfc/scannow: Scan các file hệ thống
sysdm.cpl: Thuộc tính hệ thống
Taskmgr: Trình quản lý “Task Manager”
nusrmgr.cpl: Trình quản lý các tài khoản người dùng“User Account Management”
firewall.cpl: Tường lửa
syskey: Công cụ bảo mật hệ thống
wupdmgr: Kích hoạt “Windows Update”
winver: Xem phiên bản của hệ điều hành
Write: Mở trình soạn thảo văn bản Wordpad
Đăng ký:
Bài đăng (Atom)