Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción A La Informática Forense en Entornos Windows PDF
Introducción A La Informática Forense en Entornos Windows PDF
General
Evidencia Digital
Entorno Microsoft
Realizando un anlisis forense nos permitir, entre otras cosas, recuperarnos del
incidente de una manera ms segura y evitaremos en la medida de lo posible que se
repita la misma situacin en cualquiera de nuestras mquinas.
Un buen anlisis forense debe dar respuestas a varias cuestiones, entre las que se
encuentran las siguientes:
Si una vez realizado el anlisis forense no conocemos con exactitud las respuestas a
estas preguntas, no tendremos un anlisis funcional. Esto puede derivar en futuros
ataques, bien por la misma persona, o bien por diferentes medios de intrusin que
desconozcamos.
Evidencia digital
Uno de los pasos a tener en cuenta en toda investigacin, sea la que sea, consiste en la
captura de la/s evidencia/s. Por evidencia entendemos toda informacin que
podamos procesar en un anlisis. Por supuesto que el nico fin del anlisis de la/s
evidencia/s es saber con la mayor exactitud qu fue lo que ocurri.
Bueno, y qu entendemos por evidencia digital? Podemos entender evidencia como:
Algunos de los principios que rige el documento para la recoleccin de evidencias son:
Registros, Cache
Tabla de ruta. ARP Cache, Tabla de Proceso, Ncleo de estadsticas, memoria
Sistema de Archivo temporales
Disco
Datos de monitoreo y Log's remotos relativos al caso
Configuracin fsica, topologa de red
Medio de Archivos
http://rfc.net/rfc3227.html
Estudio Preeliminar
Es el primer paso de cualquier anlisis forense. Nos deben o debemos explicar con la
mayor exactitud posible qu ha ocurrido, qu se llevaron o intentaron llevar y cundo
ocurri.
Tambin tendremos que recoger informacin sobre la organizacin, ya sea
organizacin, casa, etc...
Recogeremos informacin sobre la tipologa de red y de gente directa o indirectamente
implicada.
Tambin podramos recoger informacin sobre el tipo de escenario y el/los sistema/s
afectado/s.
Apagamos el equipo?
Tipo de Herramientas
*Nota.- A diferencia de los dems, este es el nico dato que no podemos especificar
manualmente
C:\Recycler\<USER SID>\INFO2
DC1.Doc
Windows define al registro como una base de datos jerrquica central utilizada en todas
las versiones de Windows, con el fin de almacenar informacin necesaria para
configurar el sistema para uno o varios usuarios, aplicaciones y dispositivos hardware.
El registro contiene informacin que Windows utiliza como referencia constantemente,
como por ejemplo los perfiles de usuario, las aplicaciones instaladas, los parches o
HotFixes instalados, etc... Los archivos del registro de Windows se almacenan en
archivos binarios, es decir, que si abrimos estos ficheros con un editor de texto, como
puede ser notepad, no podremos leerlo.
El registro se puede manipular desde muchos medios, tanto en lnea de comandos como
por la propia interfaz grfica de Windows. Evidentemente la forma ms fcil de
manipular el registro es de forma grfica. Slo tendramos que ejecutar la herramienta
regedit.
El Registro est organizado en una estructura jerrquica compuesta por subrboles con
sus respectivas claves, subclaves y entradas.
Las claves pueden contener subclaves y stas, a su vez, pueden contener otras
subclaves. Generalmente, la mayor parte de la informacin del Registro se almacena en
disco y se considera permanente, aunque en determinadas circunstancias hay datos que
se almacenan en claves llamadas voltiles, las cuales se sobrescriben cada vez que se
inicia el sistema operativo.
Toda informacin relativa al sistema operativo y al PC se encuentra recogida en los
archivos del sistema del registro de Windows, los cuales se localizan en
%systemroot%\system32\config, y atienden a los nombres siguientes:
SECURITY
SOFTWARE
SYSTEM
SAM
DEFAULT
Cada seccin del Registro est asociada a un conjunto de archivos estndar. En la tabla
siguiente se muestran las secciones y archivos asociados a estas secciones:
General
Los ficheros Log de una mquina, sea la que sea, son una fuente de informacin
importantsima en un anlisis forense. Empezaremos con estos ficheros. Los sistemas
Windows basados en NT tienen su principal fuente de Log en los archivos de sistema
siguientes:
EventID
Knowledge base Microsoft
Podremos redirigir la salida del comando a un archivo .txt para poder visualizarlo con el
notepad o con cualquier editor de texto.
** El UserID es diferente para cada mquina y para cada usuario. Este nmero es
creado por Windows y diferencia de forma unvoca a cada usuario.
Sabiendo ms o menos como Internet Explorer indexa sus pginas, y sabiendo la ruta en
donde se encuentran, vamos a ver el contenido de lo que hay en los archivos Index.dat.
Hay bastantes soluciones para hacerlo. Aqu explicaremos dos formas:
Son dos tcnicas muy sencillas y que cualquier persona sin amplios conocimientos
sobre informtica puede realizar.
La segunda opcin que podemos utilizar para visualizar este archivo sera con
aplicaciones de terceros. Por ejemplo Pasco. Esta aplicacin reporta la salida en un
fichero con texto delimitado. Nuestra vista lo agradecer, ya que podremos visualizar
este archivo en cualquier hoja de clculo como Excel, y nos facilitar mucho la tarea a
la hora de husmear. Otra cosa interesante que nos brinda este programa es la opcin
undelete. El modo undelete hace caso omiso a la informacin que hay en la tabla HASH
y reconstruye cualquier dato vlido de actividad. Gracias a esto podremos recuperar
informacin que con otra aplicacin no podramos.
La lnea de comandos que utiliza Pasco es muy sencilla:
Tan solo tendramos que poner este sencillo comando:
Una vez creado index.csv, podremos importar este texto a cualquier hoja de clculo,
como Microsoft Excel por ejemplo.
Un ejemplo de salida con este comando podemos verlo en el siguiente prrafo:
URLindex.datVisited: Silverhack@http://170.110.240.150:8080/AccountUser.wmf
index.datSun Feb 9 22:51:10 2006
Dado que Windows utiliza como referencia toda la informacin que se encuentra en el
registro, un analista forense puede utilizar como referencia esta gran base de datos para
recabar informacin sobre la mquina. En la base de datos de registro que se encuentra
en el sistema Windows, podremos averiguar:
Podemos utilizar varias herramientas para analizar el registro. Algunas de ellas son:
Una vez abierto estos archivos de sistema que referencian al registro de Windows
(SECURITY, SYSTEM, SOFTWARE, SAM, DEFAULT) con alguna de estas
aplicaciones, podremos movernos por sus distintas ramas, y poder as analizar los datos
que contienen estos ficheros.
HKCU\Software\Google\NavClient\1.1\History
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Unread
Mail
Cookies. Estructura, funcionamiento y metodologa de acceso a la informacin
En Internet Explorer existe una cookie por cada direccin de Internet que visitamos, con
la nomenclatura siguiente:
Identificador_Usuario@dominio.txt
Para ver el contenido de una cookie, slo tenemos que editarla con un editor de texto.
Las cookies se almacenan en memoria hasta que salimos del navegador, momento en el
que se escriben en el disco. Para ver las cookies que nos pide un determinado sitio Web
cuando estamos conectados, podremos escribir en la barra de direcciones este simple
comando:
JavaScript:alert(document.cookie);
Acto seguido nos saldr un cuadro de alerta, con el contenido de la cookie que nos pide
el servidor.
Galleta es una herramienta diseada por FoundStone que analiza todas los cookies y
genera un reporte con el detalle de cada una en formato *.csv (Se puede visualizar en
Excel).
El funcionamiento de esta herramienta es bastante sencillo.
Ejemplo:
MSNMSGR:silverhack@elhacker.net MSNSLP/1.0
To: <msnmsgr:silverhack@elhacker.net>
From: <msnmsgr:silverhacker@hotmail.com>
Via: MSNSLP/1.0/TLP; branch= {5B3DFCC7-7BB5-4C2E-9351-5B8033C6A0CF}
CSeq: 0
Call-ID: {43C326E3-6109-4B3D-9E4D-F9AB0C5FF0C}
Max-Forwards: 0
Content-Type: application/x-msnmsgr-sessionreqbody
Content-Length: 219
Introduccin a la informtica forense en entornos Windows (III)
General
La evidencia digital, por su naturaleza, es bastante frgil. sta puede ser alterada,
daada y/o destruida, principalmente por un mal manejo y/o recogida de estos datos.
Por estas razones (intentamos hacer) tanto hincapi en la recogida y manejo de estos
datos. La falta de este principio, puede ocasionar que estas evidencias sean inutilizables
o no vlidas en un proceso judicial, por no decir que podemos llegar a una conclusin
inexacta. Debemos recopilar las evidencias que nos encontremos de tal forma que las
protejamos y mantengamos su fiabilidad.
Una gua para este propsito, podemos encontrarla en esta URL del departamento de
Justicia de EE.UU.
http://www.ncjrs.gov/txtfiles1/nij/187736.txt (Ingls)
El primer paso que vamos a realizar ser una captura de los datos fsicos de la mquina,
es decir, recoger diversos datos como:
PsInfo (SysInternals)
psinfo [[\\computer [, computer [,..] | @file [-u user [-p psswd]]] [-h] [-s] [-d] [-c [-t
delimiter]] [filter]
No necesita ms explicacin.
El segundo paso que vamos a realizar ser recopilar informacin acerca de los servicios
que hay corriendo en la mquina con sus estadsticas. En este punto voy a utilizar el
comando nativo de Windows net y el comando SC.
Con el comando net statistics vamos a recabar informacin acerca de los bytes
recibidos por el sistema, el nmero de inicios de sesin fallidos, las cuentas de uso
fallidas, etc Toda esta informacin la almacenaremos en un archivo de texto con
fecha y hora incluida para su posterior anlisis. El comando resultante podra ser el
siguiente:
Para saber los procesos que tenemos actualmente corriendo en nuestro sistema
utilizaremos la aplicacin nativa de Windows tasklist, o en su defecto pslist
(sysinternals). Tambin utilizaremos la herramienta Fport. Ambas herramientas
(tasklist, pslist) permiten realizar esta operacin en local como en remoto. El comando
resultante quedara:
Tambin vamos a recopilar informacin sobre los servicios que dependen de los
procesos que estn en funcionamiento. Tasklist tambin contempla esta situacin. El
comando sera:
Muchas veces cuando en el sistema hay determinados rootkits, virus o troyanos, ste no
nos muestra una salida coherente, de ah a que siempre que podamos utilicemos
aplicaciones que sean lo menos intrusivas en el sistema. Si somos un poco paranoicos
en ese tema, para ver los puertos abiertos en un sistema podemos utilizar la herramienta
fport. Por regla general, no nos debemos fiar de un sistema en el que haya corriendo este
tipo de virus.
Bsicamente fport nos muestra la misma salida que si ejecutsemos el comando nativo
netstat con el filtro a y n. Tambin puede identificar puertos desconocidos que estn
abiertos, con sus correspondientes procesos y PID. La salida a este comando sera la
siguiente:
C:\>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Tambin podremos ver los procesos que corren en la mquina de forma grfica con la
herramienta de sysinternals ProcessExplorer.exe, la cual nos mucha ms informacin
pero de forma grfica. Una captura de pantalla de la aplicacin:
Tambin podramos recabar informacin sobre los mdulos que cargan estos procesos.
Podemos averiguar por ejemplo qu DLL estn asociadas a un determinado proceso.
As tendremos un control ms exhaustivo sobre los procesos. Para recabar esta
informacin podemos utilizar la herramienta de sysinternals ListDLLS.exe.
Por ejemplo, si quisisemos averiguar qu DLL dependen del proceso con PID 1548
utilizaramos la siguiente sintaxis:
El cuarto paso que vamos a realizar ser una recopilacin de los ltimos accesos a
ficheros, clasificados por fechas. Esta lista nos servir de referencia a la hora de realizar
el anlisis, y podremos comprobar qu ficheros se modificaron en el da o los das en los
que el sistema estuvo comprometido.
Podremos utilizar varias herramientas destinadas a tal fin, pero vamos utilizar slo dos.
En una primera instancia podremos utilizar el comando nativo de Windows DIR, con
algunas reglas para que nos muestre los ficheros modificados conforme a la fecha.
Podramos utilizar el siguiente comando:
Como siempre ponindole la fecha al final para saber cundo tomamos esa prueba.
En varias ocasiones esta lista puede ser largusima y el fichero puede ocuparnos unos
cuantos megas. La herramienta que vamos a describir a continuacin puede ayudarnos a
buscar archivos en fechas concretas. La herramienta en s se llama MacMatch.exe. sta
herramienta bsicamente buscar ficheros modificados en un intervalo de tiempo, que
lgicamente se lo daremos nosotros.
Una captura de imagen con la sintaxis:
Para utilizar estas herramientas es necesario verificar que estn activados los controles
de auditoria.
Para realizar estas operaciones vamos a utilizar tres aplicaciones. Una aplicacin
llamada netusers, otra llamada ntlast y una aplicacin llamada psloggedon.
Con netusers podremos comprobar los usuarios que estn conectados actualmente a una
mquina remota o local. Su sintaxis es la siguiente:
Para ver los usuarios que actualmente estn conectados a la mquina local tan solo
tendramos que poner el comando:
Otra aplicacin que nos sirve para el mismo propsito es PsLoggedOn. Esta herramienta
la podemos utilizar tanto en local como en remoto, y la salida que nos muestra por
defecto es la siguiente:
En una primera instancia vamos a sacar un fichero con los ltimos 100 inicios de sesin
exitosos, incluidas las sesiones nulas en caso de que el sistema no tuviese parcheada
esta opcin. El comando resultante sera:
Ahora vamos a sacar un listado con los ltimos 100 inicios de sesin fallidos. El
comando resultante sera:
Puede que tambin queramos sacar un listado con los ltimos 100 inicios de sesin
remotos. El comando resultante sera:
NtLast es una aplicacin que puede dar mucho juego a la hora de sacar listados. Adems
de todo esto, que ya es mucho, podremos sacar todo esto pero referente a un solo
usuario, por si tuvisemos alguna pista y tuvisemos que estrechar el cerco.
Por poner algn ejemplo, y si en la empresa X tuvisemos sospechas de que el usuario
Silverhack est cometiendo actividades impropias o no encomendadas, podramos hacer
lo siguiente:
Con este comando lo que obtenemos es una lista con los ltimos 100 inicios de sesin
remotos del usuario Silverhack.
Desde el propio visor de sucesos (eventvwr.exe) tambin podemos hacer esto mismo,
aplicando un filtro al archivo. Por ejemplo, si quisisemos mirar quin inici sesin de
forma exitosa en los ltimos 100 das, podramos poner:
Analizando una pantalla azul (BSOD)
Cuando Windows encuentra una sentencia que pueda llegar a comprometer el sistema,
ste se para. Esta sentencia se llama KeBugCheckEx. Esta llamada al sistema la
podramos llamar fallo de sistema, error de kernel, STOP, etc.. , y toma 5 argumentos:
Cdigo de STOP
Si hemos configurado nuestro sistema para que nos vuelque el contenido de la memoria,
ste nos generar un archivo para su posterior anlisis. Estos archivos se dividen en:
Una vez dentro nos dirigiremos a la pestaa Configuracin, y una vez dentro, en la
parte de Inicio y Recuperacin pulsaremos Configuracin
Como podris ver en la imagen, hemos configurado nuestro Windows de prueba, para
que NO reinicie cuando muestre una pantalla de STOP, as podremos ver la pantalla
azul en todo su esplendor, y aparte le decimos que cuando muestre una pantalla de error,
nos vuelque el contenido completo de la memoria, para que podamos debugearlo, y as
practicar!
