【C#】一鍵獲取Windows遠(yuǎn)程桌面RDP登陸日志
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
這個(gè)小工具有點(diǎn)意思,做到了一鍵提取RDP登陸(成功、失敗)日志,省去了我們?cè)谑录幸恍行械牟檎也榭矗瑢?duì)現(xiàn)場(chǎng)勘驗(yàn)有用處。雖然沒(méi)提供源碼,但思路非常明確了,寫(xiě)起來(lái)也不難。就提供作者的Exe程序吧。 作者地址: https://github.com/Adminisme/SharpRDPLog 下載地址:
Exe下載地址: 鏈接:https://pan.baidu.com/s/14Lj08gnUcfcaphI0VwtY9w 提取碼:auao 簡(jiǎn)介
說(shuō)明由于代碼比較簡(jiǎn)單,已經(jīng)編譯了.Net 3.5版本的可執(zhí)行文件,需要的可以直接到releases下載,下面主要分享和提供思路供大家參考。 1、查看本地rdp TCP端口原理:通過(guò)讀取系統(tǒng)注冊(cè)表信息獲取rdp TCP端口。 注冊(cè)表Path: 計(jì)算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 2、導(dǎo)出當(dāng)前用戶(hù)mstsc遠(yuǎn)程登錄服務(wù)器記錄輸出:ip地址:端口 原理:通過(guò)讀取系統(tǒng)注冊(cè)表信息獲取mstsc緩存記錄。 注冊(cè)表Path: 計(jì)算機(jī)\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default 3、導(dǎo)出本地所有用戶(hù)rdp登錄服務(wù)器記錄輸出包括:ip地址、登錄用戶(hù)名 原理:通過(guò)調(diào)用WMI API接口獲取所有當(dāng)前系統(tǒng)所有用戶(hù)的Name、SID,通過(guò)系統(tǒng)注冊(cè)表依次讀取獲取該用戶(hù)登錄記錄,類(lèi)似cmdkey /list功能,區(qū)別于可以導(dǎo)出系統(tǒng)內(nèi)所有用戶(hù)記錄登錄信息。 注冊(cè)表Path: 系統(tǒng)當(dāng)前用戶(hù): 計(jì)算機(jī)\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers 系統(tǒng)全局用戶(hù): 計(jì)算機(jī)\HKEY_USERS\{SID}\SOFTWARE\Microsoft\Terminal Server Client\Servers\ 4、導(dǎo)出服務(wù)器被登錄事件,獲取當(dāng)前服務(wù)器被登錄記錄參考:https://github.com/uknowsec/SharpEventLog? 或訪問(wèn):http://29259.oa22.cn 輸出包括:時(shí)間、源IP地址、域名、用戶(hù)名、是否登錄成功 原理:通過(guò)Win API 獲取windows事件安全日志中ID為4624、4625的事件,提取事件中的關(guān)鍵信息。 Usage:C:\Users\Trim>SharpRDPLog.exe Usage: SharpRDPLog.exe -rdpport #本地RDP端口 SharpRDPLog.exe -rdp_History #當(dāng)前用戶(hù)的mstsc緩存和當(dāng)前用戶(hù)的cmdkey緩存 SharpRDPLog.exe -cmdkey #所有用戶(hù)的cmdkey緩存 SharpRDPLog.exe -4624 #登錄成功事件 SharpRDPLog.exe -4625 #登錄失敗事件 SharpRDPLog.exe -all #全部輸出
該文章在 2025/2/14 15:34:16 編輯過(guò) |
關(guān)鍵字查詢(xún)
相關(guān)文章
正在查詢(xún)... 
|
400 186 1886
