6:36
8/11/2009

Informacja przydatna zwłaszcza dla tych z Was, którzy zajmują się IT Forensic, czyli tzw. kryminalistyką informatyczną. Często zachodzi potrzeba sprawdzenia, na którym z firmowych komputerów został użyty konkretny pendrive. Najprościej oczywiście sprawdzić odpowiedni klucz w rejestrze Windows — jak jednak zrobić to szybko na wszystkich komputerach z firmowej sieci, bez biegania od pokoju do pokoju?

Log parser

Skorzystaj z programu Log Parser. Dla każdego klucza rejestru, który chcesz pobrać, stwórz odpowiedni skrypt, wg wzoru poniżej:

SELECT TOP 1000
ComputerName,
Path,
KeyName,
ValueName,
ValueType,
Value,
LastWriteTime
INTO *-MountedDevices.csv
FROM \\%NAME%\HKLM\SYSTEM\MountedDevices
ORDER BY ValueName DESC

Dla przypomnienia, klucze, które mogą w tym przypadku być interesujące to:

\HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
\HKLM\SYSTEM\ControlSet001\Enum\USB
\HKLM\SYSTEM\MountedDevices
\HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

A następnie dla każdego hosta w sieci, odpal LogParsera z odpowiednimi parametrami:

logparser file:TWOJ_SKRYPT.sql?name=HostPierwszy

Jako wynik, otrzymasz plik .csv: HostPierwszy.network.local-MountedDevices.csv, zawierający wartości wybranego klucza dla wybranego komputera.

P.S. Dave Kleiman udostępnia na swojej stronie więcej przykładowych skryptów dla LogParsera.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

2 komentarzy

Dodaj komentarz
  1. Dzieki! Akurat mam potrzebę sprawdzenia czegoś takiego

  2. U mnie działa tylko lokalnie, przy skanowaniu innego hosta w sieci wyskakuje info odmowa dostępu już na pierwszym kluczu, domyślam się że ma to związek albo z uprawnieniami na poszczególne hosty bądź też z dostępem. Czy Log parser ma opcje podłączenia do hosta poprzez podanie hasła i usera tak jak to się odbywa w poleceniu “net use” bo się nie natknąłem.
    pozdro

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: