Guía de referencia rápida de Windows Live Response (QRG)
Si sospecha que un sistema Windows está comprometido, consulte este QRG para implementar la recopilación de datos en vivo. Introducción: implemente los pasos en este QRG inmediatamente después de sospechar un compromiso del sistema.
Si sospecha que un sistema Windows está comprometido, consulte este QRG para implementar la recopilación de datos en vivo.
Introducción: implemente los pasos en este QRG inmediatamente después de sospechar un compromiso del sistema. Este QRG lo guiará a través de los pasos de la recopilación de datos en vivo. Además de los pasos a continuación, limite el uso en el sistema comprometido, ya que esto modificará sus datos.
Requisitos previos: este QRG está diseñado para ejecutarse en cualquier máquina Windows con CMD.exe sin privilegios administrativos. Es necesario tener un disco externo vacío con al menos 64 gigabytes o más listo para casos de respuesta a incidentes.
- En la estación de trabajo comprometida, use un cuaderno para registrar su fecha y hora actuales, el nombre de usuario de la estación de trabajo y cualquier nombre/número de computadora observable en la estación de trabajo.
- Inserte la unidad externa lista para usar en la estación de trabajo comprometida e identifique su letra de unidad asignada yendo a "Mi PC" o "Esta PC", según su versión de Windows.
- Abra el menú Inicio, busque Símbolo del sistema (CMD) y ejecútelo.
- En CMD, recupere {Fecha del sistema}, {Hora} y {Zona horaria} y expórtelos a su unidad externa (donde "E" es igual a la letra de su unidad en el código): Escriba: > echo %fecha% %
hora % > E:\fecha_hora.txt
Seguido de: > echo & tzutil /g >> E:fecha_hora.txt - Recuperar {Información del sistema}: > systeminfo > E:system_info.txt
- Recuperar {Procesos en ejecución} y {Servicios}:
> lista de tareas /v > E:running_processes_service.txt - Recupere todas las {Conexiones TCP activas} y los {Puertos TCP y UDP en los que escucha la computadora}:
> netstat -a > E:tcp_connections_open_ports.txt - Recuperar {Tabla de enrutamiento}: > imprimir ruta | más > E:routing_table.txt
- Recuperar {ARP Cache}: > arp -a > E:arp_cache.txt
- Recuperar {Net Bios sobre TCP/IP} (caché y nombres locales): > nbtstat -cn > E:netbios.txt
- Recuperar {Caché de DNS}: > ipconfig /displaydns > E:dns_cache.txt
- Recuperar {sesiones de inicio de sesión} (mientras el sistema estaba encendido): > inicio de sesión de wmic > E:logon_sessions.txt
- Recuperar {Direcciones de interfaz IP}: > ipconfig /all > E:interface_ip_addresses.txt
- Recuperar {Controladores instalados}: > consulta de controlador > E:installed_drivers.txt
- Recuperar {Tareas programadas}: > schtasks > E:scheduled_tasks.txt
- Cierre CMD y expulse la unidad extraíble.