Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Letzter Start einer Applikation per Powershell

Mitglied: pixel0815

pixel0815 (Level 1) - Jetzt verbinden

27.06.2016 um 09:51 Uhr, 539 Aufrufe, 5 Kommentare

Guten Morgen,

ist es möglich den letzten Start einer ausführbaren Datei auszulesen per Powershell?

Gruß
pixel0815
Mitglied: 129813
27.06.2016 um 10:04 Uhr
Hi.
If you log it with NTFS-Auditing or use LastAccessTime(which is less reliable) then, yes.

Regards
Bitte warten ..
Mitglied: Saschaaaaa
27.06.2016, aktualisiert um 10:32 Uhr
Hallo Pixel,

du kannst per VBS alle 308 Eigenschaften einer Datei (egal ob .doc .exe .txt etc.) auslesen.

Du brauchst Eigenschaft Nummer 5 dafür.
Ist sicher nicht ganz chick der Code, bin ja auch nur Anfänger, aber er tut was er soll
Einfach den Code in eine .vbs Datei schreiben und die Pfade anpassen (Die Textdatei wo er hineinschreibt muss bereits existieren)

01.
Set objShell = CreateObject("Shell.Application")
02.
Dim dateiname
03.
	dateiname = "notepad++.exe" 'Dateiname
04.
Set fso = CreateObject("Scripting.FileSystemObject")
05.
	Set objFolder = objShell.NameSpace("E:\Programme\Notepad++") 'Pfad der datei
06.
Set objFolderItem = objFolder.ParseName(dateiname)
07.
Set objFSO = Wscript.CreateObject("Scripting.FileSystemObject")
08.
	Set objFile = objFSO.OpenTextFile("E:\Eigenschaften.txt", 2) 'hier Schreibt er die Eigenschaften rein
09.

10.
for i = 0 to 308
11.
	strHeader = objFolder.GetDetailsOf(objFolder.Items, i)
12.
	strValue = objFolder.GetDetailsOf(objFolderItem, i)
13.
	strValue = Replace(strValue, ChrW(8206),"")
14.
	write="true" 'true für alle Eigenschaften, false für nur die angegebenen
15.
	if i = 5 then write="true" 'Nummer der gewünschten Eigenschaft
16.
        if i = 0 then write="true" 'Nummer der gewünschten Eigenschaft
17.
	if write = "true" then objFile.WriteLine i & " " & strHeader & " " & strValue
18.
next
Mit freundlichen Grüßen
Sascha
Bitte warten ..
Mitglied: 129813
27.06.2016, aktualisiert um 10:35 Uhr
Ahh, this can be done faster
01.
(Get-Item 'c:\program.exe').LastAccessTime
But using this time is less reliable because e.g. a virus scan or other Access could falsify the result.
Also most of the users who are using SSDs switch of the recording of LastAccessTime in NTFS.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 27.06.2016 um 11:53 Uhr
Hi,
man müsste wissen, ob das pro Computer oder pro Netzwerk erfasst werden soll. Eine EXE von einer Freigabe kann ja u.U. auf verschiedenen Computern gestartet werden.

Ansonsten ist der beste Weg dafür die Protokollierung mittels Überwachungsrichtlinien. Hier müsste m.E. die "Prozessverfolgung" überwacht werden.

Allerdings geht das nicht rückwirkend, falls es Dir darauf ankommen sollte. Die Aufzeichnung erfolgt erst ab dem Zeitpunkt da diese Richtlinie angewendet (aktiviert) wurde.


https://technet.microsoft.com/de-de/library/dd443750.aspx
Prozessverfolgung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob detaillierte Überwachungsinformationen für Ereignisse wie Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff erfasst werden.

Wenn Sie die Einstellung Prozessverfolgung überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn der verfolgte Prozess erfolgreich durchgeführt wurde. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn der verfolgte Prozess fehlgeschlagen ist.

Wenn Sie die Einstellung Prozessverfolgung überwachen unter Windows XP mit SP2 und Windows Server 2003 mit SP1 aktivieren, werden im Windows-Betriebssystem auch Informationen zum Betriebsmodus und zum Status der Windows-Firewallkomponente erfasst.

Bei Aktivierung der Einstellung Prozessverfolgung überwachen wird eine große Anzahl von Ereignissen erzeugt. Diese Richtlinieneinstellung ist normalerweise als Keine Überwachung konfiguriert. Die von dieser Richtlinieneinstellung erzeugten Informationen können jedoch aufgrund des detaillierten Protokolls zu den gestarteten Prozessen und zugehörigen Startzeiten von großem Vorteil sein, wenn auf Zwischenfälle reagiert werden muss.

