Summary 165 - Enhancing electronic intelligent tutoring systems by responding to affective stat

7 Conclusion

7.4 Summary 165

En el segundo caso las condiciones bajo las cuales se encuentra el equipo bajo sospecha son similares al primer caso, el sistema se encontrará “vivo” conectado a energía eléctrica y con sus procesos en estado “normal”, solamente que en este caso no se tiene acceso local al sistema, por lo que se tendrá que obtener la información a través de la red. El sistema operativo con el que se enfrentará el investigador será Windows 2000 y se cuenta con el password de acceso. La siguiente figura muestra el tipo de caso a tratar:

Estado del sistema MUERTO VIVO CASO 2: Windows CASO 1: Windows Local Por red Tipo de

acceso al sistema CASO 3: Linux CASO 4: Linux CASO 5: Grave_robber Linux Recuperación de datos con métodos físicos

(ejemplos)

Fig. 4.5 Caso 2: Aplicación de metodología con Windows en forma remota

El equipo bajo sospecha puede ser un servidor o estación de trabajo conectado en red, por lo que en este caso observamos que se puede obtener información de dos formas; la primera a través de lo que el mismo equipo bajo sospecha emana a través de la red y por lo tanto a todos los equipos conectados a ésta, sin establecer ningún tipo de conexión al sistema sospechoso, y la segunda forma estableciendo una conexión segura específica al sistema sospechoso para obtener toda la información volátil posible con comandos locales aplicados remotamente.

Por lo que la metodología la vamos a aplicar dos veces:

• Procedimiento1: Aplicación de la metodología obteniendo información a través de los servicios activos de red disponibles del equipo comprometido, sin que se tenga que establecer una conexión segura a través de la red y directa al equipo.

• Procedimiento 2: Aplicación de la metodología estableciendo una línea de comunicación segura específica al equipo sospechoso a través de la red.

La información recolectada por ambos procedimientos podrá complementarse para obtener mayor información del sistema bajo sospecha.

Para tener una mejor idea de la situación, la figura 4.6 muestra el diagrama de conexión de los equipos en la red y los procedimientos que se llevarán a cabo para realizar la recolección:

Equipo comprometido

Investigador forense

Win2000

Procedimiento 2: shell seguro Procedimiento 1:

Servicios activos en red

Fig. 4.6 Diagrama de conexión: Caso 2

La estación forense tendrá cargado el conjunto de herramientas que se utilizará y ésta misma almacenará los datos recolectados.

PROCEDIMIENTO 1: Información obtenida a través de los servicios de red disponibles de la máquina comprometida

Dentro de este procedimiento aplicaremos los pasos de la metodología propuesta.

PASO 1: ESTABLECER UNA LINEA DE COMANDOS SEGURO

Para este caso en una primera etapa trataremos de obtener todos los datos posibles a través de servicios disponibles en red de la máquina bajo análisis, por lo que nos saltaremos este paso y comenzaremos con el segundo.

PASO 2: REALIZAR UN REGISTRO DE TIEMPO

En este paso de la metodología vamos a obtener información en forma remota. Los comandos que aplicaremos nos permiten obtener información a través de la red, sin necesidad de tener algún tipo de acceso al equipo.

Primero obtenemos el tiempo y fecha del sistema con el comando “net time”, como se muestra a continuación:

net time \\machinename

(forense)C:\pruebas>net time \\comprometido La hora actual en \\luna es 8/16/2005 4:42 PM Se ha completado el comando correctamente.

PASO 3: OBTENER EL ESTADO DEL SISTEMA

A continuación podemos obtener información del sistema con el comando “srvinfo” que es una utilería del resource kit.

