Al investigar las alertas de malware, me gustaría recopilar cierta información del sistema antes de tomar la decisión de sacar el sistema de la red y volver a crear una imagen, o si es necesario más análisis forense.
Estoy imaginando un script por lotes que recopiló toda la información básica sobre el sistema (por ejemplo, conexiones de red abiertas, direcciones IP, nombre de host, usuario registrado, administradores locales, etc.) y luego realiza un volcado de memoria utilizando Memorizar o similar herramienta para su posterior análisis.
Sería más eficiente si ejecutáramos estos scripts de forma remota en lugar de conectar una unidad de disco USB a la máquina con las herramientas cargadas, pero mi preocupación es que copiar las herramientas a la máquina sospechosa modificaría el sistema de archivos y sería perjudicial para fines forenses.
¿Existen otras buenas opciones para recopilar esta información de forma remota sin comprometer los datos forenses? Soy consciente de PSexec, pero las herramientas como memorizar todavía deberán copiarse a la máquina remota. ¿Quizás poner todas las herramientas en un recurso compartido de solo lectura y redirigir los datos a la estación de trabajo de análisis con netcat o cryptcat?
¡Gracias!