Descrição da ferramenta porta relatório Parser (analisador de PR)

Este artigo descreve a utilização da ferramenta porta relatório Parser (analisador de PR). Analisador de PR é uma ferramenta que analisa os registos que gere o serviço de relatório de porta. A ferramenta de analisador de PR tem muitas funcionalidades avançadas que podem ajudá-lo a analisar os ficheiros de registo do serviço de relatório de porta. Pode utilizar o analisador de PR com a ferramenta relatório de porta numa variedade de cenários, incluindo cenários de resolução de problemas e relacionadas com segurança. Este artigo destaca sobre como utilizar a ferramenta de analisador de PR em cenários relacionadas com segurança.

Para obter a ferramenta de analisador de PR, visite o seguinte Web site da Microsoft:

Informações de fundo

Quando um computador baseado no Windows no Microsoft fica vulnerável, o intruso utiliza normalmente os recursos do computador baseado no Windows para infligir mais danos ou para atacar outros computadores. Este tipo de ataque envolve normalmente actividades como iniciar um ou mais processos ou utilizando as portas TCP e UDP ou ambos. A menos que um intruso oculta esta actividade do computador baseado no Windows propriamente dito, pode capturar e identificar esta actividade. Por conseguinte, procurar indicações deste tipo de actividade pode ajudar a determinar se um sistema está vulnerável.

A ferramenta de relatório de porta é um programa que pode executar como um serviço num computador com o Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000. O serviço de porta relatório regista a actividade de porta TCP e UDP. Em computadores baseados no Windows Server 2003 e baseado no Windows XP, o serviço de relatório da porta pode registar as informações seguintes:

• As portas que são utilizadas
• Os processos que utilizam a porta
• Se um processo é um serviço
• Os módulos (.dll, .drv etc.) que carrega um processo
• As contas de utilizador que iniciar um processo

Os dados capturados pelo serviço de porta relatório podem ajudar a determinar se um computador está vulnerável. Os mesmos dados também são útil para resolução de problemas, para obter uma compreensão da utilização de porta do computador e para auditar o comportamento de um computador.

Analisador de PR é uma ferramenta que analisa os registos que gere o serviço de relatório de porta.Para obter informações adicionais sobre o serviço de relatório de porta, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: A ferramenta de analisador de PR fornece as seguintes três funções básicas:

• A ferramenta de analisador de PR tem um Windows gráfica User Interface (GUI) que torna mais fácil de rever os registos. Utilizando a interface gráfica, pode ordenar e filtrar os dados de várias formas.
• A ferramenta de analisador de PR ajuda a identificar e filtrar os dados que está interessado. A ferramenta fornece as seguintes funcionalidades:
  • Identifica os processos que está interessado em execução num computador
  • Tenta identificar quando um processo que utiliza o nome de um processo legítimo é executar o da pasta incorrecta num computador
  • Identifica os módulos, como, por exemplo, .dll e .drv, que são carregados num computador
  • Ajuda a determinar o tempo quando o protocolo IP (Internet Protocol) resolve nomes de domínio totalmente qualificados (FQDNs), ou nomes de computador que está interessado em estão a comunicar com um computador
  • Identifica as portas que são utilizadas num computador
  • Ajuda a determinar quando as contas de utilizador estão activas num computador
• A ferramenta de analisador de PR fornece também alguns dados de análise do registo. Estes dados podem ajudar a compreender a utilização de um computador. Estes dados incluem o seguinte:
  • Uma lista de utilização de porta TCP (Transmission Control Protocol) local classificada
  • Uma lista de utilização do processo local classificada
  • Uma lista classificada de utilização do endereço IP remota
  • Uma lista classificada de utilização do contexto de utilizador
  • Enumeração de serviço Svchost.exe
  • Utilização de porta por hora do dia
  • Microsoft Internet Explorer utilização por utilizador

Interface gráfica do Windows para rever os registos

A ferramenta de relatório de porta cria os seguintes ficheiros de três registo quando executa a ferramenta:

