www.es-minix.org

[efutch]

Estimados alumnos:

El enunciado del Laboratorio #2 ya está disponible en el Skydrive del curso. Los resultados deberán ser entregados como respuestas a este foro el día 28/Noviembre/2008, antes de las 11:59PM. No se aceptarán respuestas entregadas fuera de tiempo.

Saludos,

efutch

[jensenzelaya]

Viendo la actividad del sistema de archivos en un sistema

Al correr Filemon pude observar que este programa empezó a monitorear todos los archivos de sistema. Al dejar de utilizar la computadora pude observar que siempre hubo, aunque en menor escala que al utilizar la computadora, movimiento en el file system de aproximadamente 2000 procesos por minuto, mayormente generados por Microsoft Windows, Windows Messenger y Norton Antivirus y del Explorer. Un proceso que estaba haciendo polling fue Explorer.EXE el cual monitoreaba constantemente a Apoint.exe.






Analizando un error en el filesystem con FileMon

Al tratar de salvar el archivo de notepad en el directorio Temporal notepad dio un error de que el folder no existia, lo que a primera vista no concuerda con el problema real que existia de los permisos que fueron asignados a la carpeta. Pero al ver Filemon, esto se debe a la secuencia que se sigue para poder guardar un archivo en un folder. Primero al ir escribiendo el folder en la cajita de file name el sistema va buscando ese folder a medida que se va escribiendo, y va poniendo en la Columna de Result NOT FOUND si el folder no esxiste o Success si la carpeta existe. Luego al presionar Save el sistema busca ese archivo dentro del folder, y si no existe lo crea y luego escribe su contenido. En nuestro caso el folder no tenia permiso para ser accedido, por lo que cuando se escribia el nombre dentro de la cajita Filemon daba como resultado ACCESS DENIED, pero luego queria buscar dentro del folder el archivo a crear por lo que no lo encontraba y por eso dio el error que mostro notepad.






Alternate Data Streams en NTFS

Al ejecutar el comando echo “Hola en el stream”> hola.txt:mi_stream.txt se creo un archivo .txt en el desktop de mi computadora, y al ejecutarlo vi que tenia como texto “"Hola en el stream" :mi stream.txt”. Al ejecutar el comando type con leakyapp.exe aparecio un Nuevo archivo en mi desktop llamado holita.txt, y luego ejecute el comnado start, con lo que la aplicacion LeakkyApp.exe empezo a correr. Cuando un sistema de archivos puede utilizar ADS las aplicaciones deben estar alerta sobre los mismos o la seguridad del sistema se puede ver afectada. En dado caso de que las aplicaciones no esten alerta sobre los ADS, puede que: el usuario nunca sepa si estan corriendo, los virus de computadoras se pueden esconder en estos ADS y no podra ser encontrado si el Antivirus no esta alerta a los mismos o puede haber perdida de informacion.








Analizando el sistema de archivos NTFS

Al analizar mi disco duro, que tiene un File System NTFS, pude observar que esta distribuido eficientemente, ya que tanto el cluster (con 4096 Bytes de espacio por cluster) y los sectores (con 512 Bytes por sector) tienen una buena cantidad de espacio y unidades para poder hacer todo lo que a ellos respecta.


_________________
Jensen Z.

[guillermo]

propiedades de un proceso con comportamiento de polling.



Es un archivo de sun microsystems. Java quick starter service. Es un servicio iniciado
por el usuario NT authority lo que confirma que no es un proceso de usuario. esta constantemente
revisando archivos de propiedades y carpetas con el archivo zip.dll ademas de resource files.

error de NTFS



notepad dice que no existe el path especificado. al buscar los accesos en filemon, vemos que se busco el directorio y el archivo y que ninguno se encontro.



