Sunday, July 22nd, 2018

Набор средств PsTools (Часть 2)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В первой части этой статьи мы остановились на том, что рассказали лишь о небольшой части инструментов, которые входят в состав комплекта PsTools suite. В этой статье мы рассмотрим другие инструменты, входящие в состав этого замечательного комплекта. В этой статье я не буду использовать Metasploit, а буду запускать инструменты на компьютере с помощью командной строки cmd.exe. На этом давайте приступим к работе. Дальше нам необходимо думать, как злоумышленник или хакер. Что хочет знать злоумышленник о вашей сети или конкретном компьютере? Первое, что приходит в голову – это системная информация (system information). Перед тем, как злоумышленник найдет способ взломать ваш компьютер в сети, он должен собрать некоторую предварительную информацию. Наибольший интерес в этом случае представляет информация о системе. Один из способов быстро собрать информацию о системе – это использовать инструмент под названием psinfo.

psinfo

Одним из лучших инструментов из комплекта PsTools является psinfo. Эта небольшая программа позволяет вам получить список основной информации, которая вам когда-либо может понадобиться. Особым примером может служить продолжительность работы компьютера без перезагрузки (uptime). Продолжительность работы компьютера без перезагрузки – это достаточно важный показатель, т.к. с помощью него можно определить, был ли установлен на данном компьютере определенное обновление (patch) или нет. Если обновление не было установлено, то можно использовать уязвимости на компьютере для его взлома. Например, новое обновление, касающееся удаленного исполнения кода (remote code execution), было выпущено компанией Microsoft для операционной системы Windows два дня назад. Время работы компьютер без перезагрузки составляет при этом четыре дня. Эта информация позволит вам определить, что данный компьютер уязвим для выполнения определенной атаки. Посмотрите на рисунок, представленный ниже.

Pstools gjlj yfz ghjuhfvvf

Рисунок 1

Другая важная информация, которую вы можете получить с помощью этого инструмента – это информация о самой операционной системе (operating system), номера сборки (build number), информация об установленных пакетах обновления (service pack). Как вы можете увидеть из рисунка, этот инструмент позволяет получить много очень важной информации. Хотя эту информацию можно получить множеством других способов, но с помощью этого инструмента вы сделаете это быстро и удобно.

Pslist

Другой достаточно удобный инструмент из этого комплекта называется pslist. Эта программа позволяет вам получить четкий список того, что запущено на компьютере, для которого вы его запускаете. Можете ли вы себе представить, как может использовать такую информацию злоумышленник? Ну, например, он может узнать, какая антивирусная программа запущена на этом компьютере. Именно такие и подобные ей программы могут представлять для него интерес. Посмотрите на рисунок ниже. Здесь представлены результаты работы этого инструмента.

Ghbvths hf jns pstools

Рисунок 2

Другими словами, информация, полученная с помощью этого инструмента, является настоящим кладом для хакера. Но эта информация может быть также очень важна и для системного администратора (system administrator). Простым примером может служить этому может служить пользователь, который жалуется на то, что какое-то приложение не запускается на его компьютере. Быстрая проверка результатов работы этого инструмента для компьютера пользователя поможет администратору выяснить причину неисправности гораздо быстрее.

pskill

Назначение этого инструмента легко угадать по его названию. Этот инструмент позволяет вам легко убивать процессы, как на локальном, так и на удаленном компьютере. Именно из-за возможности удаленного использования этот инструмент очень любят использовать хакеры. Как мы уже видели выше, с помощью инструмента pslist мы можем получить список запущенных процессов. Из этого списка злоумышленник может выбрать любой процесс, а затем убить его для осуществления своих коварных планов.

Как пользоваться pstools?

Рисунок 3

Как я уже упоминал ранее в этой статье, многие из инструментов в этом комплекте являются взаимодополняющими. Наглядным тому подтверждением может служить работа инструментов pslist и pskill. Они могут использоваться, как для добрых целей, так и для злых. Некоторые продвинутые троянские кони (trojans) имеют в своем составе подобную встроенную функциональность. Эти троянские кони (trojans) проверяют процессы, запущенные на компьютере жертвы и автоматически убивают все процессы антивирусных программ и брандмауэров, которые на нем запущены. Но ко всему прочему, они постоянно проверяют, не запустились ли эти процессы заново, и если это случилось, то снова убивают их. Достаточно мощно, не так ли! Если вы хотите увидеть примеры таких троянских коней, то можете прочитать эту серию статей.

psloggedon

Еще один небольшой инструмент из этого набора называется psloggedon. Может кто-нибудь из вас представить, что может сделать с помощью этого инструмента злоумышленник? Давайте посмотрим на рисунок, который представлен ниже, и подумаем, может какая-нибудь умная идея придет в голову.

Набор инструментов pstools

Рисунок 4

Если бы я был человеком, который только что удаленно или локально проник на чужой компьютера, то мне бы захотелось сразу же узнать, кто кроме меня еще заходил на этот компьютер. Если вы запустили этот инструмент на удаленном компьютере, на который вы только что передали эту программу по TFTP, то вы, вероятно, удивитесь, когда на него зайдет администратор! Администратор попросит вас отключиться от компьютера и вернуться на него позже. Взлом компьютера, на котором находится системный администратор, это все равно, что нарушать закон на глазах у полицейского. Не самая лучшая идея, если вы не хотите, чтобы вас поймали. Наконец, время входа пользователя в систему также может быть очень полезным, т.к. с его помощью вы сможете узнать, входил ли кто-нибудь на этот компьютер после вас.

Резюме

Итак, мы наглядно увидели, что некоторые инструменты из комплекта PsTools suite являются по своей природе взаимодополняющими. Их функциональностью в одинаковой степени могут воспользоваться, как системный администратор, так и злоумышленник. Именно по этой причине научиться использовать эти инструменты, а также предугадывать их возможное использование, является очень важным, если вы работаете системным администратором и пытаетесь обезопасить вашу сеть, как от внешних, так и от внутренних угроз. Если вас беспокоит внутренняя безопасность, на что я искренне надеюсь, то вы должны ограничить пользователям доступ к командной строке (cmd.exe) на их рабочих станциях (workstation). Хотя это и не целиком защитит вашу сеть, это значительно повысит ее безопасность от недобросовестных сотрудников. Вы можете ограничить доступ к командной строке с помощью объектов политики групп (group policy objects) или GPO. Если вы хотите по-больше узнать о GPO и настройках безопасности, которые они предоставляют, то я рекомендую вам прочитать следующую статью Дерека Мелбера (Derek Melber). На этой ноте, я заканчиваю эту статью. В третьей ее части я расскажу об оставшихся инструментах из комплекта PsTools suite.

В первой части этой статьи мы остановились на том, что рассказали лишь о небольшой части инструментов, которые входят в состав комплекта PsTools suite. В этой статье мы рассмотрим другие инструменты, входящие в состав этого замечательного комплекта. В этой статье я не буду использовать Metasploit, а буду запускать инструменты на компьютере с помощью командной строки cmd.exe. На этом давайте приступим к работе. Дальше нам необходимо думать, как злоумышленник или хакер. Что хочет знать злоумышленник о вашей сети или конкретном компьютере? Первое, что приходит в голову – это системная информация (system information). Перед тем, как злоумышленник найдет способ взломать ваш компьютер в сети, он должен собрать некоторую предварительную информацию. Наибольший интерес в этом случае представляет информация о системе. Один из способов быстро собрать информацию о системе – это использовать инструмент под названием psinfo.

psinfo

Одним из лучших инструментов из комплекта PsTools является psinfo. Эта небольшая программа позволяет вам получить список основной информации, которая вам когда-либо может понадобиться. Особым примером может служить продолжительность работы компьютера без перезагрузки (uptime). Продолжительность работы компьютера без перезагрузки – это достаточно важный показатель, т.к. с помощью него можно определить, был ли установлен на данном компьютере определенное обновление (patch) или нет. Если обновление не было установлено, то можно использовать уязвимости на компьютере для его взлома. Например, новое обновление, касающееся удаленного исполнения кода (remote code execution), было выпущено компанией Microsoft для операционной системы Windows два дня назад. Время работы компьютер без перезагрузки составляет при этом четыре дня. Эта информация позволит вам определить, что данный компьютер уязвим для выполнения определенной атаки. Посмотрите на рисунок, представленный ниже.

Использование psinfo

Рисунок 1

Другая важная информация, которую вы можете получить с помощью этого инструмента – это информация о самой операционной системе (operating system), номера сборки (build number), информация об установленных пакетах обновления (service pack). Как вы можете увидеть из рисунка, этот инструмент позволяет получить много очень важной информации. Хотя эту информацию можно получить множеством других способов, но с помощью этого инструмента вы сделаете это быстро и удобно.

