20 septiembre 2009

Toolkit forense MIR-ROR

A la hora de diagnosticar un problema de seguridad en un equipo Windows, surge la necesidad de obtener la mayor cantidad posible de datos. Normalmente todos tenemos claro el tipo de datos que nos pueden resultar valiosos para hacer un diagnóstico, el problema es tener todos los procedimientos debidamente documentados para obtener esos datos.

Uno de los 'Toolkits' que mas buenas sensaciones me ha transmitido es MI-ROR.

MI-ROR está basado en las fabulosas herramientas de Sysinternals y permite obtener una radiografía muy muy completa de un sistema Windows en ejecución (no es, por tanto, un toolkit al estilo Sleuth Kit)

Algunos aspectos que permite 'radiografiar' MIR-ROR son:
  • Puertos TCP/UDP en uso
  • Software instalado
  • Servicios en ejecución,
  • Cuentas administrativas
  • Procesos en ejecución
Otro de los puntos positivos es que todo el toolkit es portable, con lo que se puede tener en un pen USB o generar un .zip enviable por correo electrónico para hacer un diagnostico remoto.

Muy recomendable leer el artículo publicado por el autor del toolkit aquí

7 comments :

neofito dijo...

Muchas gracias por la info, y ya que estamos:

http://www.digital-forensic.org/

Saludos

Yago Jesus dijo...

@neofito, muchas gracias por la url y enhorabuena por tu blog

neofito dijo...

Gracias!!!

conexioninversa dijo...

@neofito: ¿Javier, has probado la herramienta?.

Yago Jesus: Yago, gracias por nombrarme en algunos de vuestros post y enhorabuena por vuestro blog!!

neofito dijo...

@Pedro, todavia no he tenido tiempo, pero la tengo en la lista de pendientes. Encontre la mencion en el foro de Forensic Focus.

Saludos

Yago Jesus dijo...

@Pedro Sanchez: Un placer, a ver si coincidimos en algun evento

neofito dijo...

@Pedro, todavia no he tenido tiempo, pero la tengo en la lista de pendientes. Encontre la mencion en el foro de Forensic Focus.

Saludos