06 diciembre 2012

A través del siempre genial blog del SANS, llego a la herramienta 'PSR' creada por Microsoft y cuyo objetivo legítimo es ayudar a resolver problemas.

Esta herramienta viene 'by default' a partir de Windows 7, y lo que hace es capturar toda la actividad de la pantalla y generar un fichero en formato MHTML con las capturas de pantalla, movimientos de ratón y algunas pulsaciones de teclado.

Esto, evidentemente, es muy útil cuando tienes que lidiar con una persona que 'no hace nada' pero algo le va mal, con tan solo pedir que ejecute el comando PSR ya puede iniciar una sesión de lo que está haciendo y enviar el fichero para que se revise. 

Aquí se puede ver un ejemplo de cómo captura PSR:


Tal y como se puede apreciar, la herramienta muestra el pantallazo y la descripción de lo que estaba haciendo el usuario.

¿Problema? Resulta que esta herramienta se puede invocar por línea de comandos y además tiene un modo en el que el usuario no vería que se está empleando.

En concreto con este comando:

psr.exe /start /output \\?\%USERPROFILE%\Desktop\diag.zip /maxsc 100 /sc 1 /gui 0

Se lanzaría una sesión de PSR y se almacenaría lo capturado en un fichero .zip situado en el escritorio del usuario.

En este punto, probablemente todo el mundo haya caído en la cuenta de la enorme utilidad que puede tener en caso de tener un acceso a un cmd.exe en remoto (por haber explotado una vulnerabilidad, por ejemplo) y querer 'mirar' lo que está pasando en la pantalla.

No obstante, y quitando ese matiz, la herramienta me parece genial y de hecho, me estoy planteando seriamente cambiar Camtasia por esta herramienta a la hora de generar vídeo-reportes donde he de describir como se explota una vulnerabilidad o un procedimiento.

Me parece mucho mas vistosa, los ficheros pesan menos y además es altamente descriptiva.

10 comments :

Ácas. dijo...

Se le puede dar un muy buen uso a esta utilidad... como dices, es una buena optativa a camtasia aunque realmente no representa una amenaza por asi decirlo, ya que todo el que tenga acceso a una cmd remota seguramente podrá activar el rdesktop o incluso descargar y ejecutar un troyano.

Buen artículo, no conocía la aplicación.
@AkashCMC

JJ dijo...

Qué buena chicos, no la conocía(yo también uso camtasia...).


Un saludo.

Enjutillo dijo...

Hola a tod@s, me gustaría encontrar la descarga de esta aplicación para windows vista (mi s.o.). No lo he encontrado por la red. Gracias anticipadas por dejar un enlace en vuestro educativo blog.

Yago Jesus dijo...

Que yo sepa, es solo una herramienta a partir de Windows 7 y va integrada en el sistema, dudo que haya backports, pero si los encuentro, los añado

Yago Jesus dijo...

Gracias por el comentario

Yago Jesus dijo...

Muchas gracias !

Jask dijo...

Joe soy consultor informático y muchas veces me toca hacer análisis de cosas que hicieron un usuario en cuestión pero claro no sale rentable desplazarse y no es plan ponerse a ver con escritorio remoto esto me va a venir de fábula, no lo conocía :D


Gracias

arturo enriquez dijo...

hola, alguien me puede ayudar a descifrar los mensages que almacena whatsapp en mi bberry........aparece asi msgstore.db solamente esa extencion (.db)
eh visto que pueden habrir el de los androi, pero la extencion es (.crypt)

pero yo solo deseo saber habrir el que tiene extension (.db)
y nadie tiene tutoriales casi, para habrir ese tipo de archivo
por favor agradeceria.................ultimamente me eh dado cuenta que el hombre siempre buscara la verdad, que no existe moral, la moral proviene de las costumbres de las personas y creencias........si alguien sabe por favor mandamen la respuesta a mi correo arthur_chunco@hotmail.com

Solitario dijo...

asi nos tiene vigilado microsoft

Euphoria dijo...

muy buena la opcion esa pero... como puedo desactivarla en mi pc? :D