Introduccion a Sysinternals

Los binarios de Sysinternals son un conjunto de herramientas de utilidad para administradores de sistemas que fueron creadas originalmente por Mark Russinovich y Bryce Cogswell y posteriormente adquiridas por Microsoft. Estas herramientas ofrecen una amplia gama de funcionalidades para diagnosticar, solucionar problemas y monitorear sistemas Windows.

Dado que estas herramientas ofrecen un profundo acceso y visibilidad sobre los sistemas Windows, tanto ciberdelincuentes como hackers éticos las encuentran valiosas por diversas razones:

1. Enumeración y Reconocimiento: Herramientas como PsInfo pueden proporcionar detalles sobre un sistema, lo que permite a un atacante o a un hacker ético entender mejor el entorno que están explorando.

2. Manipulación de Procesos: Con herramientas como ProcDump, Process Explorer y PsKill, los atacantes pueden volcar la memoria de un proceso, explorar procesos en ejecución con detalle o matar procesos, respectivamente.

3. Monitoreo de Actividad del Sistema: ProcMon permite a los usuarios monitorear actividad de archivos, registro y procesos en tiempo real. Esto puede ayudar a entender cómo funciona un programa o detectar actividad sospechosa.

4. Gestión de Sesiones y Logon: PsLoggedOn puede mostrar quién está logueado en un sistema y a través de qué medios, lo que puede ser útil para determinar otros posibles vectores de ataque o entender el comportamiento del usuario.

5. Movimiento Lateral: Herramientas como PsExec permiten la ejecución de procesos en sistemas remotos, lo cual es invaluable para el movimiento lateral dentro de una red.

6. Evasión: Algunos de los binarios de Sysinternals pueden ser usados de formas creativas para evadir soluciones de seguridad o para ejecutar comandos de maneras que no son típicamente monitoreadas.