Buscar artefactos de software

9

Me preguntaba si existe una forma establecida de saber qué puede dejar atrás un programa en particular en un sistema (en términos de cambios en un sistema de archivos, como en Linux). Estoy pensando en esto en líneas similares a cómo creo que podría tener lugar una investigación forense.

La forma en que pensé para abordar este problema es similar a la forma en que creo que funciona Tripwire. Primero, haga un hash de directorios, busque los que se han cambiado y, a continuación, reduzca los archivos específicos de los directorios que se modifican. Luego, al utilizar una máquina virtual con instantáneas, puedo volver al estado anterior de la máquina y comparar los cambios futuros con los cambios registrados previamente.

Sé que los directorios logging y tmp cambiarán naturalmente de todos modos. Pero aparte de estos, ¿hay alguna forma de saber qué queda detrás de un sistema, o hay un proceso mejor (o más inteligente) que el que estoy pensando usar?

    
pregunta user45195 17.06.2014 - 17:01
fuente

3 respuestas

1

Una posible solución sería tomar una imagen del objetivo forense (unidad de disco duro completa o un área específica o incluso la RAM) antes y después del programa que desea analizar. Entonces simplemente * compara las dos imágenes.

Comenzaría comparando hashes solo para estar seguro de que algo cambió (para que no pierdas el tiempo "mirando"). Muchas veces, los 'artefactos' se 'quedan' en la RAM y, por lo tanto, se eliminan con el tiempo cuando no se usan.

Puede usar un programa como FTK Imager para hacer esto.

    
respondido por el Matthew Peters 28.08.2014 - 19:09
fuente
1

Suponiendo que no es un software malintencionado, la forma más sencilla de hacerlo es utilizar sistemas de archivos superpuestos (por ejemplo, UnionFS, OverlayFS). Los archivos modificados estarán básicamente en la superposición.

Otra opción es hacer uso del sistema de archivos que tiene capacidad de instantáneas (por ejemplo, btrfs) o instantánea de LVM.

Si el software es un software malicioso, es posible que deba usar una instantánea de la máquina virtual, ya que es posible que ya no pueda confiar en el kernel en caso de software malicioso avanzado / kit de raíz.

    
respondido por el Lie Ryan 23.09.2015 - 07:51
fuente
1

En Windows puede usar el software como Monitor de proceso que intercepta todas las llamadas del sistema, incluidas las modificaciones del sistema de archivos. De esta manera, no es necesario calcular el hash de todos los archivos.

También puede utilizar Wireshark para interceptar el tráfico y Regshot para descubrir cambios en el registro y así descubrir artefactos forenses útiles.

    
respondido por el Eloy Roldán Paredes 22.12.2015 - 08:31
fuente

Lea otras preguntas en las etiquetas