PowerShell: Visualizzare le proprietà delle schede di rete tramite Get-NetAdapter

Il cmdlet Get-NetAdapter consente di visualizzare le proprietà delle schede di rete. Lanciando il cmdlet da PowerShell visualizziamo le schede di rete visibili e alcune delle loro proprietà (FIG 1)

FIG 1 - PowerShell cmdlet Get-NetAdapter

Name: Rappresenta il nome assegnato alle Connessioni di rete.
InterfaceDescription: Descrizione dell'interfaccia. Generalmente contiene il modello/produttore della scheda.
ifIndex: Interface Index. Sulle workstation la proprietà ifIndex è rappresentata da un numero che identifica in modo univoco l'interfaccia di rete fisica o logica (non possono esserci due interfacce con lo stesso ifIndex).
Status: E' lo stato dell'interfaccia è indica se la connessione è attiva (UP), disconnessa (Disconnected) o disabilitata (Disabled).
MACAddress: Media Access Control. Si tratta dell'indirizzo fisico della scheda.
LinkSpeed: Rappresenta la massima velocità della connessione.

Per formattare l'output possiamo utilizzare i comandi Format come Format-List (abbreviato FL)
Get-NetAdapter |fl
Con questo tipo di formattazione vengono visualizzate ulteriori proprietà come DriverInformation che visualizza la versione del driver della scheda.

FIG 2 - PowerShell cmdlet Get-NetAdapter |fl

Utilizzando Format-Custom (abbreviato FC) vengono visualizzate tutte le proprietà (comprese quelle non valorizzate) dell'interfaccia.
Get-NetAdapter |fc

Di seguito riporto alcuni esempi che possono essere utili in diverse occasioni.

Esempio 1
Get-NetAdapter -CimSession <nome_sessione/computer_remoto>
Con -CimSession possiamo specificare una sessione o un computer remoto e visualizzarne le proprietà delle schede di rete.

Esempio 2
Get-NetAdapter | Format-List -Property Name, InterfaceDescription, InterfaceName
Con Format-List -Property possiamo visualizzare solo le proprietà che ci interessano specificandole all'interno del comando. Nell'esempio viene richiesto di visualizzare solo le proprietà Name, InterfaceDescription e InterfaceName.

FIG 3 - PowerShell cmdlet Get-NetAdapter |fl - Property

Esempio 3
Get-NetAdapter -IncludeHidden
Per default vengono visualizzate solo le schede di rete visibili. Con l'opzione -IncludeHidden verrano visualizzate anche quelle non visibili/logiche.

FIG 4 - PowerShell cmdlet Get-NetAdapter -IncludeHidden

Esempio 4
Get-NetAdapter -Physical
Visualizza solo le schede di rete fisiche.

Esempio 5
Get-NetAdapter -Name "Ethernet"
Visualizza solo le proprietà della connessione di rete avente come nome quello specificato (Ethernet). É possibile utilizzare anche caratteri wildcard come nel seguente comando
Get-NetAdapter -Name "Eth*"
oppure
Get-NetAdapter -Name "E*t"

FIG 5 - PowerShell cmdlet Get-NetAdapter -Name "Eth*"

Esempio 6
Get-NetAdapter | Format-Table –View Driver
Visualizza tutte le schede di rete visibili con tutte le proprietà relative ai driver

FIG 6 - PowerShell cmdlet Get-NetAdapter | Format-Table –View Driver

Ransomware ApocalypseVM: Recupero dei file

Circola una nuova variante del ransomware Apocalypse: ApocalypseVM. Al fine di rendere difficile il reverse engineering del malware da parte degli esperti di sicurezza, gli sviluppatori hanno provveduto a proteggerlo tramite l'utilizzo di VMProtect (un utility di compressione che provvede ad offuscare il codice contenuto nel file). Questa nuova variante del ransomware aggiunge ai file cifrati l'estensione .encrypted e .locked e, per ogni file cifrato, provvede alla creazione di un file di testo del tipo [filename].How_To_Get_Back.txt contenente le informazioni per il pagamento del riscatto. Anche per questa variante del ransomware Fabian Wosar di Emsisoft ha creato un tool per il recupero dei file cifrati. Il tool Emsisoft Decrypter for ApocalypseVM può essere scaricato dal seguente link:
DOWNLOAD

Per recuperare i propri dati basta trascinare la versione cifrata e quella non cifrata di un file (di almeno 4096 byte) sul file eseguibile del tool al fine di generare la chiave privata.
Una finestra di dialogo mostrerà la chiave privata recuperata e, cliccando su OK, verrà visualizzata una nuova schermata che consentirà di decriptare i dati tramite il pulsante Decrypt. Al termine dell'operazione, nella scheda Results, verranno visualizzati i risultati.

FIG 1 - Emsisoft Decrypter for ApocalypseVM

Windows Quick Tip: Determinare il tipo di licenza di Windows (OEM, Retail, Volume Licensing)

Il sistema operativo di Microsoft viene distribuito con diversi tipi di licenza. Ciascuna licenza differisce dalle altre per restrizioni, termini e condizioni di utilizzo. I tipi di licenza più diffusi tra i software sono OEM, Retail e Volume.

OEM: Original Equipment Manufacturer. Questo tipo di licenza è legata all'hardware con cui viene venduta e non è trasferibile su altri PC né può essere acquistata separatamente.

Retail: Conosciuta anche come FPP (Full Packaged Product), si tratta del prodotto 'confezionato' e acquistato da Microsoft oppure da un rivenditore autorizzato. In questo caso l'utente può trasferire la licenza da un PC all'altro.

Volume Licensing: É ideale per le aziende che necessitano di più copie del sistema operativo. Con tale licenza è possibile eseguire installazione multiple sui PC dell'azienda utilizzando una unica VLK (Volume License Key). 


Per verificare il tipo di licenza del proprio sistema:

• Avviare il Prompt dei comandi;
• Digitare ed eseguire il seguente comando
  slmgr -dli
  Nella finestra di dialogo Windows Script Host verrà visualizzato il tipo di licenza ed eventuali ulteriori dettagli

FIG 1 - Licenza di Windows

Windows Quick Tip: Verificare lo stato di salute della batteria in Windows 8 e Windows 10

Con Windows 8 la Microsoft ha introdotto la possibilità di generare un report sullo stato della batteria del proprio dispositivo. Il report viene generato tramite il comando powercfg e ci fornisce molte informazioni sulla batteria consentendoci di verificarne lo stato di salute.

I passaggi da seguire sono molto semplici:

• Avviare il prompt dei comandi (WIN+X e selezionare Prompt dei comandi)
  
  

  

  FIG 1 - WIN+X e selezionare Prompt dei comandi

• Digitare ed eseguire il seguente comando
  powercfg /batteryreport
  Il processo potrebbe richiedere un pò di tempo al termine del quale verrà visualizzato il percorso del file HTML contenente il report.
  

  

  FIG 2 - Powercfg /batteryreport

Dettagli relativi al Battery Report

Il report generato non è altro che un file html contenente informazioni sulla batteria suddivise in diverse sezioni. Nella prima parte del report vengono visualizzare informazioni generali sul sistema come il nome, il modello, la versione del BIOS, il sistema operativo, se è supportata la modalità Connected Standby (particolare modalità di risparmio energetico) e la data di generazione del report stesso.

FIG 3 - Battery report

Installed batteries

In questa sezione vengono riportate le informazioni sulle batterie installate nel sistema (generalmente ne troveremo solo una) tra cui il nome, il produttore, il numero seriale (se disponibile) e la composizione chimica ma i dati più importanti sono quelli relativi alle voci Design Capacity, Full Charge Capacity e Cycle count che rappresentano la capacità originale (di progettazione) della batteria, la sua capacità attuale e i cicli di ricarica a cui è stata sottoposta. Dalla FIG 4 è possibile vedere che la batteria analizzata è stata sottoposta a 374 cicli di ricarica, che la sua capacità originaria era di 37mWh mentre l'attuale capacità massima è di 33 mWh (valore destinato a scendere ulteriormente con l'usura della batteria e con l'aumentare delle ricariche effettuate). 

FIG 4 - Battery report, Installed batteries

Recent usage
Nella sezione Recent usage vengono visualizzati i dati relativi allo stato e all'utilizzo della batteria negli ultimi 3 giorni. É possibile vedere quando il dispositivo è stato acceso/sospeso e la quantità di carica rimanente ogni volta permettendoci di capire il consumo dopo ogni utilizzo.