El usuario que se uso para la busqueda del directorio y del archivo es el de la persona que modifico el archivo en este caso el mio. Como ninguna persona tiene permiso de abrir, leer, escribir, etc. dentro del directorio es normal que no nos permita escribir el archivo pero el error de notepad no corresponde con lo que sucedio. En realidad notepad no logro encontrar el archivo porque no tiene ningun usuario asociado.


alternate streams
al ejecutar echo “Hola en el stream”
> hola.txt:mi_stream.txt
mis resultados fueron: el archivo esta vacio aunque si aparece en mi escritorio

al ejecutar type leakyapp.exe > holita.txt: leakyapp.exe aparece el archivo
holita.txt en mi escritorio tambien es invisible su contenido al abrirlo.

al darle start .\holita.txt:leakyapp.exe comienza la aplicacion leakyapp pero
en el taskmanager su nombre es holita.txt:leakyapp

Me imagino que lo que hace es usar el archivo de texto como identificador para el stream
a traves del cual se abre el archivo y por eso el nombre aparece asi. Se podria esconder
el nombre original de algun programa que no deseamos o que queremos esconder si usamos
esta tecnica.

Los alternate data streams nos permiten esconder archivos atras de otros. Segun Internet,
es posible esconder mas de un archivo y ademas no afecta el funcionamiento del programa
u archivo que usamos como mascara. La mejor manera de prevenir que un antivirus funcione bien
es escondiendo un virus o tratando de hacerlo lo menos detectable posible. Los archivos maliciosos
que los usuarios ven no son muy buenos pues facilmente son borrados pero usando ADS podemos esconder
incluso procesos que cambian de nombre al ser ejecutados, no solo el archivo mismo. Una manera
de reconocerlos segun Internet es el timestamp del archivo que cambia al crear el ADS.

[ZoneTransfer] ZoneID=3...
cuando usamos el internet explorer para bajar archivos
del Internet, el navegador crea un alternate data stream que se llama
zone.identifier. este archivo contiene informacion de la
zona de internet de la cual estamos bajando el archivo. Como estos archivos se usan para
guardar informacion extra que el sistema de archivos NTFS no guarda por defecto, es una
manera inteligente de guardar este dato.

NTFSINFO

Al ejecutar el programa ntfsinfo nos dice la cantidad de sectores, clusters, espacio usado y libre
de nuestro disco o particion NTFS. Nos da otra informacion como la localizacion y tamano de la tabla
de archivos y si tenemos alguna informacion extra acerca de algun archivo, nos lo revela en una seccion
de meta data que en mi caso estaba vacia. Nos revela la cantidad de bytes por sector y el byte en el que
comienza la tabla y el mirror start tambien.

Lo interesante es que un monton de la memoria que gasto de mi disco son entradas en la tabla NTFS de archivos
resulta que la informacion que se guarda de cada archivo ocupa mucho espacio pues del 59% de mi disco que
tengo usado, un 12% del disco es entradas en la tabla. Asi como en los archivos al enviarlos a traves del correo
cuando guardamos mucha informacion acerca de su tipo de datos, los archivos toman mucho espacio guardando
informacion acerca de ellos (meta data de los archivos en el sistema de archivos).

[djchepe]

Viendo la actividad del sistema de archivos en un sistema

Al abrir el filemon.exe este me empezó a mostrar los archivos del sistema, cuando deje de usar la computadora para observar cuales era los que más se ejecutaban pude ver que eran los del Messenger y los del Bitdefender, otro que se usaba bastante era el livesrv.exe que lo usa Bitdefender. Y el que mire que monitoreaba bastante era mi BitDefender que obviamente como antivirus tiene que estar ver que no haya nada raro pasando en mi computadora.



Analizando un error en el filesystem con FileMon

Aquí lo que quisimos hacer es salvar un archivo dentro de una carpeta a la cual no tenemos acceso, para esto creamos un documento en el notepad y teníamos que salvarlo en esta carpeta la cual al momento de tratar de salvar el documento nos daba un error que decía que no teníamos acceso a esta carpeta





