En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Recolección de evidencias forenses sistema vivo.

Con la herramienta Evidence Collector se puede hacer una recolección de evidencias forenses en sistema vivo de la plataforma Windows, de una forma muy rápida. Es ideal para un primer análisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados.

Con esta herramienta podemos extraer las siguientes evidencias:

  • Información de sistema: Usuarios, IP y MAC .
  • Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
  • Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
  • Software instalados: Listado del software instalado en la maquina.
  • Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
  • Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
  • Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
  • Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
  • Seguimiento de procesos: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
  • Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
  • Módulos sospechosos: Explora módulos en busca rootkit.
  • Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
  • Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.

Para utilizar esta herramienta se necesitan permisos de administrador. Os recomiendo que para usar la herramienta copiéis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.

Más información y descarga de Evidence Collector:
http://www.security-database.com/evidence.php
Recolección de evidencias forenses sistema vivo. Recolección de evidencias forenses sistema vivo. Reviewed by Álvaro Paz on lunes, junio 02, 2008 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.