// INFORME: Análisis Forense de Sistema de Archivos (I/O)
// MÓDULO: 4 - Interceptación de Syscalls en Tiempo Real
// HERRAMIENTA: Process Monitor (ProcMon) v3.96
// CLASIFICACIÓN: Malware Analysis / Advanced Troubleshooting
0x01: La Aguja en el Pajar de Syscalls
Como analista considero a Process Monitor como la herramienta de observabilidad definitiva en Windows sin grandes soluciones SOC/SIEM /SOAR
A diferencia de Process Explorer, que ofrece una foto fija del estado de los procesos, ProcMon intercepta y registra cada llamada al sistema (Syscall) que ocurre en el kernel de Windows.
Esto es vital cuando me enfrento a comportamientos ocultos de aplicaciones o malware que no dejan rastro en la interfaz gráfica, como accesos fallidos a llaves de registro protegidas o escrituras silenciosas en directorios temporales.
El principal reto al utilizar esta herramienta es el volumen de datos:
ProcMon puede capturar millones de eventos en cuestión de segundos.
La metodología lógica es filtrar bien, es decir un aislamiento de eventos para extraer datos y convertirlos en inteligencia.
0x02: Filtrado Positivo
Para evitar la saturación de información, he implementado una estrategia de Filtrado Positivo.
El objetivo es eliminar el "ruido" del sistema operativo y centrarme exclusivamente en el proceso bajo investigación.
Secuencia de Aislamiento de Laboratorio
En este escenario, he configurado el entorno para monitorizar la actividad de la consola de comandos de Windows durante una operación de escritura:
- Reset & Clear aplicado (Limpieza de filtros previos y buffer de memoria).
- Regla de Inclusión definida: Process Name is cmd.exe → Include.
- Filtros de eventos habilitados para File System y Registry únicamente.
// TRIGGER DE CAPTURA (Consola de Usuario)
C:\Users\Sammi De Blas> echo "PRUEBA_EXITOSA" > C:\Users\Public\test_procmon.txt
0x03: Trazabilidad de I/O
Tras ejecutar el comando, he analizado la captura obtenida.
ProcMon confirma con precisión absoluta la secuencia de operaciones necesarias para persistir un dato en el sistema de archivos NTFS.
| Operación | Ruta (Path) | Resultado | Detalle |
|---|---|---|---|
| CreateFile | C:\Users\Public\test_procmon.txt | OK | Desired Access: Generic Write |
| WriteFile | C:\Users\Public\test_procmon.txt | OK | Offset: 0, Length: 16 |
| CloseFile | C:\Users\Public\test_procmon.txt | OK | Liberación de Handle |
0x04: Call Stack y Transición de Kernel
Uno de los puntos más críticos de mi analisis ha sido la inspección de la pila de llamadas o Call Stack.
Esta técnica me permite validar que la operación de escritura no ha sido interceptada por drivers de terceros no autorizados.
Verificación de Integridad de la Llamada
Con el analisis he podido ver la transición fluida desde el "modo usuario" hacia el "modo Kernel":
- USER: La llamada se origina en
cmd.exey pasa a través dentdll.dllyKERNELBASE.dll. - KERNEL: La ejecución salta a
ntoskrnl.exe(Kernel) y es gestionada porfltmgr.sys(Filter Manager).
NOTE: AUSENCIA DE HOOKS
He confirmado que no existen módulos desconocidos o drivers sin firmar entre la capa de usuario y el kernel.
En una infección por rootkit, veríamos librerías extrañas interceptando NtCreateFile para ocultar la presencia del archivo en el disco.
En este caso, la cadena de confianza está intacta.
0x05: Conclusiones
La capacidad de aislar una aguja en un pajar de millones de eventos es lo que diferencia a un administrador de un analista forense.
A través de este módulo, he validado que ProcMon es esencial para:
- Identificación de Fallos: Detectar archivos de configuración que un programa intenta leer y fallan con
NAME NOT FOUND. - Malware Analysis: Localizar dónde escribe sus logs o configuraciones un malware ofuscado.
- Análisis de Droppers: Observar la creación secuencial de archivos ejecutables durante una cadena de infección.
"Security is not a product, it's a mindset."
[ EOF ]