(forense)C:\pruebas>srvinfo \\comprometido Server Name: comprometido

Security: Users

NT Type: NT Member Server - Enterprise Version: 5.0

Build: 2195, Service Pack 4 Current Type: Uniprocessor Free Product Name: Microsoft Windows 2000 Registered Owner: alicia

Registered Organization: cna ProductID: 51879-270-5770243-05434

Original Install Date: Tue Jul 05 10:36:02 2005 Domain: Error 2

PDC: Error 1717

IP Address: 172.29.69.83

CPU[0]: x86 Family 6 Model 7 Stepping 3: 498 MHz Hotfixes: [ServicePackUninstall]: [Q147222]: [KB842526]: [KB841873]: [KB841872]: [KB840315]: [KB839645]: [KB839643]: [KB837001]: [KB824146]: [KB824141]: [KB824105]:

Drive: [FileSys] [ Size ] [ Free ] [ Used ] C$ NTFS 3050 994 2056 Services:

[Running] Alerter

[Stopped] Application Management

[Stopped] Background Intelligent Transfer Service [Running] Computer Browser

[Stopped] Indexing Service [Stopped] ClipBook

[Running] Distributed File System [Running] DHCP Client

[Stopped] Logical Disk Manager Administrative Service [Running] Logical Disk Manager

[Running] DNS Client [Running] Event Log

[Running] COM+ Event System [Stopped] Fax Service [Running] IIS Admin Service [Stopped] Intersite Messaging

[Stopped] Kerberos Key Distribution Center [Running] Server

[Running] Workstation

[Running] License Logging Service [Running] TCP/IP NetBIOS Helper Service [Running] McAfee Framework Service [Running] Network Associates McShield [Running] Network Associates Task Manager [Running] Messenger

[Stopped] NetMeeting Remote Desktop Sharing [Running] Distributed Transaction Coordinator [Stopped] Windows Installer

[Stopped] Network DDE [Stopped] Network DDE DSDM [Stopped] Net Logon

[Running] Network Connections [Stopped] File Replication

[Stopped] NT LM Security Support Provider [Running] Removable Storage

[Running] Plug and Play [Running] IPSEC Policy Agent [Running] Protected Storage

[Stopped] Remote Access Auto Connection Manager [Running] Remote Access Connection Manager [Running] Routing and Remote Access

[Running] Remote Registry Service

[Stopped] Remote Procedure Call (RPC) Locator [Running] Remote Procedure Call (RPC)

[Stopped] QoS RSVP

[Running] Security Accounts Manager [Stopped] Smart Card Helper

[Stopped] Smart Card [Running] Task Scheduler [Running] RunAs Service

[Running] System Event Notification

[Stopped] Internet Connection Sharing

[Running] Simple Mail Transport Protocol (SMTP) [Running] Print Spooler

[Stopped] Performance Logs and Alerts [Running] Telephony

[Stopped] Terminal Services [Stopped] Telnet

[Stopped] Distributed Link Tracking Server [Running] Distributed Link Tracking Client [Running] User Mode Process Dump

[Stopped] Uninterruptible Power Supply [Stopped] Utility Manager

[Stopped] Windows Time

[Running] World Wide Web Publishing Service [Running] Windows Management Instrumentation

[Running] Windows Management Instrumentation Driver Extensions [Running] Automatic Updates

[Stopped] Wireless Configuration Network Card [0]:

System Up Time: 0 Days, 3 Hr, 13 Min, 47 Sec

Aplicamos el comando “pslist” para obtener los procesos que están corriendo en el sistema utilizando la siguiente sintaxis: pslist \\machinename

Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time Idle 0 0 1 0 0 2:04:11.534 2:05:42.836 System 8 8 47 210 24 0:00:09.253 2:05:42.836 SMSS 144 11 6 33 1096 0:00:00.530 2:05:42.836 CSRSS 168 13 10 437 1288 0:00:02.463 2:05:31.820 WINLOGON 164 13 18 429 6788 0:00:02.663 2:05:30.538 SERVICES 216 9 38 531 3144 0:00:03.695 2:05:28.565 LSASS 228 9 20 291 2896 0:00:01.632 2:05:28.535 svchost 436 8 9 276 1704 0:00:00.851 2:05:23.037 spoolsv 464 8 11 136 2700 0:00:00.540 2:05:22.446 msdtc 492 8 21 207 1992 0:00:00.330 2:05:22.336 svchost 600 8 28 1246 9768 0:00:04.947 2:05:20.233 LLSSRV 628 9 9 75 776 0:00:00.120 2:05:19.492 FrameworkServic 672 8 10 193 2944 0:00:01.041 2:05:18.400 Mcshield 732 13 20 203 18320 0:00:32.556 2:05:17.018 VsTskMgr 748 8 11 131 5112 0:00:00.250 2:05:16.568 naPrdMgr 792 8 4 108 4560 0:00:00.220 2:05:14.625 regsvc 868 8 4 91 744 0:00:00.250 2:05:09.978 mstask 880 8 6 114 1140 0:00:00.270 2:05:08.446 userdump 936 8 4 47 332 0:00:00.020 2:04:58.071 WinMgmt 1000 8 5 117 1332 0:00:10.414 2:04:55.297 svchost 1032 8 6 213 5904 0:00:03.885 2:04:53.965 dfssvc 1056 8 2 36 484 0:00:00.070 2:04:53.495 inetinfo 1084 8 36 776 7424 0:00:02.032 2:04:50.911 svchost 1368 8 11 168 1580 0:00:00.220 2:03:58.786 explorer 1336 8 12 248 4888 0:00:07.821 2:02:37.549 shstat 724 8 6 61 4600 0:00:00.210 2:02:03.160 UpdaterUI 636 8 4 96 1004 0:00:00.260 2:02:00.937 internat 1288 8 1 27 372 0:00:00.070 2:02:00.396 wuauclt 1700 8 5 101 1572 0:00:00.150 2:01:03.163 CMD 1716 8 1 21 316 0:00:00.060 2:00:55.562 DLLHOST 720 8 8 143 1724 0:00:01.001 1:52:07.874 mdm 1620 8 3 88 828 0:00:00.140 1:24:16.150

Aplicamos el comando “nmap” para realizar un escaneo de puertos, utilizando la siguiente sintaxis, donde la opción “sT” significa conexiones TCP :nmap –sT <dirección IP>

(forense)C:\toolkit\nmap\nmap-3.81>nmap -sT 172.29.69.83

Starting nmap 3.81 ( http://www.insecure.org/nmap ) at 2005-08-16 11:27 Hora est . de AmÚrica Central

Warning: OS detection will be MUCH less reliable because we did not find at lea st 1 open and 1 closed TCP port

Interesting ports on 172.29.69.83:

(The 1654 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE

25/tcp open smtp 80/tcp open http 135/tcp open msrpc 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 1723/tcp open pptp 3372/tcp open msdtc

MAC Address: 00:50:DA:B7:D5:BD (3com) Device type: general purpose

Running: Microsoft Windows 95/98/ME|NT/2K/XP

OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Pro or Advan ced Server, or Windows XP

Nmap finished: 1 IP address (1 host up) scanned in 118.749 seconds

Los rootkits y otros programas de acceso remoto son ejecutados desde un servicio, por lo que listamos los servicios utilizando “sclist”:

(forense)C:\toolkit>sclist \\comprometido --- - Service list for \\comprometido

---

running Alerter Alerter

stopped AppMgmt Application Management

stopped BITS Background Intelligent Transfe running Browser Computer Browser

stopped cisvc Indexing Service stopped ClipSrv ClipBook

running Dfs Distributed File System running Dhcp DHCP Client

stopped dmadmin Logical Disk Manager Administr running dmserver Logical Disk Manager

running Dnscache DNS Client running Eventlog Event Log

running EventSystem COM+ Event System stopped Fax Fax Service running IISADMIN IIS Admin Service stopped IsmServ Intersite Messaging

stopped kdc Kerberos Key Distribution Cent running lanmanserver Server

running lanmanworkstation Workstation

running LicenseService License Logging Service running LmHosts TCP/IP NetBIOS Helper Service running McAfeeFramework McAfee Framework Service running McShield Network Associates McShield running McTaskManager Network Associates Task Manage running Messenger Messenger

stopped mnmsrvc NetMeeting Remote Desktop Shar running MSDTC Distributed Transaction Coordi stopped MSIServer Windows Installer

