Как найти приложение который обращается к WScript.exe?

Question

[Alister O]

Всем привет,
вопрос, как узнать какое приложение в системе Виндовс7 обращается к WScript.exe?
обращение происходит под учетной записи пользователя и SYSTEM

Comments

[Виктор Л]

Это в диспетчере висит WScript.exe?
Попробуйте просто отключить сервер сценариев (Scripting Host) можно с помощью программы xp-AntiSpy или вручную через Реестр.

[res2001]

wscript.exe и cscript.exe - это только обертки для использования WSH из командной строки.
Приложения не обязаны пользоваться этими инструментами. Все объекты WSH реализованы в виде ActiveX объектов и доступны приложению через соответствующий интерфейс напрямую, минуя wscript/cscript.

[Alister O]

res2001, Stalker_RED, Виктор, Евгений я понял что ничего не понимаю.
наверное лучше будет если я напишу цель:
это для защиты от малвари,
почти 90% вложений запускают wscript.exe и cscript.exe cmd.exe powershell.exe для подкачки полезной нагрузки
я их запретил, но у одного пользователя при запуске что то обращается к wscript.exe и я получаю уведомление.
я попробую сделать те шаги которые вы описали.

[Stalker_RED]

Alister O,

я их запретил

Каким образом? restrict run?

и я получаю уведомление

И что там в уведомлении?

Кстати, можно ведь не просто запретить, а подменить своим экзешником который запишет все подробности в лог.

[res2001]

Alister O, Защищаться от малвари и прочей вирусни нужно другими способами.
Хотя вариант со списком разрешенных приложений имеет место быть, но это скорее нужно для борьбы с НСД и утечками информации, а не вирусами.

Вот типичный набор для защиты от вирусов:
1. ПОЛЬЗОВАТЕЛИ ДОЛЖНЫ РАБОТАТЬ С ОГРАНИЧЕННЫМИ ПРАВАМИ
2. У пользователя должен быть установлен пароль (желательно настроить политики смены и сложности пароля)
3. Пользователь не должен знать пароль от аккаунта администратора
4. Включите UAC
5. Используйте блокирующий фаервол на шлюзе в интернет.
6. Включите локальный фаервол и настройте его под себя групповыми политиками
7. Поставьте антивирус
8. Напишите памятку для пользователей, в которой опишите типичное поведение вирусов и если они это увидят на рабочем месте, чтоб сразу обращались к администратору не предпринимая никаких самостоятельных действий.
Список можно и дальше продолжать, но и этого хватит, чтоб обезопасить свою сеть от 95% дряни.

Судя по всему у вас в сети уже гуляет вирусня, поэтому надо начинать полную зачистку. Можете с помощью антивирусов и т.п. средств попытаться отловить гада и научиться его быстро ликвидировать. Если не выйдет, переустановка винды вам поможет в любом случае :-) Чистую винду нужно сразу настраивать по вышеприведенному списку. И не забудьте, что пользовательские файлы могут быть заражены.

На счет вашего вопроса: с помощью команды

wmic process get Caption,CommandLine,ProcessId,ParentProcessId

можно получить список процессов, запущенных в системе с их PID и PPID.
Вывод можно отфильтровать либо с помощью предложения where (как в SQL), либо пропустив вызов через findstr.
Запускать нужно с правами администратора.
Найдете таким способом процесс wscript/cscript, по его ParentProcessId узнаете какой процесс его запустил.

[Alister O]

Stalker_RED, @res2001
File "C:\Windows\System32\WScript.exe" of controlled application 'Microsoft WSH WScript' has been detected.
On-access scanner has denied access to location "C:\Windows\System32\WScript.exe" for user NT AUTHORITY\система

@res2001
к счастью вы ошибаетесь, я предпринимаю меры используя все возможности продуктов, и одним из возможностей была у продукта это блокировка приложений, это делается для достижения рекомендаций внутренних политик и для соответствия к iso.
как отловить то что что происходит во время запуска ОС, у меня появилась одна идея, потом отпишу о результатах.

[res2001]

Alister O, Я только рад тому, что я ошибаюсь в отношении вас :-)
На счет "отловить во время загрузки ОС":
Для начала можете отключать программы в автозагрузке по одной, перезагружаться и смотреть появились ли новые сообщения в журнале. Когда перестанут появляться - значит вы нашли софт, который использует wscript.
Если в автозагрузке ничего не найдется, переходите к планировщику и службам, начните со сторонних служб, затем к системным.

Еще подумал, что можно сделать скрипт с вызовом команды из моего поста выше с перенаправлением вывода в файл, добавить его в планировщик на триггер страта системы. Перезагрузиться и посмотреть полученный файл. Если там в процессах появится wscript/cscript, то от них можно построить цепочку PPID->PID до процесса, который его вызвал.
Не факт, что что-то получится отловить, но это гораздо быстрее, чем отлавливать методом исключения, и шансы есть.

PS: wscript может использоваться вполне легально каким-либо системным компонентом.

Answer 1

[Stalker_RED]

Если процесс запущен, достаточно в списке процессов включить отображение параметров клмандной строки.

Если кратковоеменно запускается и не успеваете прочесть - filemon или procmon от sysinternals.

Answer 2

[Евгений]

Попробуйте Process Monitor от Sysinternal Tools. Поставить фильтр на WScript.exe