Análisis forense de accesos no autorizados en NTFS
|
Podemos averiguar accesos no autorizados en NTFS usando las herramientas en línea de comandos gratuitas de Forensic ToolKit. Este Kit de herramientas incluye:
AFind: Herramienta que lista los archivos por el tiempo de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido.
Sintaxis:
AFind v2.0 – Copyright(c) 2000, Foundstone, Inc.
NTFS Last Access Time Finder
Command Line Switches
[dirname] Directory to search
-f [filename] List last access time of file
-s [seconds] Files accessed less than x seconds ago
-m [minutes] Files accessed less than x minutes ago
-h [hours] Files accessed less than x hours ago
-d [days] Files accessed less than x days ago
-a [d/m/y-h:m:s] Files accessed after this date/time
-ns Exclude sub-directories
– or / Either switch statement can be used
-? Help
Additional time frame usage:
afind /s 2-4 Files accessed between 2 and 4 seconds ago afind /m 2-4 Files between 2 and 4 minutes ago
afind /s 2-4 Files between 2 and 4 seconds ago
afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates
HFind: Explora el disco buscando archivos ocultos. Encontrará cualquiera archivo oculto incluso los ocultados por el sistema, usando el atributo archivos del sistema. Éste es el método que utiliza Internet Explorer para ocultar datos. HFind también enumera los tiempos de acceso pasados.
Sintaxis:
HFind v3.0 – Copyright(c) 2000, Foundstone, Inc.
Hidden file finder with last access times
Usage – hfind [path] /ns
[dirpath] Directory to search – none equals current
-ns Skip sub-directories
– or / Either switch statement can be used
-? Help
SFind: Explora el disco buscando secuencias de datos ocultas y enumera los tiempos de acceso pasados.
Sintaxis:
SFind v2.0 – Copyright(c) 1998, Foundstone, Inc.
Alternate Data Stream Finder
Usage – sfind [path] /ns
[dirpath] Directory to search – none equals current
-ns Skip sub-directories
– or / Either switch statement can be used
-? Help
FileStat: Muestra todas los permisos de los archivo. Trabaja solamente con un archivo a la vez. También enumera tiempos de acceso pasados clasificado por usuarios.
Sintaxis:
FileStat v2.0 Copyright(c) 1998, Foundstone, Inc.
Dumps NTFS security, file, and stream attributes Command Line Switches
[Filename] Name of file to list
-? Help
DACLchk: Muestra las ACL con la información de accesos pasados, de todos los archivos de un directorio, en orden inverso.
Sintaxis:
DACLchk v2.0 – Copyright(c) 1999, Foundstone, Inc.
NTFS DACL ACE Order Detector
Dumps any ACL that has Denied and Allowed ACE’s in reverse order
Usage – sfind [path] /ns
[dirpath] Directory to search – none equals current
-d Dump all DACL’s – Don’t detect reversed ACE’s
-ns Skip sub-directories
– or / Either switch statement can be used
-? Help
Audited: Esta herramienta combina la información de acceso a ficheros con la información de auditoria de Windows. Solo funciona si se tiene habilitado las políticas de auditoria.
Sintaxis:
Audited v2.0 – Copyright(c) 1998, Foundstone, Inc.
NTFS SACL Reporter – Finds audited files
Usage – audited [path] /ns
[dirpath] Directory to search – none equals current
-d Dump file audit attributes
-r [hivekey] Dump registry audit attributes
-s [subkey] Optional sub-key to search
-v Verbose mode
-ns Skip sub-directories/sub keys
– or / Either switch statement can be used
Reg key constants are – HKLM, HKCR, HKCU, HKU, HKCC
Dumps entire reg if no keyname is specified
-? Help
Hunt: Es una herramienta para mostrar si un sistema revela demasiada información vía NULL sessions.
Sintaxis:
Hunt v2.0 – Copyright(c) 1998, Foundstone, Inc.
SMB share enumerator and admin finder
Usage – hunt \servername
/? = Help
Estas herramientas solo funcionan si se usan con privilegios de administrador.
Más información y descarga de Forensic ToolKit:
http://www.mcafee.com/us/downloads/free-tools/forensic-toolkit.aspx
Saludos Alvaro, es muy interesante el blog sobre seguridad informatica, no todos fomentan el hacking etico y de analisis en seguridad de sistemas.
Me preguntaba si podria incluir alguno de tus articulos en mi blog «El Laboratorio de Gwen», ando algo excaso de articulos sobre tecnologia e informatica forense y posees algunos muy interesantes.
El articulo vendria acompañado de referencias a tu persona y a tu blog para que la comunidad pudiese acceder desde el laboratorio.
Gracias por tu atencion.
Un saludo y hasta pronto.
Hola qwen
Gracias por los comentarios. Sin ningún problema puedes publicar lo que quieras siempre que hagas referencia (un simple enlace y punto) de donde lo has quitado. Estés términos de licencia los específico al final del blog y vienen aquí:
http://creativecommons.org/licenses/by/2.5/es/
Un saludo.
MUY BUEN APORTE TAMBIEN EXISTE LA HERRAMIENTA DE NUBUNTU CUALQUIER DUDA.
http://www.sysrj.com
sysrj@hotmail.com