Esto de escribir para mi blog creo que me est gustando y ms si es sobre algn tema de la informtica.

Hoy reflexionando despus de una pregunta que me realizaron, veo que no he indagado profundamente en los sistemas operativos Windows y quiero hacerlo; por tal despus de haber ledo algunos libros he querido hacer un resumen de lo que para m es indispensable mantener un pequeo tutora de ello. Windows!! Vmonos con la primera gran herramienta el SYSTEMINFO, aplicacin nativa de Microsoft Windows que muestra informacin acerca de la configuracin del sistema, as como el tipo y versin del sistema operativo. Tambin muestra informacin relevante referente a aspectos de la seguridad, propiedades del hardware, memoria RAM, el espacio total del disco duro o informacin de las tarjetas de red. La sintaxis es la siguiente: C:\Users\yhenao>Syteminfo [/s equipo [/ dominio\nombreUsuario [/p contrasea]]] [/fo {TABLE \ LIST \ CSV}] [/NH]

Y como dato para algn forense, es recomendable recoger la salida de todas las aplicaciones, envindolas a un fichero de texto:

Systeminfo /FO list >SystemInfo.txt &date /t>>SystemInfo.txt &time /t>> SystemInfo.txt

Y si quiero o debo saber ms; pues en hora Buena, empresas famosas en el anlisis de malware, ha creado potentes herramientas; una de ellas creada por Mark Russinovich, quien es una de las mayores autoridades conocidas a nivel mundial. Vamos con PsInfo (SysInternals).

PsInfo (SysInternal) Esta herramienta en concreto, es similar a la anterior y permite obtener prcticamente los mismos resultados. Una de las ventajas que permiten ambas herramientas es su uso tanto local como en maquinas remotas. Su sintaxis es la siguiente: Psinfo [[\\computer [, computer [,..] | @file [-u user [-p psswd]]] [-h] [-s] [-d] [-c [-t delimiter]] {filter]

MSINFO32 Es otra herramienta nativo del sistema que proporciona datos sobre la configuracin del hardware y software del equipo.

Como siempre mi amigo rodo asomndose mientas elaboramos el tutorial. Pero continuemos con este mundo mgico de Windows. Vmonos por procesos, puertos y servicios, ya aqu nos involucramos con el mundo mgico de las redes, por lo menos en cuanto a Windows se refiere.

Procesos, puertos y servicios.

Un entorno vulnerado puede ser muchas veces gestionado, manipulado o estar interactuando para el robo de informacin del sistema con el exterior. Ahora vamos a tratar de explicar la herramienta Net statistics.

NET STATISTICS. Con el comando net statistics es posible obtener informacin relativa al uso de la red, tales como el nmero de bytes recibidos por el sistema, el nmero de inicio de sesin fallidos o las cuentas que han intentado realizar accesos al sistema no permitidos. Net statistics Workstation

Descubrimiento de servicios

Para el descubrimiento y enumeracin de servicios en los sistemas Microsoft Windows que se encuentran corriendo en un equipo es posible hacer uso de otra herramienta nativa. En este caso se trata del comando sc. Este comando proporciona la capacidad de obtener una lista completa de los servicios que en un momento determinado se encuentran activos en un equipo para poder descubrir posteriormente si estn todos los servicios que deben estar o existe algn servicio anmalo.

SC query

Netstat

Es otra herramienta nativa de Microsoft Windows que determina las conexiones activas que se encuentran abiertas en un equipo en un momento dado; la opcin a para conocer las conexiones y puertos escuchas abiertos, la opcin b permite conocer cul es el ejecutable que crea la conexin TCP/IP. Mi recomendado es ano y no es abur!!!

Tasklist

Para conocer los procesos que en un momento determinado se encuentran corriendo en un sistema es posible utilizar la aplicacin nativa de Microsoft Windows, o en su defecto pslist de SysInternas. Ambas herramientas permiten realizar esta operacin tanto en local como remotamente. El comando seria: Tasklist

Fport La presencia no detectada de un sistema es un sistema de rootkits, virus o troyanos puede estar afectando un sistema.

Fport es un tipo de herramienta que hace su propia implementacin de las herramientas del sistema operativo, haciendo el menor uso posible de las funciones de la API (Application Programming Interface) y re implementado ellas las funciones. Bsicamente fport muestra la misma salida de datos que el comando netstat con el filtro combinado -a y n. Tambin permite identificar puerto desconocidos que se encuentren abiertos, con sus correspondientes procesos y PIDs (Identificadores de procesos). Esta herramienta se encuentra disponible en: http://www.mcafee.com/us/downloads/free-tools/fport.aspx grafico: http://technet.microsoft.com/en-us/sysinternals/bb896653

Procesos y conexiones ocultas:

ProcL (Scanit.net) Esta herramienta examina todos los objetos cargados por el kernel de Microsoft Windows. Inicialmente extrae la lista de procesos basada en la respuesta suministrada por la API del sistema para despus acceder mediante sus propias funciones a la misma informacin. De esta manera, estar oculta la informacin que se encuentre en la segunda lista y no en la primera. Esta es una tcnica habitual en el descubrimiento de rootkits en un sistema.

ProcL.exe M H T md5

IceSword (PJF) Esta herramienta es considerada en entornos profesionales como una de las destacadas en su categora. Es capaz de extraer informacin sobre procesos en ejecucin, puertos en escucha, conexiones de red, drivers cargados por el sistema y otro tipo de datos de valor. No utiliza las funciones del API del sistema.

Y hemos llegado al final del Tutorial, esperamos que esta sea una buena herramienta, cuando de comandos en Windows se trate; para agilizar el proceso de resolucin de problemas o de algn anlisis forense.

Enjoy It!!!

Yamidt