بیایم از یک الگوریتم داده کاوی data mining برای کمک در شکار تهدیدات استفاده کنیم.
شناخت اوضاع غیر نرمال
https://www.huntandhackett.com/blog/kmeans-clustering-for-lateral-movement-detection
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
شناخت اوضاع غیر نرمال
https://www.huntandhackett.com/blog/kmeans-clustering-for-lateral-movement-detection
Please open Telegram to view this post
VIEW IN TELEGRAM
Huntandhackett
K-means Clustering for Lateral Movement Detection
Hunt & Hackett's cybersecurity experts explain how K-means clustering algorithms can be used to detect lateral movement in a network.
❤4👍1🔥1😱1🎉1
گزارش تحلیلی
وقتی کاربران ایرانی نمیتوانند ادوبی را به روز کنند ممکن است در این دام بیفتند
https://blogs.jpcert.or.jp/en/2024/12/watering_hole_attack_part1.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
وقتی کاربران ایرانی نمیتوانند ادوبی را به روز کنند ممکن است در این دام بیفتند
https://blogs.jpcert.or.jp/en/2024/12/watering_hole_attack_part1.html
Please open Telegram to view this post
VIEW IN TELEGRAM
JPCERT/CC Eyes
Recent Cases of Watering Hole Attacks, Part 1 - JPCERT/CC Eyes
Nowadays, many people probably recognize exploit of vulnerabilities in publicly exposed assets such as VPN and firewalls as the attack vector. In fact, many security incidents reported to JPCERT/CC also involve such devices. This is because vulnerabilities…
❤4😁2😱1🎉1🤣1
فارنزیکی متفاوت
https://www.mailxaminer.com/blog/gmail-email-forensics
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.mailxaminer.com/blog/gmail-email-forensics
Please open Telegram to view this post
VIEW IN TELEGRAM
MailXaminer Official Blog
Gmail Email Forensics Analysis to Find Relevant Information
Gmail Email Forensics analysis helps to examine Gmail email information. Forensics detection of the detailed analysis of the Gmail mailbox.
❤3👍2🗿2🎉1👨💻1
CleanCode_v2.pdf
30.3 MB
DevOps
Techbook
Seccode review
Clean Code Principles and Patterns: A Software Practitioner’s Handbook",
2nd Edition, 2024.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Techbook
Seccode review
Clean Code Principles and Patterns: A Software Practitioner’s Handbook",
2nd Edition, 2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍1🔥1🕊1
Pract_Forensic_IOS_Android.pdf
20.4 MB
DFIR
Tech book
Mobile Security
Practical Forensic Analysis of Artifacts on iOS and Android Devices: Investigating Complex Mobile Devices.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Tech book
Mobile Security
Practical Forensic Analysis of Artifacts on iOS and Android Devices: Investigating Complex Mobile Devices.
Please open Telegram to view this post
VIEW IN TELEGRAM
🕊3🔥2❤1🤯1🤩1
LLM_Cybersecurity.pdf
11.8 MB
MLSecOps
Tech book
Large Language Models in Cybersecurity: Threats, Exposure and Mitigation", 2024.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Tech book
Large Language Models in Cybersecurity: Threats, Exposure and Mitigation", 2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2🎉1🤩1
IDS_IPS_Snort3.pdf
12.3 MB
Tech book
IDS and IPS with Snort 3:
Get up and running with Snort 3 and discover effective solutions to your security issues", 2024.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
IDS and IPS with Snort 3:
Get up and running with Snort 3 and discover effective solutions to your security issues", 2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1😢1🤩1🕊1
FDIA.pdf
1.9 MB
SCADA Security
False Data Injection Attacks Against Distribution Automation Systems", 2024.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
False Data Injection Attacks Against Distribution Automation Systems", 2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
👏4🤩2👍1🕊1🤣1
ED_and_RT.pdf
4.5 MB
Whitepaper
Blue Team Techniques
Never Trust, Always Verify: Effectiveness of Endpoint Detection and Response Tools Versus Zero Trust Endpoint Controls in Enterprise Environments", 2024.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Blue Team Techniques
Never Trust, Always Verify: Effectiveness of Endpoint Detection and Response Tools Versus Zero Trust Endpoint Controls in Enterprise Environments", 2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉4❤2👍1🤩1🕊1
LLM_Sec_Playbook.pdf
2.4 MB
MLSecOps
Tech book
"The Developer’s Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Tech book
"The Developer’s Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2😢1🤩1🕊1
ML_Security.pdf
10.1 MB
Tech book
"Machine Learning Security Principles:
Keep data, networks, users, and applications safe from prying eyes", 2022.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
"Machine Learning Security Principles:
Keep data, networks, users, and applications safe from prying eyes", 2022.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1🔥1👏1😱1🕊1
سفارت استرالیا تو ایران راننده استخدام میکنه.
تقریبا پیش نیازی نداره به جز زبان.
حقوقش از حدود ۱۱۰ میلیون تومان ماهانه شروع میشه.😑
لینک
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تقریبا پیش نیازی نداره به جز زبان.
حقوقش از حدود ۱۱۰ میلیون تومان ماهانه شروع میشه.😑
لینک
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿8🤯3😱3👍1😢1🕊1
♨️ AttackRuleMap
🔺 پروژه مپ Atomic Red Team بر روی
🔘 Splunk ESCU ( در حال تکمیل/فعلا ویندوز )
🔘 Sigma Rules
🔗 https://attackrulemap.netlify.app/
#sigma #Splunk #ESCU #BlueTeam #SOC
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🔺 پروژه مپ Atomic Red Team بر روی
🔘 Splunk ESCU ( در حال تکمیل/فعلا ویندوز )
🔘 Sigma Rules
🔗 https://attackrulemap.netlify.app/
#sigma #Splunk #ESCU #BlueTeam #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
❤4🤯1😱1🎉1🤩1
🔖Bug Bounty CheatSheet
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔘 Github: 🔗Link
#pentestin #bugbounty #Tools
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🔴XSS
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔴SQLi
🔘 Github: 🔗Link
🔴SSRF
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔴CRLF
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔴CSV-Injection
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔴Command Injection
🔘 Github: 🔗Link
🔴Directory Traversal
🔘 Github: 🔗Link
🔴LFI
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔴XXE
🔘 Github: 🔗Link
🔴Open-Redirect
🔘 Github: 🔗Link
🔴RCE
🔘 Github: 🔗Link
🔴Crypto
🔘 Github: 🔗Link
🔴Template Injection
🔘 Github: 🔗Link
🔘 Github: 🔗Link
🔴XSLT
🔘 Github: 🔗Link
🔴Content Injection
🔘 Github: 🔗Link
🔴LDAP Injection
🔘 Github: 🔗Link
🔴NoSQL Injection
🔘 Github: 🔗Link
🔴CSRF Injection
🔘 Github: 🔗Link
🔴GraphQL Injection
🔘 Github: 🔗Link
🔴IDOR
🔘 Github: 🔗Link
🔴ISCM
🔘 Github: 🔗Link
🔴LaTex Injection
🔘 Github: 🔗Link
🔴OAuth
🔘 Github: 🔗Link
🔴XPATH Injection
🔘 Github: 🔗Link
🔴Bypass Upload Tricky
🔘 Github: 🔗Link
#pentestin #bugbounty #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2👏1🤯1😱1
هر وقت سازمانی رفت سراغ cobit و SABSA و C2M2 و امثالهم ؛ میشه انتظار داشت اون سازمان از خیلی جنبه ها بالغ شده وگرنه دراکثر سازمانها فعلا تجارت ابزار و نرم افزار داریم تا استفاده از اونها.
اونوقت حتی میشه در مورد کیفیت پذیرایی از پرسنل اون سازمان تا کیفیت رول نویسی روی فایروال نظر داد
سراغ اینها رفتن شاید یه همت ملی میخواد .
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اونوقت حتی میشه در مورد کیفیت پذیرایی از پرسنل اون سازمان تا کیفیت رول نویسی روی فایروال نظر داد
سراغ اینها رفتن شاید یه همت ملی میخواد .
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯3❤1👎1🔥1👏1🤩1
⚠️شما شماره ملی یکی رو داشته باش
و
موبایلش
نتیجه آزمایشپزشکی اونو در بسیاری از آزمایشگاههای تهران ببین.
همین قدر زیبا
همین قدر بی امنیت و بی اهمیت !!
حریم شخصی ما
🚫پس شماره تلفنت پسوردت شده لذا اونو هرجایی نده !!
چون مسوولین رسیدگی نمیکنن این راهکار رو گفتم .
پی نوشت : در آمریکا قانون حفاظت از اسناد پزشکی تحت نام HIPAA وجود دارد .
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
و
موبایلش
نتیجه آزمایشپزشکی اونو در بسیاری از آزمایشگاههای تهران ببین.
همین قدر زیبا
همین قدر بی امنیت و بی اهمیت !!
حریم شخصی ما
🚫پس شماره تلفنت پسوردت شده لذا اونو هرجایی نده !!
چون مسوولین رسیدگی نمیکنن این راهکار رو گفتم .
پی نوشت : در آمریکا قانون حفاظت از اسناد پزشکی تحت نام HIPAA وجود دارد .
Please open Telegram to view this post
VIEW IN TELEGRAM
😢4🔥2🤯1🎉1🕊1
آشنایی و کار با ابزار YAF
https://tools.netsa.cert.org/yaf/usecases.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://tools.netsa.cert.org/yaf/usecases.html
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2🤯1😱1🗿1
ابزار اوسینت امروز
https://github.com/ibnaleem/gosearch
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/ibnaleem/gosearch
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ibnaleem/gosearch: 🔍 Search anyone's digital footprint across 300+ websites
🔍 Search anyone's digital footprint across 300+ websites - ibnaleem/gosearch
❤3👏2👍1🤯1😱1
اولین PoC سال جدید میلادی برای ویندوز
https://github.com/SafeBreach-Labs/CVE-2024-49112
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/SafeBreach-Labs/CVE-2024-49112
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - SafeBreach-Labs/CVE-2024-49113: LdapNightmare is a PoC tool that tests a vulnerable Windows Server against CVE-2024-49113
LdapNightmare is a PoC tool that tests a vulnerable Windows Server against CVE-2024-49113 - SafeBreach-Labs/CVE-2024-49113
❤3👏1🤯1😱1😢1🎉1
⚠️وقتی ویندوز علیه شما دستکاری میشود: تعییر پروفایل پاورشل
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp
برای مثال، در یک سناریوی واقعی، هکر میتواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیتهای مخرب خود جلوگیری کند. این پروفایلها فایلهای اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری میشوند و میتوانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.
❇️مثال سناریوی مخرب:
هکر میتواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگبرداری یا فرمانهای قبلی را حذف کند.
فایلهای پروفایل پاورشِل:
پروفایلها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1
👈تغییر مخرب:
هکر میتواند کدی مانند زیر به پروفایل اضافه کند:
powershell
پاک کردن تاریخچه فرمانها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفادههای بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing
پنهان کردن فرمانها در لاگهای Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue
☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف میشوند.
2. غیرفعال کردن ثبت دستورات: تضمین میکند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایلهای لاگ: فایلهای لاگ مرتبط با پاورشِل از سیستم حذف میشوند.
✅ نحوه تشخیص:
- بررسی تغییرات در فایلهای پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیتهای غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE
- استفاده از نرمافزارهای نظارتی برای جلوگیری از تغییر در فایلهای پروفایل حساس.
🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایلهای غیرمجاز.
2. محدود کردن دسترسی به فایلهای پروفایل: فقط کاربران مجاز بتوانند این فایلها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایلهای پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp
برای مثال، در یک سناریوی واقعی، هکر میتواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیتهای مخرب خود جلوگیری کند. این پروفایلها فایلهای اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری میشوند و میتوانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.
❇️مثال سناریوی مخرب:
هکر میتواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگبرداری یا فرمانهای قبلی را حذف کند.
فایلهای پروفایل پاورشِل:
پروفایلها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1
👈تغییر مخرب:
هکر میتواند کدی مانند زیر به پروفایل اضافه کند:
powershell
پاک کردن تاریخچه فرمانها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفادههای بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing
پنهان کردن فرمانها در لاگهای Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue
☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف میشوند.
