قام المتخصص في الأمن السيبراني مجلاد بن مشاري السبيعي بنشر تغريدة على موقع التواصل الاجتماعي إكس حول إجابة سؤال هل تعرض جهازك لاختراق أو نشاط مريب؟، التفاصيل في السطور التالية على موقعكم المفضل صحيفة السعودي اليوم.

هل تعرض جهازك لاختراق أو نشاط مريب؟

أبدأ سلسلة التحقيق الجنائي الرقمي على Windows خطوة بخطوة بإستخدام أوامر CMD و PowerShell للتحليل والإستجابة الحاسوبية (IR) ????

???? جمع الأدلة

???? تحليل السجلات

???? متابعة الأنشطة

???? 1 | جمع معلومات النظام الأساسية

✅ systeminfo

- الوظيفة: يعرض معلومات تفصيلية عن النظام مثل أسم الجهاز، إصدار Windows، وقت التثبيت، آخر تحديث، ومدة تشغيل النظام.

- لماذا مهم؟: يساعد على تحديد حالة النظام وهل تم تحديثه مؤخرًا، ومدة بقاء النظام قيد التشغيل (مهم لمعرفة مدة بقاء المهاجم إن وجد).

✅ Get-ComputerInfo | Out-String | more

- الوظيفة: يجلب معلومات شاملة جدًا عن النظام مثل معلومات الـ BIOS، المعالج، اللغة، وإعدادات الأمان.

- لماذا مهم؟: للحصول على نظرة شاملة عن مكونات النظام، مما يساعد في التحقيقات المتقدمة.

???? 2 | فحص العمليات النشطة

✅ tasklist

- الوظيفة: يعرض جميع العمليات (البرامج) التي تعمل حاليًا.

- لماذا مهم؟: للتعرف على العمليات المشبوهة أو غير المعروفة.

✅ tasklist /v

- الوظيفة: يعرض العمليات بشكل تفصيلي، بما في ذلك اسم المستخدم ووقت التشغيل.

- لماذا مهم؟: يساعد في تحديد من يقوم بتشغيل العملية ومدة عملها.

✅ tasklist /svc

- الوظيفة: يعرض العمليات مع الخدمات المرتبطة بها.

- لماذا مهم؟: لكشف العمليات المرتبطة بخدمات النظام، وقد يُظهر خدمات مخفية أو ضارة.

✅ Get-Process

- الوظيفة: يعرض قائمة بجميع العمليات عبر PowerShell.

- لماذا مهم؟: بديل أكثر مرونة من tasklist، يمكن فلترته وتحليله بسهولة.

✅ Get-WmiObject Win32_Process | Select-Object Name, ProcessId, CommandLine

- الوظيفة: يعرض اسم العملية، رقم المعرف (PID)، وسطر الأوامر الذي بدأها.

- لماذا مهم؟: يمكن كشف تنفيذ سكربتات خبيثة مخفية داخل PowerShell أو CMD.

???? 3 | تحليل سجلات الأحداث

✅ wevtutil qe Security '/q:*[System[(Level=4)]]' /f:text /c:10

- الوظيفة: يعرض 10 أحداث بمستوى معلوماتي من سجل الأمان بصيغة نصية.

- لماذا مهم؟: أداة سريعة لفحص آخر الأحداث المهمة من سجل الأمان.

✅ Get-WinEvent -LogName Security -MaxEvents 20

- الوظيفة: يعرض آخر 20 حدث أمني.

- لماذا مهم؟: لرؤية الأحداث الأخيرة مثل تسجيلات الدخول أو الإنذارات.

✅ Get-EventLog -LogName Security -Newest 20

- الوظيفة: بديل لعرض أحدث 20 سجل من سجل “Security”.

- لماذا مهم؟: يساعد في تتبع محاولات الدخول أو الأحداث غير الطبيعية.

✅ Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624}

- الوظيفة: يبحث فقط عن أحداث تسجيل الدخول الناجحة (4624).

- لماذا مهم؟: لمراجعة من قام بتسجيل الدخول ومتى.

???? 4 | المستخدمون والجلسات

✅ query user

- الوظيفة: يعرض المستخدمين الحاليين المتصلين بالجهاز.

- لماذا مهم؟: لكشف المستخدمين النشطين حاليًا.

✅ net user

- الوظيفة: يعرض كل حسابات المستخدمين على الجهاز.

- لماذا مهم؟: لتحديد ما إذا تم إنشاء حسابات جديدة أو مشبوهة.

✅ net user USERNAME

- الوظيفة: يعرض تفاصيل حساب معين مثل وقت الإنشاء، آخر تسجيل دخول، إلخ.

- لماذا مهم؟: لتحليل نشاط حساب مشبوه.

✅ Get-LocalUser

- الوظيفة: يعرض المستخدمين المحليين عبر PowerShell.

- لماذا مهم؟: بديل مرن لـ net user.

✅ Get-LocalUser | Where-Object {$_.Enabled -eq $true}

- الوظيفة: يعرض فقط الحسابات المفعّلة.

- لماذا مهم؟: للتركيز على الحسابات النشطة فقط.

✅ Get-LocalGroupMember -Group 'Administrators'

- الوظيفة: يعرض من يملك صلاحيات إدارية.

- لماذا مهم؟: لاكتشاف تصعيد غير مشروع للصلاحيات.

???? 5 | فحص المهام المجدولة

✅ schtasks /query /fo LIST /v

- الوظيفة: يعرض جميع المهام المجدولة بشكل مفصل.

- لماذا مهم؟: لكشف المهام التي تنفذ سكربتات خبيثة تلقائيًا.

✅ Get-ScheduledTask

- الوظيفة: يعرض المهام المجدولة عبر PowerShell.

- لماذا مهم؟: فلترة وتحليل المهام بشكل برمجي.

✅ Get-ScheduledTask | Get-ScheduledTaskInfo

- الوظيفة: يجلب تفاصيل كل مهمة مثل وقت التشغيل، آخر مرة نفذت.

- لماذا مهم؟: للتحقق من المهام التي تعمل دون علم المستخدم.

???? 6 | تحليل الاتصالات الشبكية

✅ netstat -ano

- الوظيفة: يعرض جميع الاتصالات الشبكية ومنافذ الاستماع مع PID الخاص بكل عملية.

- لماذا مهم؟: لاكتشاف إذا كان هناك اتصال مريب بخادم خارجي.

✅ tasklist | findstr

- الوظيفة: يربط PID باسم العملية المسؤولة.

- لماذا مهم؟: لمعرفة أي عملية تنشئ اتصالًا معينًا.

✅ Get-NetTCPConnection

- الوظيفة: يعرض كل اتصالات TCP عبر PowerShell.

- لماذا مهم؟: للتحقق من الاتصالات المشبوهة باستخدام PowerShell.

✅ Get-NetTCPConnection | Where-Object {$_.State -eq 'Established'}

- الوظيفة: يعرض فقط الاتصالات المفتوحة الفعّالة.

- لماذا مهم؟: للكشف عن الاتصالات الجارية فقط.

???? 7 | فحص برامج بدء التشغيل

✅ wmic startup get caption,command

- الوظيفة: يعرض البرامج التي تعمل عند الإقلاع.

- لماذا مهم؟: لاكتشاف البرامج الخبيثة التي تعمل تلقائيًا.

✅ Get-CimInstance -ClassName Win32_StartupCommand | Select-Object Name, Command, Location

- الوظيفة: نسخة PowerShell تفصيلية من نفس المهمة.

- لماذا مهم؟: تظهر مكان السكربتات والبرامج المشغّلة عند الإقلاع.

???? 8 | تحليل الملفات المفتوحة مؤخرًا

✅ dir 'C:\Users\USERNAME\Recent' /a /b

- الوظيفة: يعرض الملفات التي فُتحت مؤخرًا للمستخدم.

- لماذا مهم؟: لمعرفة ماذا فتح المهاجم أو الضحية.

✅ PowerShell: فحص التعديلات الحديثة

Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue |

Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-2) } |

Select-Object FullName, LastWriteTime

- الوظيفة: يبحث في جميع الملفات المعدلة آخر يومين.

- لماذا مهم؟: لتحليل النشاط الحديث على النظام.

???? 9 | تحليل الخدمات

✅ sc query

- الوظيفة: يعرض كل الخدمات الموجودة على النظام.

- لماذا مهم؟: لرؤية ما يعمل حاليًا وقد يشمل خدمات مشبوهة.

✅ sc qc 'ServiceName'

- الوظيفة: يعرض إعدادات خدمة محددة.

- لماذا مهم؟: لمعرفة المسار الفعلي للخدمة وحساب التشغيل.

✅ Get-Service | Where-Object {$_.Status -eq 'Running'}

- الوظيفة: يعرض الخدمات النشطة فقط.

- لماذا مهم؟: لتركيز التحقيق على الخدمات الجارية.

✅ Get-WmiObject Win32_Service | Select Name, DisplayName, StartName, PathName

- الوظيفة: عرض مفصّل لكل خدمة: اسمها، المستخدم الذي يشغلها، والمسار.

- لماذا مهم؟: لاكتشاف خدمات مريبة تعمل من مجلدات غير معتادة مثل AppData.

???? 10 | تجميد الأدلة وكتابة التقرير

???? لا يوجد أمر محدد هنا، بل خطوات:

•لا تعدّل الأدلة.

•أنسخها خارجيًا.

•وثّق كل شيء.

•اكتب تقرير شامل يحتوي:

•وقت الحادث

•نتائج التحقيق

•التوصيات

•مؤشرات الاختراق (IOCs)

هل تعرض جهازك لاختراق أو نشاط مريب؟ ????️‍♂️ أبدأ سلسلة التحقيق الجنائي الرقمي على Windows خطوة بخطوة بإستخدام أوامر CMD و PowerShell للتحليل والإستجابة الحاسوبية (IR) ???? ???? جمع الأدلة ???? تحليل السجلات ???? متابعة الأنشطة#الأمن_السيبراني #CyberSecurity تابع السلسلة #DFIR ????⬇️ pic.twitter.com/yUNzO9EuZJ

— مجلاد بن مشاري السبيعي (@Al7lhh223) July 11, 2025