A la hora de diagnosticar un problema de seguridad en un equipo Windows, surge la necesidad de obtener la mayor cantidad posible de datos. Normalmente todos tenemos claro el tipo de datos que nos pueden resultar valiosos para hacer un diagnóstico, el problema es tener todos los procedimientos debidamente documentados para obtener esos datos.Uno de los 'Toolkits' que mas buenas sensaciones me ha transmitido es MI-ROR.
MI-ROR está basado en las fabulosas herramientas de Sysinternals y permite obtener una radiografía muy muy completa de un sistema Windows en ejecución (no es, por tanto, un toolkit al estilo Sleuth Kit)
Algunos aspectos que permite 'radiografiar' MIR-ROR son:
Otro de los puntos positivos es que todo el toolkit es portable, con lo que se puede tener en un pen USB o generar un .zip enviable por correo electrónico para hacer un diagnostico remoto.
- Puertos TCP/UDP en uso
- Software instalado
- Servicios en ejecución,
- Cuentas administrativas
- Procesos en ejecución
Muy recomendable leer el artículo publicado por el autor del toolkit aquí
7 comments :
Muchas gracias por la info, y ya que estamos:
http://www.digital-forensic.org/
Saludos
@neofito, muchas gracias por la url y enhorabuena por tu blog
Gracias!!!
@neofito: ¿Javier, has probado la herramienta?.
Yago Jesus: Yago, gracias por nombrarme en algunos de vuestros post y enhorabuena por vuestro blog!!
@Pedro, todavia no he tenido tiempo, pero la tengo en la lista de pendientes. Encontre la mencion en el foro de Forensic Focus.
Saludos
@Pedro Sanchez: Un placer, a ver si coincidimos en algun evento
@Pedro, todavia no he tenido tiempo, pero la tengo en la lista de pendientes. Encontre la mencion en el foro de Forensic Focus.
Saludos
Publicar un comentario