AppxPackages... Danke Microsoft!

Ich bin immer wieder erstaunt wie nett Microsoft doch ist.
Ich habe grade aus Umzugsgründen nur ein bedinktes Datenvolumen auf einem Sufstick und dachte oh wunder, wo kommt all der Traffic her. Ich warf also einen Blick in den Reiter App-Verlauf des Task-Manages und siehe da, es tauchen Anwendungen auf, die ich nicht installiert habe.

Aha, interessant.
Schauen wir doch mal in den Appwizzard.
(Windows + R --> appwiz.cpl)

Hier taucht z.b. XING nicht auf...
Also kurz Google angeworfen und herausgefunden, dass es sich

  • um vorinstallierte Apps handelt
  • mit dem neuen creators Update so dinge wie Bubble Witch Saga installiert wurden...

Danke Microsoft, wär doch nicht nötig gewesen.
Diese vorinstallierten Anwendungen nennen sich AppxPackage.

Mit folgendem Befehl bekommen wir erstmal eine Übersicht darüber, was sich auf dem System so alles Tümmelt.
Get-AppxPackage | findstr ^Name

Mit einem Pipe nach Findstr können wir nach Paketen suchen, die wir entfernen wollen.

Dann könnt ihr das nach Remove-AppxPackage pipen und schon wird die Software deinstalliert.

So könnt ihr auch über eine Gruppenrichtlinie in der Domäne wieder aufräumen, nachdem die Creators Updates randaliert haben.

Cheers,
Ori


Mapping users to devices using SMB sessions

If you cannot find out what user is working on a specific device using PSexec or PSloggedon, this trickt might help.

Go to the fileserver, start an administrative powershell and run get-smbsession.
This will list all currently open smb sessions.
This way you can map user accounts to IP addresses.

To filter for the IP address you are looking for you can pipe to findstr.
If I am looking for an IP that has 130 in the fourth octett like 10.20.30.130 it would look like this.

get-smbsession | findstr .130.

Cheers,
Ori


Usern mittels SMB Sessions Geräten zuordnen

Wenn ihr nicht mit PSexec oder PSloggedon herausfinden könnt, welche user auf einem bestimmten Gerät arbeiten, kann dieser Trick helfen.

Geht auf den Fileserver und gebt in einer administrativen Powershell get-smbsession ein.
Dies listet, welche user aktuell auf Freigaben zugreifen.
So könnt ihr direkt einen User einer IP zuordnen.

Um direkt nach einer IP zu filtern, die Ihr sucht, könnt ihr den command nach findstr pipen.
Wenn ich nach einer IP suche die im letzten Oktett 130, also z.b. 10.20.30.130 hat sieht das so aus.

get-smbsession | findstr .130.

Cheers,
Ori


Monitoring RegKeys

In this article I want to show you how you can use the Process Monitor from the Sysinternals of Microsoft to monitor the changes made to Registry Keys.

Also I use the Process Explorer, wich is a more powerfull Taskmanager ist. However the Taskmanager will do as well.

When you start the Process Monitor (procmon.exe) you will be presented with a filter pop-up.
Thank you, very intrusive of you.

Here you can filter what sort of activity you want to monitor.
Lets take a look of the installation process of WinRAR.

Start the installation and check for the PID (Process ID).

Select in the head of the

Wählt dann in der Kopfzeile des Filterdialoges PID is <PID> then include aus.

As in this filter options you also define what sort of events you do NOT want to see we will have to disable the filter for RegKeys.

Double negative and stuff.

After about 30 Seconds of software installation later procmon has filtered 2.5 million events and is displaying about 2600 that might be interresting to us.

Good but not good enaugh.
At this point I save (Strg + S) the results to a CSV file.

Then I open them in Excel to have a closer look at them.
Then I import the same data from the CSV again. Because.

Just leave all values on default, meaning that Excel expects values seperated by a comma from a CSV (Comma Seperated Value) file.

Now I can filter for single Registry Events.

Lets take a look at the most interresting Events.
RegCreateKey
RegSetInfoKey

That narrows it down to four.

Start the Windows Run dialog using Windows + R and enter RegEdit.

This way you can edit the Windows Registry.

Internet Explorer\BrowserEmulation does not sound that interresting.

Lets look at Software\WinRAR SFX an.
This RegKey holds the path to the WinRAR.exe.

Lets look at SyncRootManager.

Not all that impressive but I think you get the point.

Cheers,
Ori

 

 


Orca MSI Editor

The Orca MSI Editor is part of the Windows 10 SDK and enables you to edit the settings of an MSI file.
In the default settings the 4.4 MB lightweight SDK gets installed at C:\Program Files (x86)\Windows Kits\10 installiert.