Alternate Data Streams en NTFS

Pues cuando ejecute el comando y lo busque en el escritorio… no estaba, hasta que me fije que el path estaba en C:\ y precisamente ahí estaba mi archivo hola.txt el cual abrí y no tenia ningún contenido en el, pero cuando puse el comando more >…, aquí si me salió “hola en el stream”. Cuando hago lo del type… me crea el archivo y a la hora de abrirlo no tiene nada dentro. Cuando le di a lo de start como yo use el procexp.exe este me abrió el process explorer y cuando mire bajo que nombre estaba abierto mire que era el bajo el nombre de holita.txt:procexp.exe.
Con respecto a los ADS (Alternate Data Streams), son un peligro al estar en las manos de las personas equivocadas debido a que fácilmente pueden ocultar los nombres de los verdaderos archivos y hacernos creer que es un archivo de texto, cuando en realidad es un archivo ejecutable (como lo hicimos ahora en la práctica). Y con lo de [ZoneTransfer] ZoneID=3 es una de las al menos tres maneras en que Windows usa ADS legítimamente, esto sucede cuando uno baja y salva archivos de internet el browser crea un ADS llamado Zone Identifier. Este archivo contiene la informacios de la zona de internet de donde se bajo el archivo. No se ha descubierto todavía para que se necesita el archivo, pero eso es lo que hace.

Analizando el sistema de archivos NTFS

Usando el ntfsinfo nos deja saber varios datos acerca de nuestro disco como el tamaño del disco, los clusters, los sectores, y cuantos de los anteriores tenemos libres, así mismo nos dice de que tamaño tenemos divididos los sectores. Y con la eficiencia de mi disco pues la miro bien a pesar de que esta casi lleno, la mayor parte de este esta lleno de las tablas resultantes de la información guardada en mi disco.



Bibliografía

http://images.globalknowledge.com/wwwimages/whitepaperpdf/WP_DS_Palmgren1.pdf
_________________
La muerte está tan segura de su victoria que nos da toda una vida de ventaja.

[Miriam Rivera]

Viendo la actividad del sistema de archivos en un sistema
1) Ejecute FileMon


Al dejar el computador sin utilizar por un momento pude observar la gran actividad que se presenta aunque yo no este utilizando nada, entre los que mas se repetian estaban svchost.exe, mim.exe, explorer.exe y avwsc.exe. En un minuto pude observar alrededor de 500 entradas de diversos procesos.
2) Observe la actividad de mi sistema por algunos minutos para intentar identificar un proceso que presente un comportamiento de polling y anotar sus propiedades.


Analizando un error en el file system
Para esta sección coloque un filtro para notepad.exe en FileMon al correrlo. Hice un archivo llamado TEMPORAL y le deshabilité el Simple Sharing. Edité los permisos del archivo creado. Luego en un notepad escribí u pequeño texto que traté de salvar en el archivo creado, pero no me fué permitido grabar el texto en esa carpeta.

El error que se me presenta es que estoy tratando de almacenar mi texto en un directorio que no existe, pero no corresponde al verdadero problema porque el directorio sí existe solo que al crearlo seleccioné Deny All por lo que no me permite que nadie accese a él.

Al buscar el error en FileMon puedo ver que me aparece el resultado NOT FOUND para el request de OPEN al path C:\TEMPORAL\PruebaSO



Alternate Data Streams en NTFS
En esta sección desde una ventana de cmd.exe cree un data stream que me generó un archivo hola.txt en mi desktop. Al abrirlo el contenido de éste era:


Al intentar ver el contenido de lo que habia grabado anteriormente no me fue posible.


Luego con el archivo LEAKYAPP.EXE ejecute la linea de comando type LEAKYAPP.EXE > holita.txt:LEAKYAPP.EXE, pero me salio un mensaje de error


En mi desktop apareció el archivo holita.txt, al abrirlo pude ver lo siguiente


Luego ejecuté el comando start .\holita.txt:LEAKYAPP.EXE y así si funcionó el programa


En el Task Manager busqué esta aplicación que acababa de comenzar y solo pude encontrar en la lista de aplicaciones ejecutándose el archivo holita.txt pero no el LEAKYAPP.EXE; dado que los ADS sirven para correr procesos enmascarados por otros esto representa un gran problema para la seguridad informática porque podemos enmascarar virus y programas maliciosos de manera que las computadoras no logren encontrarlos.

[ianpaul]

1)Viendo la actividad del sistema de archivos en un sistema


2)Analizando un error en el filesystem con FileMon
Notepad dice que no existe al verificar en filemon podemos ver que se busco el archivo y no lo encontro. El usuario que se uso para la busqueda del archivo es el que modifico el archivo y como ninguna persona tiene permisos de ningun tipo en el directorio es logico que no permita el acceso y al no tener un usuario con acceso al directorio causa un error.

3)Alternate Data Streams en NTFS
Al abrir el archivo hola.txt vemos que esta vacio, al verificar el contenido vemos que si existe, al abrir el segundo archivo holita.txt vemos que tambien aparece vacio, al ejecutar el leakyapp.exe vemos que en el task manager aparece con el nombre holita.txt:leakyapp. Aparentemente lo que hace es utilizar el archivo de texto como el identificador para el stream. Esto basicamente es lo que hace un virus trata de esconderse detras de otros para no ser detectado por un antivirus. Sobre el ZoneID=3 es un identificador que en el fondo es un ADS que utilizan los navegadores para saber de que zona estan bajando un archivo y asi guardar informacion adicional que sirve a futuro para saber que zonas son seguras y cuales no.

4)Analizando el sistema de archivos NTFS

El ntfsinfo nos provee toda la informacion del disco duro (sectores, clusters, espacio libre, etc). Ademas bytes por sector, por cluster y por MFT Record. Tambien nos dice si tenemos meta-data files, localizacion y tamaño de la tabla de archivos.

[jimmyamador]

---------------/* EJERCICIO 1 */--------------



Es muy interesante ya que en menos de 1 minuto llevaba contando mas de 3000 eventos y pues donde están los procesos activos en RAM y con los request de información donde aparecen open, close, directory, read, query en cada uno de los archivos que se están utilizando y pues sus estatus de succes y no encontrado y pues lo que mas me llamo la atención es los atributos que aparecen ahí en cada archivo. Miro mucho actividad en explorer, Word y moe monitor de Mesh



---------------/* EJERCICIO 2 */--------------



Lo que paso es que no encuentra el directorio ya que no es puede hacer nada en el ya que quedo con los permisos denegados para escribir o modificar en el.



En primer lugar notifica que no encontró el path en el Not Found y en la siguiente línea el resultado del directorio aparece Access Denied, Y es que primero trata de abrir el folder y no lo encuentra Accesible por eso tira el primer error de no encontrado. Y después cuando vuelve solo abrir el folder encuentra que el usuario que lo esta abriendo no tiene permisos suficientes para realizar esa tarea.
Luego prueba el directorio raíz y si encuentra que puede ser usado y vuelve a intentar realizar la grabación en ese folder. Luego realiza otros llamados archivos del sistema para verificar librerías .dll

---------------/* EJERCICIO 3 */--------------

Realice la corrida según el pdf desde la ventana de comandos



Cuando revise la información en el archivo hola.txt pues me apareció el archivo totalmente en blanco.
Y después corri las instrucciones del pdf y aparece la información en la ventana del cmd, también realice otra prueba para revisar otra ves y tuvo el mismo comportamiento.



al ejecutar type leakyapp.exe > holita.txt: leakyapp.exe pues me aparece el archivo totalmente en blanco.

al darle start inicia la aplicacion leakyapp pero al abrir la ventana del taskmanager aparace con el nombre holita.txt:leakyapp pues lo cual no se identifica de manera clara q proceso se esta corriendo, así como ocultándose uno con el otro. Usando el archivo de texto para mostrarse pero corriendo otro para ejecutarse.

En seguridad informática, es un tema delicado por el uso de este concepto para usos malignos. Nosotros podemos esconder cualquier archivo con los altérnate data streams sin dañar los archivos que estamos usando para apariencia en el sistema. Esta técnica nos podría ayudar a ejercutar archivos q no queresmos que sean detactos a primera instancia y poder correr procedimientos de forma personal, no a de tener buenas intensiones el hacer uso de esta técnica y pues es una forma para esquivar los antivirus por su detección de archivos malignos.

Por defecto cualquier usuario del sistema puede usar esta característica. Tan sólo se limita a aquellos ficheros en los que tengamos permiso de escritura. Es decir, un Administrador, podrá añadir un ADS en prácticamente todos los ficheros del sistema, mientras que un usuario se limitará sólo a los ficheros y directorios en donde tenga acceso de escritura (Por defecto su perfil).

Por defecto ADS sólo está limitado a volúmenes NTFS como hemos visto. A través de red local (LAN) podremos mandar ficheros con ADS, siempre y cuando los volúmenes intermedios tengan el sistema de archivos NTFS.
La limitación teórica es mandar un ADS a través de Internet. Teóricamente no podemos mandar un fichero con ADS (sea malicioso o no), ya que nuestro cliente de correo, el medio (Internet) y el destinatario, sólo mandaría el stream con los datos, sin procesar los demás.

Se puede demostrar que se pueden mandar archivos que contengan
ADS, aprovechando un feature (característica) de una herramienta ampliamente
utilizada. La utilidad de copia de seguridad de Windows (ntbackup).

Esta herramienta incluye tanto el archivo como sus streams, lo que la convierte en una
herramienta para usuarios con fines muy distintos:

- herramienta para realizar copias de seguridad
- herramienta para usuarios maliciosos

Puede incluirse en un paquete zip:

- Un fichero de texto que contiene un stream
- Un archivo Bat para ejecutarlo
- Todo ello va empaquetado en un archivo ".bkf" (Copia de seguridad)

Sólo tendrá que descargarse la copia de seguridad, desempaquetarla en algún directorio
y ejecutad el archivo ".bat".

De esta forma se demuestra como muchos virus y troyanos se introducen en los
sistemas. Esto corrobora la recomendación de navegar en Internet utilizando una cuenta
con permisos mínimos. Este ejemplo parte del supuesto de un usuario medio, navegando
e iniciando sesión bajo una cuenta con permisos administrativos.

Los archivos que se descargan desde internet en sistemas NFTS por defecto crean un ADS por ejemplo: downloadedfile.exe:zone.identifier son descargados en [ZoneTransfer] ZoneID=3 y sirve para crear ficheros temporales y así poder guardar la información como un ADS.



---------------/* EJERCICIO 4 */--------------

En la corrida del ntfsinfo c: me di la siguiente informacion de mi Disco Duro



Pues muestra una pantalla de informacion y pues hice la siguiente prueba:
tome la cantidad de clusters libre que son 4116339 y lo multiplique por el tamano de almacenaje de cada cluster de 4 k y pues efectivamente el espacio disponible es de 16 GB. Luego fui al Icono mi mi pc y le di clic derecho al Disco duro y efectivamente era los 16 Gb de espacio libre que actualmente poseeo en mi maquina que representa el 22% del Disco.

[Mario Henriquez]

Primera prueba con el aplicativo Filemón
Se ha notado varias aplicaciones haciendo referencia a diferentes archivos o a un mismo archivo sin la necesidad de utilizar el ordenador como se especifico en la primera prueba, dentro de los cuales tenemos:

Explorer.exe el cual está haciendo referencia a al archivo inicialización del VNC aplicativo para conexión remota con ordenadores

Svchost.exe el cual se encuentra haciendo referencia a un archivo del provisionamiento de Microsoft office llamado start.x

Rwsrsu.exe el cual hace referencia a un archivo llamado ncpmon.ini

[img]

Segunda prueba
Al momento que se le quita a la carpeta la opción full control ningún proceso puede abrir o escribir en la misma, cuando el notepad intento salvar el documento de prueba que se genero con el mismo el aplicativo “notepad” especifico al usuario el error de no tener acceso a la carpeta que se especifico, cuando se busco el proceso en el filemon que abre la carpeta para escritura se noto que el proceso no pudo salvar el archivo y solamente lanzo una ejecución de apertura de la carpeta

[img]


[img][/img]


Tercera prueba

Al momento de ejecutar el comando se creó un archivo en el directorio de escritorio del usuario del sistema en este caso Windows, cuando se abrió el documento de texto no se observo ningún carácter contenido en el documento.

Cuando se ejecuto el comando more con el nombre del archivo creado anteriormente haciendo referencia al stream del mismo se pudo obtener la cadena original ingresada al momento de crear el archivo.

[img]


[/img]

Cuando se ejecuto el comando type seguido de un archivo ejecutable se creó un nuevo documento dentro del escritorio del usuario del sistema al momento de abrir el archivo mostro una cantidad de caracteres extraños no comprensibles.


[img]

Cuando se ejecuto el documento holita.txt en la viñeta de aplicaciones se muestra el nombre del aplicativo que se está corriendo pero en cuanto al proceso que está corriendo el aplicativo el nombre que aparece el holita.txt.

[img][/img]

Cuarta Prueba

Mejora de espacio en el disco duro la eficiencia de uso de disco NTFS soporta las cuotas, lo que le permite controlar la cantidad de uso de disco para cada usuario.

NTFS soporta archivos de compresión nativa que puede ahorrar espacio sin comprometer la accesibilidad del archivo / carpeta.

Más allá de 8GB tamaño de la partición, NTFS ocupa de la gestión del espacio mucho más eficientemente que FAT32. NTFS proporciona menor tamaño de cluster y desechos menos espacio en el disco de residuos que la FAT32.

En Windows XP, la partición de tamaño máximo que pueden ser creados usando FAT32 es 32 GB. Puede crear 16TB (terabytes) de particiones NTFS usando.
_________________
Mario Roberto Henriquez 10011241

[lpalacios83]

Parte 1

se observa que el FileMon muestra archivos del sistema como msnmsgr.exe, explorer1.exe(yo le cambie el nombre, es el mismo explorer
.exe), winlogon.exe, firefox.exe y el avast.exe. Aunque yo dejara de usar la computadora los procesos hacian el polling uno de ellos
el explorer1.exe, el cual esperaba a que yo le diera algun tipo de orden cada algun tiempo. estos procesos que hacen polling hacen referencia
a una operacion de consulta constante, generalmente haci un dispositivo de hardware, para crear una actividad asincronica sin el uso de
interrupciones, aunque tampbien puede suceder lo mismo para recursos de software.



parte 2

no se encuentra la direccion especificada, no tenemos los privilegios para usar esta carpeta.

(tuve problemas para hacer la carpeta privada, mi windows no tenia la pestaña de seguridad, baje el bloqueador de carpetas y asi funciono).


Alternate Data Streams en NTFS

cuando creo el archivo hola.txt no aparece nada en el, utilizando more < hola.txt:mi_stream.txt aparece lo que tiene el archivo hola.txt. al ejecutar leakyapp.exe con holita.txt, me crea el archivo holita txt, en el escritorio.

Los alternate data streams nos permiten esconder archivos, como si no existieran.es posible esconderlos y aun asi el programa seguira funcionando.
Los archivos maliciosos
que los usuarios ven no son muy buenos pues facilmente son borrados pero usando ADS podemos esconder
incluso procesos que cambian de nombre al ser ejecutados, no solo el archivo mismo. Una manera
de reconocerlos segun Internet es el timestamp del archivo que cambia al crear el ADS.

[ZoneTransfer] ZoneID=3...
cuando usamos el internet explorer para bajar archivos
del Internet, el navegador crea un alternate data stream que se llama
zone.identifier. este archivo contiene informacion de la
zona de internet de la cual estamos bajando el archivo. Como estos archivos se usan para
guardar informacion extra que el sistema de archivos NTFS no guarda por defecto, es una
manera inteligente de guardar este dato.

Analizando el sistema de archivos NTFS

da mucha informacion sobre el disco, muestra un 17% de espacio libre
y un 1% de MFT zone size.

tuve un problema con las imagenes, si me permite las mando luego a este foro.

[adtabora]

Viendo Actividad en un sistema de archivos en un sistema
------------------------------------------------------------------

Al usar FileMon note que empezo a monitorear muchos procesos entre los cuales mas destacados eran el explorer, el sidebar y indexer ( en Vista ) deje de usar la pc y el proceso que mostraba comportamiento de polling era el acrobat reader el cual cada 10 seg aprox revisaba el documento que deje abierto.



Alternate Data streams en NTFS
--------------------------------------

Al ejecutar el comando de "echo "hola en el stream" > hola.txt:mi_stream.txt " este creo en mi escritorio un archivo, hola.txt, el cual era de tamaño de 0 bytes y no contenia nada. Pero al ejecutar el comando de "show" mostraba el contenido que se habia mandado al stream

Al ejecutar "type leakyapp.exe > holita.txt:leakyapp.exe" este genera un archivo, holita.exe en mi escritorio sin contenido aparente.
Pero al ejecutar el comando "start ./holita.txt:leakyapp.exe" se ejecutaba el proceso de leakyapp.exe . Viendo en el taskmanager que tenia como nombre holita.txt:leakyapp .

Analizando el sistema de Archivos NTFS
----------------------------------------------
Al usar el ntfsinfo.exe este me da informacion de mi disco. Datos como el tamaño del volumen el numero total de sectores y clusters. El espacio disponible. El tamaño de cada sector y de cada cluster. En el caso de mi Disco se usaba 273MB para entradas de tabla un tamaño considerable para los 60GB del volumen.

[JoseRS]

**********************************************************
Viendo la actividad del sistema de archivos en un sistema
**********************************************************

teniendo abiertos algunos programas como ser el mozilla firefox
puedo obeservar una gran actividad de WRITE que es llevada
a cabo.




**************************************************
analizando un error en el filesystem con FileMon
**************************************************

Al momento de modificar la seguridad en la carpeta temporal, no me deja
guardar el archivito .txt, ya que menciona que no hay foldel.
Que no existe un folder. El error es a causa de que el folder not iene permiso de acceso,
el nombre dado en la cajita de filemon daba ACCESS DENIED, mas adelante busca encontrar el archivo a crear
sin embargo no se encuentra nada, a causa de esto el error.

*******************************
Alternate Data Streams en NTFS
*******************************

Dentro de este archivito con el nombre de hola.txt no encontre nada.
Al momento de aplicar more < hola.txt:mi_stream.txt en el cmd aparecio
el contenido "Hola el stream".

Al escribir type cpustres.exe > holita.txt:cpustres.exe aparece un archivo
en el escritorio con el nombre de holita.txt
Al iniciar el holita.txt:leakyapp.exe comienza
el leakyapp, donde en el taskmanager se llama holita:leakyapp.

Investigacion de definicion de [ZoneTransfer] ZoneID=3...
Al navergar en internet para bajar archivos el navegador hace un
Data Stream que se llama Zone.identifier, dentro de este archivo esta contenida
la informacion de donde hacemos nuestra descarga.

*********
NTFSINFO
*********

al bajar el programa y correrlo en el cmd se nos da la cantidad de sectores y espacion que utliza el disco
(la particion NTFS), asmismo se nos proporciona la cantidad de bytes por sector. Con la ayuda de este esta
informacion se permite comprender la eficiencia del sistema de archivos.

[JOKA]

1)Viendo la actividad del sistema de archivos en un sistema
cuando ejecute el programa y deje sin utilizar la compu. note una gran catidad de entradas algunas del mismo programa y otras de diferentes, tales como el msn el windows media player explorer acrobat entre otros.


2)Analizando un error en el filesystem con FileMon
En notepd, tenemos como resultado que no existe, pero al observarde cerca el filemon podemos ver que se busco, y no tuvo exito en esta busqueda. esta busqueda se realizo bajo el usuario que la modifico por ultimo y ya que nadie mas tiene acceso a este y el directorio no permite accesos, al intentar ingresar el directorio causo error.

3)Alternate Data Streams en NTFS

Al inico el archivo 1.txt vemos que esta vacio, al revisamos el contenido vemos que si existe, al abrir el segundo archivo 2.txt vemos que tambien aparece vacio, al ejecutar el leakyapp.exe vemos que en el task manager aparece con el nombre 2.txt:leakyapp. al parecer utiliza el archivo de texto como el identificador para el stream. Esto basicamente es lo que hace un virus trata de esconderse detras de otros para no ser detectado por un antivirus. Sobre el ZoneID=3 es un identificador que en el fondo es un ADS que utilizan los navegadores para saber de que zona estan bajando un archivo y asi guardar informacion adicional que sirve a futuro para saber que zonas son seguras y cuales no.

4)Analizando el sistema de archivos NTFS

El ntfsinfo nos provee toda la informacion del disco duro (sectores, clusters, espacio libre, etc). Ademas bytes por sector, por cluster y por MFT Record. Tambien nos dice si tenemos meta-data files, localizacion y tamaño de la tabla de archivos.