Research Contributions 159 - Enhancing electronic intelligent tutoring systems by responding to

7 Conclusion

7.2 Research Contributions 159

Después de haber establecido la metodología general donde el objetivo es recolectar información volátil aplicaremos esos pasos al primer caso.

Las condiciones bajo las cuales se encuentra el equipo bajo sospecha son; el estado del sistema será “vivo”, es decir el equipo sospechoso estará conectado a la energía y corriendo sus procesos en forma “normal”, el sistema operativo al que se enfrentará el investigador será Windows 2000 y se contará con el password de acceso.

Estado del sistema MUERTO VIVO CASO 2: Windows CASO 1: Windows Local Por red Tipo de

acceso al sistema CASO 3: Linux CASO 4: Linux CASO 5: Grave_robber Linux Recuperación de datos con métodos físicos

(ejemplos)

Fig. 4.2 Caso 1: Aplicación de metodología con Windows en forma local

Tal como consta la figura 4.2 el procedimiento se aplicará a un sistema vivo donde el investigador forense se conectará directamente en la consola del equipo sospechoso estableciendo una conexión segura en forma local, una vez establecida esta comunicación el investigador aplicará los comandos de su conjunto de herramientas a través de esta conexión.

Los programas que utilizará en esta captura no serán instalados en el sistema bajo análisis, correrán desde una fuente de archivos “confiables” que puede ser un floppy o un drive USB, estas herramientas correrán sobre el sistema operativo en cuestión y finalmente los resultados obtenidos se almacenará en un medio confiable (floppy o drive USB).

PASO 1: ESTABLECER UNA LÍNEA DE COMANDOS SEGURA (shell)

En este primer paso vamos a hacer disponible el conjunto de herramientas montando el medio en el sistema, después procedemos a establecer una línea de comandos segura ejecutando la herramienta “cmd.exe” confiable. Se debe tener cuidado de que el atacante haya puesto algunas trampas para hacer fracasar la captura de datos, por ejemplo se puede presentar la situación en que al ejecutar el comando cmd.exe en la máquina victima se active un proceso aplicando el comando del *.* en el directorio \winnt\System32, haciendo el sistema virtualmente inoperable. Por lo que ejecutaremos el comando “cmd.exe” de manera confiable, direccionándolo al drive donde se almacenan nuestras herramientas, en este caso será la letra “a:”, como se muestra en la siguiente ventana:

Fig. 4.3 cmd.exe

PASO 2: REALIZAR UN REGISTRO DE TIEMPO DEL SISTEMA (TIMESTAMP)

Después de crear un “shell” seguro, se captura la hora (time) y fecha (date) del sistema con las herramientas almacenadas en nuestro medio seguro (drive a:), la opción –t de los comandos obliga a que el comando no quede en espera.

a:\toolkit>date /t

The current date is: Thu 08/18/2005 a:\toolkit>time /T

The current time is: 16:58:09.14

También podemos utilizar el comando “now” del resource kit, que despliega “date” y “time” en un solo comando:

A:\toolkit\now

Fri Apr 07 17:53:09 2006

Después de obtener el tiempo y fecha del sistema hacemos un registro de tiempo de todos los archivos del sistema, utilizando el comando “dir” para obtener un listado de todos los archivos en el sistema bajo análisis, tiempos de acceso, modificación y creación.

Utilizando el comando “dir”, se puede hacer un despliegue por propietario (/Q) y tiempo de último acceso al archivo (/TA) de todos los archivos del sistema (/S), esto con el fin de marcar un sello de tiempo (time stamp):

a:\toolkit>dir c:\ /Q /S /TA Volume in drive C has no label. Volume Serial Number is ECD3-2160 Directory of c:\

08/16/2005 05:43p 36,112 BUILTIN\Administrators Auditpol.exe 08/16/2005 05:43p 24,848 BUILTIN\Administrators dh.exe 08/16/2005 05:43p 9,488 BUILTIN\Administrators dhcmp.exe

08/18/2005 05:51p <DIR> BUILTIN\Administrators Documents and Settings 08/16/2005 05:43p 6,928 BUILTIN\Administrators drivers.exe

08/17/2005 12:34p 114,688 BUILTIN\Administrators Fport.exe 08/18/2005 04:29p <DIR> BUILTIN\Administrators Inetpub 08/16/2005 05:43p 53,248 BUILTIN\Administrators listdlls.exe 08/18/2005 04:29p <DIR> BUILTIN\Administrators nmap