In order to be able to edit MSI files we simply need to install the MSI Tools.

In the installation path you will find the subfolder WindowsSDK\Installers that contain the file Orca-x86_en-us.msi.
The full path in a default install is:

C:\Program Files (x86)\Windows Kits\10\WindowsSDK\Installers\Orca-x86_en-us.msi

After you have run this, in the context menu of right klicking an MSI file, you will find the option to  edit with Orca.

Using this tool you can do a lot of finetuning before rolling out a MSI.

Cheers,
Ori


RegKeys überwachen

In diesem Artikel möchte ich euch zeigen, wie Ihr mit dem Process Monitor aus den Sysinternals von Microsoft die Veränderung von RegKeys überwachen könnt.
Außerdem solltet verwende ich den Process Explorer, was ein aufgemotzter Taskmanager ist. Der Taskmanager tut es in diesem Fall aber auch.

Wenn Ihr den Process Monitor (procmon.exe) startet, werdet Ihr mit einem Filter Pop-Up begrüßt.
Danke, sehr aufdringlich von Ihnen.

Hier könnt Ihr filtern, welche Aktivitäten Ihr überwachen wollt.
Ich möchte mir mal den Installationsprozess von WinRAR ansehen.

Startet die Installation und sucht euch die PID (Process ID) Raus.

Wählt dann in der Kopfzeile des Filterdialoges PID is <PID> then include aus.

Da in dieser Liste auch angegeben wird, welche Ereignisse NICHT beobachtet werden sollen, müssen wir die RegKey Changes explizit ausnehmen.
Doppelte Verneinung und so.

Nach etwa 30 Sekunden hat der Procmon aus 2.5 Millionen events die Im Betriebssystem ausgelöst wurden, etwa 2600 für uns interessante herausgefiltert.

Schon nicht schlecht aber noch nicht gut genug.
Ich speichere die Ergebnisse als CSV Datei (Strg + S) .

Und öffne Sie dann in Excel um sie ein bisschen näher zu untersuchen.
Hier importiere ich die selben Daten dann nochmal aus der CSV. Weil.

Hier lasse ich alle Werte im Default und sage damit, dass das Trennzeichen der CSV (Comma Seperated Value) ein Komma sein soll.
Jetzt kann ich einfach nach einzelnen Registry Events filtern.

Schauen wir uns mal die interessantesten Events an.
RegCreateKey
RegSetInfoKey

Da waren's nur noch vier.
Startet mit Windows + R den Windows Ausführen dialog und gebt dort RegEdit ein.

Damit könnt Ihr die Windows Registry editieren.
Internet Explorer\BrowserEmulation interessiert mich nicht wirklich.

Schauen wir uns also Software\WinRAR SFX an.
Der RegKey hält nur den Pfad zu der WinRAR.exe.

Schauen wir uns mal an, was so im SyncRootManager steht.

Nicht sehr spannend aber ich denke das Prinzip ist klar geworden.

Cheers,
Ori

 

 


Orca MSI Editor

Der Orca MSI Editor ist teil des Windows 10 SDK und erlaubt es, die Eigenschaften von MSI Dateien zu bearbeiten.
Im default wird das mit 4.4 MB echt leichtgewichtige SDK unter C:\Program Files (x86)\Windows Kits\10 installiert.

Uns recht für das Editieren von MSI Paketen die Installation des MSI Tools.

In dem Installationsverzeichnis gibt es in dem Unterordner WindowsSDK\Installers die Datei Orca-x86_en-us.msi.
Der Volle Pfad lautet also im default:

C:\Program Files (x86)\Windows Kits\10\WindowsSDK\Installers\Orca-x86_en-us.msi

Wenn Ihr dieses ausgeführt habt, findet Ihr in eurem Rechtsklick Kontextmenü auf eine MSI Datei den Menüpunkt edit with Orca.

Mit diesem könnt ihr jetzt sehr viel Finetuning betreiben, bevor Ihr eine MSI ausrollt.

Cheers,
Ori


Von MBR zu GPT

Wenn Ihr auf einem Windows System eine Partition auf über 2TB erweitern wollt, kann es sein, dass das Feld Volume erweitern... ausgegraut ist.

Dies kann daran liegen, dass der Partitionsstil der Partitionstabelle vom Typ MBR (Master Boot Record) ist.
Um das zu prüfen, geht auf den Datenträger > Rechtsklick > Eigenschaften und geht in den Reiter Volumes.

