@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

comandos-y-herramientas-utiles-para-analisis-forenses-en-linux-y-windows

Comandos y herramientas útiles para análisis forenses en Linux y Windows

Comandos y herramientas útiles para análisis forenses en Linux y Windows

Antes de empezar el artículo, tengo que decir que no soy especialista en seguridad, no es mi campo, aunque en mi vida he tenido que levantar servidores, servicios, negocios…he tenido que crear estrategias, analizar y diseñar infraestructuras para minimizar los problemas que ha provocado un ataque, y que en gran medida no se vuelvan a repetir o tengamos una estrategia de recuperación adecuada.

Quizás de seguridad no puedo explicar gran cosa, pero creo de cómo funciona una infraestructura o los sistemas operativos que están en ella, de eso, si puedo aportar bastante. Y creo que esto tendría que ser la base de cualquier persona que derive su carrera hacia la seguridad, saber qué tipo de problemas existen en una infraestructura y como analizarlos (que al final te lo dará la experiencia, como todo).

En esta entrada vamos a hablar de comandos útiles que pueden servir en un análisis forenses tanto en Linux como en Windows (buscaremos los comandos análogos). Seguro que hay muchísimos más, y alguno no puedes usarlo en caliente y otros sí,…en fin, lo dicho, espero que os aporte algo, que para eso son todas las entradas del blog. Os dejo algún enlace relacionados en el blog:

Comandos en frío de análisis forense Linux / Windows

Comandos cuando la máquina ha sido infectada y no dispones de acceso al sistema, y tienes o que montarla en otro sistema o hacer una copia de seguridad del disco para analizarlo:

Comando crear copias bit a bit en Linux / Windows

  • LINUX:
    • En linux tenemos “dd” que permite crear copias de disco duros o particiones. Os dejo un ejemplo:
  • WINDOWS:

Comando para montar discos en Linux / Windows

  • LINUX:
    • Si necesitamos montar una imagen de un disco extraída, podemos usar el comando “mount”:
  • WINDOWS:
    • Para montar imágenes de discos, podemos usar en Powershell “Mount-DiskImage”:

Herramienta para recuperar datos de discos

  • En esta parte os voy a recomendar para Linux / Windows la herramienta “Testdisk“. Una herramienta multiplataforma, capaz de leer casi cualquier sistema de ficheros.

Comandos en caliente de análisis forense Linux / Windows

Otro tipo de comandos, cuando trabajas en una máquina a la que tienes acceso, pero que ha sido infectada:

Comando enumerar recursos compartidos vía SAMBA en Linux / Windows

  • LINUX:
    • Si queremos enumerar los recursos compartidos en un sistema linux podemos usar los siguientes comandos:
      • Por ejemplo, podemos buscar en la red los puertos Samba en escucha en algunos ordenadores:
      • De ahí extraemos los nombres Netbios:
      • E intentar conectarnos mediante el siguiente comando:
  •  WINDOWS:
    • Si queremos enumerar los recursos compartidos en un sistema linux podemos usar el siguiente comando (también podemos instalar “nmap”):

Comando extraer discos sistema Linux / Windows

  • LINUX:
    • Si queremos extraer información de un disco en linux podemos usar el siguiente comando:
  • WINDOWS:

Comando extraer lista de archivos abiertos por procesos en un sistema Linux / Windows

  • LINUX:
    • Si queremos extraer un listado de los archivos abiertos por procesos en linux, podemos usar el siguiente comando:
  • WINDOWS:
    • En Windows lo podemos hacer visualmente con el administrador de tareas o mediante:

Comando para extraer cadenas de caracteres en sistema Linux / Windows

  • LINUX:
    • Si queremos extraer cadenas de caracteres en linux, podemos usar el siguiente comando:
  • WINDOWS:
    • En Windows lo podemos hacer con el comando:

Comando para calcular códigos hash en sistema Linux / Windows

  • LINUX:
    • Si queremos calcular códigos hash en linux, podemos usar el siguiente comando:
  • WINDOWS:
    • En Windows lo podemos hacer con el comando:

Comando extraer listado conexiones en un sistema Linux / Windows

  • LINUX:
    • Si queremos extraer un listado de las conexiones en linux, podemos usar el siguiente comando:
  • WINDOWS:
    • En Windows lo podemos hacer igualmente con “NETSTAT” o mediante:

Comando transmitir flujos de información en Linux / Windows

  • LINUX:
    • Si queremos transmitir flujos de información en Linux, sin alterarlo, podemos usar el siguiente comando:
  • WINDOWS:
    • En Windows podríamos usar “NCAP” que forma parte de NMAP:

comandos-y-herramientas-utiles-para-analisis-forenses-en-linux-y-windows-1

Comando para saber cuánto lleva el sistema arrancado Linux / Windows

  • LINUX:
    • Si queremos extraer información del tiempo que un sistema operativo linux lleva arrancado, podemos usar el siguiente comando:
  • WINDOWS:

Iremos ampliando la entrada poco a poco…

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

alta-disponibilidad-en-cluster-linux-con-pacemaker-7

Alta disponibilidad en cluster Linux con Pacemaker

Alta disponibilidad en cluster Linux con Pacemaker Hace bastante tiempo, hablamos de Corosync como sistema …

2 comentarios

  1. Interesante información Raúl.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

17 + tres =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu