[Windows]Net.exe
공부/Forensics 2012. 7. 16. 20:11 |net session은 외부(remote, foreign)에서 연결한 사용자의 목록을 나타내는 명령이다.
로컬에서 로그온한 사용자 정보를 보여주지 않는 단점이 존재하며, 윈도우 내장 명령어이다.
[Figure 1 - Net Session]
net file은 외부 사용자가 열고있는 파일의 목록을 볼 수 있는 명령어이다.
아래 그림을 통해, 사용자가 ~\abex에 처음 작업을 수행했다가 ~\abex\2에 작업을 수행한 것을 알 수 있다.
하지만, 이게 열고있는 파일이 실행 중인지, 읽고 있는지 등의 정확한 수행을 알 수 없는 단점이 있다.
[Figure 2 - Net File]
Net use는 드라이브 매핑 시 사용되며, 매핑된 드라이브의 정보를 확인할 때도 사용된다.
단, Net use는 어디까지나 '드라이브 매핑'이지 '폴더 매핑'이 아니기 때문에, 공유 폴더의 경우엔 드라이브 명을 할당 받을 수 없고 UNC로만 접근이 가능하다.
[Figure 3 - Net Use]
또, 컴퓨터가 부팅된 이후에 접근했던 다른 컴퓨터의 모든 공유 폴더 목록을 확인하려면
HKLM\SYSTEM\CurrentControlSet\Services\Lanmanserver\Share 레지스트리에서 확인이 가능하다.
'공부 > Forensics' 카테고리의 다른 글
[Sysinternals]Psfile.exe (0) | 2012.07.17 |
---|---|
[Sysinternals]Psloggedon.exe (0) | 2012.07.16 |
[Sysinternals]ListDlls.exe (0) | 2012.07.16 |
[Sysinternals]Handle.exe (1) | 2012.07.16 |
[Sysinternals]PsList.exe (1) | 2012.07.16 |