Y para poder practicar, qu mejor que una maquina virtual no? Podemos instalar una
mquina virtual desde 0, o descargarnos una de las muchas imgenes para Virtual PC
que podemos encontrar en Microsoft. En cuestin yo utilizar esta:
http://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-
B5F1-73D0A413C8EF&displaylang=en
En este blog tambin hay puestas algunas imgenes en descarga directa con algunas
plataformas servidoras, por si queris descargarlas tambin. Y gratis!!
http://windowstips.wordpress.com/2007/01/18/practica-practica/
Como no queremos esperar a tener un BSOD para practicar, Mr. Mark Russinovich,
autor de grandes herramientas, principal fundador de la Web Sysinternals y fichado por
Microsoft, se ha codeado una herramienta muy chula para que podamos practicar. La
herramienta en cuestin se llama NotMyFault.
Esta herramienta nos ayudar a crear los tpicos escenarios que nos podemos encontrar
en nuestro trabajo. Esta herramienta carga un driver llamado MyFault.sys, y este es el
que va a implementar las diferentes BSOD que nos podemos encontrar.
http://download.sysinternals.com/Files/Notmyfault.zip
http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
Jos Manuel Tella Llop, MVP de Windows, escribi un artculo en su da sobre cmo
debamos comportarnos ante una pantalla azul. El artculo original lo podis encontrar
aqu y nos servir de gua en todo momento:
http://multingles.net/docs/jmt/bsod.htm
En el artculo de Tella viene cmo instalar tanto las herramientas de debugeo como los
smbolos necesarios para poder analizar un volcado de memoria, as como un casque
real, a modo de ejemplo, en el que nos muestra la sencillez con la que se saca un error.
A partir de aqu asumiremos que tienes instalado WinDbg y tienes configurado
correctamente el path de smbolos.
Manos a la obra! Abrimos nuestra mquina virtual, iniciamos nuestro Windows,
ejecutamos NotMyFault.exe y pulsaremos la primera opcin que viene en el Interface.
High IRQL fault (kernel mode). Acto seguido pulsamos en Do Bug.
Causa: Un driver que ha intentado acceder a memoria paginable mientras haba una
interrupcin, o incluso intent acceder a memoria invlida o no presente.
Como podemos ver en el pantallazo azul, ste nos muestra varias cosas que tenemos que
tener en cuenta en un primer momento:
El debugeador nos dice que casi con toda seguridad es una corrupcin de memoria. El
cdigo del BugCheck es D1 (DRIVER_IRQL_..)
Microsoft tiene registrado ms de 150 posibles cdigos de error. Todos ellos podemos
encontrarlo en la ayuda de la misma aplicacin. Ms concretamente en:Debuggin tools
for Windows-->Debuggin Techniques-->Blue Screen-->Bug Check Code Reference
El proceso NotMyFault.exe hace una serie de llamadas, hasta que una pone en peligro la
estabilidad del sistema. En nuestro caso es:
f3eb4c58 80579a8a 841d8f18 8428cc98 842b6ad0 myfault+0403
Una vez que realiza la llamada, el sistema nos avisa de que la pila posiblemente est
corrompida y que los frames pueden estar corruptos.
Con lo que tendramos que llamar a esa IRP para que nos muestre el contenido de esa
IRP.
Tambin podremos ver los procesos que actualmente corran en esa mquina antes del
casque, con el comando !process 0 0. La salida es parecida a esta:
En este caso vamos a utilizar de nuevo la aplicacin NotMyFault. En este caso vamos a
marcar el apartado Stack Trash y pulsamos en Do Bug, con lo que nos debera de salir
el siguiente BSOD.
Sabemos por la misma ayuda que nos brinda el debuggeador, que el cdigo de STOP
(0X0000008E) se corresponde al error
KERNEL_MODE_EXCEPTION_NOT_HANDLED, y que la primera direccin que
nos muestra el error (0XC0000005), se corresponde a
STATUS_ACCESS_VIOLATION. La misma ayuda nos dice que ha habido una
violacin en el acceso a memoria. Y todo esto con slo mirar la ayuda!
