鑒真數位

鑒真數位 數位鑑識幫您找真相! 我們是數位鑑識專家,提供專業的鑑識設備、鑑識服務與相關之教育訓練。例如,協助政府、企業、甚至個人於遭遇智財侵權、駭客入侵、商業洩密或電腦犯罪等事故時,提供必要之鑑識支援及諮詢服務。

CYBERSEC 2026 即將於下週舉行 🔐鑒真數位即將在 CYBERSEC 2026 台灣資安大會與大家見面👋👋歡迎蒞臨展位 Booth C220 了解更多資安資訊🔐本次我們將展示:🔐 Mission Darkness™ Faraday...
29/04/2026

CYBERSEC 2026 即將於下週舉行 🔐

鑒真數位即將在 CYBERSEC 2026 台灣資安大會與大家見面👋👋
歡迎蒞臨展位 Booth C220 了解更多資安資訊🔐

本次我們將展示:

🔐 Mission Darkness™ Faraday Pod 現場實機展示
親身體驗完整訊號隔離的環境,了解數位鑑識如何在無干擾情境下進行

🏆 通過 IEC 62443-4-2 認證的測試能力
提供針對 ICS 與 IoT 資安的專業測試與驗證服務

如果您從事資安、數位鑑識或關鍵基礎設施相關領域,歡迎與我們交流 🤝

📅 活動資訊
日期:2026 年 5 月 5 日至 7 日(週二至週四)08:00–17:00
地點:台北南港展覽館二館
展位:1F CYBERSEC EXPO|Booth C220

先前曾為各位說明過在App分析過程中,如何進行加密傳輸封包的攔截,此外還有一個名為AnyProxy的工具也可善加利用,以下便為各位說明它的特點及優勢。AnyProxy是基於Node.js開發的代理伺服器,能讓開發者或分析人員截獲傳輸封包以進...
28/04/2026


先前曾為各位說明過在App分析過程中,如何進行加密傳輸封包的攔截,此外還有一個名為AnyProxy的工具也可善加利用,以下便為各位說明它的特點及優勢。

AnyProxy是基於Node.js開發的代理伺服器,能讓開發者或分析人員截獲傳輸封包以進行檢視外,甚至還能加以修改。安裝AnyProxy的指令如下圖編號1的圖示所示,npm指的是” Node Package Manager”,它是Node.js預設的套件管理工具。

安裝完成後,執行指令如編號2的圖示所示,至於預設傾聽的端口有兩個,8001是proxy server 而8002是Web介面,如編號3的圖示所示,前者即是在手機上設定代理伺服器所需輸入的port號,後者則是分析人員在瀏覽器檢視傳輸內容之用。

進入AnyProxy介面後,點擊左方的[RootCA] ,如編號4的圖示所示,便可以下載憑證,再將其安裝到欲攔截封包的裝置之中,前置作業一切就緒後即可開始操作目標App,介面中便可看到截獲的封包內容,如編號5及編號6的圖示所示,可順利窥得加密傳輸內容。

一旦關閉AnyProxy,瀏覽器介面中的傳輸內容就不復存在,若是想在攔截的同時,自動將這些請求及回應留存備查,該如何進行呢?

此時,AnyProxy靈活的規則系統(Rule System)便可派上用場,可允許使用者撰寫js腳本來直接介入每一個網路請求的生命周期。因此,分析人員只需要建立rule腳本,記錄請求及回應資訊,並調用filesystem模組寫入檔案,儲存在指定路徑之下。

啟動AnyProxy時即需在參數中指定rule腳本檔名,指令如編號7的圖示所示。每個json檔案的檔名即是以攔截當下的timestamp來命名,以保持唯一不會重複,如編號8的圖示所示。至於每個檔案內容皆為一組request及response,分析人員可對指定路徑下的所有json檔進行搜尋過濾等操作,以利分析作業順遂。

有單位問及X-Ways Forensic鑑識工具(以下簡稱XWF)的Directory Browser中,多出幾組右上角帶有標記”2”的時間戳記欄位,如下圖編號1的圖示所示,這樣的timestamp具有什麼特殊含義呢?這就不得不提到一個名詞...
15/04/2026



有單位問及X-Ways Forensic鑑識工具(以下簡稱XWF)的Directory Browser中,多出幾組右上角帶有標記”2”的時間戳記欄位,如下圖編號1的圖示所示,這樣的timestamp具有什麼特殊含義呢?

