En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Análisis forense de accesos no autorizados en NTFS.

Podemos averiguar accesos no autorizados en NTFS usando las herramientas en línea de comandos gratuitas de Forensic ToolKit. Este Kit de herramientas incluye:

AFind: Herramienta que lista los archivos por el tiempo de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido.

Sintaxis:
AFind v2.0 - Copyright(c) 2000, Foundstone, Inc.
NTFS Last Access Time Finder
Command Line Switches

[dirname] Directory to search

-f [filename] List last access time of file

-s [seconds] Files accessed less than x seconds ago

-m [minutes] Files accessed less than x minutes ago
-h [hours] Files accessed less than x hours ago
-d [days] Files accessed less than x days ago

-a [d/m/y-h:m:s] Files accessed after this date/time

-ns Exclude sub-directories
- or / Either switch statement can be used

-? Help

Additional time frame usage:
afind /s 2-4 Files accessed between 2 and 4 seconds ago
afind /m 2-4 Files between 2 and 4 minutes ago
afind /s 2-4 Files between 2 and 4 seconds ago

afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates


HFind: Explora el disco buscando archivos ocultos. Encontrará cualquiera archivo oculto incluso los ocultados por el sistema, usando el atributo archivos del sistema. Éste es el método que utiliza Internet Explorer para ocultar datos. HFind también enumera los tiempos de acceso pasados.

Sintaxis:
HFind v3.0 - Copyright(c) 2000, Foundstone, Inc.
Hidden file finder with last access times
Usage - hfind [path] /ns

[dirpath] Directory to search - none equals current

-ns Skip sub-directories
- or / Either switch statement can be used

-? Help

SFind: Explora el disco buscando secuencias de datos ocultas y enumera los tiempos de acceso pasados.

Sintaxis:
SFind v2.0 - Copyright(c) 1998, Foundstone, Inc.
Alternate Data Stream Finder
Usage - sfind [path] /ns

[dirpath] Directory to search - none equals current

-ns Skip sub-directories

- or / Either switch statement can be used

-? Help


FileStat: Muestra todas los permisos de los archivo. Trabaja solamente con un archivo a la vez. También enumera tiempos de acceso pasados clasificado por usuarios.

Sintaxis:
FileStat v2.0 Copyright(c) 1998, Foundstone, Inc.
Dumps NTFS security, file, and stream attributes Command Line Switches
[Filename] Name of file to list

-? Help


DACLchk: Muestra las ACL con la información de accesos pasados, de todos los archivos de un directorio, en orden inverso.

Sintaxis:
DACLchk v2.0 - Copyright(c) 1999, Foundstone, Inc.
NTFS DACL ACE Order Detector
Dumps any ACL that has Denied and Allowed ACE's in reverse order
Usage - sfind [path] /ns

[dirpath] Directory to search - none equals current

-d Dump all DACL's - Don't detect reversed ACE's
-ns Skip sub-directories

- or / Either switch statement can be used

-? Help


Audited: Esta herramienta combina la información de acceso a ficheros con la información de auditoria de Windows. Solo funciona si se tiene habilitado las políticas de auditoria.

Sintaxis:
Audited v2.0 - Copyright(c) 1998, Foundstone, Inc.
NTFS SACL Reporter - Finds audited files
Usage - audited [path] /ns

[dirpath] Directory to search - none equals current

-d Dump file audit attributes

-r [hivekey] Dump registry audit attributes

-s [subkey] Optional sub-key to search

-v Verbose mode

-ns Skip sub-directories/sub keys

- or / Either switch statement can be used
Reg key constants are - HKLM, HKCR, HKCU, HKU, HKCC

Dumps entire reg if no keyname is specified

-? Help


Hunt: Es una herramienta para mostrar si un sistema revela demasiada información vía NULL sessions.

Sintaxis:
Hunt v2.0 - Copyright(c) 1998, Foundstone, Inc.
SMB share enumerator and admin finder
Usage - hunt \\servername

/? = Help


Estas herramientas solo funcionan si se usan con privilegios de administrador.

Más información y descarga de Forensic ToolKit:
http://www.mcafee.com/us/downloads/free-tools/forensic-toolkit.aspx
Análisis forense de accesos no autorizados en NTFS. Análisis forense de accesos no autorizados en NTFS. Reviewed by Álvaro Paz on jueves, mayo 22, 2008 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.