FIG 5 - Battery report, Recent usage

Battery usage
La sezione Battery usage mostra, tramite l'utilizzo di un grafico, le informazioni già viste nella sezione Recent usage. Anche in questo caso il grafico fa riferimento agli ultimi 3 giorni di utilizzo.

FIG 6 - Battery report, Battery usage

Usage History
In Usage History è possibile verificare per quanto tempo il dispositivo è stato usato alimentato dalla batteria e per quanto tempo è stato usato collegato alla rete elettrica.

FIG 7 - Battery report, Usage History

Battery capacity history
Questa sezione è utile per visualizzare come la capacità massima della batteria decresce nel tempo. Le statistiche partono dall'installazione di Windows 8/10 sul PC.

FIG 8 - Battery report, Battery capacity history

Battery life estimates
In Battery life estimates viene visualizzata la durata massima della batteria. In particolare nell'ultima riga, mostrata in FIG 10, viene indicata l'autonomia della batteria in origine (quando è stato installato il sistema operativo Windows 8/10) e l'attuale autonomia massima. In questo caso si evince che l'autonomia è diminuita di circa 13 min.

FIG 9 - Battery report, Battery life estimates

FIG 10 - Battery report, Battery current estimate

Tutte queste informazioni presenti nel report sono utili per farsi un'idea sullo stato di salute della batteria e capire quando è arrivato il momento di sostituirla.

Windows Quick Tip: Cambiare la directory di default del Prompt dei Comandi

Quando da Windows viene aperto il prompt dei comandi, la cartella di default è /users/<nome_utente> (o /Documents and Settings/<nome_utente> per Windows XP e antecedenti).

FIG 1 - Directory di default del Prompt dei Comandi

Per chi utilizza frequentemente il Prompt dei Comandi può far comodo modificare il percorso di default. Per farlo è possibile agire tramite il registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su 
  HKEY_CURRENT_USER\Software\Microsoft\Command Processor
• Creare un valore Stringa, rinominarlo in Autorun e assegnargli il seguente valore
  CD /d C:\Windows\System32
  ovviamente sostituendo C:\Windows\System32 con il percorso della directory desiderata
  
  

  

  FIG 2 - Modifica della directory di default del Prompt dei Comandi

La modifica sarà subito attiva e non necessita del riavvio del sistema o la disconnessione/riconnessione dell'utente. All'interno del valore Autorun è possibile anche richiamare un file come ad es. un file Batch (.BAT) contenente una serie di comandi da eseguire all'avvio del Prompt.

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

• Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
• Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
  

  

  FIG 1 - Sezione Avvio da Gestione attività

• Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
• Accettare la licenza
  
  

  

  FIG 2 - Licenza Decrypter for Apocalypse

• Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.
  
  

  

  FIG 3 - Emsisoft Decrypter for Apocalypse

• Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.

Windows Quick Tip: Analizzare la velocità dei browser

La velocità di navigazione in Internet non dipende solo dalla velocità e qualità della connessione ma è influenzata da numerosi fattori: prestazioni del PC, browser utilizzato e relativo motore di rendering, plug-in installati, personalizzazioni effettuate, codice sorgente della pagina, ecc.
Per valutare la velocità del proprio browser e per verificare quanto incide sulle prestazioni un determinato plug-in o personalizzazione è possibile utilizzare uno dei tanti servizi online.
Uno dei servizi che è possibile utilizzare allo scopo è SunSpider: un benchmark in Javascript realizzato da WebKit. Il benchmark è in parte superato per valutare le reali prestazioni del motore di rendering ma fornisce alcune utili funzioni per confrontare i risultati dei vari test permettendoci di discriminare l'elemento che rallenta il nostro browser.
Per eseguire il benchmark raggiungere il seguente indirizzo https://webkit.org/perf/sunspider/sunspider.html e cliccare sul link Start Now!
Dopo pochi secondi verranno visualizzati i risultati e un indirizzo URL lunghissimo che è possibile salvare per effettuare un confronto con test successivi. All'interno della stessa pagina dei risultati, infatti, è presente un campo in cui è possibile incollare l'indirizzo URL di un test precedente ed effettuare un confronto immediato tra i risultati (FIG. 2).

FIG 1 - SunSpider risultati test

FIG 2 - Sunspider, confrontare i risultati dei test