troushoo

PsExecを使用した3つの上級テクニック

PsEexecを使用して実現する3つの上級テクニックを紹介します。
  A. ログオフ時のProcess Monitorのログを取得する
  B. ロック時のスクリーンをキャプチャする
  C. レジストリHKLM\SAMやHKLM\SECURITYを確認する

A. ログオフ時のProcess Monitorのログを取得する
Process Monitor単体ではログオフ時のログを取得することができません。ログオフ時にProcess Monitorのプロセスが殺されるためです。
そこでPsExecを使用すると、ログオフ時のログが取得できるようになります。PsExecを使用しProcess Monitorをシステムアカウントで動かし、ログオフ時に殺されることがないようにできるためです。

0. 通常の方法でログインし、管理者権限のコマンドプロンプトを起動します。
1. PsExecを使用してProcess Monitorをシステムアカウントで動かします。
具体的なコマンド・引数の意味は以下です。
PsExec –s –d <Procmon.exeのパス> /AcceptEula /Quiet /BackingFile <Process Monitorのログファイル名>
 PsExec:
  -s: システムアカウントでプロセスを起動する
  -d: Procmon.exeの終了を待たない
 Process Monitor:
  /AcceptEula: EULA(End-user license agreement)のウィンドウを表示させない
  /Quiet: フィルターの設定のウィンドウを表示させない
  /BackingFile <ファイル名>: Process Monitorのログを格納するファイル名を指定
PsExecを利用してProcess Monitorを起動
2. ログオフします。
ログオフ
3. 再度通常の方法でログインし、管理者権限のコマンドプロンプトを起動します。
4. PsExecを使用して、Process Monotorを終了させます。
具体的なコマンドは以下です。
PsExec –s –d <Procmon.exeのパス> /AcceptEula /Terminate
 PsExec:
  -s: システムアカウントでプロセスを起動する
  -d: Procmon.exeの終了を待たない
 Process Monitor:
  /AcceptEula: EULA(End-user license agreement)のウィンドウを表示させない
  /Terminate: Process Monitorを終了させる
PsExecを利用してProcess Monitorを終了
5. ログファイルができていることを確認します。
Process Monotorのログファイル

B. ロック時のスクリーンをキャプチャする
OS単体ではロック時のスクリーンショットを取ることはできません。
PsExecとパワーポイントとペイントを使用すると、ロック時のスクリーンショットを取得することができます。

0. 通常の方法でログインし、管理者権限のコマンドプロンプトを起動します。
1. PsExecを使用してをパワーポイントとペイントをシステムアカウントで動かします。
具体的なコマンドは以下です。
PsExec –s –x –d C:\Windows\System32\mspaint.exe

PsExec –s –x –d “C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE”
  -s: システムアカウントでプロセスを起動する
  -x: プロセスをWinlogon Desktopで動かす
  -d: Procmon.exeの終了を待たない
PsExecを利用してペイントを起動
PsExecを利用してパワーポイントを起動
2. ロックします
3. Alt + Tabを利用してパワーポイントに移動します。
Alt + Tabで切り替え
4. ”挿入” –> “スクリーンショット”からロック画面を選択します。
ロック画面を選択
5. パワーポイントに挿入された図をコピーし、Alt + Tabでペイントをアクティブにしたのち、ペイントにコピーします。
図をコピー
*なぜパワーポイントで保存しないかというと、パワーポイントで保存しようとすると”ファイル ダイアログを開く途中にエラーが発生しました。プレゼンテーションを保存し、PowerPointを終了して再起動してください”とダイアログが出て保存できないためです。
6. ペイントを利用してスクリーンショットを保存します。今回はC:\temp\ロック画面.PNGで保存しました。
C:\tempに保存
7. 再度通常の方法でログイン後、保存したロック画面があることを確認します。
ロック画面
補足:
・Windows 8では上記の方法は成功しませんでした。
・ロック時のスクリーンショットをキャプチャする方法としては、仮想マシンを利用するという方法もあります。

C. レジストリHKLM\SAMやHKLM\SECURITYを確認する
たとえ管理者権限でregedit.exeを起動しても、HKLM\SAMやHKLM\SECURITYは確認できません。
しかし、PsExecを利用してregedit.exeをシステムアカウントで起動すると、HKLM\SAMやHKLM\SECURITYが確認できるようになります。

0. 管理者権限でregedit.exeを起動し、HKLM\SAMやHKLM\SECURITYが確認できないことを確認します。
HKLM\SAMの中が見れない
HKLM\SECURITYの中が見れない
1. PsExecを使用してregedit.exeをシステムアカウントで起動します。
具体的なコマンドは以下です。
PsExec –s –i –d c:\Windows\regedit.exe
  -s: システムアカウントでプロセスを起動する
  -i: regedit.exeのUIを確認できるようにする
  -d: regedit.exeの終了を待たない
PsExecを利用してregedit.exeを起動
2. HKLM\SAM、HKLM\SECURITYが確認できます。
HKLM\SAMの中を確認できる
HKLM\SECURITYの中を確認できる

リンク
・Windows sysinternals Primer: Process Explorer, Process Monitor, and More
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2010/WCL314
ログオフ時のProcess Monitorのログを取る方法が紹介されていました。
・Sysinternals Primer: Gems
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA311
HKLM\SAMの中を確認する方法が紹介されていました。


  1. 2012/09/06(木) 14:45:56|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<.cmdtree : WinDbg利用の際に、任意のデバッグコマンドをGUIから実行 | ホーム | Visual Studioの並列スタック (Visual Studio 2012からの新機能含む)>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/76-506b3bef
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する