Extrahierte netstat.exe (und Co) auch auf anderssprachigen System lauffähig?

[Korfox 10]

Guten Abend,

 

ich hoffe, ich bin im richtigen Board und meine Threadtitel ist halbwegs aussagekräftig (was sinnvolleres wollte mir nicht einfallen). Und zwar geht es um folgendes:

 

Ich habe aus einem deutschen Windows ein paar Tools (z.B. netstat.exe und ipconfig.exe) extrahiert (inklusive der /DE-de/netstat.exe.mlu und /DE-de/ipconfig.exe.mlu).

Jetzt stellt sich mir eine Frage: Wenn ich exakt die extrahierten .exe-Dateien auf einem anderen System verwende (auf deutschsprachigen geht das, das ist bereits getestet), werden dann immer die .mlu-Dateien genutzt, die ich mitgeliefert habe, oder wird je nach Umgebungsvariablen eine andere .mlu gesucht?

Grund der Frage: Ohne diese .mlu-Dateien gibt es (sinnvollerweise) garkeine Ausgabe, aber ich habe (auch sinnvollerweise) nur die deutschen und weiß auch nicht, wie die Ordner für anderssprachige heißen müssten, in die ich ggf. ja einfach die deutschen Dateien dann reinpacken könnte.

Für den Fall, dass das dynamisch lokalisiert wird: gibt es eine Möglichkeit das zu unterbinden?

 

Viele Grüße,

Korfox

[günterf 45]

Hi!

 

Willkommen on Board!

 

Kannst Du mal erläutern warum Du danach fragst, was Du erreichen möchtest und auf welchem (anderssprachigem) System?

[Korfox 10]

Danke für das Willkommen...

klar, ich kann das gerne erläutern.

 

Zu Studienzwecken soll ein Toolkit zusammengestellt werden, das möglichst viele (flüchtige) Informationen über ein laufendes Betriebssystem sammelt (live Forensik). Dazu will man möglichst Tools verwenden, die nicht im laufenden Betriebssystem verankert sind um zu verhindern, dass diese durch Malware oder auch bewusst durch den Benutzer manipuliert wurden.

Ergo: Es wird versucht möglichst viele Tools, die Windows von sich her bietet zu extrahieren und auf einem externen Medium unterzubringen (leider kann man ja im Gegensatz zu Linux die Sachen nicht statisch gelinkt neu kompilieren, da ja die Quellen nicht vorliegen, worüber ich mich nicht beschweren will).

 

Sprich: erreichen will ich das die Tools (z.B.) vom USB-Stick runter funktionieren ohne mehr als notwendig Dateien vom laufenden System zu verwenden.

Auf welchem (anderssprachigen) System: bevorzugt jede Sprache, Windows 7 (getrennt nach x86 und x86_64)

Ich hoffe ich konnte deine Frage hinreichend beantworten ;)

[Dass der Windows-Teil des Toolkits selbst nicht verteilt werden darf ist mir klar, da da ja EULAs dran hängen, das ist aber auch nicht das Ziel]

 

Korfox

 

EDITH sagt: Typo - und: da das ganze nachher ja vom Stick und automatisiert laufen soll könnte es natürlich auch sein, dass der Thread hier zum Scripting gehört - aber irgendwie empfand ich ihn hier sinnvoller aufgehoben...

[blub 115]

Hallo,

 

da benutzt du am besten die MPS Reports, die du auf deine Sticks spielen kannst

 

Download Details - Microsoft Download Center - Microsoft Product Support Reports

Overview of the Microsoft Configuration Capture Utility (MPS_REPORTS)

 

Ganz erschliesst sich mir nicht, wieso Malware und Benutzer deine Programme und Ergebnisse nicht manipulieren werden können, nur weil die Programme auf einem USB-Stick gestartet werden. :confused:

 

In professionelleren MS-Umgebungen, werden solche Daten zentral durch eine Inventursoftware erhoben, nicht mit solchen Basteleien. Macht man das bei Linux tatsächlich so?

 

Für wen ist denn diese "Studienarbeit"? Vielleicht kannst du dir noch ein etwas praxisnäheres Thema geben lassen

 

blub

[Korfox 10]

Effektiv ist diese "Studienarbeit" für mich (und den Rest der Gruppe, die sich damit beschäftigt), da sie unserem Abschluss dient ;)

 

Ich weiß nicht, ob sich das hiesige Vorhaben mit Inventursoftware vergleichen lässt. Wenn das Kind schon in den Brunnen gefallen ist *blah*.

Eine forensische Untersuchung wird ja nicht ausschließlich in Unternehmen und vor Allem nicht ausschließlich mit dem Willen des Anwenders durchgeführt. Die Informationen, die mit netstat und ipconfig bringen sind nur Teil des großen ganzen. Zum Beispiel wird auch der Hauptspeicher gedumped, um (zum Beispiel) potentiell hierin befindliche Passwörter von TrueCrypt-Containern finden zu können.

 

Selbt PostMortem-Analysen werden sowohl bei Windows- als auch bei Linuxsystemen für gewöhnlich mit Toolkits, wie dem Sleuthkit durchgeführt, was heißt; sowohl unter Windows, als auch unter Linux macht man das "mit solchen Basteleien", wenn du es unbedingt so bezeichnen willst.

 

Trotz aller Fragen, was und warum und wieso habe ich leider noch keine Antwort auf meine Frage erhalten.

Danke trotzdem für die Links, aber hierzu ist zu sagen: Installation von Software ist unter allen Umständen möglichst zu vermeiden, da dies dazu führen würde, dass selbst eine PostMortem-Analyse möglicherweise nicht mehr gerichtsverwertbar wäre. (gerichtsverwertbar als Vokabel um deutlich zu machen, dass jegliche Änderung am System dokumentiert wird und keinerlei gesicherte Daten von dem Toolkit manipuliert worden sind)

 

 

EDIT: Wofür ich natürlich auch jederzeit zu haben bin sind Alternativen, die das machen, was auch die angesprochenen Tools machen und unter GPL stehen ;)