• PR - PORTS - timestamp .log
• PR - PIDS - timestamp .log
• PR - inicial - timestamp .log

O nome de cada ficheiro de registo utiliza a data e a hora num formato de 24 horas que se baseia a hora em que o ficheiro foi criado. O formato de carimbo de data e hora é year-month-day-hour-minute-second. Por exemplo, os seguintes três ficheiros foram criados em 24 de Janeiro de 2004 no 8:49:30 h:

• PR-PORTS-04-01-24-8-49-30.log
• PR-PIDS-04-01-24-8-49-30.log
• PR-INITIAL-04-01-24-8-49-30.log

Quando abre um ficheiro de registo com a ferramenta PR Parser, a GUI do Windows da ferramenta PR analisador fornece as informações seguintes:

• Barra de título do formulário principal menciona o nome do ficheiro de registo que esteja actualmente a abrir.
• Selos de tempo dos registos e apelidos no ficheiro de registo são apresentados.
• O número de registos actualmente apresentados está listado.
• As entradas de registo são apresentadas numa grelha no formulário principal.

Nota Na grelha no formulário principal, poderá não ver as colunas que estão relacionados com processar detalhes se a ferramenta de analisador de PR estiver em execução de um computador que não suporta o mapeamento de porta para o processo. Por exemplo, PID , módulo e conta são as colunas que estão relacionados com processar detalhes. Windows 2000 não suporta o mapeamento de porta para o processo. Por conseguinte, num computador baseado no Windows 2000, não conseguir ver essas colunas.

A GUI do Windows da ferramenta PR analisador fornece as seguintes funcionalidades:

• Detalhes de uma entrada de registo são apresentados na grelha. Se fizer duplo clique uma linha na grelha no formulário principal ou clique com o botão direito do rato numa linha e, em seguida, clique em Propriedades , são apresentados os detalhes da entrada de log. Esta funcionalidade só está disponível quando examinar os ficheiros de registo num computador cujo sistema operativo suporta o mapeamento de porta para o processo. Como de Setembro de 2004, apenas o Windows Server 2003 e o Windows XP suportam esta funcionalidade.
• Pode ordenar dados na grelha no formulário principal, na ordem ascendente ou descendente por qualquer coluna. Se clicar num cabeçalho de coluna, a ferramenta ordena os dados na grelha no formulário principal por ordem ascendente por essa coluna. Se clicar novamente no cabeçalho da coluna, a ferramenta ordena os dados por ordem descendente. Aparece uma seta no cabeçalho de coluna quando os dados são ordenados por essa coluna. A seta também indica a sequência de ordenação. Se pretender restaurar a grelha para a sequência de ordenação original, clique em Repor a grelha para ordenação predefinida no menu Editar .
• Pode utilizar um dos seguintes métodos para filtrar os dados na grelha no formulário principal:
  • No menu Editar , aponte para filtros e, em seguida, clique em filtrar dados . A caixa de diálogo Filtrar dados de grelha é apresentada. Pode seleccionar uma coluna como filtrar dados e fornecer um critério de filtro. Depois de seleccionar e aplicar os critérios, os dados filtrados aparecem na grelha de dados.
  • Clique com o botão direito do rato numa célula cujo valor é o critério para o filtro na grelha no formulário principal, aponte para filtro e, em seguida, clique no filtro adequado, dependendo se pretende filtrar todas as linhas sem este valor ou todas as linhas com este valor.
• Pode copiar o conteúdo de uma célula ou copiar o conteúdo de todas as células numa linha. Para copiar o conteúdo de uma célula, clique com o botão direito do rato numa célula e, em seguida, clique em Copiar . Para copiar o conteúdo de todas as células numa linha, clique com o botão direito do rato no cabeçalho de linha e, em seguida, clique em Copiar .
• Pode resolver endereços IP remotos que aparecem na coluna IP remoto os respectivos nomes correspondentes. É apresentada uma lista de todos os endereços IP e os respectivos nomes associados na grelha depois da ferramenta de analisador de PR concluir a operação. Esta lista não contém duplicados. Pode utilizar um dos seguintes métodos para resolver endereços IP remotos:
  • No menu Ferramentas , clique em resolver todos os IP remoto para resolver todos os endereços IP remotos.
  • Clique com o botão direito do rato numa célula e, em seguida, clique em Resolver endereço IP remoto para resolver o endereço IP que está seleccionado.
  Dependendo do número de endereços que consiga resolver, esta operação pode demorar vários minutos a concluir. A cache DNS no cliente é utilizada para evitar enviar consultas para a rede que já respondeu.
  
  Nota A velocidade e o êxito desta operação depende a resolução de nome de infra-estrutura da rede. A velocidade e o êxito desta operação também depende se os registos de pesquisa inversa estão disponíveis para cada endereço IP.
• Pode porta verificar um computador remoto utilizando o utilitário da linha de comandos o portqry.exe. O portqry.exe é uma poderosa testar ferramenta que pode gerar informações úteis sobre as portas TCP e UDP a conectividade da linha de comandos.
  
  A ferramenta de analisador de PR fornece uma interface de utilizador para utilizar o utilitário o portqry.exe. Esta funcionalidade pode ajudar a determinar o tipo de computador remoto e os serviços que fornece o computador remoto. A porta verificar um computador remoto, clique com o botão direito do rato numa célula e clique em Endereço IP remoto PortQry .Para obter informações adicionais sobre o utilitário da linha de comandos o portqry.exe, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  310099  (http://support.microsoft.com/kb/310099/ ) Descrição do utilitário da linha de comandos o portqry.exe
  Nota Quando a ferramenta PR analisador estiver instalada, o ficheiro o portqry.exe é copiado para a mesma pasta onde está armazenado o ficheiro Prparser.exe.

Identificar dados suspeitos ou dados que está interessado

Pode utilizar a ferramenta de analisador de PR para controlar vários pontos de dados, incluindo módulos, endereços IP, portas, utilizadores e nomes de anfitrião. Utilizando a ferramenta de analisador de PR, poderá determinar rapidamente se quaisquer entradas de registo num ficheiro de registo Port Reporter correspondem a quaisquer critérios que a ferramenta de analisador de PR está configurada para procurar. Pode configurar estes critérios na GUI da ferramenta PR Parser e, em seguida, actualizá-lo para incluir características das novas condições que seleccionou.

Para visualizar, adicionar ou eliminar critérios, clique em definições de critérios no menu Editar .

Seguem-se os seis critérios que podem ser definidos na ferramenta PR analisador para identificar dados suspeitos ou dados que está interessado.

Controlo conhecido módulos

Rastreio módulos conhecidos permite-lhe identificar ficheiros executáveis que utilizam os nomes dos ficheiros binários legítimos e que execute ou são carregados de uma pasta errada. Por exemplo, um nome popular de software malicioso é Svchost.exe. Executa o Svchost.exe legítimo da pasta % Windir%\System32. Quando o software malicioso é denominado Svchost.exe e é copiado para a pasta % windir %, pode ser difícil de ver que este ficheiro binário está em execução na pasta errada. Se o Svchost.exe estiver em execução de uma pasta diferente da pasta System32, o computador poderá estar vulnerável a ataques. A ferramenta de analisador de PR identifica este tipo de problema.

