16 septiembre 2013

RadioGraPhy 2.0

Hace algún tiempo presenté en sociedad RadioGraPhy, una herramienta que llevaba un tiempo usando de forma privada para hacer investigaciones forenses.

Esta herramienta es útil a la hora de 'radiografiar' un sistema Windows y extraer la máxima información posible.

En esta ocasión presento la versión V 2.0 que trae como novedad la posibilidad de extraer una copia de todos los binarios en ejecución y un backup del visor de eventos.

La idea es ejecutarla en un sistema sospechoso y llevarte la información para analizarla en el lab.

Se le ha añadido a la versión 'cli' el flag -c (no tiene mucho sentido añadir esta funcionalidad el frontend gráfico) que ejecuta la tarea de capturar esas evidencias.


Esto generará una carpeta llamada 'Evidences' y dentro de ella 'Eventlog' y 'Processes' 

Dentro de 'Eventlog' estará el backup del visor de eventos y dentro de 'Processes' una copia de los binarios que se estaban ejecutando en el sistema (de momento no los asociados a servicios)

Tampoco está de más recordar la lista de funcionalidades de la versión 1.0

RadioGraPhy obtiene los siguientes datos:

  • Las claves del registro asociadas al auto-arranque de procesos
  • Las claves del registro asociadas a la configuración de IE
  • Las cuentas de usuario del sistema
  • Los ficheros en directorios 'startup'
  • Los servicios del sistema
  • El contenido del fichero 'hosts'
  • Los 'task' del scheduler de windows
  • Los drivers o módulos cargados en el Kernel de Windows
  • Carpetas compartidas por NetBios
  • Ventanas ocultas (cmd y IE)
  • La lista de procesos activos en el sistema y el path del ejecutable
  • Información relacionada con la red (puertos abiertos, conexiones, etc)
La herramienta la he liberado totalmente 'Open Source' y se puede descargar desde aquí

14 comments :

ak!l3s dijo...

Descargando!!! gran aporte Yago, muchas gracias.

David dijo...

Gracias por el aporte Yago! Tiene muy buena pinta.
Un simple apunte.. En el modo gráfico no sé si estoy un poco ciego pero una opción para limpiar los resultados de forma automática y no manual le vendría de lujo, jeje.


Voy a seguir probando :)

newlog dijo...

Muy currada!


Gracias por liberarla :)

Roberto Blanco dijo...

Muchas gracias por el aporte, comenzaré a probarla para ver su funcionamiento.

masticover dijo...

¡Grande Yago! Gracias por compartirla

s1c0s1s dijo...

probare la herramienta y vere que resultados me arroja. gracias yago por tus buenos aportes a la comunidad.

muriel dijo...

Fantástico. Gracias por éste gran aporte Yago!!!

Yago Jesus dijo...

Muchas gracias crack !

Yago Jesus dijo...

Tienes razón, la parte gráfica es MUY mejorable, tengo que ver cómo ...


Gracias por los apuntes !

Yago Jesus dijo...

Muchas gracias amigo ! te echamos de menos por aquí

Yago Jesus dijo...

Muchas gracias, si encuentras algo que no funciona, por favor dímelo

Yago Jesus dijo...

Gracias a ti por tu interés !

Yago Jesus dijo...

Muchas gracias, si se te ocurren mejoras, estaré encantado de introducirlas

Yago Jesus dijo...

Gracias a ti por tomarte el tiempo de verla