sábado, 10 de abril de 2010

6: Procedimiento “top-down” de búsquedas

Procedimiento top-down para ubicación de archivos por orden de fechas

El conocimiento preciso de la fecha en la cual ocurrió una infección viral informática es la herramienta más valiosa de todas porque esto nos permite llevar a cabo la búsqueda de archivos maliciosos asociados con la infección que necesariamente debieron de haber sido creados dentro de la computadora en dicho día.

Todo el disco duro de la computadora tiene que ser examinado buscando todos aquellos archivos que hayan sido creados el día en que ocurrió la infección.

En otras entradas ya se señaló sobre la necesidad de pedirle al sistema operativo Windows XP que nos muestre todos los archivos incluyendo los archivos ocultos, así como la necesidad de pedirle que nos muestre las extensiones de dichos archivos. Nuestra búsqueda inicial de archivos propios de la infección puede comenzar dentro de la carpeta Prefetch, y tras esto podemos buscar en las carpetas de WINDOWS tales como system32. Pero hay muchas otras carpetas que tienen que ser examinadas en su totalidad dada la posibilidad de que el virus haya metido su material dañino en otros sitios del disco duro en donde no pueda ser tan fácilmente localizado. Tan sólo en la carpeta “Archivos de programa” podemos tener muchas entradas que corresponden a todos los programas que tenemos instalados legítimamente dentro de la computadora (Adobe, Microsoft Flight Simulator, Mozilla Firefox, Messenger, etc.), las cuales además de contener archivos pueden contener otras carpetas que a su vez pueden contener otros archivos y otras carpetas. Esto puede hacer que la búsqueda de archivos creados el día en que ocurrió la infección parezca algo temerario que llevará varios días. Sin embargo, esto no tiene por que ser así si empleamos una metodología top-down (de arriba hacia abajo) cuyo éxito depende de algo muy sencillo. Cuando el sistema operativo Windows nos muestra un listado de detalles con las fechas de creación y modificación, lo hace no sólo sobre los archivos sino también sobre las carpetas. Además, y en esto consiste el truco, si tan solo un archivo entre los 200 archivos que contanga una carpeta es modificado con una fecha nueva, digamos el 24 de diciembre de 2008, la carpeta que contiene dicho archivo también es actualizada con la misma fecha. De este modo, si tenemos a un mismo nivel ocho carpetas, y solo una de ellas no muestra una fecha de creación o modificación del 24 de diciembre de 2008, entonces podemos ignorar las siete carpetas restantes y dirigirnos únicamente a la carpeta con fecha de creación o modificación del 24 de diciembre de 2008, en la seguridad absoluta de que tal carpeta contiene por lo menos un archivo o sub-carpeta que también fue modificado en la misma fecha.

De este modo, yendo de arriba hacia abajo, podemos focalizar nuestra búsqueda rápidamente yéndonos únicamente a lo que estamos buscando. El trabajo, aunque un poco laborioso, no resulta ser tan extenuante a fin de cuentas.