Descrição da ferramenta Port Reporter Parser (PR-Parser)

Este artigo descreve o uso da ferramenta Port Reporter Parser (PR-Parser). PR-Parser é uma ferramenta que analisa os logs que o serviço Port Reporter gera. A ferramenta PR-Parser tem vários recursos avançados que podem ajudá-lo a analisar os arquivos de log do serviço Port Reporter. Você pode usar PR-Parser com a ferramenta Port Reporter em um número de cenários, incluindo cenários de solução de problemas e relacionados à segurança. Este artigo se concentra sobre como usar a ferramenta PR-Parser em situações relacionadas à segurança.

Para obter a ferramenta PR-Parser, visite o seguinte site:

Informações de plano de fundo

Quando um computador baseado em Windows no Microsoft se tornar vulnerável, um invasor geralmente usa os recursos do computador baseado no Windows para gerar mais danos ou para atacar outros computadores. Esse tipo de ataque normalmente envolve atividades como iniciar um ou mais processos ou usando as portas TCP e UDP ou ambos. A menos que um invasor oculta essa atividade do computador com Windows propriamente dito, você pode capturar e identificar essa atividade. Portanto, procurando por indicações desse tipo de atividade pode ajudar você a determinar se um sistema é vulnerável.

A ferramenta Port Reporter é um programa que pode ser executado como um serviço em um computador que esteja executando o Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000. O serviço Port Reporter registra atividades das portas TCP e UDP. Em computadores baseados no Windows Server 2003 e baseado no Windows XP, o serviço Port Reporter pode registrar as seguintes informações:

• As portas que são usadas
• Os processos que usam a porta
• Se um processo é um serviço
• Os módulos (.dll, .drv e assim por diante) que carrega um processo
• As contas de usuário iniciar um processo

Os dados capturados pelo serviço Port Reporter podem ajudar a determinar se um computador está vulnerável. Os mesmos dados também são útil para solução de problemas, para obter uma compreensão do uso da porta do computador e para auditoria o comportamento de um computador.

PR-Parser é uma ferramenta que analisa os logs que o serviço Port Reporter gera.Para obter informações adicionais sobre o serviço Port Reporter, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: A ferramenta PR-Parser fornece três funções básicas a seguir:

• A ferramenta PR-Parser tem um Windows Graphical User Interface (GUI) que torna mais fácil de revisar os logs. Usando a GUI, pode classificar e filtrar os dados de várias maneiras.
• A ferramenta PR-Parser ajuda a identificar e filtrar os dados que você está interessado. A ferramenta fornece as seguintes funcionalidades:
  • Identifica os processos que você está interessado em que estão sendo executados em um computador
  • Tenta identificar quando um processo que usa o nome de um processo legítimo é executado da pasta errada em um computador
  • Identifica os módulos, como .dll e .DRV, que são carregados em um computador
  • Ajuda a determinar a hora quando o protocolo de Internet (IP) endereços, nomes de domínio totalmente qualificados (FQDNs), ou nomes de computador que você estiver interessado em estão se comunicando com um computador
  • Identifica as portas que são usadas em um computador
  • Ajuda a determinar quando as contas de usuário estão ativas em um computador
• A ferramenta PR-Parser fornece alguns dados de análise de log também. Esses dados podem ajudar a compreender o uso de um computador. Esses dados incluem o seguinte:
  • Uma lista classificada de uso local da porta TCP (Transmission Control Protocol)
  • Uma lista classificada de uso de processo local
  • Uma lista classificada de uso do endereço IP remoto
  • Uma lista classificada de uso de contexto de usuário
  • Enumeração de serviço de Svchost.exe
  • Uso da porta por hora do dia
  • Uso do Microsoft Internet Explorer pelo usuário

GUI do Windows para examinar os logs

A ferramenta Port Reporter cria seguintes três arquivos de log quando a ferramenta é executada:

• PR - PORTS - timestamp .log
• PR - PIDS - timestamp .log
• PR - inicial - timestamp .log

O nome de cada arquivo de log usa a data e a hora em formato de 24 horas que se baseia a hora em que o arquivo foi criado. O formato do carimbo de data e hora é year-month-day-hour-minute-second. Por exemplo, três arquivos a seguir foram criados em 24 de janeiro de 2004, no 8:49:30 A.M.:

• PR-PORTS-04-01-24-8-49-30.log
• PR-PIDS-04-01-24-8-49-30.log
• PR-INITIAL-04-01-24-8-49-30.log

Quando você abre um arquivo de log com a ferramenta PR-Parser, a GUI do Windows da ferramenta PR-Parser fornece as seguintes informações:

• Barra de título do formulário principal menciona o nome de arquivo do arquivo de log que está aberto.
• Os carimbos de hora dos registros primeiro e últimos no arquivo de log são exibidos.
• O número de registros que são exibidos no momento está listado.
• As entradas de log são exibidas em uma grade no formulário principal.

Observação Na grade no formulário principal, você não poderá ver as colunas relacionadas ao processar detalhes se a ferramenta PR-Parser estiver sendo executado em um computador que não oferece suporte ao mapeamento de porta para o processo. Por exemplo, PID , módulo e conta são as colunas relacionadas ao processar detalhes. Windows 2000 não oferece suporte a mapeamento de porta para o processo. Portanto, em um computador baseado no Windows 2000, não é possível ver essas colunas.

A GUI do Windows da ferramenta PR-Parser fornece os seguintes recursos:

• Detalhes de uma entrada de log aparecem em uma grade. Se você clique duas vezes em uma linha na grade no formulário principal ou clique uma linha com o botão direito do mouse e, em seguida, clique em Propriedades , os detalhes da entrada de log são exibidos. Este recurso só está disponível quando você examinar arquivos de log em um computador cujo sistema operacional oferece suporte a mapeamento de porta para o processo. Como de setembro de 2004, somente o Windows Server 2003 e o Windows XP suportam esse recurso.
• Você pode classificar os dados na grade o formulário principal em ordem crescente ou decrescente por qualquer coluna. Se você clicar em um cabeçalho de coluna, a ferramenta classifica os dados na grade no formulário principal em ordem crescente por essa coluna. Se você clicar no cabeçalho da coluna novamente, a ferramenta classifica os dados em ordem decrescente. Uma seta aparece em um cabeçalho de coluna quando os dados são classificados por coluna. A seta também indica a ordem de classificação. Se você desejar restaurar a grade para sua ordem de classificação original, clique em Redefinir grade a classificação padrão no menu Editar .
• Você pode usar um dos seguintes métodos para filtrar os dados na grade no formulário principal:
  • No menu Editar , aponte para filtros e, em seguida, clique em Filtrar dados . A caixa de diálogo Filtrar dados de grade é exibida. Você pode selecionar uma coluna como filtrar dados e fornecer um critério de filtro. Depois de selecionar e aplicar os critérios, os dados filtrados são exibidos na grade de dados.
  • Clique uma célula cujo valor é o critério para o filtro na grade no formulário principal com o botão direito do mouse, aponte para Filtrar e, em seguida, clique no filtro apropriado, dependendo se você deseja filtrar todas as linhas sem esse valor ou todas as linhas com esse valor.
• Copiar o conteúdo de uma célula ou copiar o conteúdo de todas as células em uma linha. Para copiar o conteúdo de uma célula, clique com o botão direito do mouse em uma célula e, em seguida, clique em Copiar . Para copiar o conteúdo de todas as células em uma linha, clique no cabeçalho da linha com o botão direito do mouse e, em seguida, clique em Copiar .
• Você pode resolver endereços IP remotos que aparecem na coluna IP remoto para seus nomes correspondentes. Uma lista de todos os endereços IP e seus nomes associados é exibida na grade após a ferramenta PR-Parser concluir a operação. Esta lista não contém duplicatas. Você pode usar um dos seguintes métodos para resolver endereços IP remotos:
  • No menu Ferramentas , clique em resolver todos os IPs remotos para resolver todos os endereços IP remotos.
  • Clique com o botão direito do mouse em uma célula e clique em Resolver endereço de IP remoto para resolver o endereço IP que está selecionado.
  Dependendo do número de endereços IP que você resolver, esta operação pode levar vários minutos para ser concluída. O cache do DNS no cliente é usado para evitar o envio de consultas à rede que já tiverem sido respondidos.
  
  Observação A velocidade e sucesso desta operação depende a resolução de nome de infra-estrutura na rede. A velocidade e o sucesso dessa operação também depende se registros de pesquisa inversa estão disponíveis para cada endereço IP.
• Você pode transferir examinar um computador remoto usando o utilitário de linha de comando Portqry.exe. Portqry.exe é uma conectividade de linha de comando poderosa ferramenta que pode gerar informações úteis sobre as portas TCP e UDP de teste.
  
  A ferramenta PR-Parser fornece uma interface de usuário para usar o utilitário Portqry.exe. Esse recurso pode ajudar a determinar o tipo de computador remoto e que serviços que fornece o computador remoto. A porta verificar um computador remoto, clique com o botão direito do mouse em uma célula e clique em Endereço IP remoto PortQry .Para obter informações adicionais sobre o utilitário de linha de comando Portqry.exe, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  310099  (http://support.microsoft.com/kb/310099/ ) Descrição do utilitário de linha de comando Portqry.exe
  Observação Quando a ferramenta PR-Parser é instalada, o arquivo Portqry.exe é copiado para a mesma pasta onde o arquivo Prparser.exe está armazenado.

Identificando dados suspeitos ou dados que você estiver interessado em

Você pode usar a ferramenta PR-Parser para controlar vários pontos de dados, incluindo módulos, endereços IP, portas, usuários e nomes de host. Usando a ferramenta PR-Parser, você pode determinar rapidamente se as entradas de log em um arquivo de log Port Reporter correspondência com qualquer critérios que a ferramenta PR-Parser é configurada para procurar. Configurar esses critérios na GUI da ferramenta PR-Parser e atualizá-lo para incluir características das novas condições que você escolher.

Para exibir, adicionar ou excluir critérios, clique em configurações de critérios no menu Editar .

A seguir estão os critérios de seis que podem ser definidos na ferramenta PR-Parser para identificar dados suspeitos ou dados que você está interessado.

Controle conhecido módulos

Módulos conhecidos de controle permite que você identificar arquivos executáveis que usam os nomes dos arquivos binários legítimos e que execute ou são carregados de uma pasta errada. Por exemplo, um nome popular de software malicioso é Svchost.exe. Executa o Svchost.exe legítimos da pasta % Windir%\System32. Quando o software mal-intencionado é chamado Svchost.exe e copiado na pasta % windir %, pode ser difícil se este arquivo binário está sendo executado da pasta errada. Se estiver executando o Svchost.exe de uma pasta diferente da pasta System32, o computador pode ser vulnerável a ataques. A ferramenta PR-Parser identifica esse tipo de problema.

Observe que, geralmente, alguns módulos executar mais de um local. Você deve revisar avisos PR-Parser para determinar se o aviso é um falso positivo ou se algo irregular foi encontrado. Quando você deseja examinar arquivos de log Port Reporter de computadores diferentes, talvez você precise substituir configurações de pasta do computador local, porque os computadores podem ter estruturas de pasta diferente. Por exemplo, % systemroot % e % windir % apontar para locais diferentes em computadores diferentes. Nesse caso, a ferramenta PR-Parser pode identificar muitos arquivos executando na pasta errada porque a ferramenta PR-Parser resolve essas variáveis usando a estrutura de pastas no computador local em que a ferramenta PR-Parser está sendo executada. Para compensar esse tipo de diferença entre computadores, você pode substituir esse comportamento e defina a ferramenta PR-Parser para resolver essas variáveis de ambiente. Para fazer isso, execute as seguintes etapas:

1. No menu Editar , clique em Configurações de critérios .
2. Na guia Módulos conhecidos , clique em configuração .
3. Clique em Ignorar configurações do diretório do sistema local .

Isso permite que você substituir a maneira que a ferramenta PR-Parser resolve as variáveis ambientais.

Módulos

A ferramenta PR-Parser pode determinar rapidamente se os módulos que você estiver interessado em se encontram em arquivos de log Port Reporter. Para adicionar módulos à lista de módulos que você está interessado, execute estas etapas:

1. No menu Editar , clique em Configurações de critérios .
2. Clique na guia módulos .
3. Clique em Adicionar .
4. Digite o nome do módulo que você está interessado e clique em OK para adicionar o módulo a lista de módulos para pesquisar .

Da mesma forma, você pode excluir os módulos que são adicionados à lista módulos para pesquisar .

Quando a ferramenta PR-Parser encontra um módulo em um arquivo de log que você está interessado, ele exibe a entrada em vermelho na grade no formulário principal. Por exemplo, a ferramenta Netcat.exe é uma ferramenta que os administradores podem ou não aconselhável os usuários usem em sua rede. Ele pode ser identificado em logs de verificação de portas se a ferramenta Netcat.exe é executada usando o nome original.

Clique duas vezes uma linha que está selecionada para ver os detalhes. Uma caixa de diálogo Porta Reporter Parser - detalhes da entrada de log é aberta e fornece detalhes sobre o processo, sobre as portas que são usadas e sobre os módulos que são carregados. PR-Parser também fornece um aviso. Na caixa de diálogo Porta Reporter Parser - detalhes da entrada de log , se você clique com o botão direito do mouse no nome do processo, a ferramenta PR-Parser fornece opções para pesquisar o processo de "interessante" ou suspeito.

