Comandos de PowerShell

Algunos comandos de PowerShell de interés y utilidad para el investigador forense digital.

Acerca de PowerShell

PowerShell es un marco referencial (framework) de scripting y automatización proporcionado por Microsoft para administrar e interactuar con Windows. Se puede utilizar para análisis forense en vivo para extraer diversos tipos de información y realizar tareas como la monitorización de procesos, el análisis de registros de eventos y la recuperación de información del sistema.

Comandos

Aquí hay algunos ejempos de uso de PowerShell útiles para una labor informática forense.

Get-ChildItem

Get-ChildItem enumera todos los archivos y directorios en una unidad o ruta específica, por lo que resulta de mucha utilidad para identificar archivos sospechosos o analizar el sistema de archivos. Ej.:

Get-ChildItem -Path C: -Recurse

Get-EventLog

Get-EventLog recupera eventos de los registros de eventos de un sistema. Puede utilizarse para identificar anomalías o investigar incidentes de seguridad. Ej.:

Get-EventLog -LogName System

Get-ItemProperty

Get-ItemProperty permite recuperar información sobre un archivo, incluida su hora de creación, hora del último acceso y hora de la última escritura. Ej.:

Get-ItemProperty -Path C:WindowsSystem32cmd.exe

Get-Process

Get-Process permite ver los procesos en ejecución en un sistema, lo que puede ayudar a identificar procesos sospechosos o maliciosos. Ej.:

Get-Process -Name svchost

Get-Service

Get-Service permite ver los servicios instalados en un sistema, incluido su estado actual y tipo de inicio. Ej.:

Get-Service -name XblGameSave

Get-UserProfile

Get-UserProfile permite ver los perfiles de usuario en un sistema, incluido su SID, ruta y hora del último uso. 

Get-UserProfile
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
                                                                                                                        Install the latest PowerShell for new features and improvements! https://aka.ms/PSWindows                                                                                                                                                       PS C:WINDOWSsystem32> Install-Module -Name Get-UserProfile -RequiredVersion 1.0.7                                                          
NuGet provider is required to continue
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet
 provider must be available in 'C:Program FilesPackageManagementProviderAssemblies' or
'C:UserslaloAppDataLocalPackageManagementProviderAssemblies'. You can also install the NuGet provider by running
'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install and import
 the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): Y
PS C:WINDOWSsystem32>

7) Get-WinEvent

Este comando le permite recuperar eventos de los registros de eventos de un sistema utilizando opciones de filtrado más avanzadas que Get-EventLog.

Get-WinEvent -FilterHashtable @{Logname="System";ID=6005}

Estos comandos se pueden utilizar individualmente o combinados en scripts para automatizar tareas forenses y analizar sistemas Windows de manera más eficiente.

Sysinternals es una colección de utilidades avanzadas del sistema para Windows, creada por Mark Russinovich y Bryce Cogswell. Estas utilidades son ampliamente utilizadas por profesionales de TI, administradores de sistemas y expertos en seguridad para diversas tareas, como la resolución de problemas, la monitorización del sistema y el análisis forense.

Get-ChildItem

Get-EventLog

Get-ItemProperty

Get-Process

Get-Service

Get-UserProfile

Get-WinEvent

PropósitoCommand PromptPowershellLinux/unixmacOSNotas
Mostrar el contenido de un directoriodirGet-ChildItem

Get-ChildItem -Path C: -Recurse		ls
Recupera datos de las bitácoras del sistemaGet-EventLog

Get-EventLog -LogName System
Obtener atributos de un archivoGet-ItemProperty

Get-ItemProperty -Path C:WindowsSystem32cmd.exe
Listar los procesos corriendo en el sistemaGet-Process
Lista los servicios instalados en el sistemaGet-Service
Get-UserProfileInstall-Module -Name Get-UserProfile -RequiredVersion 1.0.7

As admnistrator
Get-WinEvent -FilterHashtable @{Logname=»System»;ID=6005}

Install the latest PowerShell for new features and improvements! https://aka.ms/PSWindows

Referencias

Twitter Wordpress eMail
© Todos los derechos reservados.
Dr. Eduardo René Rodríguez Avila 		Creación: 2025.04.03
Última actualización: 2025.04.03
El contenido de este sitio puede ser copiado y reproducido libremente mientras no sea alterado y se cite su origen. Marcas y productos registrados son citados por referencia y sin fines de lucro o dolo. Todas las opiniones son a título personal del o los autores de éstas y, salvo sea expresado de otro modo, deben considerarse como registro y expresión de la experiencia de uso de aquello que es tratado. Para conocer más sobre la posición de privacidad y responsabilidad de lo que se presenta en este sitio web y como ha sido obtenido, consulte la declaración al respecto.