Использование аргументов командной строки для терминала windowsusing command-line arguments for windows terminal

Список версий файлов

Имя файла cmd.exe

система Windows 10 Размер файла 231936 bytes Дата 2017-03-18 Скачать

Подробности файла
MD5 50b930137463b14f73186c7c6767a2aa
SHA1 574f512a44097275658f9c304ef0b74029e9ea46
SHA256 eb51a0c96f7de6ce8bb0386429fff83bf95cb23fa61efe499b416f1cb0fc71c9
CRC32 daf559df
Пример расположения файла C:\Windows\System32\

Имя файла cmd.exe

система Windows 8.1 Размер файла 315392 bytes Дата 2014-11-21 Скачать

Подробности файла
MD5 622d21c40a25f9834a03bfd5ff4710c1
SHA1 98a9ac93fe31f38f47f38db78bf12fa0c6214f9a
SHA256 48985b22a895154cc44f9eb77489cfdf54fa54506e8ecaef492fe30f40d27e90
CRC32 219301c2
Пример расположения файла C:\Windows\System32\

Имя файла cmd.exe

система Windows 8 Размер файла 349696 bytes Дата 2012-07-26 Скачать

Подробности файла
MD5 5996c79fb52bde3fa10f77396654ae42
SHA1 ac4d87e771010698cdc82116f289abfcf7d67027
SHA256 910d521315b83bb0d805eaceac3c83169aa791d1d1e64b417077c01ae21feb66
CRC32 f45d00cb
Пример расположения файла 1: C:\Windows\System32\

Имя файла cmd.exe

система Windows 7 Размер файла 345088 bytes Дата -0001-11-30 Скачать

Подробности файла
MD5 5746bd7e255dd6a8afa06f7c42c1ba41
SHA1 0f3c4ff28f354aede202d54e9d1c5529a3bf87d8
SHA256 db06c3534964e3fc79d2763144ba53742d7fa250ca336f4a0fe724b75aaff386
CRC32 838e4463
Пример расположения файла C:\Windows\System32\

Имя файла cmd.exe

система Windows 7 Размер файла 302592 bytes Дата -0001-11-30 Скачать

Подробности файла
MD5 ad7b9c14083b52bc532fba5948342b98
SHA1 ee8cbf12d87c4d388f09b4f69bed2e91682920b5
SHA256 17f746d82695fa9b35493b41859d39d786d32b23a9d2e00f4011dec7a02402ae
CRC32 f9211fae
Пример расположения файла C:\Windows\System32\

Имя файла cmd.exe

система Windows Vista Размер файла 363008 bytes Дата 2008-01-21 Скачать

Подробности файла
MD5 72a73b43c20902760022fbc91b3ec948
SHA1 25e58b570dcf7dd4c135def33094d75f6488ece5
SHA256 4624359d20a235c004fdd0eeb36a14fe35291a1ee8d198149995f64327a7a361
CRC32 3ec7f1ff
Пример расположения файла

Имя файла cmd.exe

система Windows Vista Размер файла 318976 bytes Дата -0001-11-30 Скачать

Подробности файла
MD5 74f26fc01b180d4a99a168ed69c30a53
SHA1 46372c2278b2e369a7ce3e0879a23d009ccb6340
SHA256 d2fd623d70340f650bfac8c31102e1b9168fe1750c141a23accc1a21f9f93a94
CRC32 732e0d62
Пример расположения файла

Имя файла cmd.exe

система Windows XP Размер файла 389120 bytes Дата 2008-04-14 Скачать

Подробности файла
MD5 6d778e0f95447e6546553eeea709d03c
SHA1 811a005cf787c6ccbe0d9f1c36c1d49a9cb71fd1
SHA256 62abed7d45040381bbced97ea7b6c697b418448fd3322fd4bfb2bbfdb6155eb4
CRC32 34e0d0d6
Пример расположения файла

Команды для установки, просмотра, удаления программ и обновлений

  • Запуск msi пакетов из командной строки под правами администратора:
    runas /user:administrator "msiexec /i адрес_к_msi_файлу"
    runas /user:administrator "msiexec /i \"экранированный слешами и скобками адрес с пробелами к msi файлу\""
  • wmic product get name,version,vendor — просмотр установленных программ  (только установленные из msi-пакетов)
  • wmic product where name=»Имя программы» call uninstall /nointeractive — удаление установленной программы
  • Get-WmiObject Win32_Product | ft name,version,vendor,packagename — просмотр установленных программ через Powershell (только установленные из msi-пакетов)
  • (Get-WmiObject Win32_Product -Filter «Name = ‘Имя программы’»).Uninstall() — удаление установленной программы через Powershell
  • DISM /Image:D:\ /Get-Packages — просмотр установленных обновлений из загрузочного диска
  • DISM /Online /Get-Packages — просмотру установленных обновлений на текущей ОС
  • DISM /Image:D:\ /Remove-Package /PackageName:Package_for_KB3045999~31bf3856ad364e35~amd64~~6.1.1.1 — удаление  обновления из загрузочного диска
  • DISM /Online /Remove-Package /PackageName:Package_for_KB3045999~31bf3856ad364e35~amd64~~6.1.1.1 — удаление  обновления в текущей ОС

Что это такое?

C:\Windows\System32\cmd.exe – это автоматически открывающееся окно системы, источником которого может быть несколько факторов (как безопасных для компьютера, так и сулящих небольшие проблемы в работе).


Основными причинами автозапуска командной строки становятся:

  1. Запланированное открытие системного приложения различного рода. Моментальная загрузка рабочего процесса, обновления.
  2. Автозапуск сторонней утилиты, недавно скачанной из сети / установленной с диска.
  3. Вирусная активность – таким образом вредоносная программа активизируется при запуске ПК.

Кроме того, у разных пользователей строка появляется в различных ситуациях:

  1. Самый распространённый случай – выскакивание при загрузке компьютера, сразу после логотипа Windows, на рабочем столе. В таком случае велика вероятность обычного автозапуска встроенной программы операционки не в фоновом режиме. Например, у вас не достаточно сильное “железо”, поэтому вот такие выскакивающие окна висят у вас дольше.
  2. Окно появляется во время работы, с некоторой периодичностью или в случайные моменты – это первый тревожный звоночек, сообщающий о приличном захламлении устройства вредоносными программами.

Viruses with the same file name

Is cmd.exe a virus? No, it is not. The true cmd.exe file is a safe Microsoft Windows system process, called «Windows Command Processor». However, writers of malware programs, such as viruses, worms, and Trojans deliberately give their processes the same file name to escape detection. Viruses with the same file name are e.g. not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen (detected by Kaspersky), and TROJ_GEN.R3ECDBP or TROJ_GEN.R001C0PIP17 (detected by TrendMicro). To ensure that no rogue cmd.exe is running on your PC, click here to run a Free Malware Scan.

How to recognize suspicious variants?

  • If cmd.exe is located in a subfolder of «C:\Program Files», the security rating is 74% dangerous. The file size is 434,688 bytes (60% of all occurrences), 407,726 bytes or 20,480 bytes. The program has no visible window. It is not a Windows system file. The application listens for or sends data on open ports to a LAN or the Internet.
  • If cmd.exe is located in a subfolder of the user’s profile folder, the security rating is 70% dangerous. The file size is 17,408 bytes (66% of all occurrences) or 39,424 bytes. The program has no file description. The program is not visible. The cmd.exe file is not a Windows core file.
  • If cmd.exe is located in the C:\Windows folder, the security rating is 72% dangerous. The file size is 16,384 bytes.
  • If cmd.exe is located in a subfolder of C:\Windows\System32, the security rating is 100% dangerous. The file size is 696,000 bytes.

Что это?

C:\Windows\System32\cmd.exe – автоматически всплывающее окно операционной системы, а причиной этого могут как безобидные, так и довольно тревожные для ПК проблемы.

Главные причины автоматического запуска командной строки:

  • запланированное системой открытие приложений – быстрая автозагрузка рабочего процесса или обновлений;
  • автоматический запуск стороннего программного обеспечения, которое появилось в системе недавно, например, оно могло быть установлено из интернета;
  • вирусы на компьютере, – именно таким образом появляются вредоносное ПО при запуске компьютера.

Обратите внимание: Почему выскакивает реклама на Андроиде?

В каких случаях запускается командная строка:

  • Один из самых распространенных вариантов – при запуске ПК, как правило, после появления логотипа Windows. В этом случае происходит автоматический запуск встроенной утилиты. При этом, если у вас маломощный компьютер, то окна командной строки висят долго.
  • Окно командной строки может дать знать о себе во время работы за компьютером, с определенной периодичностью или в любой момент – что можно расценить как первый опасный звоночек, связанный с желанием системы оповестить пользователя о вредоносном программном обеспечении.

cmd сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.


Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Другие процессы

rtss.exe whook.dll avgui.exe cmd.exe blbdrive.sys lxrsii1s.exe rtwlan.exe stservice.exe stobject.dll brstmonw.exe comcastantispyservice.exe

Clink

К самым простым апгрейдам можно отнести еще один совсем маленький lifehack — Open Source утилиту clink, которая способна значительно расширить возможности интерпретатора командной строки cmd.exe. Дело в том, что clink использует библиотеку readline, которая создана и поддерживается в рамках проекта GNU и обеспечивает интерфейс командной строки и обработку строк в bash.

После установки clink интерпретатор cmd.exe фактически ведет себя как командная оболочка bash со всеми ее продвинутыми функциями: автодополнением командной строки, редактированием, историей команд и так далее. Перечислять весь список новых возможностей cmd не стану, приведу только некоторые особенности:

  • удобное автодополнение путей (TAB);
  • вставка из буфера обмена (Ctrl-V);
  • поддержка автодополнения при указании исполняемых файлов/команд и переменных окружения;
  • функции Undo/Redo (Ctrl-_ или Ctrl-X, Ctrl-U);
  • улучшенная история командной строки;
  • сохранение предыдущих сессий;
  • поиск по истории (Ctrl-R и Ctrl-S);
  • расширенная история (например, !!, !<string< и !$);
  • скрипты автодополнения на Lua, позволяющие серьезно сэкономить время.

 

Наиболее распространенные проблемы с файлом cmd.exe

Существует несколько типов ошибок, связанных с файлом cmd.exe. Файл cmd.exe может находиться в неправильном каталоге файлов на вашем устройстве, может отсутствовать в системе или может быть заражен вредоносным программным обеспечением и, следовательно, работать неправильно. Ниже приведен список наиболее распространенных сообщений об ошибках, связанных с файлом cmd.exe. Если вы найдете один из перечисленных ниже (или похожих), рассмотрите следующие предложения.

  • cmd.exe поврежден
  • cmd.exe не может быть расположен
  • Ошибка выполнения — cmd.exe
  • Ошибка файла cmd.exe
  • Файл cmd.exe не может быть загружен. Модуль не найден
  • невозможно зарегистрировать файл cmd.exe
  • Файл cmd.exe не может быть загружен
  • Файл cmd.exe не существует

cmd.exe

Не удалось запустить приложение, так как отсутствует файл cmd.exe. Переустановите приложение, чтобы решить проблему.

Проблемы, связанные с cmd.exe, могут решаться различными способами. Некоторые методы предназначены только для опытных пользователей. Если вы не уверены в своих силах, мы советуем обратиться к специалисту

К исправлению ошибок в файле cmd.exe следует подходить с особой осторожностью, поскольку любые ошибки могут привести к нестабильной или некорректно работающей системе. Если у вас есть необходимые навыки, пожалуйста, продолжайте

Журналы событий

Не стоит забывать и такой огромный кладезь информации, как журнал системных событий. Пишется туда довольно много всего. Оффлайн-исследование журнала событий мы сейчас и сделаем. Первым делом скопируем каталог: C:\Windows\system32\winevt\Logs к себе в рабочую директорию.

Затем натравим на этот каталог программу FullEventLogViewer от Nirsoft (компания делает очень много маленьких и бесплатных утилиток для нашей темы).

Попробуем найти момент вторжения. Для этого упорядочим данные по столбцу времени и сделаем поиск событий с ID 4624 – сетевой вход в систему:


Самая ранняя запись с внешним IP-адресом. Прочекаем IP-адрес, заодно. Ну и полистаем журнал чуть раньше, вдруг есть еще какие следы компрометации.

По поводу пробивания IP – есть такой сайт, в форме поиска проверим адрес и увидим, что у этого IP богатая история – множество репортов о попытках взлома с этого адреса.

Листаем дальше… Дальше события – крах системного LSASS Похоже эксплойт немного перегнул.. Система была перезагружена.

Поищем упоминания об этом домене:

Кто-то уже зарепортил. Есть SHA256 этого файла. Прочекаем его на virustotal.com:

Сомнений нет – в систему начали напихивать. Причём довольно интенсивно.

Затем ещё один сетевой вход, на сей раз с другого IP. Рейтинг у того IP – 100% “плохой” (у первого был всего 30%). Мда, тут либо подключился кто-то ещё, либо развитие атаки. Кстати, не исключено, что систему взломали два противоборствующих “клана” ботоводов.

Ну а дальше пошло закрепление в систему. Новая служба – в имени файла пропущен один символ. Кстати да, новый маркер. Можно поискать файл и проанализировать.


Посмотрим, что у этой службы под юбкой:

По всей видимости имеет отношение к криптовалютам… Возможно служба использует вычислительные мощности компьютера для личного обогащения злоумышленника.

Ещё одна служба… А в качестве имени файла – уже разобранный нами test.exe – весьма крутой кейс. Смотрите, мы нашли этот файл простым просмотром. Но если бы мы сперва анализировали журнал – всё равно его бы не пропустили, т.к. вот указание на него.

Улыбнуло… Ещё одна служба. Посмотрите имя И отсылка к исполняемому файлу и сразу ещё один маркер. Посмотрим.

Файл огромный – 21 Мегабайт, думаю, что это какой-то контейнер, ибо столько кода исследовать я буду очень долго… Бегло посмотрим строки и достаточно.

Также в журнале множество событий о разных ошибках приложений. Например такое:

Через R-Studio сделаем поиск по имени этого файла… Файл нашёлся в каталоге C:\Windows\uGpFG\. Рядом лежащие конфиги дали понять, что это эксплойт EthernalBlue. По всей видимости инфицированную машину использовали как плацдарм для дальнейших атак на другие узлы.

Жаль, мы не записали сетевой трафик, было бы очень интересно провести корреляцию по времени. Ладно, довольно события смотреть. У нас ещё осталось кое-что непросмотренное.


С этим читают