logs en windows

[skurn]

saludos,

resulta que hace poco entraron en mi ordenador, y no se como. Pero me gustaría saber cómo. así que he leído algunos trabajos de análisis forense (el reto de Rediris, his.sourceforge.net, etc) Resulta que todos los informes que he leído han sido elaborados en entornos controlados, es decir, mediante honeynet y snort, con lo cual la recopilación de datos y la elaboración del análisis forense es bastante sencillo (dentro de lo que cabe). ¿Pero qué ocurre si no tienes ninguna de esas herramientas funcionando cuando se produce la intrusión? En los entornos UNIX se registran logs de casi todo, pero en windows, ¿ se producen esos registros? ¿hay registros de conexiones? Es decir, intento recontruir los hechos a partir de los logs que por defecto registre windows.


bueno, gracias

[morza2]

Cuentanos que hicieron en tu PC...modificaron algo?..viste el registro?...Como lo pillaste?..

[skurn]

Bueno, relamente me dedico a mantenimiento informatico y hay clientes (empresas) que tienen bots instalados, troyanos que no los detecta el antivirus, etc. Estas empresas no tienen sistemas de seguridad para registrar conexiones, intrusiones, etc con lo que llego, reinstalo las copias de seguridad etc y bueno, es por ver si se registraran en windows pdria contarle algo veraz, no inventarme algo para que se quede más tranquilo.

Además, creo que siempre es bueno saber las cosas antes de que ocurra algo, ya que si te ocurre y tienes que ponerte a buscar soluciones, puedes perder un tiempo que puede que no tengas.

Bueno, aunque despues de todo el tiempo que lleva el post, doy por supuesto que windows no hace eso, que tendría que tener instalado un software específico.

Bueno, hasta otra

[NeoGenessis]

hola,
Hablar de windows es como hablar de linux: NO existe!!!! Linux es diferente segun la distribucion. Con windows pasa igual. cada version es diferente. En Xp si tienes el firewall integrado y supuestamente guarda logs. ademas seria interesante por donde entraron.Si aprovecharon algun fallo de seguridad de algun servivio puede ser que este tenga un log.

Por ejemplo el servidor apache lo tiene, y yo diria que el IIS tambien. Pero Quien sabe ande?????

haz buscar *.log y a ver que cazas.

Lo de proteger el equipo con firewall como que seria muy buena idea. Ademas estos si guardan logs.

Y lo de montar honypots dicen que es un poco peligroso, que alguna maquina con uno montado se ha encontrado con "cuelges estraños".

aunque dice que se puede aprender mucho