Revisión del analizador de puntos de restauración del sistema

Restaurar sistema es una función en los sistemas operativos Windows desde Windows ME que crea los llamados Puntos de restauración para que los usuarios puedan volver a un estado anterior del sistema.

Esto es importante cuando los cambios en el sistema o un ataque hacen que el sistema no responda de una forma u otra. En las versiones recientes de Windows, los puntos de restauración se crean automáticamente en determinadas operaciones, como las actualizaciones de Windows.

Sin embargo, existe el peligro de que los archivos maliciosos también se guarden durante ese proceso, lo que significa que se restaurarán cuando el usuario desee revertir el sistema a un estado anterior.

Los puntos de restauración del sistema se crean cuando se activan varios eventos. Esos son, por ejemplo, el arranque inicial del sistema, antes de la instalación del programa y cada 24 horas de tiempo de actividad. Restaurar sistema está habilitado de forma predeterminada.

Restore Point Analyzer es una herramienta forense que puede determinar las rutas originales y los nombres de los archivos almacenados dentro de los puntos de restauración. Ha sido creado por la empresa Mandiant y fue utilizado por uno de sus expertos forenses para determinar si el portátil de un cliente se había visto comprometido.

Un archivo xml simple en C: \ WINDOWS \ system32 \ Restore llamado filelist.xml es responsable de las inclusiones y exclusiones de archivos y es inmanente verificar si este archivo ha sido alterado de alguna manera. La mejor manera de hacerlo es hacer una copia del archivo cuando Restaurar sistema se activa por primera vez. A continuación, puede utilizar una herramienta de comparación de archivos simple como Winmerge para comparar ambos archivos.

Captura de pantalla de la interfaz del analizador de puntos de restauración

Restore Point Analyzer ayuda a determinar cuándo se agregó un archivo a Restaurar sistema, su nombre y ubicación en el sistema. Esto le da al analista información excelente si el intruso fue lo suficientemente inteligente como para borrar los archivos que usó para acceder a una computadora.

El software puede enumerar todos los archivos en un directorio de Restauración del sistema. Desafortunadamente, esos archivos no se enumeran con su nombre original sino con un nombre aparentemente aleatorio. El archivo change.log mantiene un registro de esos cambios y se puede consultar para averiguar el nuevo nombre de archivo del archivo que está buscando.

Le sugiero que lea el excelente Libro Blanco que está disponible en el sitio web de Mandiant para recibir más información sobre el proceso.

Actualización: Mandiant ha sido adquirido por FireEye. Parece que la empresa ha abandonado Restore Point Analyzer. Hemos subido la versión más reciente del programa a nuestro propio servidor. Haga clic en el siguiente enlace para descargarlo: RestorePointAnalyzerSetup.zip

Tenga en cuenta que no lo apoyamos de ninguna manera.