6:36
8/11/2009

Jeden klucz z wielu komputerów

Informacja przydatna zwłaszcza dla tych z Was, którzy zajmują się IT Forensic, czyli tzw. kryminalistyką informatyczną. Często zachodzi potrzeba sprawdzenia, na którym z firmowych komputerów został użyty konkretny pendrive. Najprościej oczywiście sprawdzić odpowiedni klucz w rejestrze Windows — jak jednak zrobić to szybko na wszystkich komputerach z firmowej sieci, bez biegania od pokoju do pokoju?

Log parser

Skorzystaj z programu Log Parser. Dla każdego klucza rejestru, który chcesz pobrać, stwórz odpowiedni skrypt, wg wzoru poniżej:

SELECT TOP 1000
ComputerName,
Path,
KeyName,
ValueName,
ValueType,
Value,
LastWriteTime
INTO *-MountedDevices.csv
FROM \\%NAME%\HKLM\SYSTEM\MountedDevices
ORDER BY ValueName DESC

Dla przypomnienia, klucze, które mogą w tym przypadku być interesujące to:

\HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
\HKLM\SYSTEM\ControlSet001\Enum\USB
\HKLM\SYSTEM\MountedDevices
\HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

A następnie dla każdego hosta w sieci, odpal LogParsera z odpowiednimi parametrami:

logparser file:TWOJ_SKRYPT.sql?name=HostPierwszy

Jako wynik, otrzymasz plik .csv: HostPierwszy.network.local-MountedDevices.csv, zawierający wartości wybranego klucza dla wybranego komputera.

P.S. Dave Kleiman udostępnia na swojej stronie więcej przykładowych skryptów dla LogParsera.

Przeczytaj także:



2 komentarzy

Dodaj komentarz
  1. Dzieki! Akurat mam potrzebę sprawdzenia czegoś takiego

  2. U mnie działa tylko lokalnie, przy skanowaniu innego hosta w sieci wyskakuje info odmowa dostępu już na pierwszym kluczu, domyślam się że ma to związek albo z uprawnieniami na poszczególne hosty bądź też z dostępem. Czy Log parser ma opcje podłączenia do hosta poprzez podanie hasła i usera tak jak to się odbywa w poleceniu “net use” bo się nie natknąłem.
    pozdro

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: