Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA
Análisis de las evidencias
Esquema
TEMA 4 – Esquema
análisis en Windows en Linux en Mac OS
Pre-análisis
Registro de Partición de Paginación e
• Archivos y
volúmenes
Windows intercambio hibernación
cifrados
• Máquinas
virtuales
• Archivos Archivos de
Sudoers Logs
borrados eventos
• Hash
• Firmas
Ideas clave
Para estudiar este tema lee los siguientes documentos, además de las Ideas clave:
Presentación del experto Nicole Ibrahim para el SANS DFIR 2017 sobre eventos en
Sistemas Operativos Mac OS e iOS. Disponible en: https://www.sans.org/summit-
archives/file/summit-archive-1498158287.pdf
El artículo Linux forensics (for non-Linux folks), publicado por Deer Run
Associates. Disponible en: http://www.deer-run.com/~hal/LinuxForensicsForNon-
LinuxFolks.pdf
The Law Enforcement and Forensic Examiner’s Introduction to Linux, una guía
muy útil sobre el análisis forense de equipos Linux. Disponible en:
http://linuxleo.com/Docs/linuxintro-LEFE-4.31.pdf
Puesto que cada caso y sistema son únicos, en este tema se plantean las estrategias más
comunes que podemos utilizar en la mayoría de los escenarios con los que nos
encontraremos.
Junto con dichas estrategias, también conoceremos algunos de los elementos más
importantes de cada Sistema Operativo. Estos elementos contendrán información muy
valiosa de cara al análisis y resolución del caso en que nos encontremos.
Por supuesto, tanto el esquema como las herramientas presentadas en este tema son
orientativas, pudiendo variar en función del caso concreto en que nos encontremos.
Los archivos más importantes de cada Sistema Operativo son aquellos donde siempre
vamos a poder encontrar información de interés. Ahora bien, estos no son los únicos
archivos a analizar puesto que deberemos tener en cuenta también aquellos elementos
que se encuentren directamente relacionados con la pericial.
En el anterior tema hemos visto como recolectar las evidencias que vamos a analizar,
tanto las volátiles como las no volátiles. Ahora, lo que vamos a plantear es el esquema
típico de un análisis de dichas evidencias.
Identificación de archivos
y volúme ne s cifrados
Por cada máquina virtual
¿Se NO
SI
¿Existen? pueden Documentar
descifrar?
NO SI
Ide ntificación de
De scrifrar
máquinas virtuales
SI
¿Existen?
NO
Re cuperación de
archivos borrados
Ve rificación de firmas
Búsque da de
palabras clave
Análisis de l
sistema operativo
Análisis de los
componentes de red
Fase de pre-análisis
En este paso, nuestra labor como analistas forenses consiste en descubrir los
archivos y volúmenes que pudieran encontrarse cifrados en el equipo.
Para ello podemos hacer uso de programas como Encryption Analyzer, de la empresa
Passware, que realiza una búsqueda de los archivos y volúmenes cifrados existentes en
el equipo, aunque también podemos realizar una búsqueda de archivos cifrados
conocidos, por sus cabeceras o sus extensiones.
Hay que tener en cuenta que no se van a poder descifrar todos los tipos de
cifrado existentes, por lo que en caso de encontrar un archivo que no se pudiera
descifrar y, por lo tanto, no se pudiera leer su contenido, pasaríamos a anotar tal
información en nuestro informe pericial con el fin de que quede constancia de dicho
extremo.
Para identificar las máquinas virtuales que pudieran existir en el equipo, lo ideal es
comenzar por las aplicaciones instaladas en el mismo. Si el equipo tiene instalado el
software VMware, es lógico pensar que puede tener máquinas virtuales en dicho
formato, aunque esto no excluye la búsqueda de otro tipo de máquinas virtuales.
Extensión de
Tipo de máquina virtual
archivo
En caso de encontrarnos con el disco duro de una máquina virtual, al consistir en una
máquina similar a una real, procederemos a analizarla como si de una máquina distinta
se tratara, siendo necesario aplicar sobre ella los mismos pasos que se aplican para
analizar cualquier otro equipo.
Para ello, podemos emplear programas como Sorter, incluido en la suite forense
Autopsy, que nos permite agrupar por categorías (en este caso «malos» y «buenos») los
archivos de un dispositivo, o el propio AccessData FTK que permite importar distintas
Bases de Datos de hashes conocidos.
Junto con estos programas podemos hacer uso de las bases de datos disponibles en la
National Software Reference Library (http://www.nsrl.nist.gov/) para filtrar de forma
rápida los archivos objeto del análisis o ir creándonos nuestra propia base de datos de
hash conforme vallamos realizando casos.
