devqp
Специалист
После компрометации системы Windows критически важно оперативно выявить активные защитные механизмы (AV/EDR/XDR). Для этого проанализируйте следующие компоненты:
1. Активные процессы:
Используйте команды:
В PowerShell:
2. Установленное ПО:
Проверьте каталоги:
Через WMI:
3. Запущенные службы:
Сравните вывод команд с сигнатурами известных защитных решений. Для автоматизации используйте специализированные инструменты:
- EDRHunt (https://github.com/FourCoreLabs/EDRHunt)
- SharpEDRChecker (https://github.com/PwnDexter/SharpEDRChecker)
1. Активные процессы:
Используйте команды:
Код:
tasklist /v
Код:
wmic process get name,processid
Код:
Get-Process
2. Установленное ПО:
Проверьте каталоги:
Код:
dir "C:\Program Files"
Код:
dir "C:\Program Files (x86)"
Код:
wmic product get name, version
3. Запущенные службы:
Код:
net start
Код:
sc query state=all
Сравните вывод команд с сигнатурами известных защитных решений. Для автоматизации используйте специализированные инструменты:
- EDRHunt (https://github.com/FourCoreLabs/EDRHunt)
- SharpEDRChecker (https://github.com/PwnDexter/SharpEDRChecker)