08/16/2005 05:43p 208,948 BUILTIN\Administrators NTLast.exe 08/18/2005 04:29p <DIR> BUILTIN\Administrators Program Files 08/18/2005 04:29p <DIR> BUILTIN\Administrators programas 08/17/2005 05:26p 25,252,224 LUNA\alicia_user resp.reg 08/18/2005 04:29p <DIR> BUILTIN\Administrators temp 08/18/2005 04:29p <DIR> BUILTIN\Administrators toolkit 08/18/2005 04:29p <DIR> BUILTIN\Administrators WINNT 8 File(s) 25,706,484 bytes

Directory of c:\Documents and Settings

08/18/2005 05:51p <DIR> BUILTIN\Administrators . 08/18/2005 05:51p <DIR> BUILTIN\Administrators ..

08/18/2005 05:51p <DIR> BUILTIN\Administrators Administrator 08/17/2005 04:42p <DIR> BUILTIN\Administrators alicia_user 08/18/2005 01:58p <DIR> BUILTIN\Administrators All Users 0 File(s) 0 bytes

Directory of c:\Documents and Settings\Administrator .

. .

El siguiente comando provee un listado recursivo de los tiempos de acceso al drive C

a:\toolkit>dir /t:a /a /s /o:d c

El siguiente comando provee un listado recursivo de los tiempos de modificación del drive D

a:\toolkit>dir /t:w /a /s /o:d d

El siguiente comando provee un listado recursivo de los tiempos de creación del drive E

a:\toolkit>dir /t:c /a /s /o:d e

Para obtener los listados recursivos de los tiempos de acceso, modificación y creación también podemos utilizar el comando “ls.exe” incluido en el CD-live de FIRE.

a:\toolkit>ls –alRu para tiempos de acceso a:\toolkit>ls –alRc para tiempos de modificación a:\toolkit>ls –alR para tiempos de creación

PASO 3: DETERMINAR LOS DATOS Y EL ESTADO DEL SISTEMA

Para determinar el estado del sistema realizaremos las siguientes acciones:

1. Obtener los datos del sistema 2. Determinar los puertos abiertos 3. Listar todos los procesos corriendo 4. Respuesta inicial mas profunda

o Obtener la bitácora de eventos durante una respuesta viva o Revisar el “registry” durante la respuesta viva

Acción 1: Obtener los datos del sistema

Para obtener los datos del sistema verificamos el nombre del equipo con el comando “hostname”:

a:\toolkit>hostname comprometido

A continuación obtenemos la identificación de red del equipo con el comando “ipconfig” como se muestra a continuación:

a:\toolkit>ipconfig /all Windows 2000 IP Configuration

Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . :

IP Address. . . : 172.29.69.83 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . : 172.29.69.254

Acción 2: Determinar los puertos abiertos

Para enumerar los puertos por los cuales los procesos están escuchando, utilizamos la herramienta “fport”, esta herramienta nos muestra los puertos que están actualmente escuchando, pero no nos dice que puertos están sirviendo a usuarios remotos en el momento. Para esto utilizamos el comando de Windows “netstat” que enumera los puertos escuchando y además las conexiones a esos puertos:

a:\toolkit>fport

FPort v2.0 - TCP/IP Process to Port Mapper

Pid Process Port Proto Path

1052 inetinfo -> 25 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 1052 inetinfo -> 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 436 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 8 System -> 139 TCP 1052 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8 System -> 445 TCP 492 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe 880 MSTask -> 1026 TCP C:\WINNT\system32\MSTask.exe 1052 inetinfo -> 1028 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8 System -> 1030 TCP 1000 svchost -> 1050 TCP C:\WINNT\system32\svchost.exe 8 System -> 1099 TCP 8 System -> 1723 TCP 1052 inetinfo -> 2087 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 492 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe

436 svchost -> 135 UDP C:\WINNT\system32\svchost.exe 8 System -> 137 UDP 8 System -> 138 UDP 8 System -> 445 UDP 228 lsass -> 500 UDP C:\WINNT\system32\lsass.exe

1052 inetinfo -> 1029 UDP C:\WINNT\System32\inetsrv\inetinfo.exe 600 svchost -> 1031 UDP C:\WINNT\System32\svchost.exe

600 svchost -> 1032 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1033 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1645 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1646 UDP C:\WINNT\System32\svchost.exe 8 System -> 1701 UDP 600 svchost -> 1812 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1813 UDP C:\WINNT\System32\svchost.exe