Falls ja, ist das schon der Grund, warum Ihr die Partition nicht erweitern könnt: Ein Windows MBR kann nur 2TiB also 2x(2^20)Bytes verwalten.
Das sind genau die 2048GB die im oberen Screenshot zu sehen sind.

Darf ich vorstellen? GPT.
;tldr; GPT ist eine Partitionstabelle, die in der Lage ist, mehr als 2TiB Große Partitionen zu verwalten.

Konvertieren ohne Datenverlust

DISCLAIMER: Das Arbeiten an Partitionstabellen ist nicht trivial und kann im schlimmsten fall zu Datenverlust führen.
Bitte IMMER überprüfen, dass die Backups aktuell sind und Downtimes abgesprochen sind.
Auch wenn es nur "eine Kleinigkeit" sein sollte, kann immer mal was schief gehen...

Wir werden MBR2GPT aus dem Microsoft ADK verwenden.
Am einfachsten ist es wenn Ihr euch das Windows 10 Media creation Toolkit herunterladet.
Wollt Ihr eine Windows VM anpassen, so ladet das ISO, fahrt die VM herunter und startet dann von diesem ISO.

Wollt Ihr eine physische Maschine anpassen, erstellt euch mit dem toolkit ein bootbares USB Medium.
Warum? Weil MBR2GPT Teil des Windows Preboot Envoirement (WinPE) ist.
Und das was Ihr da von der ISO oder dem USB Stick bootet ist das WinPE.
Damit kann man nämlich noch weit mehr machen als "nur" eine Installation durchführen.

Und warum ein Win10 WinPE? Weil MBR2GPT erst mit Windows 10 Version 1703 teil des WinPE geworden ist.

Wir starten also von diesem ISO und wählen die Compterreparaturoptionen.

Hier geht Ihr dann auf Problembehandlung und dann Eingabeaufforderung.
Dies öffnet euch die altbekannte CMD.

Startet jetzt diskpart und lasst euch mit list disk die Disks des Systems listen.

Wir wollen in diesem Fall die Partitionstabelle von Datenträger (###) 1 anpassen, zu erkennen an der Größe.
Geht mit exit wieder aus der Datenträgerpartitionierung raus.

Jetzt fangen wir an mit MBR2GPT zu arbeiten.
Zunächst prüfen wir, ob der Datenträger 1, wie oben herausgefunden, konvertiert werden kann.

mbr2gpt /validate /disk:1

Und es failed... more2come.

 

Wenn euch Datenverlust egal ist

Um eine Partition von MBR auf GPT umzuwandeln, startet eine administrative CMD.
Hier startet Ihr dann diskpart.

Lasst euch mit list disk listen, welche disks auf dem System existieren.
Beachtet hier die Zeile ###, sie ist wichtig für den nächsten Befehl.

Wählt mit select disk <###> aus, welchen Datenträger Ihr bearbeiten wollt und lasst euch dann die Liste nochmal anzeigen.

Der Asterisk (*) links von dem Datenträger zeigt euch, dass der Datenträger ausgewählt ist.
Anschließend löscht Ihr die Partition UND ALLE DATEN AUF IHR mit clean und legt dann mit convert gpt eine GPT Partitonstabelle an.

(Technisch betrachtet ist es kein löschen, ihr entfernt nur die Informationen, wo die Daten liegen. Die Daten dürften dann für euch aber relativ verloren sein.)

Cheers,
Ori


Why microsoft (teams)?

Create a chatclient in 2018...

On mouseover Pop-Ups are blocking the text you want to copy?
[x] Check

Eating up over 400MB Ram when idle?
[x] Check

But I bet it has a giant scrollbackbuffer...
[x] Not really check

But the wonderful Giphy GIFS !!
... different search results for private and groupchats...


... and you cannot see how to find a gif someone else used, when you want to use it yourself.
(At least you can copy and paste it...)

 

Nuff said,
Ori

 


Warum Microsoft (Teams)?

Erstelle einen Chatclient in 2018...

Pop-Ups blockieren beim Mouseover den Text den man kopieren will?
[x] Check

Frisst Idle über 400MB Ram?
[x] Check

Dafür hat es doch aber bestimmt einen riesen Scrollbackbuffer...
[x] Eher weniger Check

Aber die tollen GIFS von Giphy!!
... unterschiedliche Suchergebnisse in Privat und Gruppenchats ...


... und man kann nicht sehen wie man ein Gif eines anderen Kollegen finden kann, wenn man es selbst verwenden will.

 

Nuff said,
Ori