محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی مجموعه ابزارهای SysInternals مایکروسافت | 12 ابزار PsTools

SysInternals چیست؟ PSTools چیست؟ ابزارهای خاص مایکروسافت برای کاربردهای خاص | بسیاری از افراد در دنیا هستند که به دلایل بسیار زیادی ابزارهای بسیار کاربردی و مفید را بصورت کاملا رایگان و بدون هیچ چشم داشتی برای مصارف عام عرضه می کنند. اینکار طبیعتا کار آسانی نیست چون طبیعت ارائه یک ابزار رایگان صرف کردن زمان و انرژی در آن برنامه است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برخی از این ابزارها ساده و برخی بسیار پیچیده هستند و بعضا برخی آنقدر کاربردی و مفید هستند که در دنیا معروف می شوند. از این دسته از نرم افزارها ما می توانیم به مجموعه ای از ابزارها به نام PsTools اشاره کنیم که از بخشی از وب سایت مایکروسافت به نام Sysinternals قابل دسترس است . این مجموعه ابزارهای کاملا رایگان توسط Mark Russinovich و Dave Solomon نوشته شده اند و برای همه از لینک زیر قابل دسترس هستند.

تمامی ابزارهایی که در مجموعه Pstools قرار می گیرند ابزارهای خط فرمانی یا Command Line ای می باشند که توسط session هایی که توسط cmd.exe در ویندوز وجود دارد اجرا می شوند. اما یک چیز جالب در خصوص ابزارهایی از این دسته که توسط خط فرمان اجرا می شوند جالب است

و آن این است که این ابزارها هم توسط مدیران شبکه و هم توسط هکرها قابل استفاده است و بعضا برخی از این ابزارها بیشتر کاربرد هک پیدا می کنند تا اینکه برای مدیریت شبکه استفاه شوند. در این مجموعه از نکات آموزشی ما به بررسی و معرفی انواع ابزارهای موجود در این بسته می پردازیم

و برای هر کدام یک نمونه مثال از نحوه استفاده آنها عنوان می کنیم . این مجموعه ابزار بسیار سبک و بسیار کم حجم می باشد اما در عین حال کاربردهای بسیاری دارند ، شما می توانید با استفاده از این مجموعه ابزاری یک کامپیوتر را از راه دور reboot یا shutdown کنید ، لیستی از اطلاعات سخت افزاری و بعضا نرم افزاری از سیستم تهیه کنید و بسیاری دیگر از اطلاعات را بدست بیاورید. خوب در ادامه این مجموعه نکته به معرفی اولین ابزار از این مجموعه می رسیم که ابزار PsExec می باشد.


معرفی ابزار PsExec

ابزارهای PsTools قسمت 1 : PSExec برای اجرای Process ریموت

ما در بحث هک از ابزاری که از آن به عنوان چاقوی ارتش سوئیس نام برده می شود یعنی netcat برای اجرا دستورات از راه دور استفاده می کنیم اما از مجموعه Pstools ابزار PsExec ابزاری است که به ما این امکان را می دهد که دستورات خودمان را از راه دور بر روی سیستم مقصد اجرا کنیم.

یکی از نکات جالب در خصوص استفاده از PsExec این است که این دسته از ابزارها اصلا نیازی به نصب ندارند و کلیه آنها بصورت Live و Portable قابل اجرا هستند ، کافیست آنها را در سیستم مقصد قرار بدهیم و از طریق خط فرمان به آنها متصل شویم. شما می توانید در تصویر بالا نمونه ای از اجرا شدن این دستور را مشاهده کنید که در اصطلاح Reverse Shell برای ما بازگشت داده است .

ابزارهای PsTools قسمت 2 : PsFile برای نمایش فایل باز شده ریموت

این برنامه به شما کلیه فایل هایی که از راه دور یا بصورت remote بر روی سیستم شما ( سیستمی که در آن PsFile قرار گرفته است ) باز شده است را نمایش می دهد.در واقع اگر شما بر روی همه کامپیوترهای شبکه یا بر روی برخی از آنها این ابزار را نصب کرده باشید قادر خواهید بود فایل های باز بر روی انها را مشاهده کنید ، البته دقت کنید که این ابزار به شما آدرس IP کامپیوتری که فایل شما را باز کرده است را نمایش نمی دهد.

معرفی ابزار PsFile

اما به شما امکان بستن فایلی که باز شده است را می دهد ، همانطور که در تصویر مشاهده می کنید psfile به شما لیستی از فایل هایی که بصورت ریموت بر روی سیستم باز شده است را نمایش میدهد ، این ابزار می تواند به شما کمک کند که فایل های مشکوک و آلوده را بعضا شناسایی کنید یا اینکه تجزیه و تحلیل درستی در خصوص نحوه عملکرد و دسترسی نرم افزارها به فایل های باز بر روی سیستم های مختلف داشته باشید.

ابزارهای PsTools قسمت 3 : PsGetSid برای یافتن SID کاربر و ...

همانطور که می دانید هر کامپیوتر و هر کاربر دارای یک شناسه منحصر به فرد می باشند که به آن شناسه امنیتی یا Security Identifier گفته می شود . این ابزار به شما اجازه می دهد که براحتی SID یک کامپیوتر را مشاهده کنید. این ابزار از این نظر کاربردی است که دیگر شما نیازی به این ندارید که کلیدهای رجیستری را جستجو کنید تا SID ثبت شده را پیدا کنید و البته کاربرد آن نیز بسیار ساده است.

معرفی ابزار PsGetSID

در ضمن این ابزار به شما علاوه بر اینکه اجازه مشاهده SID کامپیوتر را می دهد با مشخص کردن نام کاربری یا Account مورد نظرمان ، SID مربوط به اکانت مورد نظر را نیز مشابه خروجی زیر به شما نشان می دهد. از این ابزار در زمانیکه احساس می کنید تداخل SID ممکن است در شبکه و سیستم شما وجود داشته باشد یا اینکه می خواهید کاربر Administrator واقعی سیستم را با عدد ابتدایی 500 تشخیص بدهید بسیار کاربردی می تواند باشد. دقت کنید که تداخل SID در شبکه می تواند باعث به وجود آمدن مشکلات احراز هویتی به ویژه در شبکه های دومین شود

ابزارهای PsTools قسمت 4 : PsInfo برای نمایش لیست اطلاعات سیستم

یکی از بهترین ابزارهایی که در PsTools پیدا می کنید قطعا PsInfo است. این ابزار به شما اطلاعات تقریبا کاملی در خصوص سیستم شما می دهد که تقریبا هر چیزی که نیاز باشد را شامل می شود. یکی از موارد جالبی که در خروجی این دستور دیده می شود uptime کامپیوتر است ، یعنی مدت زمانی که این کامپیوتر تا این لحظه روشن بوده و سرویس دهی کرده است.

یکی از مواردی که در هک قانونمند کاربرد دارد دانستن آخرین باری است که کامپیوتر Restart شده است ، زیرا Patch های امنیتی بسیاری هستند که زمان Restart شدن کامپیوتر اعمال نمی شوند و همین موضوع می تواند باعث شود که کامپیوتر آسیب پذیر باشد.

معرفی ابزار PsInfo

برای مثال مایکروسافت در سیستم عاملی که شما استفاده می کنید یک آسیب پذیری پیدا می کند و برای آن یک Patch امنیتی ارائه می کند و شما آن را دانلود و بر روی سرور نصب می کنید ، این Patch برای اینکه اعمال شود نیاز به Restart شدن کامپیوتر دارد و حالا اگر این اتفاق برای مدتی نیوفتند ممکن است هکر بتواند در این وهله زمانی از آسیب پذیری مورد نظر استفاده کرده و Exploit کند. همانطور که در خروجی دستور بالا مشاهده می کنید این دستور اطلاعات بسیار جالب و کاملی در خصوص سیستم شما ارائه می دهد ، قبلا ابزاری به نام psuptime وجود داشت که در این ابزار قرار گرفت.

ابزارهای PsTools قسمت 5 : PsList برای گرفتن جزئیات Process ها

یکی دیگر از ابزارهای ریزنقش و کاربردی مجموعه PsTools ابزار PsList است . این ابزار بصورت دقیق و با جزئیاتی بسیار عالی کلیه Process هایی که بر روی سیستم شما وجود دارد را لیست کرده و به شما می گوید که بر روی سیستم شما چه خبر است. یکی از پرکاربردترین لحظاتی که می توان از این ابزار استفاده کرد ، زمانی است که احساس می کنید یک هکر ، کد مخربی را بر روی سیستم شما اجرا کرده است و شما از ان بی اطلاع هستید ، در چنین مواقعی می توانید با بررسی کردن Process های نمایش داده شده در خروجی PsList کد مخرب مورد نظر را پیدا کنید.

معرفی ابزار PsList

شما با داشتن اطلاعات لیست Process ها می توانید نوع آنتی ویروس مورد استفاده در سیستم را شناسایی کنید و بعضا به عنوان یک هکر می توانید راهکار دور زدن آنتی ویروس مورد نظر را نیز پیدا کنید. به خروجی این دستور توجه کنید این خروجی می تواند بسیار به یک کارشناس کشف جرائم رایانه ای یا امنیت در جهت پیدا کردن فعالیت های مخرب در یک سیستم کمک کند. البته به عنوان یک مدیر شبکه نیز می توانید از این ابزار استفاده کنید ، برای مثال زمانیکه می خواهید بدانید نرم افزاری به درستی در پس زمینه سیستم اجرا می شود یا خیر ، این ابزار جایگزین مناسبی برای ابزار TaskList ویندوز می باشد.

ابزارهای PsTools قسمت 6 : PsKill برای Kill کردن Process

Pskill از جمله ابزارهایی است که کاری که انجام می دهد بعضا از نامش به وضوح پیداست. این ابزار به شما امکان این را می دهد که بتوانید Process های سیستم خودتان یا سیستم Remote را از بین برده یا Kill کنید. قابلیت حذف کردن Process ها از راه دور همان نکته ای است که این ابزار را برای هکرها نیز جذاب کرده است.

همانطور که در مطلب قبلی pslist را معرفی کردیم که لیستی از پردازش های در حال اجرا را به ما نشان می داد ، از همان لیست یک مهاجم می تواند یک Process امنیتی را از راه دور انتخاب و Kill کند تا بتواند به اهداف خودش دست پیدا کند و مزاحمی نداشته باشد. ممکن است عملکرد برخی از این ابزارها کمی پیچیده به نظر برسد اما به هر حال pslist و pskill جزو ابزارهایی هستند که معمولا در کنار هم معنی دارند و استفاده می شوند.

معرفی ابزار PsKill

این ابزارها هم می توانند برای مقاصد مفید و هم مقاصد مخرب مورد استفاده قرار بگیرند. برخی از تروجان ها وجود دارند که مکانیزم کاری مشابه pskill دارند ، این نوع تروجان ها بعد از اجرا بر روی سیستم هدف ابتدا لیست پروسس ها را شناسایی و Process های مربوط به آنتی ویروس و فایروال را Kill می کنند.

حتی جالب است بدانید که از این دسته از تروجان ها انواعی وجود دارند که Restart شدن سرویس بعد از Kill شدن را نیز بررسی و در صورت شروع مجدد Process مجددا آن را Kill می کنند. از نظر یک مدیر سیستم اینکار ترسناک و از نظر یک هکر این ابزارها جذاب هستند. نحوه کار کردن با این ابزار بسیار ساده است ، کافیست نام Process یا ID آن را در جلوی دستور نوشته و آن را اجرا کنیم.

ابزارهای PsTools قسمت 7 : PsLoggedOn برای مشاهده افراد لاگین شده

ابزار دیگر این مجموعه که باز هم یک ابزار بسیار عالی در این حوزه است PsLoggedOn نام دارد که شاید بتوانید حدس بزنید که این ابزار برای بحث امنیت و به ویژه هک چقدر می تواند مفید باشد.خوب برای اینکه دید بهتری نسبت به این ابزار پیدا کنید به تصویر زیر مراجعه کنید شاید ایده های جالبی به ذهنتان برسد. خوب اگر من به هر عنوانی به یک کامپیوتر لاگین کرده باشم حالا چه بصورت Local و چه بصورت Remote ، خیلی برای من بعضا مهم است بدانم که به غیر از من چه کس دیگری به این سیستم Login کرده است.


