miércoles, 2 de octubre de 2013

RadioGraPhy 2.0.- Radiografía Tu Windows.

En muchas empresas ya existe un plan de Gestion y Respuesta de Incidentes de Seguridad Informatica, pero aun hay algunas que antes de que venga una especialista empiezan a impartir la doctrina del fuego purificador (También llamado Formateo) haciendo que la recuperación y la post-analización de los datos de los equipos afectado sea larga y laboriosa para los Peritos que trabajen en el caso. 

RadioGraPhy 2.0. es una herramienta creada por Yago Jesus de [Security By Default] el cual nos ayudara ha hacer una radiografía completa del sistema Windows. Esta herramienta es muy liviana. 


"RadioGraPhy obtiene los siguientes datos:
  • Las claves del registro asociadas al auto-arranque de procesos
  • Las claves del registro asociadas a la configuración de IE
  • Las cuentas de usuario del sistema
  • Los ficheros en directorios 'startup'
  • Los servicios del sistema
  • El contenido del fichero 'hosts'
  • Los 'task' del scheduler de windows
  • Los drivers o módulos cargados en el Kernel de Windows
  • Carpetas compartidas por NetBios
  • Ventanas ocultas (cmd y IE)
  • La lista de procesos activos en el sistema y el path del ejecutable
  • Información relacionada con la red (puertos abiertos, conexiones, etc)"

Para empezar a utilizarla con un entorno gráfico es tan fácil como ejecutar radiography.exe  indicar al lado izquierdo, haciendo clics en los cuadrados, lo que queráis scanear y darle a Scan. 


La mala noticia, es que al utilizar este entorno gráfico no podemos guardar ningún dato a no ser que hagamos un copiar pegar de una forma horrorosa. Para el tiempo que perdemos abriendo el entorno gráfico, nos vamos a la consola de Windows, cambiamos al directorio donde tengamos descomprimido los ejecutables y nos disponemos ha usar una de las novedades de la versión 2.0.
  • radiography_cli.exe -c (esto hará que genere dos carpetas Eventlog y Processes donde almacenará dentro de ellas el backup del visor de eventos y una copia de los binarios que se estaban ejecutando. 


Todo esto estará alojado en la carpeta de Evidences que se creará automáticamente en la carpeta donde habéis descomprimido a RadioGraPhy 2.0


Sencillo verdad y el proceso no es mas de 3 minutos. Pues, informacion como esta, le puede ser de mucho valor al especialista en Seguridad Informatica cuando vaya ha haceros una visita. No cuesta nada dar una pasada de RadioGraPhy 2.0 en el momento que el sistema esta en decadencia y almacenarlo para un mejor análisis de la amenaza. 

Para mas información y el ruta de descarga de la herramienta os dejo la dirección: 


Sed Buenos ;)



No hay comentarios:

Publicar un comentario