Статья Какой был публичный IP-адрес устройства с Windows 10?

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Статья не моя ( )
Иногда ставится вопрос о том какой публичный IP адрес использовался в системе.
Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):
это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.

В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь:

Версия ОСПуть по умолчаниюИмя файла
Win10 (1507)C:\Windows\Logs\dosvcdosvc.\d*.\d.etl
(e.g. dosvc.1377765.1.etl)
Win10 (1709/1803)C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\DeliveryOptimization\Logsdosvc.yyyyMMdd_HHmmss_\d*.etl
(e.g. dosvc.20181111_180339_399.etl)

Можно эти данные получить в удобоваримом виде при помощи: или
ETLParser создаст два файла: "CASENAME_Parsed_ETL.csv", "CASENAME_ETL.sqlite".
CASENAME_ETL.sqlite из себя представляет набор данных (ниже PrtSC с введённым в поле Payload значением ExternalIpAddress) в данной информации мы и увидим публичный IP
CASENAME_ETL_sqlite.jpg


Также покажу как это выглядит при поиске в FTK
ELT_AccessData.jpg


Так же можно сделать запрос в запущенной ОС
Код:
Get-DeliveryOptimizationLog | Where-Object Message -Like "*ExternalIpAddress*"
в ответ получим такой вывод
PowerShellELT.jpg
 
T

TROOPY

Премиум
16.02.2017
112
96
А в linux системах можно посмотреть?
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
А в linux системах можно посмотреть?
Служба то виндовая, а с линуксом нужно разбираться и смотреть, хотя первым делом нужно провести [Шпаргалка] Разведка и аудит сервера

Не совсем понимаю применимость. Это история адресов выданных адаптеру?
Это не совсем так это какой именно публичный адрес был использован текущей системой (даже если был за NAT или PROXY)
Человек провел не хорошую деятельность или использовал VPN в системе, то можно привязать IP адрес этого устройства (ПК)

Эвона как! А пацаны-то и не знают!
На самом деле работает. Но если я правильно понимаю, то служба оптимизации доставки - это какой-то внутренний виндовый механизм, используемый для распределенного обновления (есть такая фича в вин10, когда можно обновляться с близлежащих компов без всяких WSUS)? Если да, то отключение такой возможности убивает логирование?
Нет, проверял все равно WSUS лезет на свои сервера и просто обновой и туда пишет информацию, а вот с какой периодичностью это не ясно
 
  • Нравится
Реакции: TROOPY
A

acyp_arkitekt

New member
07.04.2017
2
0
Не совсем понимаю применимость. Это история адресов выданных адаптеру?

Это не совсем так это какой именно публичный адрес был использован текущей системой (даже если был за NAT или PROXY)
Человек провел не хорошую деятельность или использовал VPN в системе, то можно привязать IP адрес этого устройства (ПК)
Эвона как! А пацаны-то и не знают!
На самом деле работает. Но если я правильно понимаю, то служба оптимизации доставки - это какой-то внутренний виндовый механизм, используемый для распределенного обновления (есть такая фича в вин10, когда можно обновляться с близлежащих компов без всяких WSUS)? Если да, то отключение такой возможности убивает логирование?
 
Мы в соцсетях: