Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INCIBE Toma Evidencias Analisis Forense PDF
INCIBE Toma Evidencias Analisis Forense PDF
Esta guía ha sido elaborada con la colaboración de Daniel Fírvida Pereira y Jesús Díaz Vico.
Noviembre 2014
La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo una licencia Reconocimiento-No
comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar públicamente esta obra
bajo las condiciones siguientes:
• Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INCIBE o CERTSI como a su sitio web: http://www.incibe.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INCIBE presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su
uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones
puede no aplicarse si se obtiene el permiso de CERTSI como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
1 SOBRE LA GUÍA 6
1.1. Notaciones utilizadas 6
2 INTRODUCCIÓN AL ANÁLISIS FORENSE 7
2.1. Principio de Locard 7
2.2. Tipos de análisis forense 8
2.3. Características 9
2.4. Fases 9
2.5. Metodologías y guías 11
3 TIPOLOGÍAS DE UN INCIDENTE 13
4 DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU ALMACENAMIENTO 16
4.1. Principios durante la recolección de evidencias 16
4.1.1. Orden de volatilidad 16
4.1.2. Acciones que deben evitarse 17
4.1.3. Consideraciones de privacidad 17
4.1.4. Consideraciones legales 17
4.2. Procedimiento de recolección 17
4.2.1. Reproducible 17
4.2.2. Pasos 17
4.3. Procedimiento de almacenamiento 18
4.3.1. Cadena de custodia 18
4.3.2. Dónde y cómo almacenarlo 18
4.4. Herramientas necesarias 18
4.5. Conclusiones 19
5 TOMA DE EVIDENCIAS 20
5.1. Consideraciones previas 20
5.2. Inicio del proceso 21
5.3. Información volátil 22
5.3.1. Hora y fecha del sistema 23
5.3.2. Volcado de memoria 23
5.3.3. Información de red: estado, conexiones activas, puertos UDP y
TCP abiertos 29
Evidencia
Sospechosos Víctima
1
http://www.ietf.org/rfc/rfc3227.txt
2
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html
3
https://www.ncjrs.gov/pdffiles1/nij/187736.pdf
4
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
5
http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0051414&PDF=Si#.UmTshXC8B
5H
6
http://www.iso.org/iso/catalogue_detail?csnumber=44381
Atendiendo a aquellos a los que con mayor probabilidad se va a enfrentar el público objetivo
de esta guía, y teniendo en cuenta que algunos de ellos pueden tener relación entre sí, se
pueden identificar los siguientes:
• Robo de información: El robo de información privada es una las preocupaciones
mayores tanto para usuarios como para empresas. Existen multitud de prácticas que
permiten el robo de información como por ejemplo la monitorización del tráfico de red
mediante un sniffer, la intercepción de emails o simplemente mediante la inserción de
un pendrive y la copia información privada, etc. Dicha información se utiliza
principalmente para obtener un beneficio económico, si bien en algunos casos se usa
únicamente para dañar la imagen del afectado.
• Fraude: Existen multitud de ejemplos de fraudes a través de Internet, entre los que
destacan:
Falsas ofertas de empleo 7.
7
http://www.osi.es/es/actualidad/blog/2013/05/07/fraudes-online-iv-ofertas-falsas-de-trabajo
8
http://www.osi.es/es/actualidad/blog/2013/06/28/fraudes-online-vi-has-ganado-un-premio
9
http://www.osi.es/es/actualidad/blog/2013/12/13/los-5-fraudes-navidenos-mas-tipicos-que-no-te-enganen
10
http://www.osi.es/es/actualidad/blog/2013/02/15/identificando-banners-enganosos
11
http://www.av-test.org/en/statistics/malware/
12
http://www.scmagazine.com/the-state-of-malware-2013/slideshow/1255/#3
13
http://www.scmagazine.com/the-state-of-malware-2013/slideshow/1255/#5
14
http://www.rtve.es/noticias/20131105/cibercrimen-generado-perdidas-87000-millones-euros-ultimo-
ano/784565.shtml
15
http://www.securelist.com/en/analysis/204792312/IT_Threat_Evolution_Q3_2013#14
16
http://www.mcafee.com/au/resources/reports/rp-quarterly-threat-q1-2013.pdf
17
http://www.threattracksecurity.com/documents/malware-analysts-study.pdf
18
http://www.incibe.es/file/p9cSCisIwwtRK6a0e7iZKg
19
https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
20
http://www.policia.es/bit/index.htm
21
http://www.ietf.org/rfc/rfc3227.txt
A continuación, se indican una serie de kits especializados en este tipo de tareas, aunque lo
más recomendable es crearse uno de acuerdo a las necesidades de cada uno.
