En el transcurso de una investigación se requiere encontrar cuales son los usuarios registrados en el sistema. Esto permite al investigador tener un contexto para recolectar otro tipo información releventa y necesaria, como el contexto de un proceso en ejecución, el propietario de un archivo, o el último acceso a los archivos.

LogonSessions

Si se piensa que cuando se registra (logon) en un sistema donde solo hay una sesión de registro activo, esta utilidad sorprenderá. Este programa lista todas la sesiones de registro actualmente activas y , si se especifica la opción “/p”, los procesos en ejecución en cada sesión.

La manera más sencilla de ejecutar el programa es escribiendo el comando, o cual listará el identificador de la sesión de registro, nombre de usuario, paquete de autenticación, tipo de registro (logon), sesión, SID (Security IDentifier), tiempo de registro (logon), servidor de registro (logon), dominio DNS y UPN (User Principal Name).

La siguiente práctica implica ejecutar LogonSessions con la opción “/p”. Esta opción permite listar los procesos ejecutándose en cada sesión.

En base a los resultados obtenidos se puede proceder a obtener más información sobre estos procesos o mapear los procesos a puertos.

Fuentes:

http://technet.microsoft.com/en-us/sysinternals/bb896769.aspx