[Windows]Net.exe

공부/Forensics 2012. 7. 16. 20:11 |

net session은 외부(remote, foreign)에서 연결한 사용자의 목록을 나타내는 명령이다.


로컬에서 로그온한 사용자 정보를 보여주지 않는 단점이 존재하며, 윈도우 내장 명령어이다.



[Figure 1 - Net Session]




net file은 외부 사용자가 열고있는 파일의 목록을 볼 수 있는 명령어이다.


아래 그림을 통해, 사용자가 ~\abex에 처음 작업을 수행했다가 ~\abex\2에 작업을 수행한 것을 알 수 있다.


하지만, 이게 열고있는 파일이 실행 중인지, 읽고 있는지 등의 정확한 수행을 알 수 없는 단점이 있다.


[Figure 2 - Net File]





Net use는 드라이브 매핑 시 사용되며, 매핑된 드라이브의 정보를 확인할 때도 사용된다.


단, Net use는 어디까지나 '드라이브 매핑'이지 '폴더 매핑'이 아니기 때문에, 공유 폴더의 경우엔 드라이브 명을 할당 받을 수 없고 UNC로만 접근이 가능하다.



[Figure 3 - Net Use]



또, 컴퓨터가 부팅된 이후에 접근했던 다른 컴퓨터의 모든 공유 폴더 목록을 확인하려면


HKLM\SYSTEM\CurrentControlSet\Services\Lanmanserver\Share 레지스트리에서 확인이 가능하다.



'공부 > Forensics' 카테고리의 다른 글

[Sysinternals]Psfile.exe  (0) 2012.07.17
[Sysinternals]Psloggedon.exe  (0) 2012.07.16
[Sysinternals]ListDlls.exe  (0) 2012.07.16
[Sysinternals]Handle.exe  (1) 2012.07.16
[Sysinternals]PsList.exe  (1) 2012.07.16
Posted by extr
: