miércoles, 22 de mayo de 2013

Análisis forense de Windows

Vamos a ver algunas herramientas y la forma de recolectar datos de un determinado sistema windows.

Una de las Herramientas para chequear el comportamiento del sistema es el comando eventvwr (visor de eventos). Que nos dará información detallada de los programas, accesos al equipo, instalaciones, etc. En windows 7 se ve un detalle bien extenso de lo que ocurre en el sistema. Para ejecutarlo, vamos a inicio y colocamos visor de eventos o eventvwr.

Otra herramienta es el “historial de confiabilidad“, que muestra un detalle de todo lo que se instala, errores, y mucha info.

El comando Tasklist, nos dará un detalle de las tareas que se están ejecutando en el sistema, este comando se accede desde una consola, si queremos ver la parte gráfica hay que iniciar el administrador de tareas. Cabe recordar que con taskkill se puede matar cualquier tarea que este corriendo.

El comando net statistics server -> permite recuperar informacion acerca del uso de la red, como la cantidad de información enviada y recibida, cant de archivos a los que se tuvo acceso, sesiones aceptadas, etc. Se usa por consola y tenemos las opciones

    net statistics server
    net statistics workstation

Comando sc, nos da info de servicios activos, y se puede detectar los que son extraños.

El comando msinfo32 se pueden ver datos de configuración de hardware y software, conexiones, procesos, etc.

Netstat muestra conexiones abiertas en un equipo, sirve para analizar backdoors.

Systeminfo.exe da mucha información de un equipo, desde la versión de sistema, ubicación de las carpetas principales de windows, fecha de instalación del sistema, dominio, etc.

Vamos a ver ahora algunas opciones más del comando net:

    net view : nos muestra información de los equipos de nuestro grupo de trabajo o dominio
    net niew /domain : nos muestra los distintos dominios
    net view /domain:workgroup seleccionamos un grupo o dominio para ver que equipos tiene.
    net view \\PC para ver que esta compartiendo

Algunas opciones del comando nbtstat

    nbtstat -n vemos a que recursos están conectados, los valores hexadecimales dicen que servicio tiene buscar tabla
    nbtstat -c con valores hexadecimales y direcciones IP
    nbtstat -R borra la tabla que generamos, dado que el comando almacena en el cache
    nbtstat -a pc01: para obtener los valores hexa, tabla y mac address
Publicadas por a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)