Nos dice que es un error de tipo 8E y que la causa probable es una corrupcin de
memoria. Toca analizar con el comando !analyze v
Analizando con este comando, vemos que la salida ya nos va mostrando otras cositas
interesantes:
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en 0x%08lx
hace referencia a la memoria en 0x%08lx. La memoria no se puede
%s. FAULTING_IP: +0 00000000 ?? ??? TRAP_FRAME: f3c61b8c (.trap
fffffffff3c61b8c) ErrCode = 00000000 eax=00000120 ebx=841c53c8
ecx=83360010 edx=83360010 esi=841c53c8 edi=00000000 eip=00000000
esp=f3c61c00 ebp=f3c61c58 iopl=0 nv up ei ng nz na pe nc cs=0008
ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010286 0008:00000000 ??
???Resetting default scope DEFAULT_BUCKET_ID: CODE_CORRUPTION
BUGCHECK_STR: 08E PROCESS_NAME: NotMyfault.exe
Nos dice que la causa del cuelgue se podra dar por haber utilizado la aplicacin
NotMyFault.exe. Pero nuevamente tampoco nos dice nada del driver. Podemos utilizar
el comando !thread, para que nos muestre el subproceso que logr colgar a nuestro
sistema. Llamando a este comando conseguimos ms informacin, como por ejemplo
las llamadas que realiz la aplicacin al sistema, as como tambin nos muestra la IRP:
Llamando al comando !irp <IRP>, este nos muestra el driver que nos faltaba por
descubrir:
!peb.- Vlido para comprobar por ejemplo el nombre de equipo, path de instalacin,
nmero de procesadores, ruta de instalacin, etc
Tienes las herramientas para poder hacerlo, y ya sabes cmo enfocar un problema de
estas caractersticas. Lo nico que te queda es practicar!
Limitaciones de un ADS
Por defecto cualquier usuario del sistema puede usar esta caracterstica. Tan slo se
limita a aquellos ficheros en los que tengamos permiso de escritura. Es decir, un
Administrador, podr aadir un ADS en prcticamente todos los ficheros del sistema,
mientras que un usuario se limitar slo a los ficheros y directorios en donde tenga
acceso de escritura (Por defecto su perfil).
Por defecto ADS slo est limitado a volmenes NTFS como hemos visto. A travs de
red local (LAN) podremos mandar ficheros con ADS, siempre y cuando los volmenes
intermedios tengan el sistema de archivos NTFS.
La limitacin terica es mandar un ADS a travs de Internet. Tericamente no podemos
mandar un fichero con ADS (sea malicioso o no), ya que nuestro cliente de correo, el
medio (Internet) y el destinatario, slo mandara el stream con los datos, sin procesar los
dems. A lo largo de este documento podremos ver que en la prctica y bajo una serie
de factores, se podra mandar ADS ocultos en un fichero.
Microsoft no tiene de forma directa ninguna aplicacin para el escaneo ADS. De forma
indirecta tenemos dos opciones:
Esta librera, aade un nuevo Tab a las propiedades del Explorer, que nos permitir ver
los posibles Streams que pueda tener un archivo, directorio o unidad.
Para aadir un Tab a las propiedades de Explorer descargamos de Microsoft el siguiente
cdigo fuente:
NtfSext.exe
Dentro nos encontramos con algunos ejemplos de creacin de Streams. El fichero que
nos interesar es la librera compilada StrmExt.dll (Se adjunta cdigo fuente de la
librera).
Regsvr32.exe StrmExt.dll
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{C3ED1679-
814B-4DA9-AB00-1CAC71F5E337}]
[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{C3ED1679-
814B-4DA9-AB00-1CAC71F5E337}]
-------------------No copies esta lnea----------------------------
Guarda este fichero como AddTabStream.reg. Clickea dos veces en el archivo que has
creado y aadir las entradas al registro necesarias para aadir el Tab en el explorer.
Para un directorio:
Para una unidad:
Escaneo de ADS
IMAGEN
Lads C:\ /S
Hemos explicado antes, que si creamos un archivo con ms de un stream de datos (sea
malicioso o no), ste slo ser soportado por un sistema que utilice el sistema de
archivos NTFS, lo que lo limita slo a ese campo. No podramos guardarlo en un
pendrive, mandarlo por mail, colgarlo en una Web para su descarga, etc...