Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porinfo technical Modificado hace 4 años
1
Sistemas Operativos, Hardware, Software y Dispositivos de Almacenamiento Periféricos y Móviles William Palencia Romero 2019 Especialización en Informática Forense ESCUELA DE TELEMÁTICA Y ELECTRÓNICA
2
Unidad 8: Archivos Ejecutables
3
Ejecutables en Windows – SysMon Permite revisar específicamente uno de los procesos que se encuentran en ejecucion. Se ejecuta en segundo plano, especificándole que proceso deseamos monitorear: Sysmon –i –l -n Una vez iniciado Sysmon y el progama a monitorear es cargado en memoria, Sysmon captura todas las actividades del proceso a monitorear y las almacena en un Log de Eventos de Windows. https://www.fwhibbit.es/sysmon-el-gran-hermano-de-windows-y-el-super-sysmonview SysmonView: https://github.com/nshalabi/SysmonToolshttps://github.com/nshalabi/SysmonTools Clave: password Unidad 8 – Archivos Ejecutables
4
Ejecutables en Windows – SysMon Visualizar/exportar los logs: Event Viewer -> Application and Services Logs -> Microsoft -> Windows-> Sysmon Clic derecho “Save events as” -> seleccionar archivo XML. Unidad 8 – Archivos Ejecutables
5
Ejecutables en Windows – SysMon Visualización desde Sysmonview: Se puede generar una visualizacion desplegando un mapa de los lugares del mundo a donde un proceso determinado a realizado conexiones. Para eso se debe configurar una “key” de la pagina Ipstack: Unidad 8 – Archivos Ejecutables
6
Ejecutables en Windows – SysMon Visualización desde Sysmonview: Se configura en Preferences y se puede visualizar vista en forma de grafo o desde el mapa. Unidad 8 – Archivos Ejecutables
7
Ejecutables en Windows – SysMon Visualización desde Sysmonview: Al finalizar se debe remover el driver de sysmon: sysmon64 -u Unidad 8 – Archivos Ejecutables
8
Ejecutables en Windows – WinPrefetchView Otra de las funcionalidad propias de Windows, es que lleva un registro de los programas ejecutados. Este registro se conoce como archivos “Prefetch”. El archivo Prefetch contiene información acerca de: fecha de creación y modificación, ultima vez que se ejecutó, contador de las veces que se ha ejecutado, proceso asociado, tamaño del archivo. Estos registros se almacenan en archivos “.pf”, en la ruta: C:\Windows\Prefetch No son legibles directamente, pero se puede utilizar un visor como: WinPrefecthView http://www.nirsoft.net/utils/win_prefetch_view.html Unidad 8 – Archivos Ejecutables
9
Ejecutables en Windows – WinPrefetchView Unidad 8 – Archivos Ejecutables
10
Ejecutables en Linux Aunque Linux maneja una variedad de formatos ejecutables, el estándar actual es el formato ELF – Executable and Linkeable Format. El formato ELF es similar al PE que vimos en Microsoft, ya que en ultimas para un ejecutable tenemos parte de código y parte de datos. Un programa ELF tiene un segmento “.text” que contiene el código ejecutable que el procesador va a ejecutar. Los archivos ELF tienen un Header o encabezado, que proporciona información sobre el ejecutable. Para revisar este encabezado, podemos usar el comando readelf. Unidad 8 – Archivos Ejecutables
11
Ejecutables en Linux Unidad 9 – Archivos Ejecutables
12
Ejecutables en Linux Adicionalmente podemos utilizar el comando strings que nos permite visualizar todas las cadenas de texto legibles para el humano, contenidas en el archivo ELF. Unidad 8 – Archivos Ejecutables
13
Ejecutables en Linux El otro tipo de ejecutable mas común, son los archivos de tipo Script. En realidad en Linux cualquier archivo puede ser ejecutable, para comprobarlo tenemos varias opciones: 1. Verificar los atributos del archivo con el comando “ls –l” Unidad 8 – Archivos Ejecutables
14
Sobre los permisos en Linux Cada archivo contiene información sobre sí mismo: Dueño del archivo. Grupo del archivo. Permisos del archivo. Existen 3 tipos de permisos: Lectura: permite a un cierto usuario ver el contenido de un archivo. Si es un directorio, el contenido del mismo. Escritura: permite modificar un archivo. Si es un directorio, el contenido del mismo. Ejecución: si existe algo que ejecutar, se podrá hacer con este permiso. Lo primero que vemos son 10 caracteres: -rwxr-xr-x. El primer caracter representa el tipo de archivo. Los 3 siguientes los permisos de usuario, los 3 siguientes los permisos de grupo y los 3 últimos los permisos para otros: -: tipo de archivo. d para directorio. – para archivo. l para link o enlace simbólico. rwx: permisos de propietario (lectura, escritura y ejecución). r-x: permisos de grupo (lectura y ejecución). r-x: permisos para el resto (lectura y ejecución). Unidad 8 – Archivos Ejecutables
15
Ejecutables en Linux 1. Verificar el tipo de archivo con el comando “file” Conclusión: cualquier archivo puede ser ejecutable en Linux. Siempre debe leerse primero el archivo README, ya sea un paquete tar.gz con código fuente o incluso el encabezado de los scripts, ya que hay muchos programadores que suelen comentar sus scripts con indicaciones e instrucciones de uso. Unidad 8 – Archivos Ejecutables
16
Unidad 9: Malware
17
La palabra malware viene del inglés, y es el término resultante de la unión de las palabras ‘Malicious Software' o software malicioso. El malware es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. Unidad 9 – Malware
18
Actividad 8 – Categorías del Malware Para cada categoría de Malware, investigar definición, principales características y 1 ejemplo de caso de alto impacto. Virus Worm Rootkit Macro Virus Trojan Botnet Unidad 9 – Malware
19
Proceso de Infección de Malware Hay muchas formas de infección, y muchas partes del sistema operativo que se pueden infectar. El primer posible momento de infección es durante el arranque. Ataques desde el navegador Uno de los métodos de ataque mas comunes hoy en día son los ataques a través de los navegadores: Descargar un ejecutable infectado y ejecutarlo. Aprovechar una vulnerabilidad. Unidad 9 – Malware
20
Inyección de código y Remplazamiento de archivos. Hay casos donde una pieza de malware es capaz de copiarse a si mismo sin ejecutarse. En la inyección de código, se adiciona el código del malware a otro ejecutable existente, modificando el header para que apunte al malware. Persistencia del Malware Windows: Se utiliza la funcionalidad de Windows de asociar las extensiones a determinados programas. Y se utilizan algunas claves del registro: - HKEY_CLASSES_ROOT – Extensiones - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts Dependiendo de la “intención” del malware, puede que se requiera estar corriendo todo el tiempo o puede que inclusive se programe para ejecutarse en determinados momentos. Unidad 9 – Malware
21
Herramienta para análisis del registro de Windows. RegShot. Nos permite tomar una captura del registro de Windows antes y después de instalar un programa, y realiza una comparación de los cambios realizados. https://sourceforge.net/projects/regshot/ https://sourceforge.net/projects/regshot/ Tomar una captura en este momento, y otra al finalizar para verificar la comparación En escenarios reales, se utiliza en maquinas virtuales para mirar afectación del malware sobre el sistema operativo. Unidad 9 – Malware
22
Gracias !!!!
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.