Registro de todos los procesos que se ejecutan en una computadora

4

Soy nuevo en el dominio de seguridad y quiero preguntar: ¿Todos los programas dejan una "impresión" en un registro de algún tipo, en una computadora portátil o una PC, de cualquier proceso que se ejecutó? En caso afirmativo, ¿pueden ser analizados?

    
pregunta Prathiba 04.09.2015 - 00:21
fuente

2 respuestas

3

Los sistemas Windows pueden registrar todos los procesos que se inician a través de la política del sistema :

  

En Windows 2003 / XP, obtiene estos eventos simplemente habilitando el Proceso   Seguimiento de la política de auditoría. En Windows 7/2008 + necesita habilitar el   Auditoría de la creación del proceso y, opcionalmente, la finalización del proceso de auditoría.   subcategorías que encontrará en la Política de auditoría avanzada   Configuración en objetos de políticas de grupo.

     

Estos eventos son increíblemente valiosos porque brindan una amplia   pista de auditoría de cada vez que cualquier ejecutable en el sistema se inicia como una   proceso. Incluso puede determinar cuánto tiempo se ejecutó el proceso mediante la vinculación   el evento de creación de proceso al evento de terminación de proceso usando el   Id. De proceso encontrado en ambos eventos.

Los sistemas Linux pueden registrar todos los procesos que se inician usando auditd :

  

En /etc/audit/audit.rules necesitamos asegurarnos de que exista lo siguiente.

     

-a exit,always -F arch=b64 -S execve

     

Esto capturará cualquier llamada al sistema execve (al salir) y registrará esto   al registro de auditoría. Una entrada de registro se verá similar a la siguiente.

     

type=SYSCALL msg=audit(1318930500.123:3020171): arch=c000003e syscall=59 success=yes exit=0 a0=7fff65179def a1=7fff65179ec0 a2=7fff6517d060 a3=7ff54ee36c00 items=3 ppid=9200 pid=9202 auid=0 uid=1000 gid=100 euid=1000 suid=1000 fsuid=1000 egid=100 sgid=100 fsgid=100 tty=(none) ses=4 comm="xscreensaver-ge" exe="/usr/bin/perl" key=(null) type=EXECVE msg=audit(1318930500.123:3020171): argc=5 a0="/usr/bin/perl" a1="-w" a2="/usr/bin/xscreensaver-getimage-file" a3="--name" a4="/home/welby/Pictures

Si existen datos, se pueden analizar :). Pero estos son solo métodos para habilitar la captura de datos.

    
respondido por el gowenfawr 04.09.2015 - 05:46
fuente
1

No, no todos los programas están configurados para generar registros.

Hay "envoltorios" para los programas que generarán registros para cada proceso que ejecuta, y estos se utilizan para la depuración o para la investigación de malware.

    
respondido por el schroeder 04.09.2015 - 00:43
fuente

Lea otras preguntas en las etiquetas