Note que, normalmente, alguns módulos executar a partir de mais do que uma localização. Tem de rever avisos PR analisador para determinar se o aviso é um falso positivo ou se algo irregular foi encontrado. Quando pretender examinar relatório de porta de ficheiros de registo a partir de computadores diferentes, poderá ter de substituir definições de pasta do computador local porque os computadores podem ter estruturas de pastas diferentes. Por exemplo, % systemroot % e % windir % apontar para localizações diferentes em diferentes computadores. Neste caso a ferramenta de analisador de PR poderá identificar muitos ficheiros com na pasta errada, porque a ferramenta de analisador de PR resolve estas variáveis utilizando a estrutura de pastas no computador local em que a ferramenta de analisador de PR está em execução. Para compensar este tipo de diferença entre computadores, pode substituir este comportamento e definir a ferramenta de analisador de PR para resolver estas variáveis de ambiente. Para o fazer, siga estes passos:

1. No menu Editar , clique em Definições de critérios .
2. No separador Módulos como , clique em configuração .
3. Clique em Substituir definições do directório do sistema local .

Isto permite-lhe substituir o modo como a ferramenta de analisador de PR resolve as variáveis de ambiente.

Módulos

A ferramenta de analisador de PR pode determinar rapidamente se os módulos que lhe interessam se encontram nos ficheiros de registo porta relatório. Para adicionar módulos à lista de módulos que está interessado, siga estes passos:

1. No menu Editar , clique em Definições de critérios .
2. Clique no separador módulos .
3. Clique em Adicionar .
4. Escreva o nome do módulo que está interessado em e, em seguida, clique em OK para adicionar o módulo à lista de módulos para procurar .

Do mesmo modo, pode eliminar os módulos adicionados à lista de módulos para procurar .

Quando a ferramenta de analisador de PR localiza um módulo num ficheiro de registo que está interessado, apresenta a entrada de vermelho na grelha no formulário principal. Por exemplo, a ferramenta Netcat.exe é uma ferramenta que os administradores podem ou podem não pretender que os utilizadores utilizem na sua rede. Podem ser identificado nos registos do relatório de porta se a ferramenta Netcat.exe é executada utilizando o respectivo nome original.

Clique duas vezes uma linha seleccionada para ver os detalhes. Uma caixa de diálogo Analisador de relatório do porta - detalhes de entrada do registo é aberta e fornece detalhes sobre o processo, sobre as portas utilizadas e sobre os módulos que são carregados. O analisador de PR fornece também um aviso. Na caixa de diálogo Analisador de relatório do porta - detalhes de entrada do registo , se clicar com o botão direito do rato no nome do processo, a ferramenta de analisador de PR fornece opções para investigar o processo "interessante" ou suspeito.

Nota Não é possível ver os detalhes de uma entrada de registo num computador baseado no Windows 2000.

Endereços IP

A ferramenta de analisador de PR identificarem endereços IP que está interessado em relatório de porta de ficheiros de registo. Para especificar os endereços IP, siga estes passos:

1. No menu Editar , clique em Definições de critérios .
2. Clique no separador de Endereços IP .
3. Clique em Adicionar .
4. Escreva o endereço IP que está interessado em e, em seguida, clique em OK para adicionar o endereço IP à lista de Endereços IP a procurar .

Do mesmo modo, pode também eliminar os endereços IP que são adicionados à lista de Endereços IP a procurar .

Depois de adicionar um endereço IP nos critérios de endereços IP e, em seguida, aplicar os critérios, o endereço IP especificado é apresentado na grelha no formulário principal.

Portas

Os administradores de rede utilizam registos do firewall para determinar que programas em execução nas respectivas redes e os pontos finais são utilizados quando os programas comunicam. A ferramenta de analisador de PR pode ajudar a determinar as portas que estão a ser utilizadas por um programa e possam identificar rapidamente as portas que está interessado. Muitos vírus, worms, programas maliciosos e ferramentas que são utilizadas por utilizadores mal intencionados utilizam as portas mesmas sempre que são executadas. A ferramenta de analisador de PR pode identificar as portas listadas na lista de critérios de portas.

Para modificar esta lista, siga estes passos:

1. No menu Editar , clique em Definições de critérios .
2. Clique no separador portas .
3. Clique em Adicionar .
4. Escreva o nome de porta e o protocolo que está interessado e, em seguida, clique em OK para adicionar as informações da porta à lista de portas para procurar .

