Vamos falar agora um pouco mais sobre as ferramentas disponíveis no Helix e realizar uma comparação entre as ferramentas.
WFT
O WFT automatiza a execução de um grupo de comandos e utilitários para capturar o maior número possível de informações voláteis de um computador envolvido em um incidente de segurança de informações. Ele carrega a lista de execução a partir de um arquivo de configurações, e armazena o resultado de cada um localmente ou remotamente, em um drive compartilhado.FSP
O FSP (Forensic Server Project) tem arquitetura cliente-servidor. Um executável-servidor (fspc) roda em no computador que receberá todos os resultados das informações capturadas. O executável-cliente, fruc, roda na estação comprometida e executa comandos e utilitários configurados em um arquivo .ini. É possível, embora não recomendável, executar o fspc e o fruc na mesma máquina.
IRCR2
A principal diferença do IRCR2 é que ele é um script DOS, ao invés de um arquivo compilado. Para alterar qualquer utilitário a ser executado, é preciso localizar a linha e alterar diretamente no código. É possível enviar o resultado da coleta (os dados) para uma máquina remota, via NetCat.
Comparando ...
Quais são as ferramentas e utilitários que cada um tem pré-configurado ?
| Utilitário | WFT | FSP | IRCR2 |
| Lista tarefas agendadas | at e schtasks | at | |
| Lista últimos comandos no DOS | doskey | doskey | |
| Lista configurações de TCP/IP | ipconfig | ipconfig | ipconfig |
| Informa a memória livre/ocupada | mem | mem | |
| Lista diversas informações de rede | net | net | |
| Lista informações de conexões TCP/IP | netstat | netstat | netstat |
| Lista a tabela de rotas | route | route | |
| Lista informações do SO | uname e hostname | uname | systeminfo |
| Lista informações do ARP | arp | arp | |
| Lista o Audit Policy | auditpol | auditpol | auditpol |
| Lista valores de chaves do registro | reg | reg | |
| Lista portas abertas e suas respectivas aplicações | fport e openports | fport e openports | fport |
| Informações sobre Null sessions | hunt | hunt | |
| Informações sobre o Netbios | nbtstat | nbtstat | |
| Exibe informações de login/logout | ntlast | ntlast | |
| Lista o conteúdo do Clipboard | pclip | pclip | pclip |
| Lista todos os processos e as DLLs que estão associadas | procinterrogate | procinterrogate | |
| Lista os processos correntes | ps, tlist, tasklist | tlist | ps |
| Exibe os arquivos abertos remotamente | psfile | psfile | |
| Lista informações sobre o sistema | psinfo | psinfo | psinfo |
| Lista informações detalhadas dos processos | pslist | pslist | pslist |
| Lista usuários logado na quina | psloggedon e netusers | psloggedon | psloggedon |
| Lista informações sobre os serviços | psservice | psservice | |
| Lista processos em execução | pulist | pulist | |
| Lista informações sobre os serviços que estão sendo executados | servicelist | servicelist | |
| Faz um dump do event log | dumpel e psloglist | psloglist | dumpel |
| Detecta se a placa de rede está em modo promiscuo | promiscdetect | promiscdetect | |
| Lista conteúdo do diretório | dir | ls | |
| Lista URLs recentemente visitadas | iehv | iehv | |
| Lista USB devices conectados | usbdview | ||
| Exporta History.dat do Mozilla | dork | ||
| Informa há quanto tempo a máquina está ligada | uptime | uptime | |
| Lista os processos com inicialização automática | autorunsc | autorunsc | |
| Lista strings nos arquivos | strings | find | |
| Lista MAC times | mac | ||
| Lista o usuário corrente | whoami | ||
| Lista todas as DLLs carregadas | listdlls | ||
| Lista as threads executando e o status | pstat | ||
| Lista os processos e seus arquivos abertos | handle | ||
| Lista informações dos serviços sendo executados | sc | ||
| Lista informações dos drivers instalados | drivers | ||
| Lista as interfaces IP | iplist | ||
| Lista a tabela de rotas IPX | ipxroute | ||
| Detecta se WinPCap está presente | ndis | ||
| Lista informações sobre o sistema NTFS | ntfsinfo | ||
| Localiza arquivos hidden | hfind | ||
| Localiza e lista Alternate Data Streams | streams e sfind | ||
| Lista informações do EFS | efsinfo | ||
| Lista o espaço disponível em um drive | freespace | ||
| Informações de Group Policies | gplist | ||
| Lista efeitos da Group Policy e usuários que logaram na máquina | gpresult | ||
| Faz dump do Registry | regdmp | ||
| Lista o conteúdo do Protect storage | pstoreview | ||
| Verifica a existência de um driver de modem | mdm | ||
| Busca por rootkits | rootkitrevealer |
Comentários e experiências ? Conte-nos qual a sua preferência, e porquê.
Até o próximo post !
Nenhum comentário:
Postar um comentário