Vamos falar agora um pouco mais sobre as ferramentas disponíveis no Helix e realizar uma comparação entre as ferramentas.
WFT
O WFT automatiza a execução de um grupo de comandos e utilitários para capturar o maior número possível de informações voláteis de um computador envolvido em um incidente de segurança de informações. Ele carrega a lista de execução a partir de um arquivo de configurações, e armazena o resultado de cada um localmente ou remotamente, em um drive compartilhado.FSP
O FSP (Forensic Server Project) tem arquitetura cliente-servidor. Um executável-servidor (fspc) roda em no computador que receberá todos os resultados das informações capturadas. O executável-cliente, fruc, roda na estação comprometida e executa comandos e utilitários configurados em um arquivo .ini. É possível, embora não recomendável, executar o fspc e o fruc na mesma máquina.
IRCR2
A principal diferença do IRCR2 é que ele é um script DOS, ao invés de um arquivo compilado. Para alterar qualquer utilitário a ser executado, é preciso localizar a linha e alterar diretamente no código. É possível enviar o resultado da coleta (os dados) para uma máquina remota, via NetCat.
Comparando ...
Quais são as ferramentas e utilitários que cada um tem pré-configurado ?
Utilitário | WFT | FSP | IRCR2 |
Lista tarefas agendadas | at e schtasks | at | |
Lista últimos comandos no DOS | doskey | doskey | |
Lista configurações de TCP/IP | ipconfig | ipconfig | ipconfig |
Informa a memória livre/ocupada | mem | mem | |
Lista diversas informações de rede | net | net | |
Lista informações de conexões TCP/IP | netstat | netstat | netstat |
Lista a tabela de rotas | route | route | |
Lista informações do SO | uname e hostname | uname | systeminfo |
Lista informações do ARP | arp | arp | |
Lista o Audit Policy | auditpol | auditpol | auditpol |
Lista valores de chaves do registro | reg | reg | |
Lista portas abertas e suas respectivas aplicações | fport e openports | fport e openports | fport |
Informações sobre Null sessions | hunt | hunt | |
Informações sobre o Netbios | nbtstat | nbtstat | |
Exibe informações de login/logout | ntlast | ntlast | |
Lista o conteúdo do Clipboard | pclip | pclip | pclip |
Lista todos os processos e as DLLs que estão associadas | procinterrogate | procinterrogate | |
Lista os processos correntes | ps, tlist, tasklist | tlist | ps |
Exibe os arquivos abertos remotamente | psfile | psfile | |
Lista informações sobre o sistema | psinfo | psinfo | psinfo |
Lista informações detalhadas dos processos | pslist | pslist | pslist |
Lista usuários logado na quina | psloggedon e netusers | psloggedon | psloggedon |
Lista informações sobre os serviços | psservice | psservice | |
Lista processos em execução | pulist | pulist | |
Lista informações sobre os serviços que estão sendo executados | servicelist | servicelist | |
Faz um dump do event log | dumpel e psloglist | psloglist | dumpel |
Detecta se a placa de rede está em modo promiscuo | promiscdetect | promiscdetect | |
Lista conteúdo do diretório | dir | ls | |
Lista URLs recentemente visitadas | iehv | iehv | |
Lista USB devices conectados | usbdview | ||
Exporta History.dat do Mozilla | dork | ||
Informa há quanto tempo a máquina está ligada | uptime | uptime | |
Lista os processos com inicialização automática | autorunsc | autorunsc | |
Lista strings nos arquivos | strings | find | |
Lista MAC times | mac | ||
Lista o usuário corrente | whoami | ||
Lista todas as DLLs carregadas | listdlls | ||
Lista as threads executando e o status | pstat | ||
Lista os processos e seus arquivos abertos | handle | ||
Lista informações dos serviços sendo executados | sc | ||
Lista informações dos drivers instalados | drivers | ||
Lista as interfaces IP | iplist | ||
Lista a tabela de rotas IPX | ipxroute | ||
Detecta se WinPCap está presente | ndis | ||
Lista informações sobre o sistema NTFS | ntfsinfo | ||
Localiza arquivos hidden | hfind | ||
Localiza e lista Alternate Data Streams | streams e sfind | ||
Lista informações do EFS | efsinfo | ||
Lista o espaço disponível em um drive | freespace | ||
Informações de Group Policies | gplist | ||
Lista efeitos da Group Policy e usuários que logaram na máquina | gpresult | ||
Faz dump do Registry | regdmp | ||
Lista o conteúdo do Protect storage | pstoreview | ||
Verifica a existência de um driver de modem | mdm | ||
Busca por rootkits | rootkitrevealer |
Comentários e experiências ? Conte-nos qual a sua preferência, e porquê.
Até o próximo post !
Nenhum comentário:
Postar um comentário