Forenzná analýza cez CMD

Obsah článku

Nenechaj v tom známych samých – zdieľaj

Forenzná analýza systému Windows pomocou príkazového riadku (CMD) patrí medzi najrýchlejšie metódy na získanie dôkazov v prípade podozrivej aktivity. V tomto článku sa dozviete, ako efektívne využiť príkazy ako netstat, tasklist a wmic na analýzu sieťových spojení, procesov a systémových udalostí.

🌐 Zber sieťových pripojení pomocou `netstat`

Príkaz netstat umožňuje rýchlu diagnostiku aktuálnych sieťových spojení, otvorených portov a súvisiacich procesov.

Použitie:

netstat -anob

1	netstat -anob

-a zobrazí všetky aktívne spojenia a porty
-n zobrazí adresy v číselnom tvare (bez DNS)
-o zobrazí identifikátor procesu (PID)
-b zobrazí názvy spustených programov

Na čo sa zamerať:

Neznáme procesy na neštandardných portoch
Zavádzajúce alebo podozrivé názvy (napr. srss.exe namiesto csrss.exe)
Nečakané spojenia s IP adresami v zahraničí

🧩 Auditovanie bežiacich procesov pomocou `tasklist` a `wmic`

`tasklist`

Zobrazí aktuálne bežiace procesy so základnými informáciami:

tasklist /v

1	tasklist /v

Parameter /v doplní údaje o používateľovi a stave procesu

`wmic`

Nástroj wmic poskytuje detailný pohľad na procesy a umožňuje ich filtrovať alebo ukončiť.

Spustenie prostredia:

wmic

wmic

Zobrazenie prehľadu procesov:

process list brief

1	process list brief

Získanie detailov o konkrétnom procese:

process where name="mal.exe" list full

1	process where name="mal.exe" list full

Zobrazenie príkazového riadku, ktorým bol proces spustený:

process where name="mal.exe" get commandline

1	process where name="mal.exe" get commandline

Ukončenie podozrivého procesu:

process where name="malware.exe" delete

1	process where name="malware.exe" delete

Dôležité: Sledujte ParentProcessID, aby ste mohli analyzovať, ktorý proces vytvoril daný podozrivý proces.

📁 Zber logov a auditovanie spúšťania procesov

Na presnejšiu analýzu je dôležité aktivovať auditovanie príkazového riadku. To umožní zaznamenávať aj príkazy, ktoré boli použité pri spúšťaní procesov.

Ako aktivovať auditovanie v skupinovej politike:

Spusti gpedit.msc
Prejdi do:

Computer Configuration &gt; Windows Settings &gt; Security Settings &gt;
Advanced Audit Policy Configuration &gt; System Audit Policies &gt; Detailed Tracking

1 2	Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > Detailed Tracking

Aktivuj Audit Process Creation
Potom v:

Computer Configuration &gt; Administrative Templates &gt; System &gt; Audit Process Creation

1	Computer Configuration > Administrative Templates > System > Audit Process Creation

povoľ Include command line in process creation events

Po aktivovaní sa v systémových udalostiach (Event ID 4688) zobrazia aj celé príkazové riadky použité pri spustení procesov.

🛠️ Praktický postup pri rýchlej forenznej analýze

Zobrazenie bežiacich procesov:

tasklist /v

1	tasklist /v

Detailná analýza procesov:

wmic process list full

1	wmic process list full

Zistenie sieťových spojení:

netstat -anob

1	netstat -anob

Kontrola udalostí v Event Vieweri (najmä Event ID 4688)
Ukončenie škodlivého procesu:

wmic process where name="malware.exe" delete

1	wmic process where name="malware.exe" delete

🧠 Záver

Príkazový riadok predstavuje výkonný nástroj pri prvotnej analýze incidentov. Forenzná analýza cez CMD pomocou nástrojov ako netstat, tasklist a wmic umožňuje rýchlo získať relevantné informácie o činnosti systému. Nezabúdajte však, že ide len o úvodné kroky – pri vážnych podozreniach je vhodné pokračovať s pokročilou analýzou pamäte a detailným spracovaním logov cez špecializované nástroje ako je napríklad ELK stack alebo Wazuh.