De gran utilidad en el ámbito de la seguridad son las herramientas que registran los cambios que ocurren en el sistema durante un determinado periodo de tiempo. Como por ejemplo el análisis de código malicioso en el campo del malware o la búsqueda de rootkits u otro tipo de alteraciones en auditoría o periciales.
Todas estas aplicaciones tienen un funcionamiento similar, primero realizan una inspección donde obtienen una foto, posteriormente se ejecuta o instala aquello que se quiera rastrear y finalmente se obtiene una nueva foto. La diferencia entre ambas son las modificaciones que el sistema ha sufrido.
En entornos Windows, estas modificaciones generalmente son de dos tipos: modificaciones en el registro, donde se habrán añadido, modificado o incluso borrado claves y alteraciones en el sistema de archivos, con la creación, eliminación o modificación de directorios y archivos. En sistemas Unix se monitorizan alteraciones en archivos de configuración y en el sistema de ficheros.
Por centrar el tiro, comentaremos algunas de las más importantes en plataformas windows en el análisis de malware.
Todas estas aplicaciones tienen un funcionamiento similar, primero realizan una inspección donde obtienen una foto, posteriormente se ejecuta o instala aquello que se quiera rastrear y finalmente se obtiene una nueva foto. La diferencia entre ambas son las modificaciones que el sistema ha sufrido.
En entornos Windows, estas modificaciones generalmente son de dos tipos: modificaciones en el registro, donde se habrán añadido, modificado o incluso borrado claves y alteraciones en el sistema de archivos, con la creación, eliminación o modificación de directorios y archivos. En sistemas Unix se monitorizan alteraciones en archivos de configuración y en el sistema de ficheros.
Por centrar el tiro, comentaremos algunas de las más importantes en plataformas windows en el análisis de malware.
- Las archiconocidas herramientas de SysInternals: regmon, filemon, Process Monitor ¿quién no las conoce?, imprescindibles en cualquier sistema. Se pueden ver decenas de ejemplos de uso en el formidable blog de su autor, Mark Russinovich.
- ThinApp es un producto de VMWare para la virtualización, empaquetado o distribución de aplicaciones, su funcionamiento es similar al que se pretende con el resto de las herramientas aquí mostradas, generando un registro amplio y detallado con los cambios que se llevan a cabo cuando una instalación o una aplicación es ejecutada.
- IDSecuritySuite dispone de la herramienta ID Install Watch (comercial, 49$), tiene por objetivo monitorizar una instalación, entre sus características más importantes destaca la exportación a ficheros XML y la posibilidad de comparar dos snapshots en cualquier momento.
- regshot, herramienta gratuita que permite comparar dos snapshots del registro, es sencilla pero parece abandona, su última versión 1.8.2 es del 2007.
- RegSnap (comercial, 29$) de Lastbit permite comparar y encontrar las claves nuevas, eliminadas y modificadas de dos snapshots del registro, generando un informe en formato HTML.
- TinyWatcher, muy similar a Patriot, notifica mediante una alerta cuando determinadas partes sensibles del sistema son modificadas, como las claves de arranque o el directorio de Windows.
- PcLogger de Soft Trek (comercial, 10,99$), registra cambios en el sistema habituales en el malware, servicios nuevos, BHO en Internet Explorer, cambios en LSA, en la configuración del Firewall, recursos compartidos, etcétera.
- DirMonitor aplicación comercial (17.99$), permite obtener monitorización en tiempo real de ficheros, carpetas, registro y procesos. Su principal ventaja es el soporte para el desarrollo de scripts.
- Microsoft Change Analysis Diagnostic Tool se describe en la KB 924732, como una herramienta que permite el diagnostico en las aplicaciones instaladas, ActiveX, HBOs de Internet Explorer, parches y actualizaciones, controladores y aplicaciones en el autoarranque.
- SpyMe Tools herramienta gratuita que permite obtener las diferencias entre dos momentos distintos del registro y el disco, además es monitor en tiempo real de estos dos almacenes. No soporta Windows Vista.
- InstallSpy (freeware) de 2brightsparks, su última versión es la 2.0, no continúa su desarrollo y permite monitorizar registro, ficheros y eventos determinados, como el que ocurre cuando se añade un servicio, se elimina hardware o se inserta un dispositivo de almacenamiento.
InCtrl5 de Pc Magazine, InstallWatch de Epsilonsquared, What Changed de Vista Software, o Microsoft Installation Monitor de Microsoft, hacen tareas similares pero se encuentran completamente obsoletas.
2 comments :
Capture de HoneyNet Proyect tambien es digna de mencion. Muy del estilo de Process Monitor pero como un daemon ;)
https://projects.honeynet.org/capture-hpc
Esto... y para windows, un patriot "silencioso" tampoco vendria mal, no?
Publicar un comentario