Una de las cosas más importantes cuando se procede a realizar una investigación forense en un ordenador, es obtener la mayor cantidad posible de información.
Es básico el poder contar con una 'radiografía' del equipo, que muestre la mayor cantidad de pistas para poder deducir si ese equipo está comprometido y como.
En el caso de Windows, hay herramientas bastante buenas como 'MIR-ROR' o 'HijackThis', y hoy voy a añadir una más a la lista: RadioGraPhy.
RadioGraphy, como su nombre indica, intenta 'radiografiar' el sistema y obtener datos relevantes:
Las claves del registro asociadas al auto-arranque de procesos
Las claves del registro asociadas a la configuración de IE
Las cuentas de usuario del sistema
Los ficheros en directorios 'startup'
Los servicios del sistema
El contenido del fichero 'hosts'
Los 'task' del scheduler de windows
Los drivers o módulos cargados en el Kernel de Windows
Carpetas compartidas por NetBios
Ventanas ocultas (cmd y IE)
La lista de procesos activos en el sistema y el path del ejecutable
Información relacionada con la red (puertos abiertos, conexiones, etc)
Adicionalmente, tiene soporte para el Team Cymru's MALWARE HASH REGISTRY (del que hablamos aquí) lo que permite que, cuando encuentra un binario, ya sea un proceso en ejecución o un binario asociado a una clave de registro / task, comprueba si su hash ha sido identificado como sospechoso.
También he integrado 'WinUnhide' para que realice un test de integridad de procesos en búsqueda de procesos ocultos.
La herramienta cuenta con una versión por línea de comandos y otra en formato GUI
Pagina del proyecto:
http://www.security-projects.com/?RadioGraPhy
Fuente: www.securitybydefault.com
¡¡ Muchas gracias por la review !!
ResponderEliminar