¿Qué es Chainsaw en informática forense?

Chainsaw en informática forense es una herramienta que se dedica a procesar todos los elementos del sistema. Además, tiene una serie de reglas que lo que detectan son posibles comportamientos maliciosos de la máquina.

A continuación, veremos un poco más a fondo en qué consiste la herramienta Chainsaw en informática forense y cómo aplicarla en nuestros análisis.

¿Qué es Chainsaw en informática forense?

Chainsaw en informática forense es una herramienta de análisis de registros de eventos (logs) que se utiliza para analizar y visualizar grandes conjuntos de datos de registros. Chainsaw es una herramienta de la plataforma Apache log4j, que es un framework para el registro de eventos en aplicaciones de software.

Chainsaw en informática forense le permite a los investigadores de informática forense analizar los datos de registro de eventos en busca de patrones, anomalías o problemas de seguridad. También permite filtrar, clasificar y agregar datos de registro en función de diversos criterios, lo que facilita la identificación de eventos relevantes.

Registros de eventos o logs

Los registros de eventos (también conocidos como logs) son registros automáticos que se generan en un sistema informático para registrar información sobre eventos y acciones que ocurren en el sistema.

Estos eventos pueden incluir acciones de usuario, como inicio y cierre de sesión, acciones del sistema, como reinicios y apagados, errores del sistema, como fallos en el hardware o en el software, y otros eventos importantes.

¿Cómo funciona Chainsaw en informática forense?

Chainsaw en informática forense no funciona como otros programas que analizan y toman todos los ficheros del sistema, sino que se enfoca en los ficheros maliciosos.

Esta herramienta la podemos descargar desde el repositorio en GitHub.

Te aconsejamos descargar este:

Aquí es donde se encuentran las diferentes reglas que detienen o detectan los archivos maliciosos. Tenemos, por ejemplo, el caso de la fuerza bruta:

Aquí tiene un evento que nos detecta cuándo es posible que se esté produciendo fuerza bruta sobre nuestro equipo.

Por simplicidad, este programa lo podemos instalar en Windows. Aunque también podemos hacerlo en Linux, nos tocaría hacer el trabajo de compilarlo nosotros mismos para poder ejecutarlo en este sistema operativo.

Lo bueno del repositorio de GitHub es que tenemos el código fuente y podemos correrlo en mac.

Ejecución de Chainsaw en informática forense

Para ejecutar Chainsaw en informática forense, lo que haremos será irnos a la carpeta EventLogs de Windows.

Aquí buscaremos esta herramienta:

Descomprimimos el archivo y copiamos la ruta.

Luego, abrimos el símbolo del sistema desde el explorador de Windows y escribimos lo siguiente:

Le ponemos «hunt», que es donde está la carpeta de los ficheros, y pegamos la ruta que habíamos copiado previamente:

Le decimos que las reglas las tome de su carpeta y que, después, haga un mapeo de todos los elementos y ficheros de la ruta que le dictemos. Ya con esto nos tendría que aparecer el símbolo de Chainsaw, que indica que el programa se está ejecutando correctamente:

Esto carga todos los artefactos, parsea los eventos y busca en los 118 ficheros que hay, a ver qué es lo que encuentra.

El resultado final sería algo como esto:

La ruta completa quedaría del siguiente modo:

Otra opción, que tal vez sea más cómoda, es redirigir la salida a un fichero de texto.

¿Qué sigue?

Ya hemos visto qué es Chainsaw en informática forense y cómo funciona. Si quieres seguir formándote en las distintas ramas de la seguridad informática, en KeepCoding tenemos la formación de alta calidad e intensidad perfecta para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y, en poco tiempo, te convertirás en todo un profesional IT a nivel teórico y práctico gracias a la guía constante de profesores expertos en el sector. ¡Pide ahora más información y da el paso que transformará tu vida profesional!