Cargo actual:Index > Sistema de punto de restauración Analizador opinión

Sistema de punto de restauración Analizador opinión

Actualizado:03-28Fuente: consolidación de la red
Advertisement

Restaurar sistema es una función de los sistemas operativos de Windows desde Windows ME que crea así llamados puntos de restauración para que los usuarios pueden volver a un estado anterior del sistema.

Esto es importante cuando los cambios en el sistema o un ataque hacen que el sistema deje de responder de una manera u otra. En versiones recientes de Windows, puntos de restauración se crean automáticamente en determinadas operaciones, como las actualizaciones de Windows.

Sin embargo, existe el peligro de que los archivos maliciosos se guardan durante ese proceso, así que significa que se restauran cuando el usuario quiere revertir el sistema a un estado anterior.

Sistema de puntos de restauración se crean cuando varios eventos desencadenan. Esos son, por ejemplo, el arranque inicial del sistema, antes de que las instalaciones del programa y cada 24 horas de tiempo de actividad. Restaurar sistema está activada por defecto.

Punto de restauración Analyzer es una herramienta forense que puede determinar las rutas originales y nombres de archivo de los archivos almacenados en el interior de los puntos de restauración. Ha sido creado por la empresa Mandiant y fue utilizado por uno de sus expertos forenses para determinar si el cuaderno de un cliente había sido comprometida.

Un simple de archivos xml en C: \ WINDOWS \ system32 \ Restore llamado filelist.xml es responsable de inclusiones y exclusiones de archivos y es inmanente para comprobar si este archivo ha sido alterado de ninguna manera. La mejor manera de hacer esto es hacer una copia del archivo cuando Restaurar sistema se activa por primera vez. A continuación, puede utilizar una sencilla herramienta de comparación de archivos como Winmerge comparar ambos archivos.

Sistema de punto de restauración Analizador opinión


Punto de restauración Analyzer ayuda a determinar cuándo se agrega un archivo de restauración del sistema, que es el nombre y la ubicación en el sistema. Esto le da a la información excelente analista, si el intruso era lo suficientemente inteligente como para eliminar los archivos que se utilizan para tener acceso a una computadora.

El software puede listar todos los archivos en un directorio de Restaurar sistema. Lamentablemente, sin embargo esos archivos no se muestran con su nombre original, pero con un nombre aparentemente al azar. El Change.log archivo mantiene un registro de esos cambios y se puede consultar para conocer el nuevo nombre de archivo del archivo que está buscando.

Le sugiero que lea el excelente Libro Blanco que está disponible en el sitio web Mandiant así recibir más información sobre el proceso.

Actualización: Mandiant ha sido adquirido por FireEye. Parece que el Analizador de punto de restauración ha sido abandonado por la empresa. Hemos subido la versión más reciente del programa en nuestro propio servidor. Haga clic en el siguiente enlace para descargarlo: RestorePointAnalyzerSetup.zip (40 descargas)

Tenga en cuenta que no apoyamos de ninguna manera.