這就不得不提到一個名詞”Backdating”,在法律上是指於文件、合約或紀錄上,簽署比實際日期更早的日期,造成文件看起來是在過去某個時間點即已生效。這種”回到過去”的人為變造,亦有可能發生在證物之上,而這類反鑑識技倆稱之為”Timestomping” ,無論何種案件類型,鑑識人員在進行鑑識分析時切莫輕忽此種可能性的存在。

往往犯嫌採用”Timestomping”的手段竄改關鍵檔案的時間戳記,目的是為了對鑑識分析造成混淆。通常,鑑識人員會試著分析出案情的關鍵起迄時間以構築時間軸輪廓。試想,若犯嫌竄改了關鍵檔案的時間戳記,使其偏離了鑑識人員掌握到的關鍵時間區段,鑑識人員不免會理所當然將其排除在調查範圍之外。

以下以Windows的NTFS檔案系統為例進行說明,關於犯嫌進行”Timestomping”的思路,不太可能會把檔案時間改成”未來”時間,畢竟這麼做太容易露出馬腳。因此,讓關鍵檔案的相關timestamp,包括建立時間、存取時間、修改時間及Entry Modified Time皆早於關鍵時間區段,便有機會令其處於鑑識分析的盲區。

以證物中一個名為Topsecret.docx的檔案為例,其4組timestamp如編號2的圖示所示,皆為”2019/10/18 14:34” ,它其實已被我以”Timestomping”手法竄改過,倘若鑑識人員所採用的鑑識工具未具備判斷Backdating的能力,便難以察覺到它與案情有關。

經採用XWF具備的Refine Volume Snapshot(RVS)精煉處理功能,對證物進行processing,發現該檔案確存在Backdating情況。該檔案原有的時間戳記在帶有superscript的timestamp欄位中現出原形,為”2026/04/08 14:55” ,如編號3的圖示所示。

進一步將MFT表中的record匯出,如編號4的圖示所示,得知Standard_info(SI)與Filename_info(FN)的timestamp,與前述分析結果相符。

若對如何善用XWF進行鑑識分析有興趣,歡迎參考我們的官方年度教育訓練課程。

有單位問及在macOS上有沒有什麼機制可以調用系統原生的應用程式,以達成批次命令執行的要求呢?答案是肯定的,那就是”AppleScript” ,它的主要特色是語法接近自然語言,使用者可以利用它來存取郵件、行事曆及備忘錄等系統原生應用程式,以...
02/04/2026



有單位問及在macOS上有沒有什麼機制可以調用系統原生的應用程式,以達成批次命令執行的要求呢?答案是肯定的,那就是”AppleScript” ,它的主要特色是語法接近自然語言,使用者可以利用它來存取郵件、行事曆及備忘錄等系統原生應用程式,以下便為各位說明。

要撰寫AppleScript,可開啟macOS內建的”工序指令編寫程式”,如下圖編號1的圖示所示,它提供了一個陽春的IDE介面,我們可以在其內撰寫腳本,語法上趨近自然語言,可參考Apple開發者網站提供的指引,如以下連結所示:
https://developer.apple.com/library/archive/documentation/AppleScript/Conceptual/AppleScriptLangGuide/introduction/ASLR_intro.html

以調用Apple郵件這個應用程式為例,AppleScript的程式碼如編號2的圖示所示,目的既是發送郵件,因此前提自然是得先在Apple郵件中設妥帳密等資訊,並確認能順利接收及寄送郵件才行。完成腳本後可點擊如編號3的圖示所示的按鍵加以執行,結果會呈現在下方的”結果”視窗之中,要是執行有問題會提示相關錯誤訊息以利除錯,而執行成功只會得到”true”,如編號4的圖示所示。

