Detectar cambios en el sistema con Regshot

Iniciado por madpitbull_99, 20 Enero 2011, 12:33 PM

0 Miembros y 1 Visitante están viendo este tema.

madpitbull_99

Regshot es una aplicacion open-source programada en C, bajo licencia GPL que nos permite hacer un snapshot(captura) del registro de Windows o de alguna carpeta en concreto.

Básicamente se hace una primera captura antes de instalar un software sospechoso y otra captura despues de instalarlo y el programa compara y muestra los cambios producidos.

Utilización:

Se hace el primer snapshot antes de instalar algún software.



Y otro snapshot después de instalar el software.



Hacemos clic en Comparar y nos mostrara los cambios producidos en el registro




No se trata de ninguna aplicación complicada, simplemente compara dos archivos de texto, pero nos puede ser muy útil para detectar cambios en el registro producidos por algún software malicioso.





«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

Arcano.

Buenas madpitbull_99,

Con tal de aportar otra opción y que haya varias posibilidades para quien desee experimentar, indico otra aplicación. Hace básicamente lo que comentas de RegShot. Pero además puede mostrar los cambios que se van realizando a tiempo real en el registro y se puede configurar para que se ejecute al iniciar la sesión del sistema. Desconozco si la que nombras también tiene estas características, ya que hace bastante tiempo que no la uso.

La aplicación en cuestión es RegWatcher.

Web: http://www.jacobsm.com/mjsoft.htm

Saludos!
La curiosidad es la antesala al conocimiento...

Garfield07

Si a alguien le sirve yo uso una aplicacion que te viene con el ESET para ese mismo proposito. Incluye mas información, creo, pero el ScreenShot quiero verlo, parece interesante...
http://eset.es/productos/otros-productos-nod32/sysinspector
Creo que es este... Y si, es gratis, pero a mi me viene con el eset...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

winroot

Buenas !
En mi caso, uso regshot para análisis de los cambios en el registro y ficheros, y process monitor para el resto.
@Sagrini
sysinspector hace un  reporte con información útil del sistema, enfocado a la seguridad. No tiene nada que ver con esto.
Aquí estamos hablando de un programa que, puede comparar dos capturas del registro en diferentes momentos.

Por ejemplo, tomamos una captura del registro y ficheros de la carpeta windows.
Luego de esto, abrimos el programa malo.exe.
Luego de esto, y de que se termine, hacemos la segunda captura, y luego comparamos las dos.
El resultado se´ra, los cambios efectuados en el registro en ese tiempo, sea por malo.exe o quien sea, y también en el directorio de windows.
Un abrazo
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Garfield07

Ahh pues me equivoque de programa  :-X
A partir de ahora usare este, pues ya no tengo el que yo digo jeje...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo