
Todas estas aplicaciones tienen un funcionamiento similar, primero realizan una inspección donde obtienen una foto, posteriormente se ejecuta o instala aquello que se quiera rastrear y finalmente se obtiene una nueva foto. La diferencia entre ambas son las modificaciones que el sistema ha sufrido.
En entornos Windows, estas modificaciones generalmente son de dos tipos: modificaciones en el registro, donde se habrán añadido, modificado o incluso borrado claves y alteraciones en el sistema de archivos, con la creación, eliminación o modificación de directorios y archivos. En sistemas Unix se monitorizan alteraciones en archivos de configuración y en el sistema de ficheros.
Por centrar el tiro, comentaremos algunas de las más importantes en plataformas windows en el análisis de malware.
- Las archiconocidas herramientas de SysInternals: regmon, filemon, Process Monitor ¿quién no las conoce?, imprescindibles en cualquier sistema. Se pueden ver decenas de ejemplos de uso en el formidable blog de su autor, Mark Russinovich.
- ThinApp es un producto de VMWare para la virtualización, empaquetado o distribución de aplicaciones, su funcionamiento es similar al que se pretende con el resto de las herramientas aquí mostradas, generando un registro amplio y detallado con los cambios que se llevan a cabo cuando una instalación o una aplicación es ejecutada.
- IDSecuritySuite dispone de la herramienta ID Install Watch (comercial, 49$), tiene por objetivo monitorizar una instalación, entre sus características más importantes destaca la exportación a ficheros XML y la posibilidad de comparar dos snapshots en cualquier momento.
- regshot, herramienta gratuita que permite comparar dos snapshots del registro, es sencilla pero parece abandona, su última versión 1.8.2 es del 2007.
- RegSnap (comercial, 29$) de Lastbit permite comparar y encontrar las claves nuevas, eliminadas y modificadas de dos snapshots del registro, generando un informe en formato HTML.
- TinyWatcher, muy similar a Patriot, notifica mediante una alerta cuando determinadas partes sensibles del sistema son modificadas, como las claves de arranque o el directorio de Windows.
- PcLogger de Soft Trek (comercial, 10,99$), registra cambios en el sistema habituales en el malware, servicios nuevos, BHO en Internet Explorer, cambios en LSA, en la configuración del Firewall, recursos compartidos, etcétera.
- DirMonitor aplicación comercial (17.99$), permite obtener monitorización en tiempo real de ficheros, carpetas, registro y procesos. Su principal ventaja es el soporte para el desarrollo de scripts.
- Microsoft Change Analysis Diagnostic Tool se describe en la KB 924732, como una herramienta que permite el diagnostico en las aplicaciones instaladas, ActiveX, HBOs de Internet Explorer, parches y actualizaciones, controladores y aplicaciones en el autoarranque.
- SpyMe Tools herramienta gratuita que permite obtener las diferencias entre dos momentos distintos del registro y el disco, además es monitor en tiempo real de estos dos almacenes. No soporta Windows Vista.
- InstallSpy (freeware) de 2brightsparks, su última versión es la 2.0, no continúa su desarrollo y permite monitorizar registro, ficheros y eventos determinados, como el que ocurre cuando se añade un servicio, se elimina hardware o se inserta un dispositivo de almacenamiento.
InCtrl5 de Pc Magazine, InstallWatch de Epsilonsquared, What Changed de Vista Software, o Microsoft Installation Monitor de Microsoft, hacen tareas similares pero se encuentran completamente obsoletas.
2 comments :
Capture de HoneyNet Proyect tambien es digna de mencion. Muy del estilo de Process Monitor pero como un daemon ;)
https://projects.honeynet.org/capture-hpc
Esto... y para windows, un patriot "silencioso" tampoco vendria mal, no?
Publicar un comentario