Do mesmo modo, pode eliminar as portas que são adicionadas à lista de portas para procurar .

Tenha em atenção que os programas legítimos poderão utilizar as mesmas portas que utilizam programas maliciosos. Tem a investigar cada aviso de que a ferramenta de analisador de PR gera para determinar se o aviso é gerado devido a uma operação que não é normal.

Contas de utilizador

A ferramenta de analisador de PR permite-lhe identificar contas de utilizador que está interessado em relatório de porta de ficheiros de registo. Para especificar as contas de utilizador, siga estes passos:

1. No menu Editar , clique em Definições de critérios .
2. Clique no separador Contas de utilizador .
3. Clique em Adicionar .
4. Escreva a conta de utilizador que está interessado em e, em seguida, clique em OK para adicionar a conta de utilizador à lista de Contas de utilizador para procurar .

Do mesmo modo, pode eliminar as contas de utilizador que são adicionadas à lista Contas de utilizador para procurar .

Depois de adicionar um utilizador nos critérios de contas de utilizador, a conta de utilizador especificado é apresentada na grelha no formulário principal.

Nomes de anfitrião

A ferramenta de analisador de PR tenta resolver endereços IP remotos que se encontrem os registos de nomes de anfitrião. O êxito da resolução depende de factores tais como as definições de TCP/IP correctamente configuradas, as definições de DNS, uma infra-estrutura de resolução de nomes operacional e endereços IP para mapeamentos de nomes. Para reduzir o número de consultas enviadas para a rede, a ferramenta de analisador de PR tem uma cache de nomes e também utiliza as caches de nome do cliente. Para especificar estes nomes, siga estes passos:

1. No menu Editar , clique em Definições de critérios .
2. Clique no separador Nomes de host .
3. Clique em Adicionar .
4. Escreva o nome de anfitrião que está interessado em e, em seguida, clique em OK para adicionar o nome de anfitrião à lista de Nomes de anfitrião para procurar .

Se a ferramenta de analisador de PR resolvido com êxito os endereços IP para nomes de anfitrião, a ferramenta identifica os nomes de anfitrião que correspondem aos nomes que se encontrem na lista de critérios de nomes de anfitrião e, em seguida, apresenta os nomes de anfitrião.

Aplicar os critérios

Se pretender especificar os critérios para o ficheiro de registo que é aberto, pode utilizar a opção Aplicar critérios no menu Ferramentas . A ferramenta de analisador de PR analisa o ficheiro de registo para procurar entradas que correspondem aos critérios. Se for encontrada uma correspondência, a ferramenta de analisador de PR apresentará o campo que corresponde. Detalhes, tais como módulos carregados, não estão listadas na grelha no formulário principal. Estes detalhes apenas estão disponíveis quando visualiza os detalhes de registo.

Quando a ferramenta de analisador de PR detectar que foi carregado um módulo que está interessado ou que um módulo que utiliza um nome legítimo foram carregado da pasta errada, a ferramenta não apresenta estas informações na grelha do formulário principal. Isto acontece porque a ferramenta PR analisador não apresenta os campos. Para identificar todas as linhas que contêm dados que correspondam aos critérios, mesmo nos detalhes de uma entrada, tem de filtrar os dados. Para o fazer, aponte para filtros no menu Editar e, em seguida, clique em Mostrar apenas linhas com dados "interessantes" . Esta funcionalidade permite-lhe determinar se quaisquer entradas de registo correspondem aos critérios que definiu. Na lista resultante pode estar vazia contém todas as linhas onde dados correspondem aos critérios, incluindo detalhes tais como módulos. A opção Mostrar apenas linhas com dados "interessantes" está indisponível até que um critério é aplicado aos dados. Após clicar em Aplicar critérios no menu Ferramentas , a opção Mostrar apenas linhas com dados "interessantes" está disponível.

