Análisis forense de accesos no autorizados en NTFS.

Podemos averiguar accesos no autorizados en NTFS usando las herramientas en línea de comandos gratuitas de Forensic ToolKit. Este Kit de herramientas incluye:

AFind: Herramienta que lista los archivos por el tiempo de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido.

Sintaxis:
AFind v2.0 – Copyright(c) 2000, Foundstone, Inc.
NTFS Last Access Time Finder
Command Line Switches

[dirname] Directory to search

-f [filename] List last access time of file

-s [seconds] Files accessed less than x seconds ago

-m [minutes] Files accessed less than x minutes ago
-h [hours] Files accessed less than x hours ago
-d [days] Files accessed less than x days ago

-a [d/m/y-h:m:s] Files accessed after this date/time

-ns Exclude sub-directories
– or / Either switch statement can be used

-? Help

Additional time frame usage:
afind /s 2-4 Files accessed between 2 and 4 seconds ago
afind /m 2-4 Files between 2 and 4 minutes ago
afind /s 2-4 Files between 2 and 4 seconds ago

afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates

HFind: Explora el disco buscando archivos ocultos. Encontrará cualquiera archivo oculto incluso los ocultados por el sistema, usando el atributo archivos del sistema. Éste es el método que utiliza Internet Explorer para ocultar datos. HFind también enumera los tiempos de acceso pasados.

Sintaxis:
HFind v3.0 – Copyright(c) 2000, Foundstone, Inc.
Hidden file finder with last access times
Usage – hfind [path] /ns

[dirpath] Directory to search – none equals current

-ns Skip sub-directories
– or / Either switch statement can be used

-? Help

SFind: Explora el disco buscando secuencias de datos ocultas y enumera los tiempos de acceso pasados.

Sintaxis:
SFind v2.0 – Copyright(c) 1998, Foundstone, Inc.
Alternate Data Stream Finder
Usage – sfind [path] /ns

[dirpath] Directory to search – none equals current

-ns Skip sub-directories

– or / Either switch statement can be used

-? Help

FileStat: Muestra todas los permisos de los archivo. Trabaja solamente con un archivo a la vez. También enumera tiempos de acceso pasados clasificado por usuarios.

Sintaxis:
FileStat v2.0 Copyright(c) 1998, Foundstone, Inc.
Dumps NTFS security, file, and stream attributes Command Line Switches
[Filename] Name of file to list

-? Help

DACLchk: Muestra las ACL con la información de accesos pasados, de todos los archivos de un directorio, en orden inverso.

Sintaxis:
DACLchk v2.0 – Copyright(c) 1999, Foundstone, Inc.
NTFS DACL ACE Order Detector
Dumps any ACL that has Denied and Allowed ACE’s in reverse order
Usage – sfind [path] /ns

[dirpath] Directory to search – none equals current

-d Dump all DACL’s – Don’t detect reversed ACE’s
-ns Skip sub-directories

– or / Either switch statement can be used

-? Help

Audited: Esta herramienta combina la información de acceso a ficheros con la información de auditoria de Windows. Solo funciona si se tiene habilitado las políticas de auditoria.

Sintaxis:
Audited v2.0 – Copyright(c) 1998, Foundstone, Inc.
NTFS SACL Reporter – Finds audited files
Usage – audited [path] /ns

[dirpath] Directory to search – none equals current

-d Dump file audit attributes

-r [hivekey] Dump registry audit attributes

-s [subkey] Optional sub-key to search

-v Verbose mode

-ns Skip sub-directories/sub keys

– or / Either switch statement can be used
Reg key constants are – HKLM, HKCR, HKCU, HKU, HKCC

Dumps entire reg if no keyname is specified

-? Help

Hunt: Es una herramienta para mostrar si un sistema revela demasiada información vía NULL sessions.

Sintaxis:
Hunt v2.0 – Copyright(c) 1998, Foundstone, Inc.
SMB share enumerator and admin finder
Usage – hunt \servername

/? = Help

Estas herramientas solo funcionan si se usan con privilegios de administrador.

Más información y descarga de Forensic ToolKit:
http://www.mcafee.com/us/downloads/free-tools/forensic-toolkit.aspx

3 comentarios en “Análisis forense de accesos no autorizados en NTFS.

  • el mayo 22, 2008 a las 10:21 pm
    Permalink

    Saludos Alvaro, es muy interesante el blog sobre seguridad informatica, no todos fomentan el hacking etico y de analisis en seguridad de sistemas.
    Me preguntaba si podria incluir alguno de tus articulos en mi blog «El Laboratorio de Gwen», ando algo excaso de articulos sobre tecnologia e informatica forense y posees algunos muy interesantes.
    El articulo vendria acompañado de referencias a tu persona y a tu blog para que la comunidad pudiese acceder desde el laboratorio.
    Gracias por tu atencion.
    Un saludo y hasta pronto.

    Respuesta
  • el mayo 24, 2008 a las 9:10 pm
    Permalink

    Hola qwen
    Gracias por los comentarios. Sin ningún problema puedes publicar lo que quieras siempre que hagas referencia (un simple enlace y punto) de donde lo has quitado. Estés términos de licencia los específico al final del blog y vienen aquí:
    http://creativecommons.org/licenses/by/2.5/es/
    Un saludo.

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: