Hallo MuhammadKönnen Sie uns bitte sagen, wie ereignisse Aktivität mit Out-of-Process-Protokollierung übertragen kann. Die MTP-Spezifikation enthält eine Aufzählung von Dateiformaten, die als Objektformat bezeichnet werden. [5] Die Verwendung dieser Enumeration erfolgt in der Kommunikation unterstützter Dateiformate und Formate übertragener Dateien. Abgesehen von einigen nicht kategorisierten Formaten am Anfang ist die Liste der Formate in Kategorien von Bild-, Audio-, Video- und Dokumentformaten gruppiert, wobei jede Kategorie ein « Undefined »-Format hat, gefolgt von bestimmten Formaten. Es gibt auch ein supergenerisches « Undefined Object »-Format. Auch auf Informationsebene werden Sie viele Veranstaltungen von diesem Anbieter sehen, da immer viel RPC passiert. Bei RPC-Ereignissen wird im Feld Zusammenfassung ein allgemeines Muster angezeigt, bei dem ein RPC-Aufruf diese Phasen durchläuft: Das Protokoll wurde ursprünglich für die Verwendung über USB implementiert, aber für die Verwendung über TCP/IP und Bluetooth erweitert. Windows Vista unterstützt MTP über TCP/IP. Windows 7 und Windows Vista mit dem Platform Update für Windows Vista unterstützen auch MTP über Bluetooth. [6] Der Host, der eine Verbindung zu einem MTP-Gerät herstellt, wird als MTP-Initiator bezeichnet, während es sich bei dem Gerät selbst um einen MTP-Responder handelt. [7] Nachdem wir gesehen haben, wie die Erstellung von Remote-Diensten mit zwei verschiedenen integrierten Systemdienstprogrammen aussieht – sc.exe, das das RPC-basierte Service Control Manager Remote Protocol verwendet, und WMI, das sein eigenes Protokoll über DCOM (selbst RPC-basiert) verwendet – werfen wir einen Blick darauf, was PsExec zum Erstellen seines Dienstes verwendet. Wie viele Windows-Funktionen verwendet dieser Befehl RPC, um mit dem Remotehost zu kommunizieren. RPC unter Windows kann eine Vielzahl von zugrunde liegenden Netzwerktransportprotokollen verwenden, einschließlich grundlegender TCP-, HTTP- oder SMB-Named Pipes.
Dies bedeutet, dass RPC auf dem Draht sehr unterschiedlich aussehen kann, aber alles erscheint im RPC ETW-Anbieter in ähnlicher Weise, was es zu einem großartigen Ort macht, um diese Aktivität zu fangen. Unter Windows unterstützen MTP-kompatible Geräte eine Funktion namens Auto Sync, mit der Benutzer Windows Media Player so konfigurieren können, dass alle kopierten oder neu erworbenen Inhalte automatisch auf Geräte übertragen werden, wenn sie verbunden sind – vorausgesetzt, dass der Inhalt mit Windows Media Player kompatibel ist. Auto Sync ist anpassbar, so dass der Spieler nur Inhalte überträgt, die bestimmte Kriterien erfüllen (Lieder, die mit vier Sternen oder höher bewertet wurden, zum Beispiel). Änderungen an Dateieigenschaften (z. B. Benutzerbewertung und Dateiwiedergabeanzahl) auf einem Gerät können zurück an den Computer weitergegeben werden, wenn das Gerät wieder verbunden ist. Wir haben auch gesehen, wie der RPC-Anbieter Informationen über Anrufe an einem Ort in einem gemeinsamen Format gibt, unabhängig vom zugrunde liegenden Transportprotokoll, das auf dem Draht sehr unterschiedlich aussehen kann. Da so viele Dinge von RPC in Windows gesteuert werden, könnte sich dies auch in anderen Erkennungsszenarien als nützlich erweisen. Trotz dieser Unterschiede auf dem Draht, eine ehrenvolle Erwähnung muss an Wireshark gehen, deren Dissektoren in der Lage sind, das SCM-Protokoll (als « SVCCTL ») sowohl aus SMB als auch von TCP auf eine sehr ähnlich aussehende Weise herauszuarbeiten: Der Hauptzweck dieses Protokolls ist es, nur die Übertragung von Mediendateien und zugehörigen Metadaten zu und von tragbaren Geräten zu ermöglichen, eine Übertragungsfunktion, in oder aus, zu einem Zeitpunkt.