2. غیرفعال کردن ثبت دستورات: تضمین میکند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایلهای لاگ: فایلهای لاگ مرتبط با پاورشِل از سیستم حذف میشوند.
✅ نحوه تشخیص:
- بررسی تغییرات در فایلهای پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیتهای غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE
- استفاده از نرمافزارهای نظارتی برای جلوگیری از تغییر در فایلهای پروفایل حساس.
🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایلهای غیرمجاز.
2. محدود کردن دسترسی به فایلهای پروفایل: فقط کاربران مجاز بتوانند این فایلها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایلهای پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2👏1🤯1😱1
🏮 فهم دستورات فارنزیک
در مواقعی لازم هست دستورات پاورشلی را برای اخذ اطلاعات از سیستم بزنیم. اما حتما شنیده اید که برخی برپایه CIM هستند و برخی WMI . حالا ببینیم تفاوت چیست و خودتان تمرین عملی داشته باشید :
تمرین فارنزیک برای مقایسه CIM و WMI
هدف: با استفاده از دستورات مشابه CIM و WMI اطلاعات سیستم را استخراج کنید و تفاوت در روش اجرا و خروجی را مشاهده کنید
1. دریافت اطلاعات سیستم:
- CIM:
Get-CimInstance -ClassName Win32_ComputerSystem
- WMI:
Get-WmiObject -Class Win32_ComputerSystem
2. دریافت اطلاعات سختافزار (CPU):
- CIM:
Get-CimInstance -ClassName Win32_Processor
- WMI:
Get-WmiObject -Class Win32_Processor
3. دریافت فرآیندهای در حال اجرا:
- CIM:
Get-CimInstance -ClassName Win32_Process | Select-Object Name, ProcessId
- WMI:
Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId
4. بررسی وضعیت سرویسها:
- CIM:
Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" }
- WMI:
Get-WmiObject -Class Win32_Service | Where-Object { $_.State -eq "Running" }
تحلیل خروجیها
به نکات زیر توجه کنید
1. سرعت اجرا:
آیا یکی از دستورات سریعتر اجرا میشود؟
2. فرمت خروجی:
آیا خروجی CIM خواناتر و مدرنتر به نظر میرسد؟
3. تفاوت ساختاری:
آیا تفاوتی در عمق اطلاعات یا ساختار دادهها وجود دارد؟
کدام دستور برای شما راحتتر و سریعتر بود؟ چرا؟
آیا امنیت بیشتر CIM در مقایسه با WMI برای شما محسوس بود؟
فکر میکنید چرا مایکروسافت از CIM به جای WMI حمایت میکند؟
تمرین های بیشتر
1. اطلاعات کاربران سیستم
- CIM:
Get-CimInstance -ClassName Win32_UserAccount
- WMI:
Get-WmiObject -Class Win32_UserAccount
2. اطلاعات شبکه
- CIM:
Get-CimInstance -ClassName Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
- WMI:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
3. اطلاعات مربوط به درایورها
- CIM:
Get-CimInstance -ClassName Win32_PnPSignedDriver
- WMI:
Get-WmiObject -Class Win32_PnPSignedDriver
4. بررسی نرمافزارهای نصبشده
- CIM:
Get-CimInstance -ClassName Win32_Product
- WMI:
Get-WmiObject -Class Win32_Product
5. بررسی Event Logs
- CIM:
Get-CimInstance -ClassName Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
- WMI:
Get-WmiObject -Class Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
6. بررسی وضعیت سیستم عامل
- CIM:
Get-CimInstance -ClassName Win32_OperatingSystem
`
- WMI:
Get-WmiObject -Class Win32_OperatingSystem
مثال برای مقایسه امنیت بین CIM و WMI
یکی از تفاوتهای اصلی CIM و WMI در نحوه ارتباط آنها با سیستم است. برای نشان دادن این موضوع، میتوانید از تست ارتباط امن با سرور ریموت استفاده کنید.
ارتباط با سیستم ریموت
- CIM با WSMan (پروتکل امن):
$Session = New-CimSession -ComputerName "RemoteServer" -Credential (Get-Credential)
Get-CimInstance -ClassName Win32_ComputerSystem -CimSession $Session
- WMI با DCOM (کمتر امن):
Get-WmiObject -Class Win32_ComputerSystem -ComputerName "RemoteServer" -Credential (Get-Credential)
**همیشه دلیل کارها و دستورات را بپرسید و بخوانید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در مواقعی لازم هست دستورات پاورشلی را برای اخذ اطلاعات از سیستم بزنیم. اما حتما شنیده اید که برخی برپایه CIM هستند و برخی WMI . حالا ببینیم تفاوت چیست و خودتان تمرین عملی داشته باشید :
تمرین فارنزیک برای مقایسه CIM و WMI
هدف: با استفاده از دستورات مشابه CIM و WMI اطلاعات سیستم را استخراج کنید و تفاوت در روش اجرا و خروجی را مشاهده کنید
1. دریافت اطلاعات سیستم:
- CIM:
Get-CimInstance -ClassName Win32_ComputerSystem
- WMI:
Get-WmiObject -Class Win32_ComputerSystem
2. دریافت اطلاعات سختافزار (CPU):
- CIM:
Get-CimInstance -ClassName Win32_Processor
- WMI:
Get-WmiObject -Class Win32_Processor
3. دریافت فرآیندهای در حال اجرا:
- CIM:
Get-CimInstance -ClassName Win32_Process | Select-Object Name, ProcessId
- WMI:
Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId
4. بررسی وضعیت سرویسها:
- CIM:
Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" }
- WMI:
Get-WmiObject -Class Win32_Service | Where-Object { $_.State -eq "Running" }
تحلیل خروجیها
به نکات زیر توجه کنید
1. سرعت اجرا:
آیا یکی از دستورات سریعتر اجرا میشود؟
2. فرمت خروجی:
آیا خروجی CIM خواناتر و مدرنتر به نظر میرسد؟
3. تفاوت ساختاری:
آیا تفاوتی در عمق اطلاعات یا ساختار دادهها وجود دارد؟
کدام دستور برای شما راحتتر و سریعتر بود؟ چرا؟
آیا امنیت بیشتر CIM در مقایسه با WMI برای شما محسوس بود؟
فکر میکنید چرا مایکروسافت از CIM به جای WMI حمایت میکند؟
تمرین های بیشتر
1. اطلاعات کاربران سیستم
- CIM:
Get-CimInstance -ClassName Win32_UserAccount
- WMI:
Get-WmiObject -Class Win32_UserAccount
2. اطلاعات شبکه
- CIM:
Get-CimInstance -ClassName Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
- WMI:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
3. اطلاعات مربوط به درایورها
- CIM:
Get-CimInstance -ClassName Win32_PnPSignedDriver
- WMI:
Get-WmiObject -Class Win32_PnPSignedDriver
4. بررسی نرمافزارهای نصبشده
- CIM:
Get-CimInstance -ClassName Win32_Product
- WMI:
Get-WmiObject -Class Win32_Product
5. بررسی Event Logs
- CIM:
Get-CimInstance -ClassName Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
- WMI:
Get-WmiObject -Class Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
6. بررسی وضعیت سیستم عامل
- CIM:
Get-CimInstance -ClassName Win32_OperatingSystem
`
- WMI:
Get-WmiObject -Class Win32_OperatingSystem
مثال برای مقایسه امنیت بین CIM و WMI
یکی از تفاوتهای اصلی CIM و WMI در نحوه ارتباط آنها با سیستم است. برای نشان دادن این موضوع، میتوانید از تست ارتباط امن با سرور ریموت استفاده کنید.
ارتباط با سیستم ریموت
- CIM با WSMan (پروتکل امن):
$Session = New-CimSession -ComputerName "RemoteServer" -Credential (Get-Credential)
Get-CimInstance -ClassName Win32_ComputerSystem -CimSession $Session
- WMI با DCOM (کمتر امن):
Get-WmiObject -Class Win32_ComputerSystem -ComputerName "RemoteServer" -Credential (Get-Credential)
**همیشه دلیل کارها و دستورات را بپرسید و بخوانید.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🔥1👏1🤯1