Observação Você não pode ver os detalhes de uma entrada de log em um computador com Windows 2000.

Endereços IP

A ferramenta PR-Parser pode identificar endereços IP que você está interessado em arquivos de log Port Reporter. Para especificar os endereços IP, siga estas etapas:

1. No menu Editar , clique em Configurações de critérios .
2. Clique na guia Endereços IP .
3. Clique em Adicionar .
4. Digite o endereço IP que está interessado e, em seguida, clique em OK para adicionar o endereço IP à lista de Endereços IP para procurar .

Da mesma forma, você também pode excluir os endereços IP que são adicionados à lista de Endereços IP para procurar .

Após você adiciona um endereço IP nos critérios de endereços IP e aplicar os critérios, o endereço IP especificado é exibido na grade no formulário principal.

Portas

Os administradores de rede usam logs de firewall para determinar que programas estão sendo executados em suas redes e os pontos de extremidade são usados quando os programas se comuniquem. A ferramenta PR-Parser pode ajudar você a determinar quais portas estão sendo usadas por um programa e podem identificar rapidamente as portas que você está interessado. Muitos vírus, worms, programas mal-intencionados e ferramentas que são usadas por usuários mal-intencionados usam as portas mesmas toda vez que eles são executados. A ferramenta PR-Parser pode identificar quaisquer portas listadas na lista de critérios de portas.

Para modificar esta lista, siga estas etapas:

1. No menu Editar , clique em Configurações de critérios .
2. Clique na guia portas .
3. Clique em Adicionar .
4. Digite o nome de porta e o protocolo que você está interessado e, em seguida, clique em OK para adicionar as informações da porta à lista de portas para pesquisar .

Da mesma forma, você pode excluir as portas que são adicionadas à lista portas para pesquisar .

Observe que programas legítimos podem usar as mesmas portas que usam programas mal-intencionados. Você deve investigar cada aviso de que a ferramenta PR-Parser gera para determinar se o aviso é gerado por causa de uma operação que não seja comum.

Contas de usuário

A ferramenta PR-Parser permite que você identificar contas de usuário que você está interessado em arquivos de log Port Reporter. Para especificar as contas de usuário, siga estas etapas:

1. No menu Editar , clique em Configurações de critérios .
2. Clique na guia Contas de usuário .
3. Clique em Adicionar .
4. Digite a conta de usuário que estiver interessado em e em seguida, clique em OK para adicionar a conta de usuário à lista de Contas de usuário para procurar .

Da mesma forma, você pode excluir as contas de usuário que são adicionadas à lista Contas de usuário a pesquisar .

Após você adiciona um usuário nos critérios de contas de usuário, a conta de usuário especificado é exibida na grade no formulário principal.

Nomes de host

A ferramenta PR-Parser tenta resolver endereços IP remotos localizados nos logs de para nomes de host. O sucesso da resolução depende de fatores, como configurações TCP/IP configuradas corretamente, as configurações de DNS, uma infra-estrutura de nome operacional resolução e endereços IP para mapeamentos de nome. Para reduzir o número de consultas enviadas para a rede, a ferramenta PR-Parser tem um cache de nomes e usa também os caches de nome do cliente. Para especificar esses nomes, siga estas etapas:

1. No menu Editar , clique em Configurações de critérios .
2. Clique na guia Nomes de host .
3. Clique em Adicionar .
4. Digite o nome do host que está interessado e, em seguida, clique em OK para adicionar o nome do host à lista de Nomes de host para pesquisar .

Se a ferramenta PR-Parser com êxito resolve os endereços IP para nomes de host, a ferramenta identifica os nomes de host que correspondem aos nomes localizados na lista de critérios de nomes de host e, em seguida, exibe os nomes de host.

Os critérios de aplicação

Se você desejar especificar os critérios para o arquivo de log que é aberto, você pode usar a opção Aplicar critérios no menu Ferramentas . A ferramenta PR-Parser analisa o arquivo de log para procurar por entradas que correspondem aos critérios. Se uma correspondência for encontrada, a ferramenta PR-Parser exibe o campo correspondente. Detalhes, como módulos carregados, não são listados na grade no formulário principal. Esses detalhes estão disponíveis somente quando você exibir os detalhes do Registro.

