Sammi De Blas | Knowledge Base

Sysinternals - Módulo 4_ Análisis Forense de Siste

Se lee en 2 min

Módulo 4: Análisis Forense de Sistema de Archivos (I/O)

Herramienta: Sysinternals Process Monitor (ProcMon) v3.96

Perfil: Malware Analysis / Troubleshooting Avanzado

{width=“4.692708880139983in” height=“2.4669181977252843in”}

1. Introducción

Process Monitor es la herramienta de observabilidad más avanzada de la suite, capaz de interceptar llamadas al sistema (Syscalls) en tiempo real. Su uso es mandatorio para diagnosticar comportamientos ocultos que no dejan huella en la interfaz gráfica, como accesos fallidos al registro o escrituras en rutas temporales.

2. Metodología: Aislamiento de Eventos

Debido a que ProcMon captura millones de eventos por minuto, se utilizó una estrategia de “Filtrado Positivo”

{width=“4.703125546806649in” height=“2.6520669291338583in”}

1. Reset & Clear: Limpieza de filtros previos y buffer de memoria.

2. Regla de Inclusión: Se configuró el filtro: `Process Name` `is` `cmd.exe` `Include`.

3. Trigger: Se ejecutó una operación de escritura controlada mediante consola:

`echo “PRUEBA” > C:\Users\Public\test_procmon.txt`

3. Evidencia Técnica

La captura confirma la trazabilidad completa de la operación de entrada/salida (I/O):

  • Evento CreateFile: El proceso solicitó un handle al sistema de archivos NTFS con permisos de escritura.

  • Evento WriteFile: Se confirma la persistencia de datos en el disco.

  • Inspección del Stack: Se analizó la pila de llamadas (Call Stack) observando la transición desde el modo usuario (`cmd.exe`, `ntdll.dll`) hacia el modo kernel (`ntoskrnl.exe`, `fltmgr.sys`), validando que no existen drivers intermedios sospechosos (Hooks) interceptando la llamada.

{width=“5.155912073490813in” height=“2.6978608923884515in”}

{width=“5.348958880139983in” height=“2.763332239720035in”}

4. Conclusión del Módulo

Se ha demostrado la capacidad para aislar una “aguja en un pajar” de eventos del sistema. Esta técnica es transferible a escenarios reales como:

  • Identificar qué archivo de configuración intenta leer un programa y falla (`NAME NOT FOUND`).

  • Detectar dónde escribe sus logs un malware ofuscado.

  • Analizar la cadena de infección de un virus observando la creación secuencial de archivos ejecutables (`Droppers`).

Vista Gráfica