#رمضانيات_DFIR
9 رمضان - WMI Persistence ♻️
ال WMI هو نظام كبير في ال Windows يساعدك أنك تسوي أدارة للنظام بالأضافة لأسترجاع معلومات عن النظام مثل أصدار Windows, معلومات عن ال Processes, إلخ
9 رمضان - WMI Persistence ♻️
ال WMI هو نظام كبير في ال Windows يساعدك أنك تسوي أدارة للنظام بالأضافة لأسترجاع معلومات عن النظام مثل أصدار Windows, معلومات عن ال Processes, إلخ
في هذي الثريد بتكلم عن موضوع ال WMI Persistence وهي طريقة فيها ال adversaries يستخدمون ال WMI عشان يتأكدون أنه يبقى شغال ال backdoor الخاص فيهم حتى لو تم اعادة تشغيل الجهاز
عشان ال WMI Persistence تشتغل تحتاج تفهم ثلاث حاجات:
Filter: متى يشتغل؟
Consumer : لما يشتغل, أيش يسوي؟
Binding: يربط ال Filter بال Consumer
Filter: متى يشتغل؟
Consumer : لما يشتغل, أيش يسوي؟
Binding: يربط ال Filter بال Consumer
ال Filter يحدد متى يشتغل ال Consumer, زي مثلا بعد ما يشتغل النظام ب 10 دقايق أو لما يشتغل برنامج معين
ال Consumer هو أيش الي بيشتغل لما ال Filter يكون صحيح. ال Consumer له أكثر من نوع بس بأتكلم عن ال CommandLineConsumer, هذا النوع يشغل برنامج المخترق يحدده و هذا أكثر نوع مستخدم من ال adversaries
ال Binding يربط بين ال Filter و ال Consumer. بدون Binding ال persistence ما راح تشتغل
سويت مثال لل persistence, هذي النتيجة بعد ال parsing
سويت مثال لل persistence, هذي النتيجة بعد ال parsing
هذا ال parser المستخدم في هذي الثريد
github.com
وهذا PowerShell script يسوي ال WMI Persistence اذا تبغى تجرب بنفسك
github.com
github.com
وهذا PowerShell script يسوي ال WMI Persistence اذا تبغى تجرب بنفسك
github.com
جاري تحميل الاقتراحات...