Detectar y Eliminar Keyloggers en Windows

7/26/2019 Detectar y Eliminar Keyloggers en Windows

1/11

Detectar y eliminar Keyloggers enWindows

Durante este post volveremos a hablar, como no, de algunas de las

herramientas de la suite de Sysinternals, aplicndolas a un caso prctico en

donde se analizar el comportamiento de aplicaciones tipo keylogger para

aprender a detectarlas y eliminarlas. Para ello utilizaremos tres aplicaciones

de Sysinternals, las cuales ya recomend anteriormente. stas aplicaciones

son Process!onitor"Proc!on.e#e$, Process#plorer"Proc#p.e#e$

y%utoruns"autoruns.e#e$ .

&odas estas aplicaciones y muchas ms estn contenidas en la suite de

Sysinternals, descargable

desdehttp'((do)nload.sysinternals.com(*iles(SysinternalsSuite.zip

Process!onitor es una herramienta permite monitorizar todas las llamadas

+ue realizan los procesos con respecto al sistema de archivos, registro de

indo)s, y creaci-n subprocesos o hilos. sto nos servir para mantener

nuestro e+uipo seguro en caso de tener sospechas o indicios de +uenuestras conversaciones estn siendo capturadas mediante un sot)are

+ue guarda en un ichero, o env/a a travs de una cone#i-n tp, email, etc

nuestras conversaciones.

Para iniciar el anlisis, e0ecutaremos la aplicaci-n Proc!on.e#e. 1ada ms

abrir esta aplicaci-n nos pedir +ue especii+uemos iltros en los eventos

capturados, para poder ainar la b2s+ueda.
http://www.windowstecnico.com/archive/2009/11/25/herramientas-gratuitas-indispensables-en-windows-para-los-profesionales-it.aspxhttp://technet.microsoft.com/es-es/sysinternals/bb896645(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb896653(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb963902(en-us).aspxhttp://download.sysinternals.com/Files/SysinternalsSuite.ziphttp://technet.microsoft.com/es-es/sysinternals/bb896645(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb896653(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb963902(en-us).aspxhttp://download.sysinternals.com/Files/SysinternalsSuite.ziphttp://www.windowstecnico.com/archive/2009/11/25/herramientas-gratuitas-indispensables-en-windows-para-los-profesionales-it.aspx


2/11

3ntroduciremos dos iltros, +ue capturarn los eventos de escritura de

archivos y envio de datos a travs de cone#iones &4P.

5 *ilerite

5 &4P Send

Para ello, desplegaremos el primer Listbox y seleccionaremos Operation,

en el segundo desplegable seleccionaremos la opci-n is, en el tercer

desplegable escribiremos WriteFile, y en el ultimo indicaremos Include.

6na vez hecho esto haremos clic en Add para agregar este iltro, y a

continuaci-n realizaremos los mismos pasos para agregar el iltro de TCP

Send en vez de WriteFile. De esta orma estaremos monitorizando todas

las escrituras en disco y env/o de datos a travs de cone#iones &4P de

cual+uier proceso del sistema.

1os deber/a +uedar un iltro como el siguiente'


3/11

%ntes de hacer clic en 78, deber/amos cerrar todas las aplicaciones

posibles +ue estemos usando, ya +ue si realizan escrituras en disco o

cone#iones &4P, sus eventos se vern rele0ados y podr/an intererir en

nuestro anlisis, siendo ms comple0o para nosotros la localizaci-n del

keylogger.

6na vez est todo cerrado e#cepto el Process!onitor "Proc!on$ ,

podremos hacer clic en 78.

%hora, si hacemos clic en la lupa +ue se ve en la captura de pantalla,

empezar a capturar eventos. Si sobre la lupa aparece una 9 ro0a es +ue la


4/11

captura de eventos est parada, y puede ser iniciada haciendo clic sobre

ella.

%hora, deber/amos orzar al keylogger a +ue guarde el buer de lo +ue

estamos escribiendo en un ichero, o lo env/e por &4P a alg2n e+uipo. Para

ello, abriremos la aplicaci-n 1otepad, y escribiremos en ella. 6tilizaremos

tambin combinaciones de teclas como copiar y pegar, ya +ue la mayor/a

de los keyloggers capturan esta combinaci-n y guardan su contenido

inmediatamente.


5/11

Se puede ver, +ue la aplicaci-n S:4;7S&.9 est realizando escrituras

en la ruta 4'


6/11

videntemente, tal y como se sospechaba, el ichero 31*7.D?@ contiene el

contenido capturado de las pulsaciones de mi teclado.

%hora e0ecutaremos la otra herramienta de Sysinternals' Process#plorer

"Proc#p.e#e$. s importante e0ecutar esta aplicaci-n con permisos de

administrador.

7rdenaremos la lista de aplicaciones por nombre de proceso, y buscaremos

el nombre del servicio para poder pararlo y eliminarlo.

%l analizar los procesos con Process #plorer, observamos varias cosas'

5 l keylogger se hace pasar por un servicio +ue e0ecutado a travs deS:4;7S&.e#e original "c'


7/11

5

6na vez matamos el proceso, vemos +ue vuelve a e0ecutarse. sto signiica

+ue hay otro proceso en memoria +ue se encarga de la e0ecuci-n dec'


8/11

%hora +ue estamos auditando los eventos de e0ecuci-n de procesos,

volveremos a utilizar Process #plorer para matar al proceso

S:4;7S&.9, y podremos ver +ue el proceso +ue lo vuelve a e0ecutar es

C:\WI!OWS\S"ST#$%&\!'L\S#()IC#S*#+#,.


9/11

&ras matar el proceso SA:34S.9, se detect- +ue S:;7S&.9 volv/aa llamarlo para asegurarse su e0ecuci-n.

%nte estos casos donde e#isten dos procesos +ue se e0ecutan el uno al

otro, es necesario matar al proceso padre y todo el rbol de subprocesos.

sto es posible en Process #plorer haciendo clic sobre 8ill Process &ree.


10/11

%hora +ue no tenemos el 8eylogger e0ecutado en memoria, deber/amos

asegurarnos de su deshabilitaci-n eliminando las entradas del registro, o los

mecanismos +ue utilize para su e0ecuci-n en el pro#imo arran+ue del

sistema. Para ello utilizaremos %utoruns "autoruns.e#e$ de Sysinternals.

Buscando la cadena \dgl\ "n *ile C *ind$ localizaremos las entradas +ue

contengan el directorio


11/11

si te ha gustado el art/culo puedes suscribirte al 4anal ASS de indo)s

&cnicopara estar al d/a de las novedades e inormaci-n tcnica de inters.
http://feeds2.feedburner.com/WindowsTecnicohttp://feeds2.feedburner.com/WindowsTecnicohttp://feeds2.feedburner.com/WindowsTecnicohttp://feeds2.feedburner.com/WindowsTecnico

Detectar y Eliminar Keyloggers en Windows

Documents

Transcript of Detectar y Eliminar Keyloggers en Windows