stopped NetDDE Network DDE stopped NetDDEdsdm Network DDE DSDM stopped Netlogon Net Logon

running Netman Network Connections stopped NtFrs File Replication

stopped NtLmSsp NT LM Security Support Provide running NtmsSvc Removable Storage

running PlugPlay Plug and Play

running PolicyAgent IPSEC Policy Agent running ProtectedStorage Protected Storage running PSEXESVC PsExec

stopped RasAuto Remote Access Auto Connection running RasMan Remote Access Connection Manag running RemoteAccess Routing and Remote Access running RemoteRegistry Remote Registry Service stopped RpcLocator Remote Procedure Call (RPC) Lo running RpcSs Remote Procedure Call (RPC) stopped RSVP QoS RSVP

running SamSs Security Accounts Manager stopped SCardDrv Smart Card Helper

stopped SCardSvr Smart Card running Schedule Task Scheduler running seclogon RunAs Service

running SENS System Event Notification stopped SharedAccess Internet Connection Sharing running SMTPSVC Simple Mail Transport Protocol running Spooler Print Spooler

stopped SysmonLog Performance Logs and Alerts running TapiSrv Telephony

stopped TermService Terminal Services stopped TlntSvr Telnet

stopped TrkSvr Distributed Link Tracking Serv running TrkWks Distributed Link Tracking Clie running udmpsvc User Mode Process Dump

stopped UPS Uninterruptible Power Supply stopped UtilMan Utility Manager

stopped W32Time Windows Time

running W3SVC World Wide Web Publishing Serv running WinMgmt Windows Management Instrumenta running Wmi Windows Management Instrumenta running wuauserv Automatic Updates

stopped WZCSVC Wireless Configuration

Otra de las herramientas que podemos aplicar para listar los archivos compartidos y quien los ha accedido es “srvcheck”, pero debe ser aplicado con una cuenta privilegiada, que en el siguiente ejemplo muestra al usuario alicia_user y al usuario alicia_admin con privilegios totales sobre la carpeta_compartida_de_comprometido.

(forense)C:\toolkit\srvcheck \\comprometido

\\comprometido\carpeta_compartida_de_comprometido

COMPROMETIDO\alicia_user Full Control

COMPROMETIDO\alicia_admin Full Control

PASO 4: DETERMINAR LAS CONEXIONES AL SISTEMA

En este paso de la metodología obtenemos las estadísticas del protocolo y las conexiones actuales de TCPIP con el comando “nbtstat” y la siguiente sintaxis:

nbtstat –a \\machinename La opción “-a” hace una lista de los equipos remotos

Ejemplo de aplicación del comando

(forense)C:\toolkit>nbtstat -a comprometido

Conexión de área local:

Dirección IP: [172.29.69.69] Id. de ámbito : [] NetBIOS Remote Machine Name Table Nombre Tipo Estado --- LUNA <00> Único Registrado FORE <00> Grupo Registrado LUNA <20> Único Registrado LUNA <03> Único Registrado FORE <1E> Grupo Registrado FORE <1D> Único Registrado ..__MSBROWSE__.<01> Grupo Registrado INet~Services <1C> Grupo Registrado IS~LUNA...<00> Único Registrado Dirección MAC = 00-50-DA-B7-D5-BD

PROCEDIMIENTO 2: Con línea de comunicación segura

En este procedimiento primero estableceremos una línea de comunicación segura a través de la red para aplicar las herramientas y una vez hecha, capturamos la información.

PASO 1: ESTABLECER UNA LÍNEA DE COMANDOS SEGURA

Aplicaremos el primer paso de la metodología estableciendo una conexión segura, ya que el investigador forense no se encuentra físicamente en el lugar donde se ubica el quipo bajo análisis. Los comandos se copiarán remotamente y se ejecutarán en forma local.

Para realizar una conexión administrativa a la máquina remota utilizamos el comando “net use” desde la estación forense con la siguiente sintaxis:

Net use \\machine\ipc$ /user:machine\administrator password

Ejemplo de aplicación:

(forense)C:\>net use \\comprometido\ipc$ /user:administrator password Se ha completado el comando correctamente.