1052 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe

A continuación se muestra la aplicación de la herramienta ”netstat” que es útil para grabar datos volátiles como conexiones actuales y las que han terminado.

a:\toolkit>netstat -an Active Connections

Proto Local Address Foreign Address State TCP 0.0.0.0:25 0.0.0.0:0 LISTENING TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:443 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING TCP 0.0.0.0:1050 0.0.0.0:0 LISTENING TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING TCP 0.0.0.0:2087 0.0.0.0:0 LISTENING TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING TCP 172.29.69.83:139 0.0.0.0:0 LISTENING TCP 172.29.69.83:139 172.29.69.69:3415 ESTABLISHED UDP 0.0.0.0:135 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1029 *:* UDP 0.0.0.0:1033 *:* UDP 0.0.0.0:1645 *:* UDP 0.0.0.0:1646 *:* UDP 0.0.0.0:1701 *:* UDP 0.0.0.0:1812 *:* UDP 0.0.0.0:1813 *:* UDP 0.0.0.0:3456 *:* UDP 127.0.0.1:1031 *:* UDP 127.0.0.1:1032 *:* UDP 172.29.69.83:137 *:*

UDP 172.29.69.83:138 *:* UDP 172.29.69.83:500 *:*

En este caso son de particular interés las conexiones externas (172.29.69.69) más que las locales (127.0.0.1 o 172.29.69.83). Con “fport” se obtienen los procesos sospechosos esperando una conexión y con “netstat” se obtiene las conexiones actuales a ese proceso. El comando “tcpvcon” es similar a la utilería “netstat” de Windows, por lo que se puede utilizar en vez de netstat.

a:\toolkit>tcpvcon -a

La opción –a muestra todas las conexiones TCP y UDP establecidas

Acción 3: Listando todos los procesos corriendo

Antes de apagar el equipo bajo análisis es importante grabar todos los procesos que están corriendo. Esta información no puede ser obtenida si se desconecta el cordón de energía. Cuando un proceso se está ejecutando en Windows se crea un objeto kernel y un espacio de direcciones conteniendo el código ejecutable. El objeto kernel creado es usado por el sistema operativo para manejar el proceso y contener información estadística acerca del proceso.

Para obtener la lista de procesos que está corriendo en el sistema podemos utilizar la herramienta “pslist”, como se muestra a continuación:

a:\toolkit>pslist

Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time Idle 0 0 1 0 0 7:56:24.963 7:59:01.778 System 8 8 44 208 24 0:00:10.304 7:59:01.778 SMSS 144 11 6 33 1096 0:00:00.560 7:59:01.778 CSRSS 168 13 10 469 1580 0:00:05.778 7:58:50.672 WINLOGON 188 13 18 434 6888 0:00:03.024 7:58:49.330 SERVICES 216 9 37 550 3192 0:00:04.045 7:58:47.267 LSASS 228 9 21 297 2916 0:00:07.160 7:58:47.237 svchost 436 8 8 243 1572 0:00:00.560 7:58:42.100 spoolsv 464 8 11 134 2716 0:00:00.380 7:58:41.088 msdtc 492 8 21 198 1968 0:00:00.360 7:58:40.978 svchost 600 8 29 1085 9612 0:00:04.606 7:58:38.715 LLSSRV 628 9 10 79 796 0:00:00.070 7:58:37.744 FrameworkServic 660 8 10 194 2952 0:00:01.131 7:58:37.423 Mcshield 732 13 20 204 18308 0:00:55.369 7:58:35.801 VsTskMgr 748 8 11 132 5112 0:00:00.230 7:58:35.480 naPrdMgr 792 8 4 108 4560 0:00:00.140 7:58:34.068 regsvc 848 8 2 30 288 0:00:00.050 7:58:27.779 mstask 880 8 6 114 1136 0:00:00.250 7:58:25.656 userdump 924 8 4 47 332 0:00:00.030 7:58:19.608 WinMgmt 952 8 4 115 1276 0:00:10.324 7:58:17.865 svchost 1000 8 6 208 5924 0:00:03.745 7:58:12.187 dfssvc 1032 8 2 36 484 0:00:00.060 7:58:10.755

inetinfo 1052 8 27 590 6512 0:00:01.251 7:58:08.782 svchost 1360 8 11 168 1580 0:00:00.250 7:57:13.753 explorer 708 8 15 351 8108 0:00:35.931 5:25:09.453 shstat 1600 8 6 63 4604 0:00:00.240 5:24:45.608 UpdaterUI 1540 8 4 96 1008 0:00:00.240 5:24:41.132 internat 1468 8 1 27 372 0:00:00.080 5:24:40.611 wuauclt 1040 8 5 101 1572 0:00:00.200 5:23:43.930 CMD 1644 8 1 21 340 0:00:00.110 3:15:59.980 cmd 1008 8 1 23 360 0:00:00.430 1:32:41.026 cmd 980 8 1 21 1432 0:00:00.030 1:21:04.975 CMD 776 8 1 21 312 0:00:00.180 0:51:57.903 pslist 712 13 2 88 736 0:00:00.120 0:00:01.692 nc 512 8 2 74 1064 0:00:00.170 0:00:01.532

Es importante poder identificar la diferencia entre los procesos críticos, normales y procesos no permitidos. Por ejemplo si “pslist” revela que el proceso EVENTVWR está corriendo, esto sugiere que alguien está observando las bitácoras. Si se observa el USRMGR, se puede sospechar que alguien trata de cambiar las políticas de auditoría, borrar o agregar una cuenta de usuario o cambiar los datos de una cuenta de usuario o password.

Acción 4: Respuesta inicial más profunda

Si es que se cuenta con mayor tiempo se pueden ejecutar los siguientes comandos con el fin de obtener un poco más de información sobre el sistema vivo, en caso de no contar con mayor tiempo continuaremos con el siguiente paso de la metodología planteada.

Para obtener una bitácora de los accesos que ha habido al sistema podemos utilizar la herramienta “Ntlast” que nos permite monitorear las entradas (“logons”) exitosas y fallidas al sistema y si la auditoría de entradas/salidas (“logon/logoff”) fue activada o desactivada en el sistema. “Ntlast” con la opción –r lista todas las entradas exitosas de un sistema remoto y la opción –f lista los intentos fallidos.

a:\toolkit>ntlast

Administrator LUNA LUNA Thu Aug 18 12:37:52pm 2005 Administrator LUNA LUNA Wed Aug 17 06:26:26pm 2005 alicia_user LUNA LUNA Wed Aug 17 02:09:24pm 2005 Administrator LUNA LUNA Wed Aug 17 12:14:31pm 2005 - End Of File -

Nota: Este comando da información solo si las políticas de auditoría están habilitadas en el equipo bajo análisis.

Obteniendo la bitácora de eventos durante una respuesta viva

Según Kevin Mandia [36] existen dos fuentes importantes de información en Win2000 y NT: la

bitácora de eventos y el Registry.

El comando “dumpel” se puede utilizar para obtener las bitácoras y copiarlas a un archivo de texto, a continuación se muestra la captura de los eventos de seguridad, aplicación y sistema:

dumpel –l security –t descarga las bitácoras de seguridad dumpel –l application –t descarga las bitácoras de aplicación. dumpel –l system –t descarga las bitácoras de sistema.

Ejemplo de aplicación del comando:

a:\toolkit>dumpel –l security –t

8/17/2005 12:14:24 PM 16 2 529 Security NT AUTHORITY\SYSTEM LUNA atorres LUNA 2 User32 Negotiate LUNA 8/17/2005 12:14:31 PM 8 9 680 Security NT AUTHORITY\SYSTEM LUNA MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 administrator LUNA 8/17/2005 12:14:31 PM 8 2 528 Security LUNA\Administrator

LUNA Administrator LUNA (0x0,0x27C7C) 2 User32 Negotiate LUNA 8/17/2005 12:16:18 PM 16 9 681 Security NT AUTHORITY\SYSTEM

LUNA MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 atorres ATORRES 3221225572

8/17/2005 12:34:08 PM 8 2 538 Security NT AUTHORITY\ANONYMOUS LOGON LUNA ANONYMOUS LOGON NT AUTHORITY (0x0,0x377B2) 3 8/17/2005 12:44:35 PM 8 2 538 Security NT AUTHORITY\ANONYMOUS LOGON LUNA ANONYMOUS LOGON NT AUTHORITY (0x0,0x37D3A) 3 8/17/2005 1:05:44 PM 8 2 538 Security NT AUTHORITY\ANONYMOUS LOGON LUNA ANONYMOUS LOGON NT AUTHORITY (0x0,0x38345) 3 8/17/2005 1:53:22 PM 8 2 538 Security NT AUTHORITY\ANONYMOUS LOGON LUNA ANONYMOUS LOGON NT AUTHORITY (0x0,0xDBA2) 3 8/18/2005 10:10:27 AM 8 2 538 Security NT AUTHORITY\ANONYMOUS LOGON LUNA ANONYMOUS LOGON NT AUTHORITY (0x0,0xDD2B) 3 . . . . .