Tabla 1: Listado de kits open source de utilidades de análisis forense.
Nombre URL
Caine http://www.caine-live.net
Se debe comparar la fecha obtenida con el tiempo universal coordinado (UTC), estándar de
tiempo por el cual se regula la hora nivel mundial, para determinar si la fecha establecida en
el sistema es correcta o no, y que desviación existe.
También hay que tener presente que los sistemas FAT almacenan los valores de tiempo en
base al tiempo local del ordenador, mientras que los sistemas NTFS los almacenan en formato
UTC. Esto significa que mientras que los NTFS no se ven afectados por los cambios en la
zona horaria o el horario de verano, los FAT tendrán distinto valor si se visualizan en una
región u otra con diferente franja horaria, o en verano con respecto a invierno.
Así mismo, una vez finalizado el proceso se deberá ejecutar la misma instrucción cambiando
el fichero de destino a FechaYHoraFin.txt.
5.3.2. Volcado de memoria
El volcado de memoria es uno de los aspectos más importantes y críticos de la fase de
adquisición. Como se ha indicado anteriormente, en la memoria se almacenan evidencias
significativas como las conexiones establecidas, los procesos en ejecución, contraseñas de
volúmenes cifrados, etc. Realizar un correcto volcado de memoria puede suponer la diferencia
entre la resolución del incidente o no. Debido a ello se debe ser muy cuidadoso durante el
proceso.
A la hora de obtener la memoria se deben tener en cuenta 2 tipos de memoria: la memoria
física y la memoria virtual. La memoria física corresponde a la memoria real del sistema
mientras que la memoria virtual corresponde normalmente al fichero de paginación
pagefile.sys. Como se ha indicado anteriormente la memoria virtual permite optimizar el uso
de la memoria RAM ya que el sistema operativo envía ahí temporalmente la información que
no sea necesaria en ese momento para los procesos en ejecución y posteriormente la
recupera en el caso de alguno se la solicite.
Ilustración 3: DumpIt
Volatility https://code.google.com/p/volatility
Memoryze http://www.mandiant.com/resources/download/memoryze
MDD http://sourceforge.net/projects/mdd/
Otra manera de obtener la memoria física es mediante un “crash dump”, el cual corresponde
a un fallo del que el sistema no puede recuperarse. Cuando se produce este tipo de fallos se
genera un fichero, que puede ser un minidump (volcado parcial de la memoria física) o, en el
caso de configurarlo 23, un volcado completo de la memoria física
(%SystemRoot%\Memory.dmp), y que posteriormente pueden ser analizados mediante la
herramienta correspondiente. Este tipo de fallos pueden ser provocados mediante
herramientas como NotMyFault 24 o quitando directamente el cable de corriente del
22
http://www.moonsols.com
23
http://blogs.technet.com/b/plataformas/archive/2008/08/22/como-configurar-mi-m-quina-para-obtener-un-
dump-de-memoria.aspx
24
http://download.sysinternals.com/files/NotMyFault.zip
dumpchk.exe Memory.dmp
En el caso de que la integridad del fichero esté afectada mostrará un mensaje de error y en el
caso de que la integridad del fichero sea correcta mostrará el mensaje: “Finished dump check”.
Puede darse el caso de que por diferentes motivos, como que no se tenga acceso físico al
equipo al que se va a realizar la toma de evidencias, sea necesario realizar el proceso de
manera remota. Para ello es posible utilizar de alguna herramienta como psexec 26 gracias a
la cual se puede realizar dicho proceso de una manera eficaz y sin necesidad de instalar
ningún componente en el equipo remoto.
Una vez obtenida la imagen correspondiente al volcado de memoria física es necesario
obtener un hash de la misma que será anotado en la documentación de la cadena de custodia
para asegurar que dicha imagen no sea modificada a posteriori y garantizar la integridad de
la misma. Un hash es un valor que identifica datos de forma “unívoca”. Existen distintos tipos
de hashes: MD5, SHA-1, SHA-2, etc.
El uso del hash MD5, pese al alto grado de utilización, presenta el problema de que
pueden surgir colisiones, es decir, puede darse el caso de que ficheros diferentes
tengan el mismo MD5, por lo que puede quedar en entredicho la validez de las
pruebas. Es por ello que es recomendable que vaya cayendo en desuso.
Un caso similar, aunque no igual, es el del SHA-1 por lo que se aconseja que se
busquen otras alternativas como SHA-256, SHA-512, etc.
Hay un gran número de herramientas como por ejemplo HashMyFiles 27, MD5deep28 o
HashCalc 29 a través de las cuales se pueden obtener los distintos hashes de un fichero. Un
ejemplo de uso del programa HashMyFiles es la Ilustración 4
25
http://technet.microsoft.com/es-es/library/ee424340%28v=ws.10%29.aspx
26
http://technet.microsoft.com/es-es/sysinternals/bb897553.aspx
27
http://www.nirsoft.net/utils/hash_my_files.html
28
http://md5deep.sourceforge.net
29
http://www.slavasoft.com/hashcalc/
También puede resultar de gran interés para el análisis forense la obtención de la memoria
virtual, por lo que es recomendable adquirir el fichero pagefile.sys siempre que sea posible.
Para ello se puede utilizar alguna herramienta especializada como NTFSCopy 30 o bien, sería
necesario apagar el ordenador, extraer el disco duro y conectarlo en otro ordenador para que
dicho fichero no esté en uso y poder así copiarlo, corriendo el riesgo de que si el sistema tiene
configurada la opción de borrar el archivo de paginación de la memoria virtual al apagar el
equipo, perdamos la información.
En el caso de realizar la adquisición del fichero de paginación con la herramienta indicada,
tan sólo es necesario ejecutar el programa desde una consola del intérprete de comandos.
Un ejemplo de utilización es la siguiente instrucción:
Se indica a la herramienta que realice una copia de fichero de paginación pagefile.sys ubicado
en C: y que la almacene en la unidad G:,añadiéndole el MD5 al nombre.
AccessData FTK
http://www.accessdata.com
Imager
Hobocopy https://github.com/candera/hobocopy
ShadowCopy http://www.runtime.org/shadow-copy.htm
30
https://tzworks.net/prototype_page.php?proto_id=9
Este mismo caso se aplica al fichero de hibernación (hiberfil.sys), el cual almacena una
imagen exacta del ordenador justo antes de que hiberne con el fin de poder restaurar dicha
imagen cuando se abandone el estado de hibernación. En el caso de que la hibernación no
esté configurada por defecto, es posible hacerlo mediante la utilidad Powercfg 31 y
posteriormente forzar el estado con la utilidad PsShutdown32 o desde Inicio – Apagar -
Hibernar.
En ocasiones puede que no sea necesario, por el tipo de incidente, volcar toda la memoria,
sino que con obtener cierto tipo de información será suficiente. A continuación se indican
algunas evidencias significativas que puede ser necesario recopilar en incidentes concretos.
5.3.2.1. Procesos en ejecución.
Para obtener el listado de procesos en ejecución se puede utilizar la utilidad tasklist.
Para ello, se debe escribir la siguiente instrucción:
31
http://technet.microsoft.com/es-es/library/cc748940(v=ws.10).aspx
32
http://technet.microsoft.com/en-us/sysinternals/bb897541.aspx
Volatility https://code.google.com/p/volatility
CurrProcess http://www.nirsoft.net/utils/cprocess.html
33
http://ntsecurity.nu/toolbox/pmdump/
34
http://www.trapkit.de/research/forensic/pd/
Volatility https://code.google.com/p/volatility
Con la misma herramienta, se pueden saber los usuarios que alguna vez se han iniciado
sesión en la máquina y cuándo fue la última vez que lo hicieron. Para ello se debe escribir la
siguiente instrucción:
Psloggedon http://technet.microsoft.com/es-es/sysinternals/bb897545.aspx
LogonSessions http://technet.microsoft.com/es-es/sysinternals/bb896769.aspx
35
http://www.systemtools.com/cgi-bin/download.pl?NetUsers
O bien,
36
http://ntsecurity.nu/toolbox/promiscdetect/
Fport http://www.mcafee.com/es/downloads/free-tools/fport.aspx
tshark –w "CapturaRed-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.pcap"
O bien,
dumpcap –w "CapturaRed-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.pcap"
Tcpdump http://www.tcpdump.org
Wireshark http://www.wireshark.org
Netsleuth http://www.netgrab.co.uk
Windump http://www.winpcap.org/windump
NetWitness http://www.emc.com/security/rsa-netwitness.htm
37
http://www.wireshark.org/docs/man-pages/tshark.html
38
http://www.wireshark.org/docs/man-pages/dumpcap.html
Información de configuración
HKEY_LOCAL_MACHINE HKML específica del equipo (para cualquier
usuario).
Para exportarlas se deben ejecutar las siguientes instrucciones (Estructura: reg export
Clave\Subclave fichero):
RegRipper https://code.google.com/p/regripper
RegFileExport http://www.nirsoft.net/utils/registry_file_offline_export.html
Forensic Registry
https://www.pinguin.lu/index.php
EDitor (fred)
Puede darse el caso de que no sea necesario, por el tipo de incidente, exportar todo el registro,
sino que con ciertas claves sea suficiente. A continuación se indican algunas evidencias
significativas del registro que puede ser necesario recopilar en incidentes concretos.
5.3.4.1. Dispositivos USB conectados.
Con cada conexión de un nuevo dispositivo USB al equipo se crea su correspondiente entrada
de registro en la que se almacena información del mismo, como el fabricante o un número
único identificativo. Es por ello que puede resultar relevante exportar las entradas de registro
que se indican a continuación, en el caso de que el incidente lo requiera. Para ello se deben
ejecutar las siguientes instrucciones:
Así mismo, setupapi.log (Windows XP) o setupapi.dev.log (a partir de Windows Vista) ubicado
en la carpeta %WinDir% y %WinDir%\inf contiene información relativa a los dispositivos
instalados y almacena registros tales como el nombre del dispositivo, el número de serie, la
fecha correspondiente a la primera vez que se conectó al equipo, etc.
Un caso práctico corresponde a una empresa en la que estaba establecida una directiva para
prohibir el uso de pendrives propios por parte de los trabajadores por temas de seguridad. Un
equipo de la empresa, sin acceso a la red local ni a Internet, se infectó con un malware y
mediante el análisis de dicha entrada se observó la Ilustración 15:
reg export
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces"
"ListadoRedesWifi-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Parameters\I
nterfaces" "ConfiguraciónRedesWifi-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
Otra opción sería exportar los propios perfiles mediante la siguiente instrucción:
Un caso práctico corresponde a un usuario que se sospechaba que había realizado una
intrusión desde su portátil con Windows XP a una red inalámbrica por lo que se realizó una
exportación de la entrada de registro anteriormente indicada.
El posterior análisis de dicha entrada reveló que el usuario sí que se había conectado a la red
con SSID (Service Set IDentifier) “CIBER NOMBRE FICTICIO”, como se puede observar en
la Ilustración 16.
WirelessNetConsole http://www.nirsoft.net/utils/wireless_net_console.html
En Windows 7/8:
reg export
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Param
eters\FirewallPolicy" "HKLM-FirewallPolicy-
%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
Un caso práctico corresponde a un equipo en el que había ocurrido una fuga de información
correspondiente a datos bancarios del propietario del mismo y tras analizar dicha entrada de
registró se constató que en el firewall había establecida una excepción para que el programa
dfsdasdcxz.exe pudiera conectar con el exterior, como se puede observar en la Ilustración 17.
Tras una investigación posterior del propio fichero se determinó que era un malware que tenía
funciones de keylogger y que enviaba la información recopilada a un servidor externo.
