6:36
8/11/2009

Jeden klucz z wielu komputerów

Autor: Piotr Konieczny | Tagi:  

Informacja przydatna zwłaszcza dla tych z Was, którzy zajmują się IT Forensic, czyli tzw. kryminalistyką informatyczną. Często zachodzi potrzeba sprawdzenia, na którym z firmowych komputerów został użyty konkretny pendrive. Najprościej oczywiście sprawdzić odpowiedni klucz w rejestrze Windows — jak jednak zrobić to szybko na wszystkich komputerach z firmowej sieci, bez biegania od pokoju do pokoju?

Log parser

Skorzystaj z programu Log Parser. Dla każdego klucza rejestru, który chcesz pobrać, stwórz odpowiedni skrypt, wg wzoru poniżej:

SELECT TOP 1000
ComputerName,
Path,
KeyName,
ValueName,
ValueType,
Value,
LastWriteTime
INTO *-MountedDevices.csv
FROM \\%NAME%\HKLM\SYSTEM\MountedDevices
ORDER BY ValueName DESC

Dla przypomnienia, klucze, które mogą w tym przypadku być interesujące to:

\HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
\HKLM\SYSTEM\ControlSet001\Enum\USB
\HKLM\SYSTEM\MountedDevices
\HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

A następnie dla każdego hosta w sieci, odpal LogParsera z odpowiednimi parametrami:

logparser file:TWOJ_SKRYPT.sql?name=HostPierwszy

Jako wynik, otrzymasz plik .csv: HostPierwszy.network.local-MountedDevices.csv, zawierający wartości wybranego klucza dla wybranego komputera.

P.S. Dave Kleiman udostępnia na swojej stronie więcej przykładowych skryptów dla LogParsera.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

2 komentarzy

Dodaj komentarz
  1. Michał Wiczyński 2009.11.08 23:13 | # | Reply

    Dzieki! Akurat mam potrzebę sprawdzenia czegoś takiego

  2. Rafal 2010.11.18 11:24 | # | Reply

    U mnie działa tylko lokalnie, przy skanowaniu innego hosta w sieci wyskakuje info odmowa dostępu już na pierwszym kluczu, domyślam się że ma to związek albo z uprawnieniami na poszczególne hosty bądź też z dostępem. Czy Log parser ma opcje podłączenia do hosta poprzez podanie hasła i usera tak jak to się odbywa w poleceniu “net use” bo się nie natknąłem.
    pozdro

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: