Kategorieauswahl

Analyse

XML-Abfrage Ereignisanzeige

Die Filter für die Windows Ereignisanzeige (Eventlog) sind sehr mächtig geworden. Mit den standard Optionen in der grafischen Oberfläche kann man schon viel machen, aber leider nicht im Nachrichtentext filtern. Das geht auch mit XML Abfragen. Klicken Sie dazu zunächst einmal auf ein ähnliches Ereignis und klicken Sie dort die Detailansicht an. Dort wählen Sie XML View:

Dann erstellen Sie einen benutzerdefinierten Filter und wählen dort den Reiter XML. Setzen Sie das Häkchen bei Abfrage manuell bearbeiten. Wenn Sie bereits bei Filter Reiter Einstellungen gemacht haben, sind diese auch schon im XML hier vordefiniert. Haben Sie z.B. das Anwendungslog ausgewählt steht dort:
<QueryList>
<Query Id=“0″ Path=“Application“>
<Select Path=“Application“>*</Select>
</Query>
</QueryList>
Oben habe ich Sie den XML-View auswählen lassen. Warum? Dort sehen Sie, wie die jeweiligen Felder nach denen Sie suchen können benannt sind. Um nun also z.B. nach dem Benutzernamen zu suchen ergänzen Sie die XML Zeilen wie folgt:
<QueryList>
Id=“0″ Path=“Security“>
<Select Path=“Security“>*</Select>
*[EventData[Data[@Name=‘TargetUserName‚] and (Data=‘s‚)]]
</Select>
</Query>
</QueryList>

Selbstverständlich dürfen Sie das gerne weiter verkomplizieren:
*[EventData[Data[@Name=’SubjectUserName‘] and (Data=’abc‘ or Data=’123’)]]
Dies würde alle mit der Angabe abc oder 123 finden bei UserName finden.

Möchten Sie in mehreren Logs suchen:
<Select Path=“Security“>*[System[(EventID=’1234′)]]</Select>
<Select Path=“Application“>*[System[(EventID=’4321′)]]</Select>
Würde alle Ereignisse aus dem Eventlog Security mit der ID 1234 und alle Ereignisse aus dem Applicationlog mit der ID 4321 anzeigen.

Um die Filter in der PowerShell zu nutzen können Sie die XML-Abfrage genauso in einen String schreiben und mit Get-WinEvent abfragen:
$Query=@“
<QueryList>
Id=“0″ Path=“Security“>
<Select Path=“Security“>
*[EventData[Data[@Name=’TargetUserName‘] and (Data=’s‘)]]
</Select>
</Query>
</QueryList>
„@
$Evts=Get-WinEvent -log Security -FilterXPath $Query -maxevents 1000

Systeminformationen von Windows auslesen

Mit der Freeware CW-Systeminfo können Sie viele Informationen Ihres Windows-Systems in Erfahrung bringen. Dazu zählen, CPU, Speicher, BIOS, aber auch z.B. den Windows Produkt-Key im Klartext u.v.a.m.

Password Recovery

Cain&Abel ist ein Password Recovery Tool mit dem man vergessene Passwörter unter Windows knacken kann. Kennwörter können also wiederhergestellt werden. Genauso gut kann man es natürlich auch auf der dunklen Seite der Macht einsetzen. Aber Vorsicht!!! Das ist strafbar!!!

Programme oder Program Files?

Seit Windows Vista, macht NTFS schon recht seltsame Dinge. Wenn man so ganz normal auf Laufwerk C: schaut, stellt man fest, dass es dort einen Ordner Benutzer gibt. Stellt man unter Extras/Ordneroptionen auch versteckte und Systemdateien zur Anzeige ein, tauchen auf einmal auch Dokumente und Einstellungen und Dokuments and Settings auf, die früheren Speicherorte für Benutzerprofile. Besonders lustig wird es, wenn man dann eine Kommandozeile auf macht und dir auf Laufwerk C: eintippt, denn dann nennt sich der Ordner wieder anders nämlich Users. Ich glaube dämlicher hätten Sie es wirklich nicht anfangen können!

Zum Teil ist dafür die desktop.ini im jeweiligen Verzeichnis verantwortlich. Die sieht man natürlich auch erst, wenn man System und versteckte Dateien anzeigen lässt. Benennen Sie die Datei doch einfach (voller Admin notwendig) einmal um und schauen Sie wie sich der Ordner dann auch in der normalen Ansicht repräsentiert. Ist die Datei versehentlich gelöscht worden, können Sie einfach auf einem anderen System mit einem Texteditor schauen was da normaler Weise drin steht und erneut auf dem System mit der fehlenden desktop.ini ein solche anlegen oder einfach rüber kopieren. Das weckt natürlich Begehrlichkeiten da nun selbst drin rum zu basteln…tun Sie’s nicht – es sei denn Sie wollen einen Kollegen vernichten ;-).

Debugger

Einen Debugger für Windows auf Assemblerebene gibt es unter http://www.ollydbg.de/. Hiermit kann man laufenden Code analysieren.

Inssider

Inssider ist ein WLAN-Scanner mit detaillierten Diagrammen.

Wirelessnetview

Wirelessnetview gibt detaillierte Informationen zu Funknetzwerken aus.

Zenmap

Zenmap ist eine grafische Oberfläche für den Netzwerkscanner Nmap.