AppleScript的優點是語法單純易於理解,但仔細一看就會發現,在進行相同作業時,程式碼重複性高且不免顯的有些冗長,看起來似乎不是很”聰明”,但也正由於其與系統整合性高,能直接調用系統層級功能,更突顯了其優勢及重要性。

若想在Terminal之中處理AppleScript,亦可以用vi編寫再加以儲存,不必然非得是存成何種副檔名才能執行,且亦無需為其添加執行權限,系統能自動辨識無虞。在此將副檔名刻意取為 .applescript純粹是利於使用者識別,而指令及執行結果如編號5的圖示所示。

此外,若還需要在郵件中增加更多附件的話該怎麼調整腳本呢?我們可以逐一為附件設個別名,如編號6的圖示所示,然後再添加到郵件內文之後,如編號7的圖示所示。看到這裡也許有人會好奇,把file1和file2寫在同一行豈不簡潔?無法這麼做的原因在於,添加的處理一次只能處理一個物件之故。

有意思的是,萬一有10個附件的話,那添加這動作不就要寫上10行?所幸還有個更優的處理方式,那就是先把10個附件的別名形成列表再以”迴圈”處理,便可有效因應添加1個以上附件的需求。

既然腳本執行成功,我們便可以驗證收發結果,一方面,在Apple郵件的已傳送郵件列表可看到該封郵件,另一方面,收件者皆已收到該封郵件無誤,如編號8的圖示所示。

值得留意的是,從數位鑑識的觀點來分析,使用”工序指令編寫程式”應用程式所儲存的AppleScript檔案,其預設副檔名為 .scpt,屬於編譯過的二進位格式,相較圖5中我在Terminal以vi編輯及存檔的 .applescript檔案,兩者皆可順利運行無誤,那麼其間究竟存在何種差異呢?關鍵便是檔案特徵值(File Signature),以file指令分析結果對照檔頭資訊如編號9的圖示所示。

Cybersec 2026|鑒真數位在 C220【年度資安盛會來了!鑒真數位在 CYBERSEC 2026 臺灣資安大會等您】鑒真數位今年將盛大參與 CYBERSEC 2026 臺灣資安大會!我們精心準備了兩大亮點展出,邀請您親臨現場體驗與...
01/04/2026

Cybersec 2026|鑒真數位在 C220

【年度資安盛會來了!鑒真數位在 CYBERSEC 2026 臺灣資安大會等您】

鑒真數位今年將盛大參與 CYBERSEC 2026 臺灣資安大會!我們精心準備了兩大亮點展出,邀請您親臨現場體驗與交流:

🔍 展出亮點
⛺ 亮點一:MOS / Mission Darkness™ CYPHERCYLENT Faraday Pod 法拉第帳篷
我們將把「實體帳篷」搬到現場!這款專為數位取證與高規資安檢測設計的法拉第帳篷,能提供完美的訊號遮蔽檢測環境。歡迎您親自來到攤位,實地檢視它強大的訊號阻絕能力,了解如何在訊號遮蔽環境下進行各種專業的數位取證與資安測試。
🏆 亮點二:全國首家!IEC 62443 工控與物聯網資安檢測
鑒真數位是全國第一家通過 TAF(財團法人全國認證基金會)認可,取得「IEC 62443-4-2」檢測資格的國內廠商!我們可提供企業具有國際公信力的工控與物聯網資安檢測服務,提升產品於國際市場、供應鏈與客戶端的信任度和優勢。
歡迎蒞臨 鑒真數位C220 攤位,我們南港展覽館見!

📅 【展會資訊】
時間: 2026 年 5 月 5 日 (二) 至 5 月 7 日 (四) 08:00~17:00
地點: 臺北南港展覽館二館
攤位位置: 1F CYBERSEC EXPO 資安展 | 攤位編號:C220
👉 事先免費線上報名,請參考資安大會官網:https://cybersec.ithome.com.tw/2026

當談到PDF檔案時,大家往往會覺得它就是一般的常用文件格式而已,但實際上,在看似平常的背後,PDF還可能存在注入了JavaScript腳本的風險,不可等閒視之。以下我採用PyPDF2來模擬相關風險,它是一個用Python編寫的PDF處理函式...
25/03/2026


當談到PDF檔案時,大家往往會覺得它就是一般的常用文件格式而已,但實際上,在看似平常的背後,PDF還可能存在注入了JavaScript腳本的風險,不可等閒視之。
以下我採用PyPDF2來模擬相關風險,它是一個用Python編寫的PDF處理函式庫,用它來對來源PDF檔案進行”操作”,注入xss後產出一個加工過的PDF檔案,再上傳至站台供使用者存取,以下便為各位說明。
首先,如下圖編號1的圖示所示,在這支簡單的Python script裡引用PyPDF2函式庫中的兩個核心類別:
PdfReader-用於讀取現有PDF檔案
PdfWriter-用於建立或編輯新的PDF檔案

至於那個怪怪的sys.argv是什麼呢?它是一個串列(List),資料型態為字串,腳本一開始的import sys,目的是匯入Python內建的系統模組,用來讀取於Terminal輸入的命令參數,而參數1永遠都是腳本檔名本身,而參數2便是執行腳本時所需輸入的來源PDF檔名。執行processing.py時,一旦漏掉了來源PDF檔名這個重要參數,腳本判斷出參數數目小於2,執行結果便會提示執行指令及參數格式,如編號2的圖示所示。

在PDF檔案的處理方面,如編號3的圖示所示,變數target_pdf及dest_pdf代表了來源pdf檔案及目的地pdf檔案,分別對應到PdfReader及PdfWriter的處理結果,至於for迴圈則是對PDF檔逐頁加以處理。

關鍵的注入是在如編號4的圖示所示的add_js(),在此嵌入一段 JavaScript腳本。當這個PDF被支援js的閱讀器開啟時,會立刻執行彈窗指令。腳本的末尾以wb模式寫入檔案,產出加工完成的PDF檔案。
接下來,我們便可以執行腳本processing.py,後方接的參數是來源PDF檔portfolio.pdf,它是一份旅遊行程規劃方案,完整指令及執行結果如編號5的圖示所示,順利產出了注入xss的PDF檔outcome.pdf。
當使用者透過瀏覽器存取網站上的outcome.pdf時,除了能夠看到內文的旅遊行程規劃外,介面上彈出的告警視窗代表瀏覽器確實執行了注入的腳本,如編號6的圖示所示。
此外,PDF檔案內也可能存在惡意連結或偽冒登入頁面連結,以引誘使用者點擊,甚且,攻擊方還可能利用PDF閱讀器的漏洞,在使用者開啟檔案時觸發惡意程式,因此PDF閱讀器的軟體版本過舊或存在未修補漏洞亦不可輕忽。

隨著AI應用浪潮的爆炸性成長,安全議題也受到極大的關注,因此OWASP針對大型語言模型(LLM)發布了Top 10 Risk for LLM Applications,此即是為了提升LLM安全而生的指引。LLM是指透過大量文字資料訓練,學習...
19/03/2026


隨著AI應用浪潮的爆炸性成長,安全議題也受到極大的關注,因此OWASP針對大型語言模型(LLM)發布了Top 10 Risk for LLM Applications,此即是為了提升LLM安全而生的指引。

LLM是指透過大量文字資料訓練,學習”語言規律”並能生成自然語言回應的深度學習模型。而組織單位導入LLM的目的,不外乎是為了降低人力成本、提高產出速度及提升決策效率,但傳統的安全思維不論是Web或是Mobile相關,皆不足以涵蓋LLM所需。

有人可能會認為AI很聰明,因此也等同於很安全,我以”提示注入”(Prompt Injection)為例進行說明,由於LLM是語言驅動系統,等於模型可能被”文字”所操控,這形同是”直接注入”攻擊。以下就進行一些有趣的測試,如下圖編號1的圖示所示,咱們要來問LLM,”密碼”的內容是什麼,但要當心的是,若是直白地索取密碼,恐怕是會被直接回絕的。

至此有沒有想到這和什麼攻擊頗為類似呢?沒錯,這就如同”社交工程”一般,因此,我輸入的提示詞如編號2的圖示所示,拐個彎來問也許比較不會引起戒心,果然順利得到如編號3的圖示所示的答案,主角名字就是密碼。

進一步若LLM不但不會輕易透露且會再次驗證時,這樣的對抗就升級了,等於是提升了提示詞注入成功的難度。因此需要再多加點變化才行,我輸入的提示詞及得到的回應,共有2組分別如編號4及編號5的圖示所示,作法是設定一個情境來嘗試套出想要的資訊。

除此之外,還可以設定怎樣的提示詞呢?關鍵仍然是不直白要求LLM給出密碼內容,而是採用迂迴戰術,讓它做點”處理”之後再提供結果,也許這樣一來,在不違反不得透露的情況下,就有機會順利得手了。我輸入的提示詞及得到的回應,共有2組分別如編號6及編號7的圖示所示。

值得留意的還有”間接注入”攻擊,若LLM從外部來源(如網頁、檔案)存取到惡意內容,所可能引發的風險包括敏感性資料外洩、內容被操控或產生非預期行為等等。以一般使用情境為例,使用者或許並無惡意,只是提供給LLM一個網址或檔案,要求總結一下重點內容,但LLM可能無法區分哪些是資料哪些是指令,若當中存在惡意內容時,便可能導致相關風險。

若對相關安全議題有興趣,OWASP也有提供一份”大語言模型應用網路安全與治理查核表”(Owasp Top 10 for LLM Applications Cybersecurity and Governance Checklist),如以下連結所示,可供管理階層及資安團隊參考,有助於了解相關風險並制定策略,達到改進現有防禦技術的效果。
https://genai.owasp.org/resource/llm-applications-cybersecurity-and-governance-checklist-english/

📢 Milipol TechX Summit 2026 即將在新加坡登場!Milipol TechX Summit 2026 將於 2026/4/28 至 2026/4/30 在 新加坡 Sands Expo & Convention Ce...
12/03/2026

📢 Milipol TechX Summit 2026 即將在新加坡登場!
Milipol TechX Summit 2026 將於 2026/4/28 至 2026/4/30 在 新加坡 Sands Expo & Convention Centre 舉行,匯聚全球安全科技、執法科技與調查技術領域的專家和廠商,共同展示最新技術與應用。

本次活動將帶來多項精彩內容,包括:
🔹 最新安全科技與數位調查技術展示
🔹 專家分享實務調查與應用案例
🔹 互動式技術挑戰活動(Capture-the-Flag)
🔹 與產業專家交流最新技術與趨勢

在本次活動中,Cellebrite 也將於 Booth L1-L17 設立展位,展示其最新的數位情報與調查解決方案。

📍 活動資訊
Milipol TechX Summit 2026
🗓 2026.04.28 – 2026.04.30
📍 Sands Expo & Convention Centre, Singapore

若您已報名參加 Milipol TechX Summit 2026,並希望安排與原廠交流或demo session,歡迎與 鑒真數位 聯繫,我們可協助安排相關交流。

📩 聯絡窗口
Jenny Wu
[email protected]
02-2517-2532 ext.260

在Windows有個特別的存在-”IPC$”,指的是當Windows的SMB session建立後,用來傳輸控制指令和管理通信的通道,末尾的$代表其為隱藏共享,如下圖編號1的圖示所示,這些皆為Windows預設便啟用的隱藏共享,也正是隱藏共...
06/03/2026