Una vez establecida la conexión copiamos los comandos confiables de nuestro conjunto de herramientas (toolkit) con el comando xcopy:

(forense) C:\>xcopy /SVI toolkit \\comprometido\c$\toolkit toolkit\Auditpol.exe toolkit\dh.exe toolkit\dhcmp.exe toolkit\drivers.exe toolkit\Fport.exe

toolkit\listdlls.exe toolkit\NTLast.exe toolkit\perms.exe toolkit\procexp.chm toolkit\procexp.exe toolkit\psexec.exe toolkit\psfile.exe toolkit\psgetsid.exe toolkit\Psinfo.exe toolkit\pskill.exe toolkit\pslist.exe toolkit\psloggedon.exe toolkit\psloglist.exe toolkit\pspasswd.exe toolkit\psservice.exe toolkit\psshutdown.exe toolkit\pssuspend.exe toolkit\Rasusers.exe toolkit\README.TXT toolkit\Regrest.exe toolkit\Sclist.exe toolkit\Showmbrs.exe toolkit\Srvcheck.exe toolkit\Srvinfo.exe toolkit\tcpvcon.exe toolkit\nmap\nmap-os-fingerprints toolkit\nmap\nmap-services toolkit\nmap\nmap.exe 33 archivos copiados

Una vez copiados los archivos, establecemos una línea de comandos segura (cmd.exe) aplicando la herramienta “psexec” con la siguiente sintaxis:psexec \\machine cmd

Ejemplo de aplicación

(forense)C:\>cd toolkit

PASO 2: REALIZAR UN REGISTRO DE TIEMPO DEL SISTEMA (TIME STAMP)

Como en el caso 1 utilizamos el comando “dir” o “ls” para obtener un listado de todos los archivos en el sistema bajo análisis, tiempos de acceso, modificación y creación.

a:\toolkit>dir c:\ /Q /S /TA Volume in drive C has no label. Volume Serial Number is ECD3-2160 Directory of c:\

08/16/2005 05:43p 36,112 BUILTIN\Administrators Auditpol.exe

08/16/2005 05:43p 24,848 BUILTIN\Administrators dh.exe 08/16/2005 05:43p 9,488 BUILTIN\Administrators dhcmp.exe

08/18/2005 05:51p <DIR> BUILTIN\Administrators Documents and Settings 08/16/2005 05:43p 6,928 BUILTIN\Administrators drivers.exe

08/17/2005 12:34p 114,688 BUILTIN\Administrators Fport.exe 08/18/2005 04:29p <DIR> BUILTIN\Administrators Inetpub 08/16/2005 05:43p 53,248 BUILTIN\Administrators listdlls.exe 08/18/2005 04:29p <DIR> BUILTIN\Administrators nmap

08/16/2005 05:43p 208,948 BUILTIN\Administrators NTLast.exe 08/18/2005 04:29p <DIR> BUILTIN\Administrators Program Files 08/18/2005 04:29p <DIR> BUILTIN\Administrators programas 08/17/2005 05:26p 25,252,224 LUNA\alicia_user resp.reg 08/18/2005 04:29p <DIR> BUILTIN\Administrators temp 08/18/2005 04:29p <DIR> BUILTIN\Administrators toolkit 08/18/2005 04:29p <DIR> BUILTIN\Administrators WINNT 8 File(s) 25,706,484 bytes

. . . . . . . . .

