8/11/2009
Informacja przydatna zwłaszcza dla tych z Was, którzy zajmują się IT Forensic, czyli tzw. kryminalistyką informatyczną. Często zachodzi potrzeba sprawdzenia, na którym z firmowych komputerów został użyty konkretny pendrive. Najprościej oczywiście sprawdzić odpowiedni klucz w rejestrze Windows — jak jednak zrobić to szybko na wszystkich komputerach z firmowej sieci, bez biegania od pokoju do pokoju?
Log parser
Skorzystaj z programu Log Parser. Dla każdego klucza rejestru, który chcesz pobrać, stwórz odpowiedni skrypt, wg wzoru poniżej:
SELECT TOP 1000
ComputerName,
Path,
KeyName,
ValueName,
ValueType,
Value,
LastWriteTime
INTO *-MountedDevices.csv
FROM \\%NAME%\HKLM\SYSTEM\MountedDevices
ORDER BY ValueName DESC
Dla przypomnienia, klucze, które mogą w tym przypadku być interesujące to:
\HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
\HKLM\SYSTEM\ControlSet001\Enum\USB
\HKLM\SYSTEM\MountedDevices
\HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
A następnie dla każdego hosta w sieci, odpal LogParsera z odpowiednimi parametrami:
logparser file:TWOJ_SKRYPT.sql?name=HostPierwszy
Jako wynik, otrzymasz plik .csv: HostPierwszy.network.local-MountedDevices.csv, zawierający wartości wybranego klucza dla wybranego komputera.
P.S. Dave Kleiman udostępnia na swojej stronie więcej przykładowych skryptów dla LogParsera.
Dzieki! Akurat mam potrzebę sprawdzenia czegoś takiego
U mnie działa tylko lokalnie, przy skanowaniu innego hosta w sieci wyskakuje info odmowa dostępu już na pierwszym kluczu, domyślam się że ma to związek albo z uprawnieniami na poszczególne hosty bądź też z dostępem. Czy Log parser ma opcje podłączenia do hosta poprzez podanie hasła i usera tak jak to się odbywa w poleceniu “net use” bo się nie natknąłem.
pozdro