Toon posts:

Installatie tracking tool

Pagina: 1
Acties:

woensdag 28 februari 2018 13:23

Acties:
  • 0 Henk 'm!
  • Slavy
  • Registratie: December 2007
  • Niet online

Slavy

The War Drags Ever On!

Topicstarter
Ola,

Dit keer zoek ik zelf hulp. Ik ben op zoek naar een stukje software die kan monitoren op welke plekken een installatie zijn bestanden/regedits wegschrijft.

Ik wil dit weten omdat ik bepaalde installaties of creaties van bepaalde mappen wilt tegenhouden. Niet elke installer laat een .log achter met zijn werkzaamheden en Event Viewer laat ook niet alles zien.

Ik had al reeds zelf gezocht op het internet naar "monitoring/tracking/tracing/logging" software, maar krijg in eerste instantie alleen maar schunnige softpedia look-a-like sites of "wij van wc eend" software voorgeschoteld.

Iemand die hier ervaring mee heeft? :)

Come hear the moon is calling, The witching hour draws near, Hold fast the sacrifice, For now it's the time to die, All hell breaks loose, WITCHING HOUR!

woensdag 28 februari 2018 13:27

Acties:
  • +1 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

En waarom voldoet de optie van WCEend niet?

woensdag 28 februari 2018 13:29

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

https://help.res.com/Work...rAdminGuide2014/20287.htm (alhoewel uitgefaseerd).

SCCM kan het ook detecteren door een query/collection te maken op basis van "wat heeft de admin gedeployed" vs. "wat detecteer ik op een werkstation".

Hoor soms ook wel verhalen over "Netwrix Auditor" alhoewel ik er geen ervaring mee heb.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

#
# Generates a full list of installed programs.
#

# Temporary auxiliar file.
$tmpFile = "tmp.txt"

# File that will hold the programs list.
$fileName = "programas-instalados.txt"

# Columns separator.
$separator = ","

# Delete previous files.
Remove-Item $tmpFile
Remove-Item $fileName

# Creates the temporary file.
Create-Item $tmpFile

# Searchs register for programs - part 1
$loc = Get-ChildItem HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall
$names = $loc |foreach-object {Get-ItemProperty $_.PsPath}
foreach ($name in $names)
{
    IF(-Not [string]::IsNullOrEmpty($name.DisplayName)) {      
        $line = $name.DisplayName+$separator+$name.DisplayVersion+$separator+$name.InstallDate
        Write-Host $line
        Add-Content $tmpFile "$line`n"        
    }
}

# Searchs register for programs - part 2
$loc = Get-ChildItem HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
$names = $loc |foreach-object {Get-ItemProperty $_.PsPath}
foreach ($name in $names)
{
    IF(-Not [string]::IsNullOrEmpty($name.DisplayName)) {      
        $line = $name.DisplayName+$separator+$name.DisplayVersion+$separator+$name.InstallDate
        Write-Host $line
        Add-Content $tmpFile "$line`n"
    }
}

# Sorts the result, removes duplicate lines and
# generates the final file.
gc $tmpFile | sort | get-unique > $filename

En hier een PowerShell om zelfstandig wat te grutten.

En nu de grootste humor; ondanks dat ik je posts wel kan waarderen, in dit geval van de topicstart mis ik "welk OS" ;)

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 28 februari 2018 13:37

Acties:
  • +1 Henk 'm!
  • Slavy
  • Registratie: December 2007
  • Niet online

Slavy

The War Drags Ever On!

Topicstarter
CH4OS schreef op woensdag 28 februari 2018 @ 13:27:
En waarom voldoet de optie van WCEend niet?
Degene die ik tegenkwam was shareware en wilde ook een "tracking service" op je PC installeren? Vond de term "tracking service" nogal dubieus.

@MAX3400 Ik zou willen dat we hier RES hadden of SCCM. Ga er maar vanuit dat ik dit eerst op een lokale desktop moet knallen en daar vanuit de info moet halen. Netwrix Auditor zag ik ook maar die is voornamelijk voor servers en laat voornamelijk zien "wie het heeft geinstalleerd", eigenlijk de concrete info die je altijd mist in "App & Programs" van Windows.

Come hear the moon is calling, The witching hour draws near, Hold fast the sacrifice, For now it's the time to die, All hell breaks loose, WITCHING HOUR!

woensdag 28 februari 2018 13:38

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Slavy schreef op woensdag 28 februari 2018 @ 13:37:
[...]
...eigenlijk de concrete info die je altijd mist in "App & Programs" van Windows.
Alles wat je daar ziet (GUI dus), staat in het register.

Als je tijd hebt; trap dat Powershell-script eens af op een PC waarvan je denkt dat 'ie "vervuild" is :)

/edit:
nog een stukje code; uitvoeren vanaf een administrative command prompt
code:
1
2

wmic
/node:<computername> product get name, version, vendor

[ Voor 17% gewijzigd door MAX3400 op 28-02-2018 13:43 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 28 februari 2018 13:46

Acties:
  • 0 Henk 'm!
  • Slavy
  • Registratie: December 2007
  • Niet online

Slavy

The War Drags Ever On!

Topicstarter
@MAX3400 File Test.ps1 cannot be loaded because the execution of scripts is disabled on this system. Please see "get-help about_signing" for more details.

FML :') ook als Domain Admin aftrappen maakt natuurlijk geen verschil. Ga wel even navragen waarom dat ook op mijn machine aan staat, kan dat nu niet direct aanpassen gezien er geen directe collega is (lees: zit pas een kleine 3 weken op deze functie).

Heb je een voorbeeld van uitkomst wat de machine laat zien? Leest hij dan ook je gehele folderstructuur door (Appdata en dat soort dingen)

Nog andere tips?

Edit: Machines zijn nog niet "vervuild", ik wil voorkomen dat er vervuiling op gaat komen door bepaalde regedits/mappen creaties te blokkeren. :)

[ Voor 17% gewijzigd door Slavy op 28-02-2018 13:48 ]

Come hear the moon is calling, The witching hour draws near, Hold fast the sacrifice, For now it's the time to die, All hell breaks loose, WITCHING HOUR!

woensdag 28 februari 2018 13:58

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

@Slavy DM

Blokkeren van meuk; eventueel de regkeys uit de PowerShell-code een keertje "testen" door beperkte permissies voor mensen in te stellen alsmede op de subkeys.

En anders even een bergje met bekende executables doorvoeren in GPO?
computer configuration-> windows settings->security settings->software restriction policies

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zaterdag 19 januari 2019 04:57

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 00:24

sh4d0wman

Attack | Exploit | Pwn

Ik kwam toevallig dit topic tegen dus zal nog een paar tips geven mocht iemand in de toekomst iets soortgelijks willen doen:

Zet een test-VM op om je software in te installeren.

Tijdens installatie moet je Process Monitor mee laten draaien en een logfile op laten slaan.
Vervolgens kun je filteren op dir/file operations en/of registry entries welke door de software gedaan zijn.

Link: https://docs.microsoft.co...ternals/downloads/procmon

Een andere optie is het gebruik van Microsoft - Attack Surface Analyzer:
Hiermee dien je eerst een baseline snapshot te maken. Daarna installeer je de software en maak je een nieuw snapshot. Beiden kun je automatisch laten vergelijken en dan zie je nieuwe directories, drivers, file-associations, etc.

Link: https://www.microsoft.com...oad/details.aspx?id=24487

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq