PowerShell; Hunting the intruder


PowerShell, BLOG - 002

PowerShell, BLOG - 003

PowerShell, BLOG - 004

PowerShell, BLOG - 005


PowerShell, BLOG - 006

PowerShell, BLOG - 007

>_ En este "artículo" (algunos "otros" lo llaman "post") el "foco de atención" lo centraremos en uno de <factores> "importantes" que tiene esta "herramienta" de <Windows> (aquí los de "Linux" ya están <afilando> sus hachas) llamada <PowerShell> (o "símbolo de sistema" convencional). 

_ Windows (el "maligno" para muchos!) dispone de "alguna que otra <herramienta>" muy interesante respecto a "seguridad y Hacking", sobre todo cuando "llega el momento" de querer detectar (o descubrir) posibles <no-invitados> en nuestro sistema (ergo "PC"). 

PowerShell, BLOG - 008_ Para "llevar a cabo" toda esta <parafernalia> (;)) vamos a "acceder" al <símbolo del sistema> con "permisos" de <administrador>.

PowerShell, BLOG - 009


_< Lo primero de todo será "presionar" la tecla <Windows> (la que tiene "dibujado" el <logo> en el teclado) <+ X> y haciendo esto se "desplegará" el siguiente "menú";

PowerShell, BLOG - 010_ Seleccionamos la "opción" <"símbolo del sistema"> (administrador) como se "observa" remarcado en la <imagen>.

_ Con esta · acción "previa" · nos hemos "ahorrado" la <incómoda respuesta> de que el "equipo" nos devuelva mensajes de incapacidad en el momento de "ejecutar" determinadas <acciones> por carecer de "permisos" suficientes.

PowerShell, BLOG - 012>_ Una vez dentro del <símbolo del sistema> y con "permisos de <administrador>", podemos "invocar" un <listado> de "comandos" y de esa manera "conocer" un poco mejor lo que dicho "listado" nos ofrece.

_ Si tecleamos "help" (lógicamente, sin las <comillas>) el <"símbolo del sistema"> o la "<PowerShell>" de "Windows" (aclarar que son - dos cosas distintas - pero en este caso nos sirven de igual manera) nos devuelve un <listado> de "comandos" <operativos>;

PowerShell, BLOG - 013_ Para este caso "práctico" en cuanto a <materia de detección de actividad> o <movimiento de archivos de manera remota> (sin nuestro "conocimiento") invocaremos "openfiles" (recordar, sin las <comillas> please!).

PowerShell, BLOG - 014


_< Esto nos va a "devolver" un <listado> con la "actividad" que se esté "ejecutando" (llevando a cabo) en nuestra <máquina>, de manera "desconocida" o tal vez en "segundo plano", respecto a materia de intercambio, entrada o salida de "archivos". De hecho, tal y como nos "expone" (de manera "breve") la propia "descripción" de este <comando>, "openfiles" <muestra archivos compartidos abiertos por usuarios remotos como recurso compartido de archivo>.

_ Del mismo modo, en caso de que se nos "avise" (o "reporte") de "alguna actividad que no sea de nuestro agrado" o de la que "no tengamos constancia", podemos pasar a la "acción" desde ahí mismo para <neutralizar> dicha "actividad" directamente con el "siguiente" <comando>;

· openfiles /? (esta vez no puse las <comillas>) ;)

PowerShell, BLOG - 015_ Como podemos "observar", al invocar y profundizar con este <comando>, disponemos de "varias posibilidades" para <neutralizar> (directamente) toda "actividad de movimiento" de <archivos> que se puedan estar "manipulando", o introducidos (y extraídos) de "manera <remota>";
 PowerShell, BLOG - 016PowerShell, BLOG - 017PowerShell, BLOG - 018>_ El resultado es (en "definitiva") que contamos con "otra forma más" (y manual), de <detección> de "amenazas" o "intrusiones" que se puedan estar produciendo en nuestro <equipo> o <red>, en esta ocasión, con la ayuda del "símbolo del sistema" y algunos <comandos> sencillos pero <eficaces> que nos van a "mostrar" la <información> que de otra manera quizá no "detectaríamos" y, lo que es aún más importante, contando con la "posibilidad" de <intervenir> desde ahí mismo para "neutralizar" esa <amenaza de seguridad" que podamos detectar.

_ Pues ya tenéis "otra" <herramienta" más que podéis sumar a vuestro <arsenal> de "métodos de detección" y "neutralización" de posibles <intrusiones> o <amenazas> en vuestros "equipos".

PowerShell, BLOG - 019

Salu2


TonyHAT - 401

Anuncios

Un comentario en “PowerShell; Hunting the intruder”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s