. . . . .

Capturando el registry durante la respuesta viva

El Registry NT/2000 almacena datos útiles durante la respuesta inicial. Para obtener estos datos podemos utilizar las herramientas “regedit” o “reg”. Regedit genera un archivo grande y reg obtiene solo valores específicos que sean de nuestro interés (keys).

a:\toolkit\regedit –e respaldo_registry.reg a:\toolkit\reg export HKLM respaldo_registry.reg The operation completed succesfully

Para obtener información de los usuarios podemos aplicar la siguiente sintaxis:

reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\REgisteresOwner” reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon”

Para obtener información del sistema podemos aplicar la siguiente sintaxis:

reg query “HKLM\SYSTEM\ControlSet001\Control\ComputerName\Computername” reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion”

El siguiente es un ejemplo de aplicación del comando “reg”, con la llave para obtener información de usuarios:

a:>toolkit>reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon” ! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon AutoRestartShell REG_DWORD 0x1

DefaultDomainName REG_SZ LUNA

DefaultUserName REG_SZ administrator LegalNoticeCaption REG_SZ

LegalNoticeText REG_SZ

PowerdownAfterShutdown REG_SZ 0 ReportBootOk REG_SZ 1

Shell REG_SZ Explorer.exe ShutdownWithoutLogon REG_SZ 0 System REG_SZ

Userinit REG_SZ C:\WINNT\system32\userinit.exe,

VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl" SfcQuota REG_DWORD 0xffffffff

allocatecdroms REG_SZ 0 allocatedasd REG_SZ 0 allocatefloppies REG_SZ 0 cachedlogonscount REG_SZ 10

passwordexpirywarning REG_DWORD 0xe scremoveoption REG_SZ 0 DontDisplayLastUserName REG_SZ 0 AppSetup REG_SZ DebugServerCommand REG_SZ no SFCDisable REG_DWORD 0x0 ShowLogonOptions REG_DWORD 0x1 AltDefaultUserName REG_SZ administrator AltDefaultDomainName REG_SZ LUNA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\GPExtensions HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify

PASO 4: DETERMINANDO QUIEN ESTÁ EN EL SISTEMA

El siguiente paso es determinar que cuentas de usuarios tiene conexiones activas al sistema. Para esto nos ayudaremos con la utilería de PStools “psloggedon”:

a:\toolkit>psloggedon

8/18/2005 12:38:01 PM LUNA\Administrator Users logged on via resource shares:

8/18/2005 5:02:49 PM (null)\ALICIA_USER

Para determinar quien está conectado al sistema utilizamos “net session”, “arp” y “nbtstat”.

La herramienta “nbtstat” es usada para acceder al cache NetBIOS, permitiéndonos listar las conexiones recientes, con la opción –c se muestra la información en cache de Netbios

a:\toolkit>nbtstat –c Local Area Connection:

Node IpAddress: [172.29.69.83] Scope Id: [] No names in cache

La herramienta “nbtstat” con la opción –n muestra los nombres de Netbios locales

a:\toolkit>nbtstat –n Local Area Connection:

Node IpAddress: [172.29.69.83] Scope Id: [] NetBIOS Local Name Table Name Type Status --- COMPROMETIDO <00> UNIQUE Registered FORE <00> GROUP Registered COMPROMETIDO <20> UNIQUE Registered COMPROMETIDO <03> UNIQUE Registered FORE <1E> GROUP Registered FORE <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered INet~Services <1C> GROUP Registered IS~COMPROMETIDO....<00> UNIQUE Registered

La herramienta “nbtstat” con la opción –r lista los nombres resueltos por broadcast vía WINS

a:\toolkit>nbtstat –r

NetBIOS Names Resolution and Registration Statistics --- Resolved By Broadcast = 0

Resolved By Name Server = 2 Registered By Broadcast = 0 Registered By Name Server = 9

La herramienta “nbtstat” con la opción –s lista la tabla de sesiones

a:\toolkit>nbtstat –s Local Area Connection:

Node IpAddress: [172.29.69.83] Scope Id: [] NetBIOS Connection Table

Local Name State In/Out Remote Host Input Output --- COMPROMETIDO <03> Listening

El comando “net” con la opción “session”, obtiene una lista de sesiones establecidas en el sistema, como se muestra a continuación.

