Forensic en Windows – RadioGraPhy 1.0

· de · en Forense. ·

A la hora de realizar un forense es de mucha utilidad el poder obtener una “foto” del sistema en la que podamos obtener información relacionada con servicios, procesos ocultos.. etc

Una herramienta que nos facilita esta foto es RadioGraPhy 1.0, esta herramienta desarrollada por Yago Jesús nos ayuda en esta tarea, podemos ver una foto del software aquí:

Que caraterísticas tiene el software:

  • Las claves del registro asociadas al auto-arranque de procesos
  • Las claves del registro asociadas a la configuración de IE
  • Las cuentas de usuario del sistema
  • Los ficheros en directorios ‘startup’
  • Los servicios del sistema
  • El contenido del fichero ‘hosts’
  • Los ‘task’ del scheduler de windows
  • Los drivers o módulos cargados en el Kernel de Windows
  • Carpetas compartidas por NetBios
  • Ventanas ocultas (cmd y IE)
  • La lista de procesos activos en el sistema y el path del ejecutable
  • Información relacionada con la red (puertos abiertos, conexiones, etc)

En mi caso, me he infectado con un malware que además se copia en la carpeta de Aplication Data quería ver si RadioGraphy es capaz de detectarlo, en mi caso:

Bingo, ha detectado el binario modificado!

Os animo a probar la herramienta ya que seguro que con un par de añadidos que podamos sugerirle a Yago se convierte en una herramienta que va a usar mucha gente.

Yago ya lleva en la comunidad aportando aparte de conocimiento herramientas, podéis consultarlas aquí

Para descargar la herramienta podemos descargarla de aquí, o del backup en code google

About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Cancelar

Conectando a %s