E.
Bitte warten ..
Mitglied: pixel0815
27.06.2016 um 12:49 Uhr
Hallo emeriks,

ich glaube auch der Weg über die Überwachung ist wohl der einfachste.
Die Attribute sind nicht so ganz vertrauenswürdig.

Bei diesem Beispiel erhalte ich total verrückte Werte die nicht stimmen.

01.
Get-ChildItem 'C:\rufus-1.4.7.exe' | Get-ItemProperty | Format-list *
02.

03.
BaseName          : rufus-1.4.7
04.
Mode              : -a---
05.
Name              : rufus-1.4.7.exe
06.
Length            : 606120
07.
DirectoryName     : C:\
08.
Directory         : C:\
09.
IsReadOnly        : False
10.
Exists            : True
11.
FullName          : C:\rufus-1.4.7.exe
12.
Extension         : .exe
13.
CreationTime      : 06.05.2014 07:46:56
14.
CreationTimeUtc   : 06.05.2014 05:46:56
15.
LastAccessTime    : 06.05.2014 07:46:58
16.
LastAccessTimeUtc : 06.05.2014 05:46:58
17.
LastWriteTime     : 06.05.2014 07:46:58
18.
LastWriteTimeUtc  : 06.05.2014 05:46:58
19.
Attributes        : Archive
20.
Danke für eure Hilfe.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell start-process
gelöst Frage von Cougar77Batch & Shell4 Kommentare

Guten Morgen, ich habe da ein kleines Problem, das ich nicht ganz verstehe. Es geht um ein kleines Powershell-Skript, ...

Batch & Shell

An "Start" anheften - Powershell

Frage von today12Batch & Shell9 Kommentare

Hallo Leute, ich versuche mittels Powershell einen Ordner in Start anzuheften. Ich verfolge gerade die Methode über das "Kontextmenü" ...

Batch & Shell

Powershell Start-Process mit Argumenten

gelöst Frage von lisaluftBatch & Shell4 Kommentare

Ich hatte ein cmd-Skript mit den Befehl: start /wait c:\test\CitrixReceiver.exe /silent /includeSSON ENABLE_SSON="Yes" Funktionierte genau so. Jetzt habe ich ...

Batch & Shell

Powershell aus Powershell starten (start-process powershell) mit Leerzeichen im Pfad

gelöst Frage von adm2015Batch & Shell1 Kommentar

Ich möchte einfach ein Powershell Script aus einem anderen Powershell Script aufrufen. (start-process powershell "c:\test.ps1") Jedoch habe ich ein ...

Neue Wissensbeiträge
Internet
Big Brother is Watching You
Information von transocean vor 2 StundenInternet

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 4 StundenDatenschutz1 Kommentar

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Netzwerke

Cisco Security Warnung für SoHo Switches der SG Serie

Information von aqui vor 1 TagNetzwerke3 Kommentare

Update auf eine aktuelle Version wäre also eine gute Idee ! ;-)

Sicherheit

Der TeamViewer-Entwickler war 2016 Opfer eines Cyber-Angriffs

Information von kgborn vor 1 TagSicherheit1 Kommentar

Ich denke, nur wenige dürften die kleine Firma TeamViewer aus Göppingen kennen - und einsetzen wird die Produkte von ...

Heiß diskutierte Inhalte
Router & Routing
Reverse Proxy - Anfängerfragen
Frage von NixVerstehenRouter & Routing15 Kommentare

Servus zusammen, endlich Freitag und ich darf wieder meine Anfängerfragen stellen :-) Ich bereite gerade einen Testaufbau für ein ...

Verschlüsselung & Zertifikate
Verschlüsselungsmethoden für Netzwerkdateien im Firmennetzwerk
Frage von kafipauseVerschlüsselung & Zertifikate7 Kommentare

Hallo, ich suche für meine Firma eine Verschlüsselungssoftware, um einige Ordner auf einem Fileserver zu verschlüsseln und verschiedenen Gruppen ...

Windows Netzwerk
Clients finden Domäne nicht mehr (Server 2008 R2)
Frage von bitshopWindows Netzwerk6 Kommentare

Hallo, habe das Problem, dass sich kein PC mehr an der Domäne anmelden lässt. Vor kurzer Zeit ist das ...

Festplatten, SSD, Raid
Intel C612 AHCI SATA Raid ohne Warnungen?
gelöst Frage von NordicMikeFestplatten, SSD, Raid6 Kommentare

Moin zusammen, ich suche mir gerade einen Wolf. Ich habe einen Server 2016 core auf ein Supermicro X10DRi mit ...