Hace algún tiempo presenté en sociedad RadioGraPhy, una herramienta que llevaba un tiempo usando de forma privada para hacer investigaciones forenses.
Esta herramienta es útil a la hora de 'radiografiar' un sistema Windows y extraer la máxima información posible.
En esta ocasión presento la versión V 2.0 que trae como novedad la posibilidad de extraer una copia de todos los binarios en ejecución y un backup del visor de eventos.
La idea es ejecutarla en un sistema sospechoso y llevarte la información para analizarla en el lab.
Se le ha añadido a la versión 'cli' el flag -c (no tiene mucho sentido añadir esta funcionalidad el frontend gráfico) que ejecuta la tarea de capturar esas evidencias.
Esto generará una carpeta llamada 'Evidences' y dentro de ella 'Eventlog' y 'Processes'
Dentro de 'Eventlog' estará el backup del visor de eventos y dentro de 'Processes' una copia de los binarios que se estaban ejecutando en el sistema (de momento no los asociados a servicios)
Tampoco está de más recordar la lista de funcionalidades de la versión 1.0
RadioGraPhy obtiene los siguientes datos:
- Las claves del registro asociadas al auto-arranque de procesos
- Las claves del registro asociadas a la configuración de IE
- Las cuentas de usuario del sistema
- Los ficheros en directorios 'startup'
- Los servicios del sistema
- El contenido del fichero 'hosts'
- Los 'task' del scheduler de windows
- Los drivers o módulos cargados en el Kernel de Windows
- Carpetas compartidas por NetBios
- Ventanas ocultas (cmd y IE)
- La lista de procesos activos en el sistema y el path del ejecutable
- Información relacionada con la red (puertos abiertos, conexiones, etc)
La herramienta la he liberado totalmente 'Open Source' y se puede descargar desde aquí
14 comments :
Descargando!!! gran aporte Yago, muchas gracias.
Gracias por el aporte Yago! Tiene muy buena pinta.
Un simple apunte.. En el modo gráfico no sé si estoy un poco ciego pero una opción para limpiar los resultados de forma automática y no manual le vendría de lujo, jeje.
Voy a seguir probando :)
Muy currada!
Gracias por liberarla :)
Muchas gracias por el aporte, comenzaré a probarla para ver su funcionamiento.
¡Grande Yago! Gracias por compartirla
probare la herramienta y vere que resultados me arroja. gracias yago por tus buenos aportes a la comunidad.
Fantástico. Gracias por éste gran aporte Yago!!!
Muchas gracias crack !
Tienes razón, la parte gráfica es MUY mejorable, tengo que ver cómo ...
Gracias por los apuntes !
Muchas gracias amigo ! te echamos de menos por aquí
Muchas gracias, si encuentras algo que no funciona, por favor dímelo
Gracias a ti por tu interés !
Muchas gracias, si se te ocurren mejoras, estaré encantado de introducirlas
Gracias a ti por tomarte el tiempo de verla
Publicar un comentario