5.3.4.5. Programas que se ejecutan al iniciar el sistema operativo.
Las principales entradas de registro donde se almacenan el listado de programas que se
ejecutan al iniciar el sistema operativo son las siguientes:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
reg export
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Sh
ell Folders" "HKCU-ShellFolders-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Us
er Shell Folders" "HKCU-UserShellFolders-
%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" "HKCU-
Run-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
"HKCU-RunOnce-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export "HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows" "HKCU-Windows-
%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\S
hell Folders" "HKLM-ShellFolders-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\U
ser Shell Folders" "HKLM-UserShellFolders-
%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\E
xplorer" "HKLM-Explorer-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
"HKLM-Run-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
"HKLM-RunOnce-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session
Manager" "HKLM-SessionManager-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
Autoruns http://technet.microsoft.com/es-es/sysinternals/bb963902.aspx
WhatInStartup http://www.nirsoft.net/utils/what_run_in_startup.html
@echo off
for %%t in (batfile cmdfile comfile exefile htafile https JSEfile
piffile regfile scrfile txtfile VBSfile WSFFile) do (
reg export "HKEY_CLASSES_ROOT\%%t\shell\open\command" "HKCR-%%t-
%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
)
for %%t in (batfile comfile exefile piffile) do (
reg export "HKEY_LOCAL_MACHINE\software\Classes\%%t\shell\open\command"
"HKLM-%%t-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
)
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\B
rowser Helper Objects" "BHOs-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
Un caso práctico corresponde a un equipo que se sospechaba que estaba infectado ya que
mostraba constantes ventanas de publicidad por lo que se realizó una exportación de dicha
clave de registro, como se puede observar en la Ilustración 20.
reg export
"HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache"
"MUICache-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"
Windows 7/8
reg export
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVi
sitedMRU" "LastVisitedMRU-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
Windows 7/8
reg export
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVi
sitedPidlMRU" "LastVisitedPidIMRU-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
5.3.4.11. OpenSaveMRU
La entrada de registro OpenSaveMRU contiene el listado de ficheros abiertos o guardados
desde la ventana correspondiente al cuadro de diálogo que utilizan la mayor parte de las
aplicaciones, como se observa en la Ilustración 22.
reg export
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSa
reg export
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSa
vePidlMRU" "OpenSavePidlMRU-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs"
"RecentDocs-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
reg export
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall"
"SoftwareInstalado-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.reg"
5.3.5. Contraseñas
En ciertos incidentes puede resultar muy útil conocer los diferentes nombres de usuario y
contraseñas almacenadas en el equipo, así que es recomendable su recopilación siempre y
cuando se haya obtenido previamente una autorización expresa, y se traten de acuerdo a la
legislación vigente sobre protección de datos.
Existen multitud de contraseñas que pueden estar almacenadas en el equipo, de diferentes
servicios como correo electrónico, banca online, servicios de compra-venta, etc. y un gran
número de programas para recopilarlas. A continuación se indican una selección de los más
habituales:
• Mail PassView 41: Recopila las contraseñas de los principales gestores de correo.
Windows 7/8
Dicho fichero corresponde a una base de datos en formato SQLITE que puede ser visualizada
mediante diferentes utilidades como SQLite Database Browser 42. En el propio directorio es
posible localizar diferentes ficheros que almacenan información como los marcadores o el
historial, entre otros, por lo que puede resultar interesante realizar una copia completa del
mismo dependiendo del incidente.
• En el caso de Mozilla Firefox se debe copiar el fichero formhistory.sqlite mediante el
siguiente comando:
Windows XP
39
http://www.nirsoft.net/utils/web_browser_password.html
40
http://www.nirsoft.net/utils/network_password_recovery.html
41
http://www.nirsoft.net/utils/mailpv.html
42
http://sourceforge.net/projects/sqlitebrowser/
Windows 7/8
copy %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\
<random>.default\formhistory.sqlite formhistory.sqlite
Donde <random> es el nombre aleatorio que asigna Firefox a la carpeta del usuario. Para
conocerlo previamente será necesario listar el contenido del directorio Profiles. Al igual que
en otros navegadores, en la ruta del perfil del usuario se almacena otro tipo de información.
• En el caso de Internet Explorer es posible utilizar la herramienta IECacheView 43. Para
ello, basta con utilizar la siguiente instrucción:
43
http://www.nirsoft.net/utils/ie_cache_viewer.html
MacMatch http://ntsecurity.nu/toolbox/macmatch/
Screenshot-cmd -o "Screenshot-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%%time:~6,2%.png"
44
https://code.google.com/p/screenshot-cmd/
45
http://www.nirsoft.net/utils/inside_clipboard.html
IEHistoryView http://www.nirsoft.net/utils/iehv.html
MozillaHistoryView http://www.nirsoft.net/utils/mozilla_history_view.html
ChromeHistoryView http://www.nirsoft.net/utils/chrome_history_view.html
Pasco http://www.mcafee.com/es/downloads/free-tools/pasco.aspx
Un caso práctico corresponde a un equipo infectado por malware. Tras exportar y analizar el
historial se observó la Ilustración 24:
46
http://www.nirsoft.net/utils/browsing_history_view.html
5.3.13. Cookies
Las cookies son pequeños ficheros de texto que permiten, entre otras cosas, mantener la
sesión iniciada en un sitio web, realizar un seguimiento de la misma, almacenar las
preferencias de visualización, etc. A partir de ellas se puede obtener cierta información que
puede ser relevante en un proceso forense como direcciones de páginas web, nombres de
usuario, fechas, etc. Por este motivo, puede resultar de interés obtenerlas para poder
analizarlas en el caso de que sea necesario.
Existen diferentes utilidades dependiendo del navegador para poder visualizar de una manera
sencilla las cookies. Entre todas ellas, destacan ChromeCookiesView 48,
MozillaCookiesView 49 y IECookiesView 50. Su funcionamiento es similar:
Galleta http://www.mcafee.com/es/downloads/free-tools/galleta.aspx
47
http://www.nirsoft.net/utils/my_last_search.html
48
http://www.nirsoft.net/utils/chrome_cookies_view.html
49
http://www.nirsoft.net/utils/mzcv.html
50
http://www.nirsoft.net/utils/iecookies.html
51
http://info.magnetforensics.com/encrypted-disk-detector/
En Windows 7/8
ftkimager.exe –list-drives
52
http://www.accessdata.com/support/product-downloads
Clonezilla http://clonezilla.org
OSFClone http://www.osforensics.com/tools/create-disk-images.html
• Crear una copia bit stream de disco a disco: es el método utilizado en el caso de que
no sea posible realizar una copia bit stream de disco a imagen.
Del mismo modo que el método anterior se puede realizar tantas copias como discos
dispongamos. La realización de un clonado mediante un dispositivo hardware conlleva
una mayor fiabilidad y rapidez. Sin embargo, como se ha indicado anteriormente, en esta
guía se ha optado por la utilización de software libre y gratuito con el fin de que dicha tarea
no suponga un sobrecoste en lo que a licencias se refiere.
Para crear una copia bit stream de disco a disco se puede utilizar alguna utilidad como
Clonezilla 53. Para ello tan sólo es necesario arrancar el equipo con la utilidad y seguir los
pasos que indican.
DC3DD http://sourceforge.net/projects/dc3dd/
OSFClone http://www.osforensics.com/tools/create-disk-images.html
FOG http://sourceforge.net/projects/freeghost/
AIR - Automated
http://sourceforge.net/projects/air-imager/
Image and Restore
Cuando se trata de crear una copia bit stream de disco a imagen o de disco a disco, en los
discos duros de estado sólido (SSD) Solid State Drive, hay que tener en cuenta lo siguiente:
Los discos SSD no funcionan de igual de modo que los discos magnéticos. Además, los
fabricantes implementaron el comando TRIM gracias al cual se prolonga la vida útil de los
SSD e impide la degradación de su rendimiento. Dicho comando permite informar qué
celdas ya no están en uso al controlador, el cual a su vez, notifica al recolector de basura
53
http://clonezilla.org
• Creación de una copia de datos dispersos de una carpeta o archivo: es decir, realizar
una copia selectiva: ya que en muchas ocasiones dependiendo del tipo de incidente puede
no ser necesario volcar todo el disco y sea suficiente copiar ciertas carpetas o ficheros.