PASO 3: OBTENER EL ESTADO DEL SISTEMA

Una vez hecho el registro de tiempo en el equipo comprometido, procedemos a obtener el estado del sistema con los comandos de nuestro conjunto de herramientas que ya se encuentra en el sistema bajo análisis:

Acción 1: Obtener los datos del sistema

Como en el caso anterior obtenemos la identificación de red del equipo con el comando “ipconfig”, como se muestra a continuación:

(forense) C:\toolkit>ipconfig /all Windows 2000 IP Configuration

Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . :

IP Address. . . : 172.29.69.83 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . : 172.29.69.254

Acción 2: Determinar los puertos abiertos

Para enumerar los puertos por los cuales los procesos están escuchando, utilizamos la herramienta “fport”:

(comprometido)C:\toolkit\fport.exe (comprometido)C:\toolkit>fport

http://www.foundstone.com

Pid Process Port Proto Path

1056 inetinfo -> 25 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 1056 inetinfo -> 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 436 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

8 System -> 139 TCP

1056 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8 System -> 445 TCP 492 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe 880 MSTask -> 1026 TCP C:\WINNT\system32\MSTask.exe 1056 inetinfo -> 1028 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8 System -> 1030 TCP 1004 svchost -> 1056 TCP C:\WINNT\system32\svchost.exe 8 System -> 1059 TCP 8 System -> 1723 TCP 1056 inetinfo -> 2087 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 492 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe

436 svchost -> 135 UDP C:\WINNT\system32\svchost.exe 8 System -> 137 UDP

8 System -> 138 UDP 8 System -> 445 UDP

228 lsass -> 500 UDP C:\WINNT\system32\lsass.exe

1056 inetinfo -> 1029 UDP C:\WINNT\System32\inetsrv\inetinfo.exe 600 svchost -> 1031 UDP C:\WINNT\System32\svchost.exe

600 svchost -> 1032 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1033 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1645 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1646 UDP C:\WINNT\System32\svchost.exe 8 System -> 1701 UDP

600 svchost -> 1812 UDP C:\WINNT\System32\svchost.exe 600 svchost -> 1813 UDP C:\WINNT\System32\svchost.exe

1056 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe

Acción 3: Listando los procesos corriendo

Para obtener la lista de procesos que está corriendo en el sistema utilizamos la herramienta “pslist”, esta información ya la obtuvimos en forma remota, pero a menos que no se haya podido obtener, procederemos a su captura mediante la conexión segura al equipo.

Acción 4: Respuesta inicial más profunda

Este paso se realiza si se cuenta con tiempo suficiente para obtener las bitácoras del sistema. Primero podemos descargar la información del “registry” a un archivo, con el comando “reg” y “regedit”, como se muestra a continuación:

(comprometido)c:\toolkit\regedit –e respaldo_registry.reg (comprometido)c:\toolkit\reg export HKLM respaldo_registry.reg The operation completed successfully

Para obtener las bitácoras nos podemos auxiliar del comando dumpel.exe del resource kit. En el siguiente ejemplo se muestra la obtención de las bitácoras de seguridad, sistema y aplicaciones:

(comprometido)c:\toolkit\dumpel –f security.bck –l security The operation completed successfully

(comprometido)c:\toolkit\dumpel –f system.bck –l system The operation completed successfully

(comprometido)c:\toolkit\dumpel –f application.bck –l application The operation completed succesfully

PASO 4: DETERMINAR LAS CONEXIONES AL SISTEMA

El siguiente paso es saber quien esta en el sistema para lo cual utilizaremos las herramientas “net session” y “tcpvcon”

(comprometido)C:\toolkit>net session

Computer User name Client Type Opens Idle time --- \\ATORRES ADMINISTRATOR Windows 2002 Serv 4 00:00:00 The command completed successfully.

(comprometido)C:\toolkit>tcpvcon TCPView v2.34 - TCP/UDP endpoint lister Copyright (C) 1998-2003 Mark Russinovich Sysinternals - www.sysinternals.com [TCP] System PID: 8 State: ESTABLISHED Local: comprometido:netbios-ssn Remote: atorres:4082

También listamos los miembros del grupo administrador usando la herramienta “showmbrs” para verificar algo inusual

(comprometido)C:\toolkit>showmbrs administrators Members of local group [\administrators]:

COMPROMETIDO\Administrator COMPROMETIDO\alicia_admin

Utilizamos la herramienta “psloggedon” para mostrar los usuarios que están en el sistema (logged on) actualmente.

