Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analisis Forense WINDOWS
Analisis Forense WINDOWS
WINDOWS
FUENTES DE EVIDENCIA
El registro de Windows
Archivo NTUSET.DAT.
Memoria RAM
Archivo pagefile
Archivo INDEX.DAT
Log de Eventos
El registro est formado por cinco claves maestras de las cuales slo
HKLM y HKU son almacenadas fsicamente, el resto se crean a travs
de referencias a stas:
HKEY_CLASSES_ROOT (HKCR): Contiene informacin acerca de la
asociacin por tipos de archivo y el registro de las clases que
representan componentes COM a travs del CLSID (Class Identifier).
Esta clave se deriva de la fusin de HKLM\SOFTWARE\Classes y
HKCU\SOFTWARE\Classes lo que permite tener la asociacin de los
archivos y el registro de COM por defecto y por usuario.
HKEY_CURRENT_USER (HKCU): Almacena informacin acerca de la
configuracin del usuario con una sesin activa.
2 SAM: Contiene informacin acerca de los usuarios y grupos locales del sistema.
Existen listas de control de acceso (ACLs) que evitan que el administrador
explore est clave junto con la clave
3 SECURITY por lo que para ver su contenido es necesario ejecutar regedit bajo
la cuenta Lo cal System Account. Para ello puede utilizarse el comando de consola
at y programar la ejecucin del regedit para un instante cercano:"at 17:30
/interactive regedit". Otra opcin sera utilizar el comando psexec del
conjunto de utilidades PsTools de SysInternals:"psexec -s -i regedit"
4 HARDWARE: Almacena informacin acerca de hardware que se ha detectado
durante el arranque. Esta clave permanece siempre en memoria y no se almacena
fsicamente en disco.
5 SYSTEM: Contiene los Control Sets que definen la configuracin de los servicios
y controladores del sistema. Existen ControlSets alternativos con las ltimas
configuraciones estables conocidas y slo habr un ControlSet activo en cada
momento (HKLM\SYSTEM\CurrentControlSet).
En la clave HKLM\SYSTEM\S
REGISTRO EN MRU
CD BURNING
%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning
En visat y windows 7
%USERPROFILE%\AppData\Local\Microsoft\Windows\Burn\Burn
Time Line
Otra forma de extraer claves del registro de Windows para su posterior anlisis es
usando el mismo registro con su opcin extraer:
NTUSER.DAT
Contiene las claves de registro correspondiente al usuario.
Este archivo debe ser extrado utilizando un software autoarranque de Linux
para su anlisis, caso contrario siempre estar en uso y no nos permitir el
sistema hacer accin alguna sobre l.
WINDOWS REGISTRY
RECOVERY
EVENTOS DE WINDOWS
Un evento es cualquier evento significativo del sistema o de un programa
que requiere que se notifique a los usuarios o que se agregue una
entrada a un registro. El servicio Registro de eventos graba eventos de
aplicacin, de seguridad y de sistema en el Visor de eventos.
GUARDAR EVENTOS
ABRIR EVENTOS
EVENTO IMPORTANTE
Acceso a un equipo
mediante la red o con
cuenta de usuario. o C$.
En windows Xp el evento es
540 en vista, 7 y 2008 el ID
es el 4624
ALGUNOS EVENTOS
UTILIZANDO REGRIPPER
EN WINDOWS VISTA Y 7
Importante
Como en toda investigacin, la informacin que podamos
recopilar depende de muchos factores, tales como el sistema
operativo, el TimeLime de la mquina y lgicamente, el tamao de
la memoria RAM. Pongamos como ejemplo a Windows Vista y
Windows XP. Windows Vista maneja de forma diferente los datos
en memoria RAM. Utiliza mucho el acceso a RAM, para no cargar
tanto al disco duro, ya que el acceso a memoria RAM es mucho ms
rpido que el acceso a disco. Windows XP no carga tanto la RAM,
y en cambio utiliza mucho ms el archivo de paginacin.
QUE PODEMOS
ENCONTRAR?
Entrada de usuarios
Archivos abiertos
Informacin de la red
Conexiones de red
Informacin de Procesos
Visualizar actividad de puertos
Proceso de memoria
Estado de la red
Informacin de drivers y servicios
Ejecutaremos un comando que nos liste la relacin de los procesos con sus libreras.
C:\Python26>python volatility dlllist -f ram
.
Ahora listaremos los ficheros que mantienen abiertos los procesos que haba en
ejecucin.
C:\Python26>python volatility files -f ram
...
Procederemos a mostrar propiedades de la imagen.
C:\Python26>python volatility ident -f ram
...
Con el comando modscan listaremos los mdulos de memoria que ocupan los procesos en
ejecucin.
C:\Python26>python volatility modscan -f RAM
Con la siguiente sintaxis revelaremos que directorios del registro estn en relacin
directa con los procesos que se encontraban en ejecucin.
C:\Python26>python volatility regobjkeys -f RAM
Sysinternals Suite
HTTP://TECHNET.MICROSOFT.COM/ESES/SYSINTERNALS/DEFAULT.ASPX
CONJUNTO DE
HERRAMIENTAS
VENTANA
SYSINTERNALS SUITE
Logon: Escanea y visualiza las aplicaciones que se inician con Windows. Pudiendo
ver sus ubicaciones.
Explorer: Explorador de extensiones shell, objetos de ayuda de navegador, barras
de herramientas del explorador, activa configuracin de las ejecuciones.
Internet Explorer. Muestra las entradas del Browse de Windows, como barra de
herramientas.
Scheduled Tasked. Muestra los procesos programados del sistemas.
Services. Muestra los servicios que se inician automticamente cuando se arranca el
sistema.
Drivers: Muestra en modo kernel los drivers registrados en el sistema menos los
inactivos o inhabilitados
SYSINTERNALS SUITE
Boot Execute. Muestra las ejecuciones que se producen antes del
arranque de Windows
Image Hijacks. Muestra las opciones y comandos que se ejecutan del
autorun.
Known DLLs. Informa la ubicacin de DLLs que Windows carga y las
solicitudes que hagan referencia a ellas.
AppInit DLLs. Muestra los DLL registrados de aplicaciones de auto
inicializacin.
Winlogon. Muesra las notificaciones DLL registrados para el winlogon
y notificaciones de inicio de sesin.
Winsock Providers. Visualiza el registrado de Winsock, protocolos,
proveedores de servicios de Winsock. El Malware a menudo se instala
como un proveedor de servicios Winsock porque hay pocos
instrumentos que pueden eliminarlos.
SYSINTERNALS SUITE
LSA. Muestra los registros de Seguridad Local (LSA) de autenticacin,
notificacin y paquetes de seguridad.
Print Monitor. Muestra los DLLs que carga en el servicio de impresin
spooling. El Malware ha utilizado este apoyo para iniciarse
automticamente.