a:\toolkit>net session

Computer User name Client Type Open Idle time ---

\\172.29.69.69 ATORRES Windows 2002 Serv 1 02:21:03

El comando “arp” es utilizado para mapear direcciones IP a direcciones físicas MAC con las cuales el sistema se ha comunicado. Con la opción “–a” se muestra y modifica la tabla de conversión de direcciones IP a direcciones físicas.

a:\toolkit>arp –a

Interface: 172.29.69.83 on Interface 0x1000003 Internet Address Physical Address Type 172.29.69.254 00-20-9c-12-db-b4 dynamic

PASO 5: REALIZAR EL SEGUNDO REGISTRO DE TIEMPO DEL SISTEMA (TIME STAMP)

Este paso tiene el fin de obtener un segundo registro para que al compararlo con el primero podamos identificar bien los cambios que hemos hecho en el sistema a la hora de la recolección de información, para lo cual nos podemos ayudar nuevamente de la herramienta “dir” o “ls” como en el paso 1:

a:\toolkit>dir c:\ /Q /S /TA Volume in drive C has no label. Volume Serial Number is ECD3-2160 Directory of c:\

08/16/2005 05:43p 36,112 BUILTIN\Administrators Auditpol.exe 08/16/2005 05:43p 24,848 BUILTIN\Administrators dh.exe 08/16/2005 05:43p 9,488 BUILTIN\Administrators dhcmp.exe

08/18/2005 05:51p <DIR> BUILTIN\Administrators Documents and Settings 08/16/2005 05:43p 6,928 BUILTIN\Administrators drivers.exe

. . . . . . . . .

PASO 6: REALIZAR UNA COPIA DE LA MEMORIA

Este paso se deberá realizar una vez concluidos los anteriores porque se producirá un volcado de memoria que modificará el registry y reiniciará el sistema.

Por lo que para forzar al sistema para que cree un archivo “.dmp” cambiamos la configuración del “registry” con el siguiente comando que utiliza la herramienta “reg.exe”:

a:\>reg ADD HKLM\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters /v CrashOnCtrlScroll /t REG_DWORD /d 0x1

Después de haber realizado esta configuración en el “registry” y para poder crear el archivo dump, será necesario provocar el fallo en la computadora oprimiendo la tecla derecha CTRL y al mismo tiempo oprimir dos veces la tecla Bloq/despl (ScrollLock). Se pondrá la pantalla azul y se reiniciará el sistema.

Después de que reinicie la computadora se habrá creado el archivo de descarga o volcado de la memoria en el directorio del sistema. Por ejemplo c:\WINNT>MEMORY.DMP

PASO 7: DOCUMENTANDO LOS COMANDOS USADOS DURANTE LA RESPUESTA INICIAL, TRANSFERIR Y ALMACENAR LOS DATOS

Todos los pasos con sus respectivas acciones y herramientas aplicadas son resumidos en la tabla 4.1.

Tabla 4.1 Pasos y acciones realizadas: Caso 1

Pasos Acciones Windows

NT/2000

1 Línea de comandos seguros Hacer disponible el conjunto de herramientas Establecer un nuevo shell

cmd.exe 2 Registro de tiempo Obtener el tiempo y fecha del sistema

Time stamp, tiempo de creación de los archivos

date, time, now dir, ls

3 Estado del sistema Nombre del equipo Información

Obtener los puertos abiertos

Listar los procesos que corren actualmente Listar los procesos que abren sockets Lista las conexiones exitosas y fallidas Obtiene las bitácoras y hace la transferencia Obtiene valores de interés del registry Descarga todo el registry a un archivo

hostname ipconfig fport pslist netstat ntlast dumpel reg regedit 4 Quien esta en el sistema Conexiones activas

Conexiones recientes Sesiones establecidas Tabla de direcciones psloggedon nbtstat net session arp 5 2o. Registro de tiempo Listar archivos y directorios dir, ls

6 Copia de la memoria Volcado de memoria reg y archivos

.dmp 7 Documentación Transferir y almacenar los datos en un lugar

seguro

Identificar y documentar los pasos

script md5

Todos estos comandos pueden ser incorporados en un programa batch como script y hacer la captura con mayor velocidad. Para realizarlo creamos un archivo de texto con los comandos requeridos y le ponemos la extensión bat.

En este caso elaboramos 5 scripts, en el primero se concentran los comandos aplicados y para la respuesta inicial profunda donde se almacenan las bitácoras y el resultado del “registry”,

In document Enhancing electronic intelligent tutoring systems by responding to affective states (Page 169-173)