Quando a ferramenta PR-Parser localizar que um módulo que você estiver interessado em foi carregado ou que foi carregado um módulo que usa um nome legítimo da pasta errada, a ferramenta não exibe essas informações na grade do formulário principal. Isso ocorre porque a ferramenta PR-Parser não exibe os campos. Para identificar todas as linhas que contêm dados que correspondam aos critérios, mesmo em detalhes de uma entrada, você deve filtrar os dados. Para fazer isso, aponte para filtros no menu Editar e, em seguida, clique em Mostrar apenas linhas com dados "interessantes" . Esse recurso permite determinar se as entradas de log correspondentes aos critérios que você definir. A lista resultante que pode ser vazia contém todas as linhas onde dados corresponde aos critérios, incluindo detalhes como módulos. A opção Mostrar apenas linhas com dados "interessantes" não está disponível até que um critério é aplicado aos dados. Após clicar em Aplicar critérios no menu Ferramentas , a opção Mostrar apenas linhas com dados "interessantes" está disponível.

Analisar os logs e geração de dados

A ferramenta PR-Parser também pode gerar dados de análise de log que podem ser útil para administradores de computadores e administradores de rede. Sete conjuntos de dados são gerados de logs de verificação de portas de computadores baseados no Windows Server 2003 ou baseado no Windows XP. Porque a ferramenta Port Reporter não realiza mapeamento de porta para o processo em computadores com Windows 2000, algumas dessas estatísticas não podem ser geradas de logs partir desses computadores. Para analisar os logs e geram a saída, clique em dados de análise de log no menu Ferramentas .

A seguir estão os sete conjuntos de dados que são gerados pela ferramenta PR-Parser:

Uso da porta TCP local

Este conjunto de dados inclui o número de vezes que cada porta TCP foi registrada pela ferramenta Port Reporter. Esse tipo de dados pode ser útil quando você deseja determinar quais portas serão abertas entre sub-redes ou à Internet. Esses dados dá uma idéia da freqüência as portas são usadas por cada computador. Os dados contêm um valor Percentual do total em relação a cada entrada. Esse valor é calculado dividindo o número de vezes que cada porta é usada pelo número total de vezes que todas as portas são usadas.

Uso do processo

Você pode usar esses dados para analisar o processo de uso em computadores. Por exemplo, os programas que o computador usa, freqüência estiverem conectados, a ferramenta Port Reporter e os programas que são geralmente mais usados. Os dados contêm um valor Percentual do total para cada entrada. Esse valor é calculado dividindo o número de vezes que cada processo é registrado pelo número total de vezes que todos os processos são registrados. Esses dados não estão disponíveis para computadores baseados no Windows 2000.

Enumeração de Svchost.exe

A ferramenta PR-Parser pode identificar todos os serviços que são hospedados pelo processo Svchost.exe. Essas informações é necessário para determinar os programas que estão sendo executados em um computador.

Uso do endereço IP remoto

Este conjunto de dados mostra os endereços IP e pode mostrar os nomes de host que o computador tiver sido comunicando. A lista é classificada para que você possa ver que computadores se comunicam com freqüência.

Você pode clique com o botão direito do mouse a grade e, em seguida, selecione uma opção para resolver os endereços IP para nomes de host correspondente. A ferramenta PR-Parser tenta resolver os nomes usando a rede e configurações de DNS no computador em que a ferramenta PR-Parser está sendo executada.

Uso de contexto de usuário

Este conjunto de dados mostra uma lista classificada de contas de usuário que foram usados no arquivo de log Port Reporter. Você pode usar isso para determinar quais contas de usuário foram usadas em um computador. Esses dados não estão disponíveis para computadores baseados no Windows 2000.

Uso da porta por hora

Este conjunto de dados fornece uma divisão de uso de porta por hora longo do tempo que os dados do arquivo de log Port Reporter coletados. Você pode usar esses dados para entender os horários de pico para um computador e para compreender se portas são usadas em horários inesperados.

Observação Por padrão, o Port Reporter coleta dados para 24 horas.

Iexplore.exe uso

Este conjunto de dados enumera os pontos de extremidade que visitar o Microsoft Internet Explorer. Esses dados são divididos em uma base por usuário para que o uso do Internet Explorer para cada usuário pode ser perfilado. Você pode usar esses dados para determinar que os usuários de sites visitados ou que firewalls computador usado para acessar a Internet.

Clique com o botão direito do mouse o formulário para ver informações relacionadas. Cada endereço IP listado pode ser resolvido para um nome de host. Portanto, o nome correspondente de cada site ou o firewall pode ser identificado.

Você também pode usar o utilitário Portqry.exe para consultar as portas nos computadores que são identificados nesta lista. Para salvar os dados de análise de log para um arquivo de texto, clique em Salvar na caixa de diálogo Dados de análise de log para log .