Analisar os registos e gerar dados

A ferramenta de analisador de PR também pode gerar os dados de análise do registo que podem ser útil para os administradores do computador e os administradores de rede. São gerados sete conjuntos de dados dos registos porta relatório de computadores baseados no Windows XP ou Windows Server 2003. Uma vez que a ferramenta de relatório de porta não efectua o mapeamento de porta para o processo em computadores baseados no Windows 2000, algumas destas estatísticas não podem ser geradas dos registos a partir desses computadores. Para analisar os registos e gerar saída, clique em dados de análise do registo no menu Ferramentas .

Seguem-se os sete conjuntos de dados que são gerados pela ferramenta PR analisador:

Utilização de porta TCP local

Este conjunto de dados inclui o número de vezes que cada porta TCP foi iniciada pela ferramenta de relatório de porta. Este tipo de dados pode ser útil quando pretender determinar as portas que irão ser abertas entre sub-redes ou saída para a Internet. Estes dados dá-lhe uma ideia de frequência de portas são utilizadas por cada computador. Os dados contêm um valor de Percentagem do total com cada entrada. Este valor é calculado dividindo o número de vezes que cada porta é utilizada pelo número total de vezes que todas as portas são utilizadas.

Utilização do processo

Pode utilizar estes dados para analisar a utilização de processo em computadores. Por exemplo, os programas que o computador utiliza, frequência são registados pela ferramenta de relatório de porta e os programas que são geralmente mais utilizados. Os dados contêm um valor de Percentagem do total para cada entrada. Este valor é calculado dividindo o número de vezes que cada processo é registado pelo número total de vezes que todos os processos são registados. Estes dados não estão disponíveis para computadores baseados no Windows 2000.

Enumeração de Svchost.exe

A ferramenta de analisador de PR pode identificar todos os serviços que estão alojados o processo Svchost.exe. Esta informação é necessária para determinar os programas que estão a ser executados num computador.

Utilização do endereço IP remota

Este conjunto de dados mostra os endereços IP e pode mostrar os nomes de anfitrião que o computador tiver sido comunicar com. A lista é classificada para que possa ver os computadores que comuniquem com frequência.

Pode clique com o botão direito do rato na grelha e, em seguida, seleccione uma opção para resolver os endereços IP para os respectivos nomes de anfitriões correspondente. A ferramenta de analisador de PR tenta resolver os nomes utilizando as definições de DNS e de rede no computador em que a ferramenta de analisador de PR está em execução.

Utilização de contexto do utilizador

Este conjunto de dados mostra uma lista classificada de contas de utilizador que foram utilizados no ficheiro de registo de relatório de porta. Pode utilizar para determinar quais contas de utilizador foram utilizadas num computador. Estes dados não estão disponíveis para computadores baseados no Windows 2000.

Utilização de porta por hora

Este conjunto de dados fornece uma análise de utilização de porta por hora ao longo do tempo os dados do ficheiro de registo porta relatório foram recolhidos. Pode utilizar estes dados para compreender as horas de ponta de um computador e de compreender se portas são utilizadas em alturas inesperadas.

Nota Por predefinição, o relatório de porta recolhe dados durante 24 horas.

Iexplore.exe utilização

Este conjunto de dados Enumera os pontos finais que visitou do Microsoft Internet Explorer. Estes dados são divididos com base no utilizador por utilizador para que a utilização do Internet Explorer para cada utilizador pode com perfil. Pode utilizar estes dados para determinar quais os utilizadores de sites visitados ou firewalls que o computador utilizado para aceder à Internet.

Clique com o botão direito do pode rato no formulário para ver informações relacionadas. Cada endereço IP listado pode ser resolvido para um nome de anfitrião. Por conseguinte, o nome correspondente de cada site ou firewall pode ser identificado.

Também pode utilizar o utilitário o portqry.exe para consultar as portas em computadores que são identificados nesta lista. Para guardar os dados de análise do registo para um ficheiro de texto, faça clique sobre Guardar na caixa de diálogo Dados de análise do registo para registo .