Иногда ставится вопрос о том какой публичный IP адрес использовался в системе.
Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):
В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь:
Можно эти данные получить в удобоваримом виде при помощи: Get-DoSvcExternalIP.ps1 или ETLParser
ETLParser создаст два файла: "CASENAME_Parsed_ETL.csv", "CASENAME_ETL.sqlite".
CASENAME_ETL.sqlite из себя представляет набор данных (ниже PrtSC с введённым в поле Payload значением ExternalIpAddress) в данной информации мы и увидим публичный IP
Также покажу как это выглядит при поиске в FTK
Так же можно сделать запрос в запущенной ОС
в ответ получим такой вывод
Статья не моя (оригинал) & Sunnych
Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):
это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.
В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь:
| Версия ОС | Путь по умолчанию | Имя файла |
| Win10 (1507) | C:\Windows\Logs\dosvc | dosvc.\d*.\d.etl (e.g. dosvc.1377765.1.etl) |
| Win10 (1709/1803) | C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\DeliveryOptimization\Logs | dosvc.yyyyMMdd_HHmmss_\d*.etl (e.g. dosvc.20181111_180339_399.etl) |
Можно эти данные получить в удобоваримом виде при помощи: Get-DoSvcExternalIP.ps1 или ETLParser
ETLParser создаст два файла: "CASENAME_Parsed_ETL.csv", "CASENAME_ETL.sqlite".
CASENAME_ETL.sqlite из себя представляет набор данных (ниже PrtSC с введённым в поле Payload значением ExternalIpAddress) в данной информации мы и увидим публичный IP
Также покажу как это выглядит при поиске в FTK
Так же можно сделать запрос в запущенной ОС
Код:
Get-DeliveryOptimizationLog | Where-Object Message -Like "*ExternalIpAddress*"Статья не моя (оригинал) & Sunnych