En este artículo, nuestro perito informático en Sevilla nos enseña cómo utilizar la herramienta Sysinternals para hacer análisis forenses cuando el ordenador se encuentra encendido.
Muchas veces, como investigadores forense, necesitamos examinar un sistema encendido para una investigación o respuesta a un incidente, sin la necesidad ni el tiempo de hacer una imagen forense.
En algunos casos no estamos analizando pruebas para un proceso judicial, sino que simplemente queremos descifrar lo que estaba sucediendo en un sistema de inmediato.
Windows Sysinternals es particularmente útil cuando sospechamos que un sistema ha sido pirateado y estamos tratando de comprender qué procesos está utilizando el malware y cómo está funcionando.
Paso 1: Instalar Sysinternals
Como mencioné anteriormente, Microsoft proporciona Windows Sysinternals de forma gratuita. Una vez instalado, podemos ver las herramientas de esta suit en la carpeta SysinternalsSuite.
Paso 2: Abrir el Explorador de procesos
Process Explorer enumera todos y cada uno de los procesos y sus procesos secundarios, su uso de CPU, bytes privados, conjunto de trabajo, PID, descripción y compañía. Si sospechamos de una infección de malware, a menudo podemos encontrar evidencia de ello en el Explorador de procesos, como podemos ver a continuación.
En términos de análisis forense informático, Process Explorer puede ser una de las herramientas más útiles de Sysinternals. Hacemos clic en el icono procexp en la carpeta SysinternalsSuite para comenzar.
Paso 3: Process Monitor para examinar un proceso
Examinemos un proceso un poco más de cerca. En este ejemplo vamos a ver el proceso del complemento Flash que sospechamos que se ha visto comprometido.
Flash Player de Adobe es una de las aplicaciones más utilizadas por piratas informáticos. A menudo, se encuentran nuevas vulnerabilidades y exploits en Flash Player.
Hacemos doble clic en él y abrimos sus propiedades.
Como vemos en la siguiente captura de pantalla, esta ventana revela numerosas propiedades del proceso seleccionado.
Hacemos clic en Permisos para ver quién tiene permisos de este proceso. Observamos en la captura de pantalla que además del sistema y el usuario, una cuenta desconocida tiene permisos para usar este proceso.
Paso 4: Verificar las cadenas
Entre los muchos bits de información que podemos obtener del proceso, podemos extraer cualquier cadena ASCII incrustada en este proceso. A menudo, podemos encontrar información clave sobre el proceso, incluidos los comentarios que dejaron los desarrolladores.
Mientras estamos en la ventana de propiedades de Flash, simplemente hacemos clic en la pestaña Cadenas para ver cualquier texto ASCII dentro del proceso.
La suite de herramientas Sysinternals puede ser muy poderosa para examinar el funcionamiento interno de un sistema Windows y sus procesos.
Si necesitas más información, puedes contactar de manera gratuita con nuestro equipo de peritos informáticos en Sevilla, te asesoraremos en todo aquello que esté en nuestras manos.
