2. Wat is PowerShell
Windows PowerShell™ is een objectgeörienteerde shell- en scripttaal met directe toegang tot:
● .NET framework
● COM objecten
● Windows Management Instrumentation (WMI)
● Windows register
● Windows eventlogs
● Filesystem
Met PowerShell kunnen taken worden uitgevoerd op zowel lokale als remote Windows
systemen.
PowerShell is standaard aanwezig in Windows 7 en Windows Server 2008.
Voor oudere systemen kan PowerShell gratis worden gedownload.
4. Eventlogs
Eventlogs
Vanaf Windows Vista een uitbreiding van het aantal eventlogs:
Get-WinEvent -listlog *
Voorbeeld: Windows aan en uit
get-winevent | where {$_.id -eq 6005} | fl
get-winevent | where {$_.id -eq 6006} | fl
Uitleg over de diverse codes is te vinden op www.eventid.net
5. WMI
WMI staat voor Windows Management Instrumentation. WMI is een database die op
iedere Windows computer aanwezig is (sinds Windows NT). In deze database staat
informatie over de computer zelf, zoals de hoeveelheid geheugen, het type videokaart,
de laatste updates en welke software is geïnstalleerd. Vrijwel alle gegevens over hard- en
software is terug te vinden in deze database.
Database
Get-wmiobject -list
Informatie over de HDD
Get-wmiobject win32_diskdrive | select partitions, deviceid, model, @{Expression={
[math]::truncate($_.size/1GB)};Label=”capacity (GB)”}
Partitietabel
Get-wmiobject win32_diskpartition | select name, diskindex, startingoffset, bootable,
blocksize, numberofblocks, @{Expression={[math]::truncate($_.size/1GB)};Label=”
size (GB)”} | FT -auto
6. Windows register
PowerShell heeft directe toegang tot registerhives als:
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER
Voorbeeld:
cd hklm:
dir
Interessante lokaties:
HKLM:systemCurrentControlSetenum
7. Windows register
Voorbeeld
Welke USB datadragers hebben in het systeem gezeten:
cd hklm:systemcurrentcontrolsetenumusbstor
dir
Foreach ($i in dir | foreach {$_.pschildname}) {dir $i | gp | select @{Expression={
$_.psparentpath.substring($_.psparentpath.lastindexof(“”)+1)};Label=”
Device“},FriendlyName}
8. Windows register
Met welke netwerken (bedraad / draadloos) heeft het systeem verbinding gehad:
Interessante registersleutels (vanaf Windows Vista) zijn te vinden in
HKLM:Systemcurrentcontrolsetservicestcpipparametersinterfaces
HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles
Bekijk details van netwerken:
cd HKLM:Systemcurrentcontrolsetservicestcpipparametersinterfaces
dir | gp
10. Windows register
Een uitgebreide logging met betrekking tot draadloze verbindingen (vanaf Windows Vista):
Get-winevent Microsoft-Windows-WLAN-AutoConfig/Operational | FL
Ccleaner en andere antiforensic programma's kunnen deze gegevens niet verwijderen !
12. Filesystem
Blader door de bestanden in het bestandssysteem, inclusief verborgen bestanden:
dir -force -recurse
Voorbeeld: zoek alle jpeg afbeeldingen
dir -force -recurse | where {$_.name -match “jpg”}
Zoek alle bestanden waarin het woord politie voorkomt
dir . -recurse *.* | where {$_ |select-string "politie"}
Zoek nu met unicode encoding
dir . -recurse *.* | where {$_ |select-string -encoding unicode "politie"}
Wat is het verschil ?