Herramientas de línea de comandos

Cytomic Orion incorpora el programa rt.exe que da acceso a un conjunto de utilidades para el equipo de respuesta a incidentes. Con estas herramientas el técnico podrá recuperar información para realizar un análisis forense posterior, así como devolver al estado original el equipo afectado por la brecha de seguridad.

El programa rt.exe es accesible desde la línea de comandos remota y sigue la sintaxis indicada:

rt.exe [command] [-h|--help]

Las consideraciones indicadas a continuación afectan de forma general al comando rt.exe:

  • command indica una acción a realizar. Cada una de ellas soporta distintos parámetros.

  • No se soportan los caracteres comodín “*”, “?”.

  • Algunos parámetros permiten búsquedas parciales por subcadenas al comienzo, final y en el interior de la cadena. Por ejemplo para filtrar la cadena “armario” se admiten las búsquedas por “ar”, “mar” e “io”.

  • Si el comando soporta el volcado de la salida a un fichero, éste se especifica con -f.

  • Para separar varios elementos del mismo tipo se usa el carácter “|”.

A continuación se incluyen los parámetros soportados por cada comando.

Comando “delete”

Borra los ficheros indicados con el parámetro -n, -m o -s que se encuentren en la ruta indicada por el parámetro -p. Si el fichero está en uso el comando delete devolverá un error.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-f

--force

Borra los ficheros definitivamente sin pasar por la papelera de reciclaje.

 

-r

--restore

En vez de borrar, recupera de la papelera de reciclaje los ficheros indicados.

Los ficheros se restauran a su localización original.

-p

--path

Ruta absoluta desde el directorio raíz a partir de la cual se buscarán los ficheros a borrar. Solo se borrarán los ficheros que pertenezcan a la ruta indicada.

  • El carácter separador de carpetas es “\”.

  • No se soportan caracteres comodín.

-n

--name

Nombre de los ficheros a borrar.

  • Para indicar varios ficheros se utiliza el carácter “|”.

  • No se soportan caracteres comodín.

-m

--md5

md5 de los ficheros a borrar.

  • Para indicar varios md5s se utiliza el carácter “|”.

  • No se soportan caracteres comodín.

-s

--sha256

sha256 de los ficheros a borrar.

  • Para indicar varios sha256 se utiliza el carácter “|”.

  • No se soportan caracteres comodín.

Parámetros del comando delete

Comando “dump”

Vuelca a disco el espacio de memoria asignado a un proceso de usuario o de sistema.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-p

--pid

PID del proceso a volcar.

Consulta el Comando “process” para obtener el PID del proceso a volcar.

-s

--system

Volcado del kernel.

Valores admitidos:

  • mini: volcado corto con el contenido de la pila.

  • kernel: volcado completo.

  • full: volcado de toda la memoria física del equipo, aunque no esté en uso.

-f

--filename

Nombre del fichero donde se guardará el volcado.

 

-z

--zip

El volcado se almacenará en un fichero comprimido en formato zip.

 

Parámetros del comando dump

Comando “netinfo”

Muestra la configuración de las interfaces de red instaladas en el equipo con el parámetro -a.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-a

--all

Muestra por pantalla la configuración de las interfaces de red instaladas en el equipo.

 

-f

--filename

Nombre del fichero donde se guardará la información.

 

-z

--zip

El volcado se almacenará en un fichero comprimido en formato zip.

 

Parámetros del comando netinfo

Comando “pcap”

Captura el tráfico de red recibido y enviado desde el equipo. El inicio y finalización de la captura se indica mediante el parámetro -a start| stop. La captura de paquetes genera ficheros temporales en el equipo por lo que es necesario espacio suficiente en el disco duro. El resultado final es un fichero con formato pcap directamente utilizable por Wireshark.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-a

--action

Ejecuta una acción:

  • start: inicia el proceso de captura.

  • stop: finaliza el proceso de captura.

  • queryStatus: muestra el estado del proceso de captura.

 

-m

--maxsize

Tamaño máximo del paquete a capturar.

  • Especificado en megabyes.

  • Valor por defecto: 200 Mbytes.

-i

--maxtime

Tiempo máximo de captura.

  • Especificado en segundos.

  • Valor por defecto: 86400 segundos (1 día).

-f

--filename

Nombre del fichero donde se almacenará la información.

 

-z

--zip

El volcado se almacenará en un fichero comprimido en formato zip.

 

Parámetros del comando pcap

Comando “ports”

Con el parámetro -a muestra los sockets abiertos en el equipo y los procesos que los abrieron.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-a

--all

Muestra todos los puertos abiertos y su proceso asociado.

 

-p

--pid

Filtra el resultado por el PID de un proceso.

 

-n

--name

Filtra el resultado por el nombre de un proceso.

Soporta búsquedas parciales por subcadenas.

-f

--filename

Nombre del fichero donde se almacenará la información.

 

Parámetros del comando ports

Comando “process”

Con el parámetro -a muestra todos los procesos cargados en la memoria del equipo y sus módulos.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-a

--all

Muestra todos los procesos cargados en la memoria del equipo y sus módulos.

 

-p

--pid

Filtra el resultado por el PID de un proceso mostrando sus módulos.

 

-u

--user

Muestra los procesos lanzados por un usuario y sus módulos.

 

-f

--filename

Nombre del fichero donde se almacenará la información.

 

Parámetros del comando process

Comando “url”

Con el parámetro -a any muestra todas las URLs accedidas por los usuarios del equipo mediante el navegador Web instalado. Este comando requiere tener activado el módulo webfilter de Cytomic EDR.

Parámetro corto Parámetro largo Descripción Anotaciones

-h

--help

Ayuda del comando.

 

-a

--action

Filtra el listado de URLs según la acción ejecutada por el módulo Webfilter:

  • allow: muestra las URLs permitidas por el módulo Webfilter.

  • deny: muestra las URLs denegadas por el módulo Webfilter.

  • any: muestra todas las URLs navegadas.

 

-c

--count

Número máximo de URLs a mostrar.

Valor por defecto: sin límite.

-g

--category

Filtra el listado de URLs según la categoría asignada por el módulo Webfilter.

 

-b

--begindate

Establece la fecha de inicio desde la que se mostrarán las URLs navegadas.

  • Formato de la fecha: “YYYY-MM-DD HH:MM”.

  • Valor por defecto: 30 días hacia atrás de la fecha de ejecución del comando.

-e

--enddate

Establece la fecha de finalización hasta la que se mostrarán las URLs navegadas.

  • Formato de la fecha: “YYYY-MM-DD HH:MM”.

  • Valor por defecto: fecha de ejecución del comando.

-n

--urlpattern

Filtra las URLs por subcadena.

 

-u

--userpattern

Filtra las URLs por usuario.

 

-f

--filename

Nombre del fichero donde se guardará la información.

 

-z

--zip

El volcado se almacenará en un fichero comprimido en formato zip.

 

Parámetros del comando url