Beruflich Dokumente
Kultur Dokumente
• Al Investigador forense se le deberá de proporcionar Tenga en cuenta que se pueden usar los Utilitarios Actividad inusual en la red
acceso físico al sistema sospechoso. Se prefiere acceso Sysinternals para troubleshooting para realizar gran parte de •Revise los archivos compartidos y verifique que cada uno
físico sobre el acceso remoto pues el atacante podría estas tareas. esté enlazado a una actividad normal:
detectar las investigaciones que se hacen en el sistema c:\> net view \\127.0.0.1
(empleando por ejemplo un sniffer) Cuentas inusuales Use “tcpview si está disponible.
Busque cuentas inusuales creadas, especialmente dentro del •Revise las sesiones abiertas en la máquina:
• Puede ser necesario contar con una copia física del disco grupo Administadores: c:\> net session
duro con propósitos de forensia y de evidencia.
c:\> lusrmgr.msc •Mire las sesiones que la máquina ha abierto con otros
o sistemas:
Finalmente, puede ser necesario un acceso físico para c:\> net localgroup administrators o net localgroup c:\> net use
desconectar la máquina sospechosa de cualquier red. administradores •Revise si hay conexiones Netbios sospechosas:
c:\> nbtstat -S
• Se precisa de un buen conocimiento de la actividad usual Archivos inusuales •Busque actividad sospechosa en los puertos del sistema:
de la máquina/servidor en la red. Usted debe de tener un Busque archivos inusualmente grandes en los medios de c:\> netstat -na 5
archivo en lugar seguro donde se describa la actividad almacenamiento, mayores a 5MB. (Puede ser la indicación (el “5” hace que se refresque cada 5 segundos)
usual de puertos para poder comparar eficientemente con de un sistema comprometido para almacenamiento de Use la opción -o de Windows XP/2003 para ver el dueño
el estado actual. contenido ilegal) (owner) de cada proceso:
Busque archivos inusuales recientemente añadidos en las c:\> netstat -nao 5
• Puede ser de gran ayuda tener un buen conocimiento de carpetas de sistema, especialmente en Use fport si es posible.
los servicios que corren usualmente en la máquina. No c:\WINDOWS\system32
dude en pedir ayuda a un experto en Windows si lo
Tareas automáticas inusuales
considera necesario.. Es una buena idea tener un mapa de Entradas inusuales al Registro
Busque si hay entradas inusuales en la lista de tareas
los servicios y procesos que se ejecutan en la máquina. Busque en el registro de Windows si hay programas
programadas:
inusuales lanzados al momento de inicializar (boot), c:\> at
Puede ser una verdadera ventaja trabajar en un medio específicamente: En Windows 2003/XP c:\> schtasks
corporativo muy grande donde todas las máquinas son HKLM\Software\Microsoft\CurrentVersion\Run
iguales e instaladas con un CD/DVD maestro. Tenga un mapa HKLM\Software\Microsoft\CurrentVersion\Runonce Entradas inusuales en el log
de todos los procesos/servicios/aplicaciones. En semejante HKLM\Software\Microsoft\CurrentVersion\RunonceEx
• Revise sus log buscando entradas inusuales:
entorno donde a los usuarios no se les permite instalar Si es posible, use “HiJackThis”. Vea también su carpeta
c:\> eventvwr.msc
software, considere todo proceso/ servicio/aplicación como Startup
Si es posible, use “Event Log Viewer” o herramienta
sospechoso. similar
Procesos y Servicios inusuales
• Busque eventos que afecten al firewall, al antivirus, la
Mientras más conozca la máquina en su est ado Revise todos los procesos ejecutándose en busca de
protección de archivos o cualquier servicio nuevo
“limpio”, más oportunidades tendrá de det ect ar entradas inusuales o desconocidas, en particular aquellas
sospechoso.
cualquier actividad fraudulent a ejecut ándose en con nombre de usuario “SYSTEM” o “ADMINISTRATOR”.
ella. c:\> taskmgr.exe
(o tlisk, tasklist dependiendo de la versión de Windows) • Busque si hay una gran cantidad de intentos fallidos de
Utilice psexplorer si está disponible login o cuentas bloqueadas.
• Revise los archivos de log de su firewall en busca de
Revise las carpetas “Inicio” de los usuarios actividad sospechosa.
c:\Documents ans Settings\user\Start
Menu\Programs\Startup Busque la existencia de rootkits
c:\WinNT\Profiles\user\Start Menu\Programs Ejecute “GMER”, “TDSSkiller”, o similares