(comprometido)C:\toolkit>psloggedon

8/16/2005 5:37:00 PM COMPROMETIDO\Administrator Users logged on via resource shares:

8/16/2005 6:04:31 PM (null)\ADMINISTRATOR

Con la herramienta “arp” mostramos las conexiones en la tabla de direcciones.

(comprometido)C:\toolkit>arp -a

Interface: 172.29.69.83 on Interface 0x1000003 Internet Address Physical Address Type 172.29.69.69 00-09-6b-14-84-c9 dynamic 172.29.69.254 00-20-9c-12-db-b4 dynamic

Con la herramienta “netstat” mostramos las conexiones activas.

(comprometido)C:\toolkit>netstat -a Active Connections

Proto Local Address Foreign Address State TCP comprometido:smtp comprometido:0 LISTENING TCP comprometido:http comprometido:0 LISTENING TCP comprometido:epmap comprometido:0 LISTENING TCP comprometido:https comprometido:0 LISTENING TCP comprometido:microsoft-ds comprometido:0 LISTENING TCP comprometido:1025 comprometido:0 LISTENING TCP comprometido:1026 comprometido:0 LISTENING TCP comprometido:1028 comprometido:0 LISTENING TCP comprometido:1030 comprometido:0 LISTENING TCP comprometido:1031 comprometido:0 LISTENING TCP comprometido:pptp comprometido:0 LISTENING TCP comprometido:2087 comprometido:0 LISTENING TCP comprometido:3372 comprometido:0 LISTENING TCP comprometido:netbios-ssn comprometido:0 LISTENING TCP comprometido:netbios-ssn ATORRES:4082 ESTABLISHED TCP comprometido:1041 ATORRES:netbios-ssn TIME_WAIT UDP comprometido:epmap *:* UDP comprometido:microsoft-ds *:* UDP comprometido:1029 *:* UDP comprometido:1034 *:* UDP comprometido:1645 *:* UDP comprometido:1646 *:* UDP comprometido:l2tp *:* UDP comprometido:radius *:* UDP comprometido:radacct *:* UDP comprometido:3456 *:* UDP comprometido:1032 *:* UDP comprometido:1033 *:* UDP comprometido:netbios-ns *:* UDP comprometido:netbios-dgm *:* UDP comprometido:isakmp *:*

Para encontrar un historial de entrada al sistema (login history) utilizamos la herramienta “ntlast.exe“, como se muestra a continuación:

(comprometido)C:\toolkit>ntlast

alicia_user COMPROMETIDO COMPROMETIDO Wed Aug 17 02:09:24pm 2005 Administrator COMPROMETIDO COMPROMETIDO Wed Aug 17 12:14:31pm 2005 - End Of File -

PASO 5: REALIZAR EL 2º. REGISTRO DE TIEMPO

Como en el paso 1 nuevamente utilizamos el comando “dir” para obtener un listado de todos los archivos en el sistema bajo análisis, tiempos de acceso, modificación y creación.

(forense) C:\toolkit>dir c:\ /Q /S /TA Volume in drive C has no label.

Volume Serial Number is ECD3-2160 Directory of c:\

08/16/2005 05:43p 36,112 BUILTIN\Administrators Auditpol.exe 08/16/2005 05:43p 24,848 BUILTIN\Administrators dh.exe 08/16/2005 05:43p 9,488 BUILTIN\Administrators dhcmp.exe

08/18/2005 05:51p <DIR> BUILTIN\Administrators Documents and Settings 08/16/2005 05:43p 6,928 BUILTIN\Administrators drivers.exe

. . . . . . . . .

PASO 6: HACER UNA COPIA DE LA MEMORIA

Para obtener una copia de la memoria, en este caso podemos utilizar la utilería “pslist” en forma remota con sus opciones “x” que muestra los detalles de la memoria y proceso hijos (threds) y “t” que muestra el árbol de procesos. El siguiente comando envía la salida de esta herramienta a un archivo pslistx.txt.

Ejemplo de aplicación con la opción “x”:

(forense)c:\toolkit>pslist –x \\comprometido –u administrator –p password >> pslistx.txt

In document Enhancing electronic intelligent tutoring systems by responding to affective states (Page 175-200)