Análisis forense de accesos no autorizados en NTFS

Podemos averiguar accesos no autorizados en NTFS usando las herramientas en línea de comandos gratuitas de Forensic ToolKit. Este Kit de herramientas incluye:

AFind: Herramienta que lista los archivos por el tiempo de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido.

Sintaxis:
AFind v2.0 – Copyright(c) 2000, Foundstone, Inc.
NTFS Last Access Time Finder
Command Line Switches
[dirname] Directory to search
-f [filename] List last access time of file
-s [seconds] Files accessed less than x seconds ago
-m [minutes] Files accessed less than x minutes ago
-h [hours] Files accessed less than x hours ago
-d [days] Files accessed less than x days ago
-a [d/m/y-h:m:s] Files accessed after this date/time
-ns Exclude sub-directories
– or / Either switch statement can be used
-? Help
Additional time frame usage:
afind /s 2-4 Files accessed between 2 and 4 seconds ago afind /m 2-4 Files between 2 and 4 minutes ago
afind /s 2-4 Files between 2 and 4 seconds ago
afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates

HFind: Explora el disco buscando archivos ocultos. Encontrará cualquiera archivo oculto incluso los ocultados por el sistema, usando el atributo archivos del sistema. Éste es el método que utiliza Internet Explorer para ocultar datos. HFind también enumera los tiempos de acceso pasados.

Sintaxis:
HFind v3.0 – Copyright(c) 2000, Foundstone, Inc.
Hidden file finder with last access times
Usage – hfind [path] /ns
[dirpath] Directory to search – none equals current
-ns Skip sub-directories
– or / Either switch statement can be used
-? Help

SFind: Explora el disco buscando secuencias de datos ocultas y enumera los tiempos de acceso pasados.

Sintaxis:
SFind v2.0 – Copyright(c) 1998, Foundstone, Inc.
Alternate Data Stream Finder
Usage – sfind [path] /ns
[dirpath] Directory to search – none equals current
-ns Skip sub-directories
– or / Either switch statement can be used
-? Help

FileStat: Muestra todas los permisos de los archivo. Trabaja solamente con un archivo a la vez. También enumera tiempos de acceso pasados clasificado por usuarios.

Sintaxis:
FileStat v2.0 Copyright(c) 1998, Foundstone, Inc.
Dumps NTFS security, file, and stream attributes Command Line Switches
[Filename] Name of file to list
-? Help

DACLchk: Muestra las ACL con la información de accesos pasados, de todos los archivos de un directorio, en orden inverso.

Sintaxis:
DACLchk v2.0 – Copyright(c) 1999, Foundstone, Inc.
NTFS DACL ACE Order Detector
Dumps any ACL that has Denied and Allowed ACE’s in reverse order
Usage – sfind [path] /ns
[dirpath] Directory to search – none equals current
-d Dump all DACL’s – Don’t detect reversed ACE’s
-ns Skip sub-directories
– or / Either switch statement can be used
-? Help

Audited: Esta herramienta combina la información de acceso a ficheros con la información de auditoria de Windows. Solo funciona si se tiene habilitado las políticas de auditoria.

Sintaxis:
Audited v2.0 – Copyright(c) 1998, Foundstone, Inc.
NTFS SACL Reporter – Finds audited files
Usage – audited [path] /ns
[dirpath] Directory to search – none equals current
-d Dump file audit attributes
-r [hivekey] Dump registry audit attributes
-s [subkey] Optional sub-key to search
-v Verbose mode
-ns Skip sub-directories/sub keys
– or / Either switch statement can be used
Reg key constants are – HKLM, HKCR, HKCU, HKU, HKCC
Dumps entire reg if no keyname is specified
-? Help

Hunt: Es una herramienta para mostrar si un sistema revela demasiada información vía NULL sessions.

Sintaxis:
Hunt v2.0 – Copyright(c) 1998, Foundstone, Inc.
SMB share enumerator and admin finder
Usage – hunt \servername
/? = Help

Estas herramientas solo funcionan si se usan con privilegios de administrador.

Más información y descarga de Forensic ToolKit:
http://www.mcafee.com/us/downloads/free-tools/forensic-toolkit.aspx