16 abril 2012

RadioGraPhy 1.0

Una de las cosas más importantes cuando se procede a realizar una investigación forense en un ordenador, es obtener la mayor cantidad posible de información.

Es básico el poder contar con una 'radiografía' del equipo, que muestre la mayor cantidad de pistas para poder deducir si ese equipo está comprometido y como.

En el caso de Windows, hay herramientas bastante buenas como 'MIR-ROR' o 'HijackThis', y hoy voy a añadir una más a la lista: RadioGraPhy.

RadioGraphy, como su nombre indica, intenta 'radiografiar' el sistema y obtener datos relevantes:

  • Las claves del registro asociadas al auto-arranque de procesos
  • Las claves del registro asociadas a la configuración de IE
  • Las cuentas de usuario del sistema
  • Los ficheros en directorios 'startup'
  • Los servicios del sistema
  • El contenido del fichero 'hosts'
  • Los 'task' del scheduler de windows
  • Los drivers o módulos cargados en el Kernel de Windows
  • Carpetas compartidas por NetBios
  • Ventanas ocultas (cmd y IE)
  • La lista de procesos activos en el sistema y el path del ejecutable
  • Información relacionada con la red (puertos abiertos, conexiones, etc)

Adicionalmente, tiene soporte para el  Team Cymru's MALWARE HASH REGISTRY (del que hablamos aquí) lo que permite que, cuando encuentra un binario, ya sea un proceso en ejecución o un binario asociado a una clave de registro / task, comprueba si su hash ha sido identificado como sospechoso.

También he integrado 'WinUnhide' para que realice un test de integridad de procesos en búsqueda de procesos ocultos.

La herramienta cuenta con una versión por línea de comandos y otra en formato GUI

Un par de screenshots:

GUI Version

CLI Version


La página del proyecto es esta

7 comments :

Madrikeka dijo...

sabes que de muy pequeña quería ser médico forense?

Lo mismo debería empezar con la informática forense XD, seguro que me gusta!!!

La verdad que la herramienta tiene muy buena pinta!!

aprendiendo..... :D

Djdracco dijo...

Yo tengo una duda acerca de los procesos ocultos con winhide. Una vez tenemos los PID, ¿como comprobamos a que ejecutable pertenece? Tampoco se puede detener con taskkill. ¿Como lo asocio a un puerto oculto? La verdad que estoy en pañales. Un saludo.

Batmanclark dijo...

Excelente trabajo. Llevas dias posteando aplicaciones muy buenas. menudo curro que te pegas

Yago Jesus dijo...

 La verdad es que es muy entretenida. Anímate con el tema y envíanos contribs sobre ello !

Yago Jesus dijo...

 ¡¡ Muchas gracias !!

Yago Jesus dijo...

 WinUnhide lo que hace es dar la voz de alarma de que algo no va bien, para hacer una investigación forense completa necesitas extraer una imagen del sistema y analizarla con Autopsy http://www.sleuthkit.org/autopsy/desc.php o Volatility https://www.volatilesystems.com/default/volatility

Djdracco dijo...

Muchas gracias Yago, me pongo con ello. Saludos.