Recoleccion de evidencias forences en sistema vivo
Evidence Collector es un recolector de evidencias forenses en sistema vivo para la plataforma Windows. Es ideal para un primer análisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados. Con esta herramienta podemos extraer las siguientes evidencias:
- Información de sistema: Usuarios, IP y MAC .
- Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
- Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
- Software instalados: Listado del software instalado en la maquina.
- Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
- Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
- Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
- Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
- Seguimiento de procesos: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
- Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
- Módulos sospechosos: Explora módulos en busca rootkit.
- Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
- Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.
Para utilizar esta herramienta se necesitan permisos de administrador. Os recomiendo que para usar la herramienta copiéis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.
Fuente: Guru de la informática