• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Какой был публичный IP-адрес устройства с Windows 10?

Статья не моя ( )
Иногда ставится вопрос о том какой публичный IP адрес использовался в системе.
Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):
это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.

В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь:

Версия ОСПуть по умолчаниюИмя файла
Win10 (1507)C:\Windows\Logs\dosvcdosvc.\d*.\d.etl
(e.g. dosvc.1377765.1.etl)
Win10 (1709/1803)C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\DeliveryOptimization\Logsdosvc.yyyyMMdd_HHmmss_\d*.etl
(e.g. dosvc.20181111_180339_399.etl)

Можно эти данные получить в удобоваримом виде при помощи: Get-DoSvcExternalIP.ps1 или ETLParser
ETLParser создаст два файла: "CASENAME_Parsed_ETL.csv", "CASENAME_ETL.sqlite".
CASENAME_ETL.sqlite из себя представляет набор данных (ниже PrtSC с введённым в поле Payload значением ExternalIpAddress) в данной информации мы и увидим публичный IP
CASENAME_ETL_sqlite.jpg


Также покажу как это выглядит при поиске в FTK
ELT_AccessData.jpg


Так же можно сделать запрос в запущенной ОС
Код:
Get-DeliveryOptimizationLog | Where-Object Message -Like "*ExternalIpAddress*"
в ответ получим такой вывод
PowerShellELT.jpg
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
А в linux системах можно посмотреть?
Служба то виндовая, а с линуксом нужно разбираться и смотреть, хотя первым делом нужно провести [Шпаргалка] Разведка и аудит сервера

Не совсем понимаю применимость. Это история адресов выданных адаптеру?
Это не совсем так это какой именно публичный адрес был использован текущей системой (даже если был за NAT или PROXY)
Человек провел не хорошую деятельность или использовал VPN в системе, то можно привязать IP адрес этого устройства (ПК)

Эвона как! А пацаны-то и не знают!
На самом деле работает. Но если я правильно понимаю, то служба оптимизации доставки - это какой-то внутренний виндовый механизм, используемый для распределенного обновления (есть такая фича в вин10, когда можно обновляться с близлежащих компов без всяких WSUS)? Если да, то отключение такой возможности убивает логирование?
Нет, проверял все равно WSUS лезет на свои сервера и просто обновой и туда пишет информацию, а вот с какой периодичностью это не ясно
 
  • Нравится
Реакции: Semen Semenov и TROOPY

acyp_arkitekt

New member
07.04.2017
2
0
BIT
0
Не совсем понимаю применимость. Это история адресов выданных адаптеру?

Это не совсем так это какой именно публичный адрес был использован текущей системой (даже если был за NAT или PROXY)
Человек провел не хорошую деятельность или использовал VPN в системе, то можно привязать IP адрес этого устройства (ПК)
Эвона как! А пацаны-то и не знают!
На самом деле работает. Но если я правильно понимаю, то служба оптимизации доставки - это какой-то внутренний виндовый механизм, используемый для распределенного обновления (есть такая фича в вин10, когда можно обновляться с близлежащих компов без всяких WSUS)? Если да, то отключение такой возможности убивает логирование?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!