Para ello basta con utilizar alguna herramienta como Teracopy 54. Un ejemplo de
utilización es el siguiente:
Robocopy http://technet.microsoft.com/es-
es/library/cc733145(v=ws.10).aspx
ForensicCopy http://sandersonforensics.com/forum/content.php?121-
ForensicCopy
54
http://codesector.com/teracopy
MBRutil /S="MBR-%date:~6,4%%date:~3,2%%date:~0,2%-
%time:~0,2%%time:~3,2%.dat"
Así mismo, es posible realizar el proceso con las herramientas anteriormente mencionadas
DC3DD y dd.
55
http://www.symantec.com/business/support/index?page=content&id=TECH93277
56
https://tzworks.net/prototype_page.php?proto_id=12
Un caso práctico corresponde a un equipo que se sospechaba que estaba infectado por lo
que, entre mucha otra información, se obtuvo el listado de tareas programadas. Tras
analizarlas se concluyó que el malware había creado una tarea programada para lanzar un
componente adicional que realizaba ciertas acciones en el equipo infectado.
5.4.6. Ficheros impresos
Es posible recuperar los ficheros enviados a imprimir en el caso de que se haya marcado la
opción de “Conservar los documentos después de su impresión” en las propiedades de la
impresora, ya que Windows crea ficheros de almacenamiento intermedio con extensión *.SPL
(metadatos: propietario, método de impresión, etc) y *.SHD (datos a imprimir) en la carpeta
57
http://technet.microsoft.com/es-es/sysinternals/bb897550.aspx
58
http://technet.microsoft.com/en-us/sysinternals/bb897544
Mediante dicha utilidad se pueden exportar gran cantidad de logs del sistema operativo. Para
obtener la lista completa se debe ejecutar la siguiente instrucción:
wevtutil el
MyEventViewer http://www.nirsoft.net/utils/my_event_viewer.html
5.4.8.2. WindowsUpdate.log
El fichero WindowsUpdate.log, ubicado en la carpeta %WinDir%, almacena el listado de
actualizaciones correspondientes al sistema operativo que se han llevado a cabo en el equipo.
Un caso práctico corresponde a un equipo que había sido víctima de una intrusión remota y
gracias al fichero WindowsUpdate.log se constató que el atacante había aprovechado ciertas
vulnerabilidades del sistema operativo que no habían sido parcheadas.
5.4.8.3. pfirewall.log
El fichero pfirewall.log, ubicado en la carpeta %WinDir% (Windows XP) y en
%WinDir%\System32\LogFiles\Firewall (Windows 7/8), almacena diferente
información correspondiente al firewall de Windows como por ejemplo paquetes perdidos o
conexiones que se han realizado correctamente.
Un caso práctico corresponde a un equipo de una empresa que se sospechaba había sido
víctima de una intrusión remota. Al comprobar los ficheros prefetch se constató que había
ciertos programas que se habían ejecutado en horas fuera del horario de oficina.
5.4.11. Papelera de reciclaje
Es posible obtener información de los elementos eliminados que hayan sido enviados a la
papelera de reciclaje. Para ello se debe de tener en cuenta la siguiente tabla:
Tabla 4: Rutas de la papelera de reciclaje según versión del sistema operativo.
Windows XP %SystemDrive%\Recycler
59
http://es.wikipedia.org/wiki/Endianness
60
http://www.mcafee.com/es/downloads/free-tools/rifiuti.aspx
Para recopilar todos estos ficheros se pueden emplear diferentes utilidades como lnk-parser
o Windows LNK Parsing Utility. Un ejemplo de utilización de lnk-parser es el siguiente:
lnk_parser_cmd.exe -o listadoLNKs -w -s C:
61
http://technet.microsoft.com/es-es/sysinternals/bb897441.aspx
Número de caso:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Empresa afectada:
Dirección:
Teléfono:
Fecha y Hora: / / 2 0 :
Investigador:
Observaciones
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
_________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Listado de personas
Número de caso:
Número de página
Número de caso:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Empresa afectada:
Dirección:
Teléfono:
Fecha y Hora: / / 2 0 :
Investigador:
Observaciones
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Listado de evidencias
Número de caso:
Número de página
Ilustración 3: DumpIt 24
Ilustración 4: HashMyFiles 26