06 mayo 2014

LastActivityView, cuéntame como pasó


Que bonito sería que existiese un Twitter-para-sistemas-operativos en el que poder hacer 'follow' y que además el sistema operativo fuese el típico usuario-pesado-twitter que va contando su vida minuto a minuto.

Lo más parecido que he podido encontrar a eso es LastActivityView para sistemas Windows.

Para mi, una de las herramientas absolutamente indispensables a la hora de afrontar un análisis forense 'en caliente'

Esta herramienta es capaz de generar un timeline de acciones que han sucedido en el equipo, y esas acciones son cosas como:

  • Cuando y qué binario se ha ejecutado en el sistema
  • Cuando y cual carpeta ha sido abierta en el sistema
  • Arranques / paradas del sistema operativo
  • Instalación de nuevos programas o parches en el sistema
  • Accesos a unidades de red
Un ejemplo de un Windows 'vivo' desde el 2011 (datos actuales):


Cosas que se hicieron en el 2012


Sin duda, LastActivityView es una herramienta MUY ÚTIL a la hora de hacerte una idea de lo que ha ido pasando en un sistema operativo del que puedes sospechar que ha sido comprometido

LastActivityView es gratuita y la podéis descargar desde aquí

3 comments :

ak!l3s dijo...

Probado, muy útil Yago! gracias

Jorge dijo...

Si usas windows 7, esto puede servir también.
http://nksistemas.com/ver-historial-de-sucesos-en-windows-7/

Saludo

Ignacio Agulló dijo...

Interesante. Y además predice el futuro, muestra información del año 2018... };-)