هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

تحليل الـ scheduled tasks في نظام Windows

في هذه التدوينة سوف نقوم بتحليل معلومات المهام المجدولة في انظمه وندوز ومعرفة ماهي قيمة هذه البيانات في التحقيق الجنائي الرقمي. مايكروسوفت اضافت ميزه جدولة المهام في انظمة وندوز والتي تسهل على مدراء الانظمه تشغيل الاوامر والسكربتات بوقت معين او بشكل دوري, مثلا كل يوم اربعاء الساعه العاشرة يقوم الجهاز بتحديث نفسه او اخذ Backup او ارسال تقرير معين… الخ. جدولة المهام يتم استغلالها من قبل الهاكرز في تشغيل الملفات الخبيثة والحصول على ميزات اضافية.

قبل ان نشرع في التحليل, دعونا نفهم كيف تعمل جدولة المهام. يمكنك انشاء مهمة في عن طريق سطر الاوامر باستخدام امر at او schtasks او عن طريق الوجهة الرسومية لاداة Taskschd.msc. عملية انشاء المهام المجدولة سهل جدا من خلال الواجهة الرسومية وذلك عن طريق بعض النقرات وتم الامر,  بالنسبة لانشاء مهام مجدولة من خلال سطر الاوامر ارجع الى موقع مايكروسوفت.

دليل استخدام امر at

https://support.microsoft.com/en-us/help/313565/how-to-use-the-at-command-to-schedule-tasks

دليل استخدام امر Schtasks

https://technet.microsoft.com/en-us/library/bb490996.aspx

في الاغلب يتم استخدام امر at من قبل المهاجمين. امر schtasks اكثر تعقيدا وتقدما من امر at حيث انه يملك ميزات اكثر. يمكنك الاطلاع عليها في موقع مايكروسوفت. اذا قمت بتشغيل الامر schtasks في سطر الاوامر سوف يتم عرض كل المهام المجدولة سواء تم انشائها باستخدام at او schtasks ولكن اذا قمت باستخدام امر at في سطر الاوامر سوف يتم عرض فقط المهام التي تم انشائها باستخدام امر at .

ماهي قيمة معلومات المهام المجدولة في التحقيق الجنائي الرقمي

بشكل عام التحقيق الجنائي الرقمي يبحث عن كل معلومه مفيده في التحليل والمهام المجدولة تدخل ضمن هذه المعلومات حيث ان لها القدرة على تشغيل الملفات التنفيذه او الامر الخاصة بنظام التشغيل لذلك قد يستخدمها الهاكرز في تشغيل برمجياتهم الخبيثه في اوقات معينة ايضا باستخدام جدولة المهام.

جدولة المهام توفر لك بعض المرونة مثل انه من الممكن  ان يتم تشغيل الملف من جهاز اخر على الشبكة ايضا عندما يتم تشغيل الملفات عن طريق جدولة المهام يتم تشغيلها بصلاحيات SYSTEM وليس صلاحيات local administrator  وهذه ميزه اضافية للمهاجم انه يحصل على صلاحيات اضافية تفيدها في privilege escalation وتشغيل سكربتات تقوم بمهام متعددة  مثل password dumpers.جانب اخر ومهم جدا وهو عند القيام بجدولة مهمه معينة تقوم بتشغيل cmd ثم تقوم الـ cmd بتشغيل ملف اخر خبيث سوف يتم تسجيل الـ logs بانه تم تشغيل cmd ولن يتم تسجيل اي log للملف الخبيث .

التحليل:

معلومات المهام المجدولة يتم تخزينها في ملفات تحمل الامتدام .job هذه المعلومات لا تخزن الى الابد في نظام التشغيل وانما بشكل مؤقت حسب نوع النظام مثلا في اصدارات وندوز قبل فيستا يتم حذفهم فورا عند تشغيل المهمه المجدولة بنجاح اما في الاصدارات بعد فيستا يتم تخزينهم اطول حتى يتم اغلاق او اعادة تشغيل Task Scheduler service. معلومات المهام يتم تخزينها في الرجستري في المسار التالي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Treea

ملف الـ log للخدمة نفسها Task Scheduler service متى تم تشغيل او اطفاء الخدمه متواجد في الملف C:\Windows\System32\Tasks\SchedLgU.txt

للمهام التي تم انشائها باستخدام at يتم تخزينها معلوماتها في ملفات .job  في المسار C:\Windows\System32\Tasks يمكن تحليل هذه الملفات باستخدام اداة Job File Parser .

للمهام التي تم انشائها باستخدام امر Schtasks او اداة الوجهة الرسومية Taskschd.msc يتم تخزين المعلومات في ملفات xml في المسار التالي C:\Windows\System32\Tasks

هذه المعلومات يتم تحليلها ومعرفة كل المهام المجدولة وماتم تشغيله في النظام مسبقا او مجدولة ليتم تشغيله لاحقا. ايضا يمكن استخراج معلومات مفيده عن المهام المجدولة من خلال Event log لنظام وندوز .

ماهي ملفات الـ prefetch والفائده منها في Windows Forensics

مايكروسوفت قامت بعمل آلية تستطيع من خلالها تسجيل بعض المعلومات التي تخص الملفات التنفيذيه في النظام بحيث اذا تم طلبها (تشغيلها) مره اخرى سوف يتم معالجه الطلب بشكل اسرع . يتم تخزين المعلومات في ملفات تدعى  prefetch .

اقرأ المزيد