Hay que tener muy en cuenta el algoritmo hash utilizado, puesto que si estamos
realizando una comparativa entre algoritmos hash diferentes nos será imposible
encontrar concordancia. Un ejemplo sería el tener en nuestra Base de Datos de hashes,
los hashes MD5 de archivo de interés e intentar compararlos con hashes SHA1.
5. Verificación de firmas
Fase de análisis
En ocasiones nos podemos encontrar con análisis en los que es necesario obtener
documentos relacionados con determinadas palabras, por ejemplo, que
tengamos que obtener los documentos en los que se menciona a una determinada
persona. Para estos casos, realizaremos una búsqueda de palabras clave en las
evidencias recolectadas.
Este tipo de búsquedas es muy similar a la que podemos realizar con nuestro propio
sistema operativo, con la diferencia de que también se busca sobre los espacios libres
de la evidencia y en el interior de los archivos.
Para realizar la búsqueda podemos utilizar el mismo AccessData FTK, que permite
realizar búsquedas mediante palabras clave o mediante expresiones regulares las cuales
nos permiten definir patrones de búsqueda mucho más complejos que una simple
búsqueda literal.
Durante el análisis del sistema operativo tenemos que seguir una serie de pasos,
durante los cuales tenemos que intentar responder a las siguientes preguntas:
3. Programas instalados.
a. ¿ Hay programas que permitan realizar el hecho investigado?
Ejemplo: Si estamos investigando la clonación de tarjetas, ¿hay algún
programa que permita su copia?
Con el análisis de estos seis apartados tendremos una idea general de lo que se puede
o no hacer con el equipo. Además de que gracias a los archivos de registro analizados
(posteriormente se especifican los archivos interesantes al respecto) podremos obtener
información sobre las acciones realizadas sobre el equipo.
Al igual que durante el análisis del sistema operativo, durante el análisis de los
componentes de red tendremos que seguir una serie de pasos e intentar responder a
las siguientes preguntas:
3. Exploradores de Internet
a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación
Como todos los sistemas operativos, Windows tiene una serie de archivos que nos van a
proporcionar una valiosa información a la hora de realizar un análisis del mismo.
Estos archivos son:
1 El registro de Windows
Registro de Windows
Es una gran base de datos donde se almacena información sobre el propio
sistema operativo y los programas instalados. De él podemos obtener
información como: el histórico de dispositivos USB conectados, el hardware
configurado en el equipo, las redes Wifi a las que el equipo ha estado conectado, los
programas instalados, contraseñas de los usuarios, etc.
El registro de Windows está compuesto por varios archivos, los cuales, en Windows 7 y
8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM», ubicados en la ruta
«[WINDOWS INSTALL DIR]\System32\config\». Además del archivo
«NTUSER.DAT» ubicado en la carpeta personal de cada usuario. Estos archivos
pueden ser analizados fácilmente con la herramienta Windows Registry Recóvery de
MiTeC.
Archivos de eventos
Son archivos que almacenan los eventos ocurridos en el sistema operativo. En ellos
podemos encontrar eventos sobre los accesos de los usuarios al equipo, las
conexiones a la red, errores en la impresión de archivos, la creación de usuarios, etc.
Sobre estos archivos podemos realizar el mismo tipo de análisis que sobre la memoria
RAM. Podemos realizar búsquedas de cadenas, recuperación de archivos, etc.
Además, también una serie de artefactos que también pueden resultar de mucho
interés, en función del caso objeto de análisis como son los relacionados con los
archivos descargados, programas ejecutados, los archivos abiertos y creados, etc.
En 2012, el Instituto SANS publicó un poster con la ubicación y forma de proceder ante
todos estos artefactos.
Dentro de un sistema operativo tipo Linux, los archivos y carpetas de los que más
información podremos extraer son:
Por su parte, el archivo «/etc/ passwd» también es muy relevante en casos en los que el
sistema se haya visto comprometido, ya que de su análisis podremos obtener
información sobre posibles usuarios creados o usuarios que han cambiado de un grupo
sin privilegios a otro con mayores privilegios de acceso.
La estructura de las entradas del archivo «/etc/ passwd» es la que se puede observar en
la imagen anterior.
Como vemos, dicho archivo almacena el nombre de usuario, la contraseña cifrada, los
identificadores del usuario, una descripción del usuario, la ruta de su carpeta home y la
Shell del usuario.
