ANLISIS FORENSE SISTEMAS

WINDOWS

FUENTES DE EVIDENCIA

El registro de Windows
Archivo NTUSET.DAT.
Memoria RAM
Archivo pagefile
Archivo INDEX.DAT
Log de Eventos

ANLISIS DEL REGISTRO DEL SISTEMA.

El registro de Windows es una estructura
organizada de forma jerrquica que centraliza el
almacenamiento de los datos de configuracin para el
sistema, los usuarios, las aplicaciones y el hardware.

El registro est formado por cinco claves maestras de las cuales slo
HKLM y HKU son almacenadas fsicamente, el resto se crean a travs
de referencias a stas:
HKEY_CLASSES_ROOT (HKCR): Contiene informacin acerca de la
asociacin por tipos de archivo y el registro de las clases que
representan componentes COM a travs del CLSID (Class Identifier).
Esta clave se deriva de la fusin de HKLM\SOFTWARE\Classes y
HKCU\SOFTWARE\Classes lo que permite tener la asociacin de los
archivos y el registro de COM por defecto y por usuario.
HKEY_CURRENT_USER (HKCU): Almacena informacin acerca de la
configuracin del usuario con una sesin activa.

HKEY_LOCAL_MACHINE (HKLM): Almacena informacin relativa

a la configuracin del equipo que se aplicar por defecto a todos
los usuarios del sistema. Se divide en cinco subclaves:
SOFTWARE: Contiene informacin de configuracin acerca de
las aplicaciones instaladas en el sistema bajo la estructura
Fabricante\Aplicacin\Versin.
1 SECURITY: Almacena las polticas de seguridad para cada
cuenta de usuario y la base de datos local de usuarios SAM
(Security Account Manager)
el nmero del Control- Set activo.

2 SAM: Contiene informacin acerca de los usuarios y grupos locales del sistema.
Existen listas de control de acceso (ACLs) que evitan que el administrador
explore est clave junto con la clave
3 SECURITY por lo que para ver su contenido es necesario ejecutar regedit bajo
la cuenta Lo cal System Account. Para ello puede utilizarse el comando de consola
at y programar la ejecucin del regedit para un instante cercano:"at 17:30
/interactive regedit". Otra opcin sera utilizar el comando psexec del
conjunto de utilidades PsTools de SysInternals:"psexec -s -i regedit"
4 HARDWARE: Almacena informacin acerca de hardware que se ha detectado
durante el arranque. Esta clave permanece siempre en memoria y no se almacena
fsicamente en disco.
5 SYSTEM: Contiene los Control Sets que definen la configuracin de los servicios
y controladores del sistema. Existen ControlSets alternativos con las ltimas
configuraciones estables conocidas y slo habr un ControlSet activo en cada
momento (HKLM\SYSTEM\CurrentControlSet).
En la clave HKLM\SYSTEM\S

HKEY_USERS (HKU): Contiene subclaves para cada cuenta

de usuario predefinida de windows y para cada usuario
que haya iniciado una sesin primaria o secundaria en el
sistema. Estas subclaves se identifican con el SID
(Security Identifier) de la cuenta y almacenan la
informacin relativa a la configuracin especfica de la
misma.

Anlisis en vivo (online)

El registro de Windows puedes ser analizado sin problema en un sistema vivo, a
tiempo real, para esta labor tenemos varios procesos como la extraccin de
datos, la exportacin de claves para su posterior anlisis y la comparacin de
ficheros.

DONDE ESTA LA INFORMACIN ?

Most Recent Used & MRU
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Programas ejecutados por la opcin ejecuta de inicio o el box ejecutar.
HKEY_CURRENT_USER \ \Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Path digitados en internet explorer.

HKEY_CURRENT_USER \ Software\Microsoft\Internet Explorer\TypedURLs
Otra fuentes de MRU reflejados a programas y archivos abiertos
HKEY_CURRENT_USER \
\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Bsquedas realizadas en windows

HKEY_CURRENT_USER \ Software\Microsoft\Search Assistant\ACMru

Dispositivos conectados usb

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

REGISTRO EN MRU

CD BURNING
%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning
En visat y windows 7
%USERPROFILE%\AppData\Local\Microsoft\Windows\Burn\Burn

Conociendo la ubicacin del registro lo primero que debemos hacer es

extraerlo para su posterior anlisis.
Podemos utilizar la herramienta nativa reg.exe que nos permitir exportar
el rbol entero del registro o una clave como lo vemos en el siguiente
ejemplo.

Time Line

Otra forma de extraer claves del registro de Windows para su posterior anlisis es
usando el mismo registro con su opcin extraer:

Ya cuando tengamos extrado el registro o parte de l, podemos

indicar el anlisis offline utilizando el software Reg View.

NTUSER.DAT
Contiene las claves de registro correspondiente al usuario.
Este archivo debe ser extrado utilizando un software autoarranque de Linux
para su anlisis, caso contrario siempre estar en uso y no nos permitir el
sistema hacer accin alguna sobre l.

