Listar Sesiones de Registro con LogonSessions

  • Posted on: 28 March 2014
  • By: ReYDeS

En el transcurso de una investigación se requiere encontrar cuales son los usuarios registrados en el sistema. Esto permite al investigador tener un contexto para recolectar otro tipo información releventa y necesaria, como el contexto de un proceso en ejecución, el propietario de un archivo, o el último acceso a los archivos.

LogonSessions

Si se piensa que cuando se registra (logon) en un sistema donde solo hay una sesión de registro activo, esta utilidad sorprenderá. Este programa lista todas la sesiones de registro actualmente activas y , si se especifica la opción “/p”, los procesos en ejecución en cada sesión.

La manera más sencilla de ejecutar el programa es escribiendo el comando, o cual listará el identificador de la sesión de registro, nombre de usuario, paquete de autenticación, tipo de registro (logon), sesión, SID (Security IDentifier), tiempo de registro (logon), servidor de registro (logon), dominio DNS y UPN (User Principal Name).

La siguiente práctica implica ejecutar LogonSessions con la opción “/p”. Esta opción permite listar los procesos ejecutándose en cada sesión.

En base a los resultados obtenidos se puede proceder a obtener más información sobre estos procesos o mapear los procesos a puertos.

Fuentes:

http://technet.microsoft.com/en-us/sysinternals/bb896769.aspx

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024