Programas para monitoriar el sistema

El SysAnalyzer y un server para analizar.
Mi recomendacion es que tengan una maquina virtual, ya que lo que hace este programa es ejecutar en nuestra propia PC el archivo sospechoso y a partir de ahi, lo analiza.



Abrrimos el programa y en donde estan los tres puntos (...) buscamos nuestro server.
una vez seleccionado, damos en START para comenzar el analisis.


Nos tirara un List Data sobre las cosas que estan corriendo en nuestra PC, cambios que se han producido ETC.



Para ver mas detelladamente todo, cerramos este list data y nos quedamos con lo que nos dice el programa



En Open ports podemos ver que puerto trabaja



Este server esta configurado para que se inyecte en el navegador por defecto, es por eso que nos muestra el Firefox

Las demas pestañas estan vacias en mi caso, pero siempre revisenlas, ya que siempre suele haber algo para revisar.
Pero si paso a la ultima pestaña "Directory Watch Data" podremos ver los cambios que realiza en los distintos directorios.



Como podemos ver, el archivo crea una carpeta llamada Bifrost con un archivo "server.exe" en el system32...
Como conclusion podemos decir que esta infectado, ya que crea el archivo y trabaja con el proceso del Firefox.
A demas se puede observar que hace otras modificaciones, pero esta es la mas clara.

Descargar --> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

REGSHOT:


Regshot es una utilidad que nos permite averiguar si un programa cambia nuestro Registro de Windows y qué cambios hace.

Actúa creando una captura (la llama "foto" del Registro. Hazla justo antes de la instalación del programa. Después, haz una segunda captura, tras instalar el programa a investigar, y pulsa sobre "Comparar".

En ese momento Regshot te mostrará un informe con todos los cambios realizados entre ambas "fotos" de tu Registro.

..::MODO DE USO::..

Es de muy facil uso...
1) Abrimos el programa



2) Presionamos en 1st shot
Y lo que hara sera un scan del registro.

3) Luego ejecutamos el archivo sospechoso. En mi caso un server de Bifrost

4) Presionamos en 2nd shot. Hara un nuevo scan en el registro
5) Presionamos Comparar y nos mostrara un log con los cambios que se han producido:



Descargar --> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

-SysTracer:



SysTracer es una herramienta para las utilidades del sistema que puede analizar tu computadora buscando tus archivos modificados, carpetas y entradas del registro. Además SysTracer muestra información sobre los servicios, unidades y aplicaciones que están configuradas para ejecutarse al iniciar la computadora. Cada escaneo de SysTracer genera una imagen de descripción general de tu sistema y es almacenada en una foto instantánea.

Grabar la foto generalmente toma algunos minutos dependiendo de la complejidad del sistema. Si lo deseas puede elegir escanear sólo archivos, registros o aplicaciones, para acelerar el proceso de grabación.

Al comparar las fotos instantáneas de antes y después de la instalación o ejecución de un programa, puedes determinar que archivos o entradas del registro se agregaron, cambiaron o borraron.

Puedes crear tantas fotos instantáneas como desees y puedes comparar cualquiera de ellas cuando quieras, teniendo la posibilidad de exportar las diferencias a una lista HTML.

Descargar --> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
                            +++++++++++++++++++

Siempre quisiste saber que archivo y carpeta esta utilizando el programa que ejecutaste? Ahora puedes saberlo.
El programa Process Explorer consiste en dos sub-ventanas. Las cuales te muestran los proceso que se estan ejecutando y a que programa corresponden.
Funciona en :
-> 9x/Me
->Windows NT 4.0
->Windows 2000
->Windows XP
->Server 2003

Y en versiones de 64-bit Windows y Windows Vista.

Descargar --> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

-RunnScanner:


RunnScanner es un todo en uno muy interesante; en primer lugar tenemos la función principal que le da el nombre: Un escaneador que lista toda posible forma en que algún código pueda ejecutarse al inicio del sistema en Windows. No nos vamos a encontrar sólo con las típicas entradas run del registro y los servicios del sistema; también vamos a encontrar a los drivers, items de inicio para el usuario por defecto (plantilla que se utiliza en la creación de nuevos usuarios), y unas cuantas entradas más del registro que ni yo conozco demasiado bien.

Descargar --> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias por el aporte.
Este post aparece en varios sitios según Google y con fechas anteriores a éste.
Debes citar fuente /créditos del lugar de donde lo copiaste, tal como lo editó @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en tu post anterior.

Saludos

Gabriela