WINDOWS REGISTRY
RECOVERY

EVENTOS DE WINDOWS
Un evento es cualquier evento significativo del sistema o de un programa
que requiere que se notifique a los usuarios o que se agregue una
entrada a un registro. El servicio Registro de eventos graba eventos de
aplicacin, de seguridad y de sistema en el Visor de eventos.

GUARDAR EVENTOS

ABRIR EVENTOS

EVENTO IMPORTANTE
Acceso a un equipo
mediante la red o con
cuenta de usuario. o C$.
En windows Xp el evento es
540 en vista, 7 y 2008 el ID
es el 4624

ALGUNOS EVENTOS

UTILIZANDO REGRIPPER

Anlisis de la papelera de reciclaje.

Al hablar de anlisis forense Windows no debe quedar fuera el tema
de la papelera de reciclaje fuente de evidencia donde se depositan
los archivos que fueron eliminados del sistema.
Cuando se elimina un archivo desde el explorador de Windows no se
elimina totalmente, estos van al contenedor INFO2, que es un archivo
donde se almacena todo los archivos eliminados.

Al ingresar el archivo a este contenedor cambiara su nombre

tomando una nueva sintaxis propia de la papelera de reciclaje que
procedemos a explicar.
(Letra de la unidad desde donde se elimino) (La primera letra del
nombre del archivo) (Extensin del archivo) ( un numero que es
secuencial si coincide en los otros caracteres)
Es decir si elimnanos el archivo persona.doc de la unidad c: al
ingresar a INFO2 quedara como CP1.doc
En windows vista y 7 los archivos se renombran com $R

EN WINDOWS VISTA Y 7

Anlisis de archivo Pagefiles.sys

Este archivo es muy especial y lo usa Windows para almacenar
temporalmente datos los cuales son intercambiados entre la
memoria RAM y ste, con el fin de disponer de un bloque ms grande
de memoria, a sta se le conoce como MEMORIA VIRTUAL

El nombre del archivo es pagefile.sys y se crea en el momento de la

instalacin de Windows en la unidad raiz (normalmente C:\) donde
se encuentra el boot del sistema y sus atributos son de oculto.
El tamao de archivo pagefile.sys normalmente es 1.5 veces mas
grande que la memoria RAM del sistema. (Por ejemplo, si tienes 1GB
de RAM, el archivo deberia pesar algo como 1.5GB.

Pagefiles.sys en una fuente de evidencia voltil muy til la cual podr

ser examinada usando un editor hexadecimal como Winhex, los
resultados de visualiza con este software sern entre otras cosas,
archivos abiertos, archivos ofimticos , navegaciones en internet,
procesos en ejecucin, correos electrnicos enviados, mensajes
Messenger, etc.
Este archivo es dependiente del sistema lo que nonos permitir extraerlo
o copiarlo para su anlisis por lo cual debemos utilizar un live cd para
extraer el archivo as como lo realizamos con el NTUSER.DAT al abrirlo el
pagefile.sys en el editor winhex podremos observar informacin como lo
veremos en la siguiente imagen.

ANLISIS DE MEMORIA RAM

Importante
Como en toda investigacin, la informacin que podamos
recopilar depende de muchos factores, tales como el sistema
operativo, el TimeLime de la mquina y lgicamente, el tamao de
la memoria RAM. Pongamos como ejemplo a Windows Vista y
Windows XP. Windows Vista maneja de forma diferente los datos
en memoria RAM. Utiliza mucho el acceso a RAM, para no cargar
tanto al disco duro, ya que el acceso a memoria RAM es mucho ms
rpido que el acceso a disco. Windows XP no carga tanto la RAM,
y en cambio utiliza mucho ms el archivo de paginacin.

QUE PODEMOS
ENCONTRAR?
Entrada de usuarios
Archivos abiertos
Informacin de la red
Conexiones de red
Informacin de Procesos
Visualizar actividad de puertos
Proceso de memoria
Estado de la red
Informacin de drivers y servicios

Para iniciar una anlisis forense de la memoria RAM debemos

iniciar con la captura de la informacin en memoria o realizando
un volcado de la misma manera esto podemos usar la herramienta
dd.exe vista anteriormente o el comando Mantech Memory DD que
explicaremos a continuacin.
Para usar este comando lo ejecutamos en nuestro cmd de
Windows con la siguiente sintaxis:
mdd.exe -o nombredelvolcado

Usando NIGILANT32 y HELIX.

Este es un software auto ejecutable que no requiere
instalacin, veamos los pasos para la extraccin de la
imagen de una memoria RAM.

ANALIZANDO LA IMAGEN GENERADA.

UNA VEZ EXTRADA LAS IMGENES DE LA MEMORIA RAM VISTO ANTERIORMENTE
PROCEDEREMOS A ANALIZARLAS.
A CONTINUACIN VAMOS A UTILIZAR LA HERRAMIENTA VOLATILY
(HTTPS://WWW.VOLATILESYSTEMS.COM/DEFAULT/VOLATILITY#OVERVIEW) CON LA
CUAL SIMULTNEAMENTE TENEMOS QUE TENER INSTALADO PHYTON
(HTTP://WWW.PYTHON.ORG/DOWNLOAD/ YA QUE VOLATILY) ES UN ENTORNO
PROGRAMADO EN PHYTON , CON DICHO FRAMEWORK NOS VA A PERMITIR LLEVAR
LA CABO EL ANLISIS DEL DUPLICADO DEL MEMORIA RAM DONDE BUSCAREMOS:
PROCESOS EN EJECUCIN
PROCESOS EN FASE DE TERMINACIN
CONEXIONES ACTIVAS (TCP-UDP)
FICHEROS MAPEADOS (DRIVERS, EJECUTABLES, FICHEROS)
OBJETOS EN CACH (HTML,JAVASCRIPT,PASSWORDS)
ELEMENTOS OCULTOS (ROOTKITS)

Procedemos a instalar Phyton en C:\Python26

Posteriormente cogemos el archivo .rar que contiene el framework volality y lo

descomprimimos en el directorio C:\Python26.
Vamos a copiar el archivo RAM que habamos creado con la aplicacin en el
directorio Python26 (esto no es necesario simplemente habra que indicar la ruta
de donde se encuentra pero por comodidad procederemos a copiarlo

Comandos mas utilizados de volatility

Vamos a ejecutar una lnea de comando que nos va a decir los procesos que estaban
ejecutndose en memoria:
C:\Python26>python volatility pslist -f ram
.
Vamos a listar con la sintaxis :
C:\Python26>python volatility connscan -f ram
Si algn objeto est conectado a otro equipo de forma remota.
...

Mostrar la fecha en la que nuestra imagen fue volcada.

C:\Python26>python volatility datetime -f ram

Ejecutaremos un comando que nos liste la relacin de los procesos con sus libreras.
C:\Python26>python volatility dlllist -f ram
.
Ahora listaremos los ficheros que mantienen abiertos los procesos que haba en
ejecucin.
C:\Python26>python volatility files -f ram
...
Procederemos a mostrar propiedades de la imagen.
C:\Python26>python volatility ident -f ram
...
Con el comando modscan listaremos los mdulos de memoria que ocupan los procesos en
ejecucin.
C:\Python26>python volatility modscan -f RAM

Con la siguiente sintaxis revelaremos que directorios del registro estn en relacin
directa con los procesos que se encontraban en ejecucin.
C:\Python26>python volatility regobjkeys -f RAM

Sysinternals Suite

HTTP://TECHNET.MICROSOFT.COM/ESES/SYSINTERNALS/DEFAULT.ASPX

CONJUNTO DE
HERRAMIENTAS

EJECUTANDO, EL COMANDO AUTORUNS

PODREMOS VISUALIZAR UN SEGMENTO DE
COMANDOS EJECUTADO DENTRO DE UNA SOLA

VENTANA

SYSINTERNALS SUITE
Logon: Escanea y visualiza las aplicaciones que se inician con Windows. Pudiendo
ver sus ubicaciones.
Explorer: Explorador de extensiones shell, objetos de ayuda de navegador, barras
de herramientas del explorador, activa configuracin de las ejecuciones.
Internet Explorer. Muestra las entradas del Browse de Windows, como barra de
herramientas.
Scheduled Tasked. Muestra los procesos programados del sistemas.
Services. Muestra los servicios que se inician automticamente cuando se arranca el
sistema.
Drivers: Muestra en modo kernel los drivers registrados en el sistema menos los
inactivos o inhabilitados

SYSINTERNALS SUITE
Boot Execute. Muestra las ejecuciones que se producen antes del
arranque de Windows
Image Hijacks. Muestra las opciones y comandos que se ejecutan del
autorun.
Known DLLs. Informa la ubicacin de DLLs que Windows carga y las
solicitudes que hagan referencia a ellas.
AppInit DLLs. Muestra los DLL registrados de aplicaciones de auto
inicializacin.
Winlogon. Muesra las notificaciones DLL registrados para el winlogon
y notificaciones de inicio de sesin.
Winsock Providers. Visualiza el registrado de Winsock, protocolos,
proveedores de servicios de Winsock. El Malware a menudo se instala
como un proveedor de servicios Winsock porque hay pocos
instrumentos que pueden eliminarlos.

SYSINTERNALS SUITE
LSA. Muestra los registros de Seguridad Local (LSA) de autenticacin,
notificacin y paquetes de seguridad.
Print Monitor. Muestra los DLLs que carga en el servicio de impresin
spooling. El Malware ha utilizado este apoyo para iniciarse
automticamente.