معرفی ابزار PsLoggedOn


خوب اگر این ابزار را طی فرآیند هک و از طریق TFTP بر روی سیستم هدف آپلود کرده اید به طور قطع به یقین کاربر Administrator را بصورت Login شده مشاهده خواهید کرد. خوب این باعث می شود که هکر متوجه شود الان زمان درستی برای هک کردن نیست ، جلوی قاضی و معلق بازی ؟

مدیر سیستم لاگین هست برو یه وقت مناسب تر بیا ... حتی زمانی که در خصوص Login اعلام می شود هم بعضا مهم است ، شما می توانید ببینید که چه کسی چه مدت زمانی بر روی سیستم شما لاگین بوده است و بعضا لاگهای مرتبط با زمان مربوطه را مشاهده کنید و پلیس بازی در بیاورید. به هر حال این ابزار از دسته ابزارهای باحال برای هک کردن برای هکرهاش هوشیار به حساب می آید

ابزارهای PsTools قسمت 8 : PsLogList جمع آوری لاگ Event Viewer

یکی از ابزارهایی که به شخصه علاقه خاصی نسبت به آن دارم PsLogList است. کاری که این ابزار انجام می دهد این است که یک کپی از Log های موجود در Event Viewer سیستم Local یا سیستم Remote را بر می دارد و برای شما ارسال می کند.

اطلاعاتی که درون لاگهای یک سیستم وجود دارد بسیار حیاتی است و در عین حال برای یک مدیر سیستم و حتی یک مهاجم بسیار ارزشمند است. خوب فکر می کنم اگر کمی دید امنیتی به این قضیه داشته باشید و به تصویر پایین نگاه کنید اهمیت این ابزار را بیشتر درک خواهید کرد.


معرفی ابزار PsLogList


خوب همانطور که در تصویر بالا مشاهده می کنید استفاده از این ابزار بسیار ساده است ، کافیست که دستور را تایپ کرده و Enter را بزنید. شاید بخواهید خروجی دستور را ورودی دستور دیگری کنید و به همین منظور از علامت پایپ استفاده می کنید.

با اینکه خروجی به شما نمایش داده نمی شود و بعضا به فرمتی که شما دوست دارید تبدیل خواهد شد. کمی به تصویر سیستمی که لاگها را از آن برداشت کرده ایم بیشتر دقت کنید ، WIN2K2 فیلدهایی که وجود دارند بسیار ساده و قابل درک هستند. این اطلاعات می تواند در Enumeration و Footprinting فرآیند هک بسیار مفید باشند.

ابزارهای PsTools قسمت 9 : PsPasswd برای تغییر پسورد اکانت ها

این ابزار یکی از باحال ترین ابزارهای هک از نظر من می تواند باشد ، تصور کنید که سیستم مقصد را هک کرده اید و الان روی سیستم هستید و مدیر سیستم متوجه می شود و می خواهد تمامی ارتباطات و ... را از بین ببرد و شما را بیرون بیندازد ، در همین حین شما قبل از اینکه مدیر سیستم متوجه شود پسورد کاربر مورد نظرش را تغییر می دهید و او حتی نمی تواند به سیستم خودش وارد شود و شما تا مدت زمانی می توانید کارهای مختلفی روی سیستم هدف انجام بدهید.

معرفی ابزار PsPasswd

البته این یک حماقت برای یک هکر است که چنین کاری انجام بدهد اما به هر حال یک Option یا امکان نیز به حساب می آید ، هکر موفق نباید از خودش اثری به جای بگذارد چه برسد به تابلو کردن قضیه هک !!! استفاده از این ابزار بسیار ساده است و شما نمونه ساده ای از Syntax استفاده از این دستور را مشاهده می کنید که در ساده ترین حالت برای تغییر دادن پسورد کاربر به کار می رود ، شما می توانید بصورت Local با دستور net پسورد کاربر را تغییر بدهید اما به هر حال بصورت ریموت اینکار را با PsPasswd انجام می دهید.

