#رمضانيات_DFIR 28 رمضان - BITS 🤏 في ال Windows فيه خدمة أسمها BITS (Background Intelligent Transfer... - AbdulRhman Alfaifi 🇸🇦 | رتبها

التكنولوجيا أمن المعلومات

AbdulRhman Alfaifi 🇸🇦

5 تغريدة 8 قراءة Apr 20, 2023

Twitter

#رمضانيات_DFIR
28 رمضان - BITS 🤏
في ال Windows فيه خدمة أسمها BITS (Background Intelligent Transfer Service). هذي الخدمة تستخدم في تحميل ملفات في الخلفية وتستخدم من قبل خدمات و برامج كثيرة في ال Windows مثل تحديثات النظام
#DFIR #BlueTeam #الامن_السيبراني

المخترق يستخدم هذي الخدمة لتنفيذ و/أو تحميل برنامج خبيث من الأنترنت. تقدر تستخدم الأمر bitsadmin أو Start-BitsTransfer في ال PowerShell عشان تسوي أمر جديد للتحميل بستخدام خدمة BITS

المخترق يستخدم هذي الخدمة لتنفيذ و/أو تحميل برنامج خبيث من الأنترنت. تقدر تستخدم الأمر bitsadmin أو...

المخترق يستخدم هذي الخدمة لتنفيذ و/أو تحميل برنامج خبيث من الأنترنت. تقدر تستخدم الأمر bitsadmin أو...

المخترق يستخدم هذي الخدمة لتنفيذ و/أو تحميل برنامج خبيث من الأنترنت. تقدر تستخدم الأمر bitsadmin أو...

المخترق يستخدم هذي الخدمة لتنفيذ و/أو تحميل برنامج خبيث من الأنترنت. تقدر تستخدم الأمر bitsadmin أو...

ال BITS عنده artifacts موجودة في هذا المجلد C:\ProgramData\Microsoft\Network\Downloader, يهمنا الملف qmgr.db

$ال BITS عنده artifacts موجودة في هذا المجلد C:\ProgramData\Microsoft\Network\Downloader, يهمنا الملف...$

$ال BITS عنده artifacts موجودة في هذا المجلد C:\ProgramData\Microsoft\Network\Downloader, يهمنا الملف...$

بالأضافة تقدر تستخدم ال PowerShell عشان تشوف الأوامر الخاصة بال BITS بستخدام هذا الأمر على النظام المخترق (Live Analysis)
Get-BitsTransfer

بالأضافة تقدر تستخدم ال PowerShell عشان تشوف الأوامر الخاصة بال BITS بستخدام هذا الأمر على النظام ال...

هذي بعض ال parsers للتحليل ال artifacts الخاصة بال BITS
- BitsParser (مستخدم في هذي الثريد) - github.com
- bits_parser - github.com

جاري تحميل الاقتراحات...

فك الثريد

الإعدادات

المظهر

حجم الخط