[點晴永久免費OA]【C#】一鍵獲取Windows遠程桌面RDP登陸日志
這個小工具有點意思,做到了一鍵提取RDP登陸(成功、失敗)日志,省去了我們在事件中一行行的查找查看,對現(xiàn)場勘驗有用處。雖然沒提供源碼,但思路非常明確了,寫起來也不難。就提供作者的Exe程序吧。 作者地址: https://github.com/Adminisme/SharpRDPLog Exe下載地: 鏈接:https://pan.baidu.com/s/14Lj08gnUcfcaphI0VwtY9w 提取碼:auao 簡介
說明由于代碼比較簡單,已經(jīng)編譯了.Net 3.5版本的可執(zhí)行文件,需要的可以直接到releases下載,下面主要分享和提供思路供大家參考。 1、查看本地rdp TCP端口原理:通過讀取系統(tǒng)注冊表信息獲取rdp TCP端口。 注冊表Path: 計算機\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 2、導出當前用戶mstsc遠程登錄服務器記錄輸出:ip地址:端口 原理:通過讀取系統(tǒng)注冊表信息獲取mstsc緩存記錄。 注冊表Path: 計算機\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default 3、導出本地所有用戶rdp登錄服務器記錄輸出包括:ip地址、登錄用戶名 原理:通過調(diào)用WMI API接口獲取所有當前系統(tǒng)所有用戶的Name、SID,通過系統(tǒng)注冊表依次讀取獲取該用戶登錄記錄,類似cmdkey /list功能,區(qū)別于可以導出系統(tǒng)內(nèi)所有用戶記錄登錄信息。 注冊表Path: 系統(tǒng)當前用戶: 計算機\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers 系統(tǒng)全局用戶: 計算機\HKEY_USERS\{SID}\SOFTWARE\Microsoft\Terminal Server Client\Servers\ 4、導出服務器被登錄事件,獲取當前服務器被登錄記錄參考:https://github.com/uknowsec/SharpEventLog 輸出包括:時間、源IP地址、域名、用戶名 原理:通過Win API 獲取windows事件安全日志中ID為4624、4625的事件,提取事件中的關鍵信息。 Usage:C:\Users\Trim>SharpRDPLog.exe Usage: SharpRDPLog.exe -rdpport #本地RDP端口 SharpRDPLog.exe -rdp_History #當前用戶的mstsc緩存和當前用戶的cmdkey緩存 SharpRDPLog.exe -cmdkey #所有用戶的cmdkey緩存 SharpRDPLog.exe -4624 #登錄成功事件 SharpRDPLog.exe -4625 #登錄失敗事件 SharpRDPLog.exe -all #全部輸出
該文章在 2024/7/2 10:18:20 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
