Forensik mit PowerShell in Windows durchführen, Ports mit Anwendungen verknüpfen

593
gsb005

Um Forensik richtig zu machen; bei der Suche nach Schwachstellen, die das Sicherheitsteam in seinen Sicherheitsscans aufgedeckt hat.

Die zwei Befehle, die ich meistens benutze, sind:

c:\ netstat -abno | find "port number" 

Dieser Befehl gibt mir eine Prozess-ID für den Port, der die Sicherheitsanfälligkeit aufweist.

Danach;

Ich verwende den folgenden Befehl, um die Anwendung zu verknüpfen, die in dem Prozess ausgeführt wird, der dem obigen Port zugeordnet ist.

c:\ wmic process | find "Proccess Id" > proc.txt 

Das gibt mir die mit diesem Prozess verknüpfte Anwendung. Von hier aus recherchiere ich nur die Anwendung, um die darin eingebettete Schwachstelle zu finden.

Meine Frage an alle Ihre PowerShell-Experten lautet:

Wie führe ich denselben Vorgang in PowerShell durch?

Denken Sie daran, ich beginne mit einem Port und ende mit einer Anwendung, die diesem Port mit den oben aufgeführten Schritten zugeordnet ist.

Meine Gedanken:

Es hat wahrscheinlich etwas zu tun mit: Get-Process
und Get-NetTCPConnection

Aber ich kann nicht ganz verstehen, wie der oben beschriebene Denkprozess abgebaut werden kann.

0
http://blogs.microsoft.co.il/scriptfanatic/2011/02/10/how-to-find-running-processes-and-their-port-number/ sollte helfen. HelpingHand vor 7 Jahren 0

2 Antworten auf die Frage

2
heavyd

In Powershell können Sie, wie Sie erwähnt haben, eine Kombination aus Get-NetTCPConnectionund Get-Processwie folgt verwenden:

$port = 80 Get-Process -PID @(Get-NetTCPConnection -LocalPort $port| select -ExpandProperty OwningProcess -Unique) 
Können Sie in diesem kleinen Skript "-FileVersionINfo" hinzufügen, um die Version der Datei für diesen Prozess auszuspucken? Vielen Dank gsb005 vor 7 Jahren 0
0
Frank Thomas

gut, ich mache das immer mit (als admin)

netstat -abno | findstr portnum

tasklist | findstr PID

oder wenn Sie sich nur um Zuhörer sorgen:

netstat -abno | findstr LISTENING | findstr portnum

tasklist | findstr PID

Nett! Wird Get-Process / Get NetTCPConnection zusätzliche nützliche Daten liefern, z. B. den Speicherort der Anwendung? usw? gsb005 vor 7 Jahren 0