在Windows有個特別的存在-”IPC$”,指的是當Windows的SMB session建立後,用來傳輸控制指令和管理通信的通道,末尾的$代表其為隱藏共享,如下圖編號1的圖示所示,這些皆為Windows預設便啟用的隱藏共享,也正是隱藏共享的機制令Windows的遠端管理得以實現。

我們先來看一下如何透過指令存取目標電腦上的共享資料夾”data”,使用net use指令時會要求提供帳號及密碼,必須輸入正確資訊方能通過驗證,如編號2的圖示所示。再使用net view指令檢視目標電腦的共用資源時,可以看到”data”而無隱藏共享,執行結果如編號3的圖示所示。

若是想要一道指令完成net use,就需要加入參數 /user: ,其後方的值為帳號及密碼,帳密之間需以空格隔開,完整指令如編號4的圖示所示。

但僅是”隱藏”卻不意謂著全然無法存取,只要掌握目標電腦的credential,便可隔空搭建一個管道以存取IPC$、$Admin及C$等隱藏共享,由於目標電腦的登入帳號為網域帳號,在此使用該網域帳號及密碼存取隱藏共享,指令如編號5的圖示所示。

接著我們便可將工作站上的執行檔agent.exe透過此管道送進目標電腦,指令如編號6的圖示所示,至於目的地$Admin所對應的路徑是什麼呢?可以回頭看一眼圖1即可得知其為為”C:\Windows\”。此時執行標的已送達,那麼要如何讓它動起來呢?

還記得前不久曾為各位說明過的,維繫Persistence手法之一的Task Scheduler嗎?此時就可以遠端為目標電腦創建一個新的任務排程,以於指定的日期時間執行我們要run的agent.exe,完整指令如編號7的圖示所示,至於Task Scheduler的特性及schtasks指令的相關參數說明,可參考以下連結:
https://iforensicsblog.blogspot.com/2025/07/persistence-task-scheduler.html

甚且,亦可採用PsExec將執行標的送進目標電腦並加以執行,執行結果之中的”1848”是執行標的於目標電腦的pid,如編號8的圖示所示。像PsExec這類具備”Living Off-the-Land”特性的”合法”工具,無疑是橫向移動中的利器之一,相關特性詳如以下連結所示:
https://iforensicsblog.blogspot.com/2023/05/blog-post_30.html

先前曾為各位說明過,使用iVerify可透過於裝置部署Agent的方式,查找是否存在可疑威脅,詳如以下連結所示:https://iforensicsblog.blogspot.com/2025/11/iverify_13.html日前iOS...
26/02/2026



先前曾為各位說明過,使用iVerify可透過於裝置部署Agent的方式,查找是否存在可疑威脅,詳如以下連結所示:
https://iforensicsblog.blogspot.com/2025/11/iverify_13.html

日前iOS爆出的高危漏洞不免令使用者感到緊張,有單位問及,若懷疑iPhone上可能存在Zero-click這類高級威脅時,要如何有效進行偵測呢?iVerify提供了查找此類高級威脅(Ex: Pegasus飛馬)的專業工具”Threat Hunter” ,以下便為各位說明。

一般的防毒軟體很難偵測到像 Pegasus或Predator這種,利用”Zero-click”漏洞入侵的間諜App。此類威脅的可怕之處在於,使用者甚至不必有任何回應便會受害,可說是屬於國家級的精密間諜App,也因此它往往具有極強的針對性。

iVerify的”Threat Hunter”則專門查找這些間諜App在系統中留下的蛛絲馬跡是否與IoC (Indicators of Compromise)吻合,一旦有所察覺便會在後台發出Alert,以下便以Threat Hunter對一支疑似受害的iPhone進行偵測。

首先,分析人員將iPhone接入已部署好Threat Hunter的工作站,務必確認裝置已辨識成功,可得到包括型號、序號及iOS版本等基本資訊,如下圖編號1的圖示所示。沒有繁複的操作程序,只要依提示依序進行3個步驟即可完成偵測作業。

特別之處在於圖1中[Step 3]提及的”Unified log”,它指的是iOS及macOS等系統的統一日誌格式,特點在於其結構特殊且無法以文書處理工具直接窺得內容。Threat Hunter會於過程中提示操作的按鍵組合,引導分析人員產生iPhone的診斷日誌,再將這些日誌上傳到後台進行分析。

此時,分析人員透過Portal即可順利查看偵測結果,如編號2的圖示所示,即為Threat Hunter逮到裝置中存在飛馬間諜App的證明,進一步點擊如編號3的圖示所示的[Download Report]即可下載詳盡的報告。

檢視報告中的Summary便可對裝置中存在的所有可疑威脅一覽無遺,如編號4的圖示所示,再往下還可以查看偵測結果的個別detail資訊,可得知相關的可疑程序名稱,以及資訊源頭為步驟3所產生的診斷日誌檔,如編號5的圖示所示。

若有興趣進一步了解”Threat Hunter”,歡迎來電洽詢,我們將會由專人為您介紹及說明。

先前曾為各位說明過WMIC (Windows Management Instrumentation Command-line)在內網橫向移動中扮演的角色,詳如以下連結所示:https://iforensicsblog.blogspot.co...
23/02/2026



先前曾為各位說明過WMIC (Windows Management Instrumentation Command-line)在內網橫向移動中扮演的角色,詳如以下連結所示:
https://iforensicsblog.blogspot.com/2023/05/webshell.html
WMIC是Windows上的公用指令,而WMI (Windows Management Instrumentation)是Windows系統提供的一套” 管理與查詢系統資訊的架構” ,它是以服務的形式存在,系統管理工具皆是依附此服務而能順利運作。此外WMI原生具備的遠端能力,可透過DCOM支援遠端存取,以下便為各位說明。
若欲查詢內網特定電腦的主機名、域名、機型及製造商等資訊,需在指令中提供目標電腦的帳密資訊以供認證,完整指令及執行結果如下圖編號1的圖示所示,參數說明如下:
1) /node: - 後方接目標主機的ip
2) /user: - 帳號
3) /password: - 密碼
4) computersystem – WMI的類別之一
5) get – 後方接欲查詢的項目名稱(若不清楚名稱可以先用 * 便可得知該類別中的所有屬性)
接著我們來查詢一下其作業系統資訊,包括名稱、架構及安裝日期等資訊,完整指令及執行結果如編號2的圖示所示。到目前為止,已看到2種WMI類別,分別是computersystem及os,那麼究竟還有哪些項目可供查詢,其分別代表哪類資訊呢?詳如編號3的圖示所示,當中包括了我們所關注的服務及程序等重要資訊。
關於服務,除了服務名稱外,我們會特別留意路徑、狀態及啟動模式,若想要過濾篩選出啟動模式為”自動”(Auto)的服務,只要在指令中加上where子句,帶入條件式即可,完整指令及執行結果如編號4的圖示所示。
此外,目標電腦上運行程序的相關資訊,包括程序名、process id外,還有個重要的屬性CommandLine,可呈現程序啟動時所帶的詳細參數資訊,完整指令及執行結果如編號5的圖示所示。
值得留意的是,我們還可以於目標電腦背景之中運行特定程序,例如執行whoami這個cmd指令並將執行結果導出至一個文字檔中,完整指令及執行結果如編號6的圖示所示,指令中的create方法即是用於創建程序之用,後方的雙引號內則是執行標的。
從執行結果之中可得知該程序的process id為1868,但要釐清的是,return value為0只代表”程序順利建立” ,不代表執行標的本身成功執行完畢,需要再另行驗證才行。
而在Win32_process類別中,除了Create方法用以創建程序之外,常見方法如下所示:
1) GetOwner - 查詢執行身分
2) SetPriority – 設定優先權
3) Terminate – 終止程序

Address

中山區松江路309號11樓之 5
Taipei
104

Alerts

Be the first to know and let us send you an email when 鑒真數位 posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Business

Send a message to 鑒真數位:

Share