Windows Log Analizi —Detaylı Komut Analizi

Bu yazımızda çalıştırılabilir komutların analizini ele alacağız.

Bunun için ilk olarak Local Group Policy’i açıyoruz. Computer Management -> Administrative Templates ->System ->Audit Process Creation politikasında yer alan “Include command line in process creation events” politikasını aşağıdaki şekilde “Enable” olarak güncelliyoruz.

Daha sonra ise Local Security Policy’i açıyoruz ve Security Settings->Advanced Audit Policy Configuration -> System audit Policies-Local Group->Detailed Tracking-> Audit Process Creation politikasını aşağıdaki şekilde güncelliyoruz.

Şimdi ise cmd.exe üzerinden sisteme bir kullanıcı ekleyelim.

Event Viewer’ı açarak 4688 Event ID’yi filtreleyelim.

Logları incelediğimizde çalıştırılan komutu aşağıdaki şekilde tespit edebiliriz.

Not: İşlem Windows 10 üzerinde test edilmiştir.

Bilgi toplamak için kullanılabilecek bazı komutlar aşağıdaki şekildedir:

Bilgi toplama:

whoami -> Kullanıcı adı

hostname -> Hostname bilgisi

netstat -> Ağı dinleyen servisler

ipconfig /all -> Ağ bilgisi

net user -> Kullanıcılar

net share -> Paylaşımlar

net localgroup -> Kullanıcı Grupları

net localgroup Administrators -> Administrator Grubu Üyeleri

route print -> routing tablosu

reg query -> registry sorgulama

Servis işlemleri

sc start <servis> -> Servisi başlatma

sc stop <servis> -> Servisi durdurma

Yetki Yükseltme İşlemleri İçin

cacls -> erişim izinlerini görebilmek için

accesschk.exe -> izinleri görebilmek için

runas -> farklı bir kullanıcı yetkisi ile çalıştırmak için

sc stop <servis> -> servis yetkisi için

sc start<servis> -> servis yetkisi için

tasklist -> processlere ait bilgi toplamak için

msiexec -> komut çalıştırma