Статья Какой был публичный IP-адрес устройства с Windows 10?

Статья не моя (

Ссылка скрыта от гостей

)
Иногда ставится вопрос о том какой публичный IP адрес использовался в системе.
Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):

Оптимизация доставки

это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.

В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь:

Версия ОС	Путь по умолчанию	Имя файла
Win10 (1507)	C:\Windows\Logs\dosvc	dosvc.\d*.\d.etl (e.g. dosvc.1377765.1.etl)
Win10 (1709/1803)	C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\DeliveryOptimization\Logs	dosvc.yyyyMMdd_HHmmss_\d*.etl (e.g. dosvc.20181111_180339_399.etl)

Можно эти данные получить в удобоваримом виде при помощи: Get-DoSvcExternalIP.ps1 или ETLParser
ETLParser создаст два файла: "CASENAME_Parsed_ETL.csv", "CASENAME_ETL.sqlite".
CASENAME_ETL.sqlite из себя представляет набор данных (ниже PrtSC с введённым в поле Payload значением ExternalIpAddress) в данной информации мы и увидим публичный IP

Также покажу как это выглядит при поиске в FTK

Так же можно сделать запрос в запущенной ОС

Get-DeliveryOptimizationLog | Where-Object Message -Like "*ExternalIpAddress*"

в ответ получим такой вывод

 

[TROOPY]

А в linux системах можно посмотреть?

 

[Sunnych]

А в linux системах можно посмотреть?

Служба то виндовая, а с линуксом нужно разбираться и смотреть, хотя первым делом нужно провести [Шпаргалка] Разведка и аудит сервера

Не совсем понимаю применимость. Это история адресов выданных адаптеру?

Это не совсем так это какой именно публичный адрес был использован текущей системой (даже если был за NAT или PROXY)
Человек провел не хорошую деятельность или использовал VPN в системе, то можно привязать IP адрес этого устройства (ПК)

Эвона как! А пацаны-то и не знают!
На самом деле работает. Но если я правильно понимаю, то служба оптимизации доставки - это какой-то внутренний виндовый механизм, используемый для распределенного обновления (есть такая фича в вин10, когда можно обновляться с близлежащих компов без всяких WSUS)? Если да, то отключение такой возможности убивает логирование?

Нет, проверял все равно WSUS лезет на свои сервера и просто обновой и туда пишет информацию, а вот с какой периодичностью это не ясно

 

[acyp_arkitekt]

Не совсем понимаю применимость. Это история адресов выданных адаптеру?

Это не совсем так это какой именно публичный адрес был использован текущей системой (даже если был за NAT или PROXY)
Человек провел не хорошую деятельность или использовал VPN в системе, то можно привязать IP адрес этого устройства (ПК)

Эвона как! А пацаны-то и не знают!
На самом деле работает. Но если я правильно понимаю, то служба оптимизации доставки - это какой-то внутренний виндовый механизм, используемый для распределенного обновления (есть такая фича в вин10, когда можно обновляться с близлежащих компов без всяких WSUS)? Если да, то отключение такой возможности убивает логирование?