Pslist

Другой достаточно удобный инструмент из этого комплекта называется pslist. Эта программа позволяет вам получить четкий список того, что запущено на компьютере, для которого вы его запускаете. Можете ли вы себе представить, как может использовать такую информацию злоумышленник? Ну, например, он может узнать, какая антивирусная программа запущена на этом компьютере. Именно такие и подобные ей программы могут представлять для него интерес. Посмотрите на рисунок ниже. Здесь представлены результаты работы этого инструмента.

Pstools команды на отключение программы

Рисунок 2

Другими словами, информация, полученная с помощью этого инструмента, является настоящим кладом для хакера. Но эта информация может быть также очень важна и для системного администратора (system administrator). Простым примером может служить этому может служить пользователь, который жалуется на то, что какое-то приложение не запускается на его компьютере. Быстрая проверка результатов работы этого инструмента для компьютера пользователя поможет администратору выяснить причину неисправности гораздо быстрее.

pskill

Назначение этого инструмента легко угадать по его названию. Этот инструмент позволяет вам легко убивать процессы, как на локальном, так и на удаленном компьютере. Именно из-за возможности удаленного использования этот инструмент очень любят использовать хакеры. Как мы уже видели выше, с помощью инструмента pslist мы можем получить список запущенных процессов. Из этого списка злоумышленник может выбрать любой процесс, а затем убить его для осуществления своих коварных планов.

Pslist пример

Рисунок 3

Как я уже упоминал ранее в этой статье, многие из инструментов в этом комплекте являются взаимодополняющими. Наглядным тому подтверждением может служить работа инструментов pslist и pskill. Они могут использоваться, как для добрых целей, так и для злых. Некоторые продвинутые троянские кони (trojans) имеют в своем составе подобную встроенную функциональность. Эти троянские кони (trojans) проверяют процессы, запущенные на компьютере жертвы и автоматически убивают все процессы антивирусных программ и брандмауэров, которые на нем запущены. Но ко всему прочему, они постоянно проверяют, не запустились ли эти процессы заново, и если это случилось, то снова убивают их. Достаточно мощно, не так ли! Если вы хотите увидеть примеры таких троянских коней, то можете прочитать эту серию статей.

psloggedon

Еще один небольшой инструмент из этого набора называется psloggedon. Может кто-нибудь из вас представить, что может сделать с помощью этого инструмента злоумышленник? Давайте посмотрим на рисунок, который представлен ниже, и подумаем, может какая-нибудь умная идея придет в голову.

Как пользоваться pstools?

Рисунок 4

Если бы я был человеком, который только что удаленно или локально проник на чужой компьютера, то мне бы захотелось сразу же узнать, кто кроме меня еще заходил на этот компьютер. Если вы запустили этот инструмент на удаленном компьютере, на который вы только что передали эту программу по TFTP, то вы, вероятно, удивитесь, когда на него зайдет администратор! Администратор попросит вас отключиться от компьютера и вернуться на него позже. Взлом компьютера, на котором находится системный администратор, это все равно, что нарушать закон на глазах у полицейского. Не самая лучшая идея, если вы не хотите, чтобы вас поймали. Наконец, время входа пользователя в систему также может быть очень полезным, т.к. с его помощью вы сможете узнать, входил ли кто-нибудь на этот компьютер после вас.

Резюме

Итак, мы наглядно увидели, что некоторые инструменты из комплекта PsTools suite являются по своей природе взаимодополняющими. Их функциональностью в одинаковой степени могут воспользоваться, как системный администратор, так и злоумышленник. Именно по этой причине научиться использовать эти инструменты, а также предугадывать их возможное использование, является очень важным, если вы работаете системным администратором и пытаетесь обезопасить вашу сеть, как от внешних, так и от внутренних угроз. Если вас беспокоит внутренняя безопасность, на что я искренне надеюсь, то вы должны ограничить пользователям доступ к командной строке (cmd.exe) на их рабочих станциях (workstation). Хотя это и не целиком защитит вашу сеть, это значительно повысит ее безопасность от недобросовестных сотрудников. Вы можете ограничить доступ к командной строке с помощью объектов политики групп (group policy objects) или GPO. Если вы хотите по-больше узнать о GPO и настройках безопасности, которые они предоставляют, то я рекомендую вам прочитать следующую статью Дерека Мелбера (Derek Melber). На этой ноте, я заканчиваю эту статью. В третьей ее части я расскажу об оставшихся инструментах из комплекта PsTools suite.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]