Cuando tengamos que analizar un sistema operativo Mac OS (nos referimos al sistema
operativo de Mac para ordenadores portátiles o de sobremesa, no estamos hablando de
iOS, que es el sistema operativo del iPhone y del iPad) hay una serie de archivos y
carpetas con especial interés. Estos son:
Los archivos plist, o archivos de lista de propiedades, son archivos que almacenan multitud
de información de interés sobre programas utilizados por el usuario y la configuración de
los mismos.
Este tipo de archivos está presente tanto en los equipos con sistemas operativos MacOS,
como en los terminales móviles con sistemas operativos iOS y pueden ser visualizados
directamente desde el propio sistema operativo del equipo, o bien haciendo uso de
herramientas de terceros como Plist Explorer o Plist Editor, ambos para sistemas
operativos Windows.
Lo + recomendado
Lecciones magistrales
En esta lección magistral vamos a realizar el análisis de los archivos de eventos de los
sistemas operativos Windows.
TEMA 4 – Lo + recomendado
Análisis Forense
No dejes de leer…
TEMA 4 – Lo + recomendado
Análisis Forense
No dejes de ver
TEMA 4 – Lo + recomendado
Análisis Forense
+ Información
Webgrafía
Bibliografía
Altheide, C. y Carvey, H. (2011). Computer forensics with Open Source tools. Syngress.
Jones, K., Bejtlich, R. y Rose, C. (2005). Real Digital Forensics: Computer Security
and Incident Response. Addison-Wesley Educational Publishers Inc.
TEMA 4 – + Información
Análisis Forense
Actividades
Como perito, recibimos un archivo .ZIP que contiene los siguientes archivos:
Config.ad1 y Config.ad1.txt
Users.ad1 y Users.ad1.txt
Winevt.ad1 y Winevt.ad1.txt
Directory Listing.csv
Los archivos con extensión .ad1 son imágenes lógicas de las carpetas:
«Windows\System32\Config», «Users\» y «Windows\System32\Winevt»
respectivamente, mientras que el archivo “Directory Listing.csv” es un listado completo
de los archivos y carpetas del equipo.
El motivo por el cual no recibimos una imagen forense de todo el contenido del disco
duro del equipo es porque el juez únicamente ha autorizado el análisis de los
componentes facilitados, por lo que debemos de basar todo el estudio únicamente en
los archivos que nos han facilitado.
Para realizar la práctica hay que responder a las preguntas planteadas en la plantilla
que adjuntamos en la siguiente página) contestando simplemente a lo que se le
pregunta.
Nota: Cualquier hora que indique, debe ir acompañada de la zona horaria en la que se
encuentra.
Objetivos
TEMA 4 – Actividades
Análisis Forense
¿Qué usuarios han iniciado sesión en el equipo? y ¿Cuál ha sido la fecha (y hora) de
último acceso de estos usuarios?
Nombre del usuario: xx
Fecha y hora de inicio de sesión: xx
Se sospecha que uno de los usuarios del sistema modificó su cuenta para obtener
privilegios de administración. Analizando los registros de eventos indique: ¿Qué
usuario fue? y ¿En qué fecha y hora realizó dicha modificación’
Nombre del usuario: xx
Fecha y hora de la modificación: xx
Analizando los registros de eventos, indique: Los encendidos y apagados del sistema y
los inicios y cierres de sesión de los usuarios
Fecha y hora: xx/xx/xxxx xx:xx
Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
Usuario: Que ha iniciado o cerrado la sesión
TEMA 4 – Actividades
Análisis Forense
Analizando los registros de eventos, responda a las siguientes preguntas sobre los
posibles cambios en la fecha y hora del sistema.
Se ha realizado algún cambio en la fecha y hora del sistema:
¿Qué usuario ha realizado dicho cambio?:
¿Qué fecha y hora era originalmente?:
¿Qué nueva fecha y hora se indicó?:
¿Se revirtió el sistema a la fecha y hora real?:
El sistema disponía del navegador Internet Explorer y Microsoft Edge. Aun así, se
sospecha que uno de los usuarios instaló un navegador web alternativo. Analizando las
evidencias facilitadas: ¿Qué navegador alternativo se instaló?, ¿Qué usuario instaló
dicho navegador? Por último, obtenga el historial de navegación del navegador y
adjúntelo.
TEMA 4 – Actividades
Análisis Forense
Test
TEMA 4 – Test
Análisis Forense
8. El registro de Windows:
A. Es uno de los archivos de interés del sitema operativo Windows.
B. Es una gran base de datos donde se almacena información.
C. Las respuestas A y B son correctas.
D. Windows no dispone de registro.
TEMA 4 – Test
Análisis Forense
TEMA 4 – Test