Добро пожаловать на сайт команды WST!
Текущее время: 23 фев 2018, 08:22

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 07 янв 2014, 07:39 
Не в сети
Друзья WST
Аватара пользователя
Комментарии: 0

Зарегистрирован: 09 апр 2011, 22:53
Сообщения: 277
Откуда: "К"
Батник для очистки рабочей ОС , особенно актуален в аудите

Изображение


N-ое время назад получен от xalex и предназначался для Win7 , но и гомика чистит .
Редактируйте-дополняйте под себя .


Вложения:
sb.7z [1.24 КБ]
Скачиваний: 610

_________________
"Проект" закрыт
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 09 янв 2014, 22:00 
Не в сети
Аватара пользователя
Комментарии: 0

Зарегистрирован: 30 сен 2011, 18:40
Сообщения: 58
Всем привет!
Если кто знает, подскажите как с папки Winlogon по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в реестре можно считать данные :
дата и число последнего не удачного запуска компьютера
дата и число последней остановки компьютера
дата и число последнего запуска винды
дата и число последнего выхода из винды

Очень нужно, если кто знает, помогите
Спасибо!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 09 янв 2014, 22:44 
Не в сети
Друзья WST
Аватара пользователя
Комментарии: 0

Зарегистрирован: 09 апр 2011, 22:53
Сообщения: 277
Откуда: "К"
Если я правильно понял , то изначально должна быть включена служба сборщика событий Windows , и смотреть :
Изображение

_________________
"Проект" закрыт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 09 янв 2014, 23:47 
Не в сети
Аватара пользователя
Комментарии: 0

Зарегистрирован: 30 сен 2011, 18:40
Сообщения: 58
ded-1900
Спасибо за ответ!
но я хотел бы узнать в какой именно файл собирается эта инфа
и можно ли этот файл дернуть из винды с постороннего диска подключенного через USB
для того, чтобы потом считать данные о которых писал выше.
Или же может другим каким способом можно добыть эту инфу из диска подключенного через USB
Спасибо!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 10 янв 2014, 00:00 
Не в сети
Друзья WST
Аватара пользователя
Комментарии: 0

Зарегистрирован: 09 апр 2011, 22:53
Сообщения: 277
Откуда: "К"
inalka писал(а):
но я хотел бы узнать в какой именно файл собирается эта инфа

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

oszone

можно ли считать сторонний - думаю возможно ,
выдернуть - не проблема ,
открывать так-же в "просмотор событий" (кликай по файлу)
может быть и идентификатор(пользователь-админ, или т.п.) , тогда не прокатит . (хотя ,если стать владельцем файла -?!?!?!)
извини не пробовал :-): .

_________________
"Проект" закрыт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 10 янв 2014, 01:20 
Не в сети
Аватара пользователя
Комментарии: 0

Зарегистрирован: 30 сен 2011, 18:40
Сообщения: 58
Спасибо ded-1900!
взгляни на скрин я имел ввиду
как расшифровать эти цыфры
особенно REG_DWORD они вроде как отвечают за даты и время
Изображение


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 10 янв 2014, 01:42 
Не в сети
Друзья WST
Аватара пользователя
Комментарии: 0

Зарегистрирован: 09 апр 2011, 22:53
Сообщения: 277
Откуда: "К"
нет , это значение пар-ов :
ForceUnlockLogon - блокировка учетной записи .
ShutdownWithoutLogon -будет ли в диалоговом окне входа в систему отображаться кнопка завершения работы.
и т.д. т.п. .
по умолчанию они у всех одинаковые .

_________________
"Проект" закрыт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 10 янв 2014, 01:58 
Не в сети
Аватара пользователя
Комментарии: 0

Зарегистрирован: 30 сен 2011, 18:40
Сообщения: 58
ded-1900
то есть таких данных как
дата и число последнего не удачного запуска компьютера
дата и число последней остановки компьютера
дата и число последнего запуска винды
дата и число последнего выхода из винды
по этому пути нету?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 10 янв 2014, 07:18 
Не в сети
Друзья WST
Аватара пользователя
Комментарии: 0

Зарегистрирован: 09 апр 2011, 22:53
Сообщения: 277
Откуда: "К"
почему-же , есть , но не в реестре , я же писал :

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

в этом файле и смотри
только не помню что именно из перечисленного тобой записывается в журнал (я отключаю)

REG_DWORD - используется как логический флаг , и иметь значение да или нет (1 или 0)
т.е. грубо говоря включить или отключить
почему ты ищешь в реестре , и хочешь расшифровать параметры REG_DWORD ?!
причём здесь реестр ?!


в реестре хранится только последняя удачная конфигурация
Это параметр загрузки Windows, использующий последние настройки системы, которые работали надлежащим образом. При каждом выключении компьютера и успешном завершении работы Windows важные системные параметры сохраняются в реестре. Эти параметры можно использовать для запуска компьютера в случае возникновения неполадки. Например, если новый драйвер для видеоадаптера вызывает неполадки или неправильный параметр реестра препятствует надлежащему запуску Windows, компьютер можно перезагрузить, используя последнюю удачную конфигурацию.

_________________
"Проект" закрыт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Батник для очистки рабочей ОС , особенно актуален в аудите
СообщениеДобавлено: 10 янв 2014, 15:30 
Не в сети
Аватара пользователя
Комментарии: 0

Зарегистрирован: 30 сен 2011, 18:40
Сообщения: 58
ded-1900 писал(а):

в реестре хранится только последняя удачная конфигурация

вот ее я и ищю! если знаешь подскажи в какой ветке реестра , или в каком файле эта инфа


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
ppkBB3cker v.2 © 2008-2011 @ PPK | Icon Theme by Everaldo.com Design Studio
Русская поддержка phpBB
Ресурс не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы незамедлительно удалим её. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несёт ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!
Яндекс.Метрика