ابزارهای PsTools قسمت 10 : PsService مشاهده و کنترل سرویس ها

شما می توانید با دستورات net و sc کمی بر روی سرویس های روی سیستم عامل مدیریت داشته باشید اما صرفا بصورت Local اما با استفاده از ابزار PsService می توانید ضمن اینکه سرویس ها را بصورت Local کنترل و مدیریت کنید ، سرویس های موجود بر روی سیستم های Remote را نیز کنترل و مدیریت کنید. تفاوت این دستور با pslist این است که در اینجا سرویس ها و نه فقط Process ها نمایش داده می شوند. PsService به شما قابلیت stop و stat و البته pause کردن سرویس ها را می دهد. نگاهی به تصویر زیر بیندازید :


معرفی ابزار PsService


تصویر بالا help ابزار مورد نظر است ، به وضوح می توان کارهایی که با این ابزار می توان انجام داد را مشاهده کرد. قبلا اشاره کردیم که با استفاده از PsKill می توانید Process ها را Kill کنید اما توجه کنید که با PsService فراتر از این کارها را می توان انجام داد.

شما می توانید سرویس ها را Restart کنید برای مثال برای یک مدیر سیستم Restart کردن سرویس در زمان مشکل می تواند مهم باشد و از طرف دیگر شما می توانید به عنوان یک هکر تلاش کنید که سرویس های امنیتی موجود در سیستم هدف را Stop یا بصورت موقتی Pause کنید و عملیات مخرب خودتان را انجام بدهد.

ابزارهای PsTools قسمت 11 : PsShutdown برای Shutdown و Reboot

اگر اهل کرم ریختن سر کارگاه های عملی دانشگاه بوده اید احتمالا با دستور shutdown ویندوز کار کرده اید و استاد را حسابی سر کار گذاشته اید. با استفاده از ابزار PsShutdown شما می توانید از راه دور یا بصورت Local سیستم ها را Reboot یا Shutdown کنید ، اما سئوال اینجاست که چه نیازی به این هست که شما یک کامپیوتر را از طریق شبکه Shutdown کنید ؟

دستور PsShutdown

در واقع زمانیکه شما با کامپیوتری که هنگ کرده است یا در حال Exploit شدن است مواجه می شوید می توانید با Reboot کردن آن فرصت Exploit کردن آن از هکر را بگیرید ، در ضمن این Reboot کردن می تواند بصورت زمانبندی شده باشد و باعث شود که Patch هایی که نیاز به Reboot سیستم دارند نصب شده و آسیب پذیری های محتمل را درست کنند. در ضمن شما می توانید با نوشتن اسکریپت ساده ای از این ابزار برای خاموش کردن کامپیوترهای شبکه در طی وهله های زمانی مشخص استفاده کنید.

ابزارهای PsTools قسمت 12 : PsSuspend برای متوقف کردن Process ها

آخرین ابزاری که از مجموعه PsTools به شما معرفی می کنیم ابزار PsSuspend است . همانطور که قبلا هم در توسینسو اشاره کردیم برخی از این ابزارها در کنار هم کاربرد دارند و PsSuspend نیز از همان دسته است که همزمان با PsList قابل استفاده است . شما با استفاده از PsList لیستی از Process ها را مشاهده می کنید و هر Process ای که مد نظر داشتید را می توانید با استفاده از PsSuspend متوقف کنید !!

اینکار شاید مشابه کاری باشد که در قسمت سرویس های ویندوز و قابلیت Suspend یا Pause وجود دارد. شما با استفاده از این ابزار قابلیت Suspend و Resume یک پروسس در ویندوز را خواهید داشت. در واقع نمی توانیم از این ابزار به عنوان یک ابزار کاملا کاربردی نام ببریم خوب قرار هم نیست اینجوری باشه !! خوب اینم بوده جزوشون مجبوریم بگیم ... خیلی ابزار بیخودی هم هست !! والا ...


معرفی ابزار PsSuspend


همانطور که در ابتدای این سری آموزشی خدمت شما عرض کردیم ابزارهای رایگان بسیاری وجود دارند که به وفور در اینترنت یافت می شوند. تنها کاری که شما باید بکنید این است که کمی زمان بگذارید و ابزارهای کاربردی را از بین آنها پیدا کرده و استفاده کنید. هر ابزاری در عین اینکه کاربردی است می تواند مصرف مخرب نیز داشته باشد .امیدوارم این سری آموزشی مورد توجه شما عزیزان قرار گرفته باشد.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات