تحليل العمليات، الشبكة، المستخدمين، الخدمات، والمهام المجدولة 🔍
📌 الهدف: كشف أي نشاط مريب أو Shell يعمل بصمت داخل النظام.
🧵 1
📌 تحليل العمليات المتقدمة:
wmic process list full
يعرض العمليات بتفاصيل شاملة:
•مسار التشغيل
•المستخدم
•المعرف (PID)
•وقت البدء
استخدمه لاكتشاف سكربتات مشبوهة.
🧵 2
📊 عرض أكثر العمليات استهلاكًا للمعالج:
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10
اكتشف إن كانت هناك عملية تستهلك الموارد بشكل غير طبيعي.
🧵 3
🔍 للعثور على عمليات تعمل من %TEMP% أو مجلدات مشبوهة:
Get-WmiObject Win32_Process | Where-Object {$_.ExecutablePath -like '*Temp*'}
غالبًا ما تُستخدم Temp كبيئة لإخفاء برمجيات خبيثة.
🧵 4
🌐 تحليل الاتصالات الشبكية:
netstat -abno
يعرض:
•المنافذ المفتوحة
•أسماء البرامج
•أرقام PID
•IPs الخارجية
ابحث عن اتصالات غير معتادة.
🧵 5
⚠️ لرصد الاتصالات النشطة فقط:
Get-NetTCPConnection | Where-Object {$_.State -eq 'Established'}
ثم اربط الاتصال بالعملية:
Get-Process -Id <PID>
🧵 6
🔐 تحليل المستخدمين والصلاحيات:
net localgroup administrators
يعرض من يملك صلاحيات إدارية!
أي اسم جديد أو غير مألوف؟ علامة خطر.
🧵 7
للكشف عن الحسابات المفعلة فقط:
Get-LocalUser | Where-Object { $_.Enabled -eq $true }
وابحث عن حسابات تم إنشاؤها مؤخرًا عبر:
Get-EventLog -LogName Security -InstanceId 4720 -Newest 10
🧵 8
🛠️ فحص الخدمات المشبوهة:
Get-WmiObject Win32_Service | Where-Object { $_.PathName -like '*AppData*' }
الخدمات التي تعمل من AppData قد تكون Backdoor.
🧵 9
📅 المهام المجدولة:
schtasks /query /fo LIST /v
ثم افحص المهام بأسماء نظامية مزيّفة مثل:
•Windows Update
•DriverHelper
🧵 10
لرؤية المهام التي تم تشغيلها مؤخرًا:
Get-ScheduledTask | Get-ScheduledTaskInfo | Sort-Object LastRunTime -Descending
مفيد لتحديد النشاط الأخير للمهاجم.
🧵 11
🚨 مؤشرات خطر (IOCs):
•PowerShell في الإقلاع؟
•حساب جديد في مجموعة المدراء؟
•خدمة من AppData؟
•عملية من %TEMP%؟
⇨ هذه إشارات مؤكدة لنشاط خبيث!
🧵 12/
✅ كن دائمًا على يقظة،
وسجّل كل شيء قبل اتخاذ أي إجراء.