Microsoft Seguridad Informática Windows

Microsoft Problem Steps Recorder, una herramienta para el bien o para el mal

A través del siempre genial blog del SANS,llego a la herramienta ‘PSR’ creada por Microsoft y cuyo objetivo legítimo es ayudar a resolver problemas.
Esta herramienta viene ‘by default’ a partir de Windows 7, y lo que hace es capturar toda la actividad de la pantalla y generar un fichero en formato MHTML con las capturas de pantalla, movimientos de ratón y algunas pulsaciones de teclado.
Esto, evidentemente, es muy útil cuando tienes que lidiar con una persona que ‘no hace nada’ pero algo le va mal, con tan solo pedir que ejecute el comando PSR ya puede iniciar una sesión de lo que está haciendo y enviar el fichero para que se revise.
Aquí se puede ver un ejemplo de cómo captura PSR:

 

Tal y como se puede apreciar, la herramienta muestra el pantallazo y la descripción de lo que estaba haciendo el usuario.
¿Problema? Resulta que esta herramienta se puede invocar por línea de comandos y además tiene un modo en el que el usuario no vería que se está empleando.
En concreto con este comando:

psr.exe /start /output \\?\%USERPROFILE%\Desktop\diag.zip /maxsc 100 /sc 1 /gui 0

Se lanzaría una sesión de PSR y se almacenaría lo capturado en un fichero .zip situado en el escritorio del usuario.
En este punto, probablemente todo el mundo haya caído en la cuenta de la enorme utilidad que puede tener en caso de tener un acceso a un cmd.exe en remoto (por haber explotado una vulnerabilidad, por ejemplo) y querer ‘mirar’ lo que está pasando en la pantalla.
No obstante, y quitando ese matiz, la herramienta me parece genial y de hecho, me estoy planteando seriamente cambiar Camtasia por esta herramienta a la hora de generar vídeo-reportes donde he de describir como se explota una vulnerabilidad o un procedimiento.
Me parece mucho mas vistosa, los ficheros pesan menos y además es altamente descriptiva.
Fuente:
securitybydefault.com

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *