ETAPA 2 – APLICACIÓN DE TECNOLOGÍAS PARA LA RECOLECCIÓN DE

INFORMACIÓN

EDWIN ANDRÉS JIMÉNEZ GARCÍA

FLOR ESPERANZA BECERRA

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática

Informática Forense

Bogotá, 27 de marzo de 2020

 CONTENIDO

INTRODUCCION............................................................................................................................................3
CONSOLIDADO TRABAJOS INDIVIDUALES...................................................................................4
Edwin Jiménez....................................................................................................................................................4
Flor Becerra......................................................................................................................................................19
INFORMACION DEL REGISTRO DE WINDOWS..........................................................................19
RASTREO DE LA EJECUCIÓN DEL ARCHIVO USADO...............................................................19
PROPUESTAS ANTE ESTE INCIDENTE DE SEGURIDAD.........................................................19
DESCRIBIR INCIDENTE..........................................................................................................................19
CONCLUSIONES..........................................................................................................................................19
BIBLIOGRAFIA............................................................................................................................................19
INTRODUCCION
 CONSOLIDADO TRABAJOS INDIVIDUALES

Todo el registro de Windows con la información solicitada individualmente,

complementarse con los compañeros de grupo aquella información que no tengan
en común.

Edwin Jiménez
1. Descargar e instalar una máquina virtual (VirtualBox o VMware Player)
2. Descargar el sistema operativo Windows 10
3. 3. Instalar el sistema operativo Windows 10 dentro de la máquina virtual, se
prefiere que las capacidades sean mínimas de 60 gigas de espacio en disco y
de 2 gigas de ram a 2 procesadores, con tipo de tarjeta de red bridge o tipo
puente.

Ilustración 1. Configuración requerimientos máquina virtual

4. El sistema operativo debe tener un usuario con el apellido del estudiante y una
contraseña de la capacidad mínima permitida de la instalación del sistema
operativo 6 con el nombre del estudiante, que no pase de 6 dígitos.

Ilustración 2. Configuración usuario Win10

Ilustración 3. Asignación contraseña Win10

5. Ya iniciado el Windows deben instalar al Windows 10 lo siguiente: • Winrar

• MSOffice versión mínima 2013
• FOXIT
• Mozilla FireFox
• NO INSTALAR ANTIVIRUS
 Ilustración 4. Instalación Office 2013

Ilustración 5. Instalación Foxit y WinRar

6. Descargar el KMSpico cualquier versión desde la 10.0, tener cuidado, e

instalarlo dentro del Windows.
 Ilustración 6. Instalación KMSpico

7. Debe descargar 10 archivos dentro de mis documentos y abrirlos, estos

archivos son: 2 excel, 4 docs, 2 txt y 2 pdf, de los cuáles deben borrar 3 de los
documentos.

Ilustración 7. Creación de documentos

 Ilustración 8. Documentos Eliminados

8. Asignar una IP estática con el número del portátil del gerente.

Ilustración 9. Asignación de IP estática

9. Deben navegar en Firefox y en Edge o internet explorer de mínimo 10 páginas web
e ingresar a una cuenta de correo y enviar 2 correos.

Ilustración 10. Envió correo de prueba

Ilustración 11. Bandeja de entrada con correos de prueba

Al tener instalada la máquina virtual y haber realizado los diferentes pasos,

realizar las siguientes actividades:

1. Realizar una captura mediante el FTKimager del disco duro completo de la

máquina virtual, esto crea una imagen bit a bit, este debe estar instalado
en la máquina virtual.
 Ilustración 12. Resultado de copia imagen FTKimager

2. Para la revisión de la imagen virtual se usa la herramienta Autopsy.

Ilustración 13. Selección de configuración Autopsy

 Ilustración 14. Resultado nuevo proyecto cargado.

3. Extraer la información no-volátil que consiste en los siguientes items:

• Examining File Systems

Ilustración 15. Extraer File Systems 1

Ilustración 16. Extraer File Systems 2

• Registry Settings
ClearPageFileAtShutdown:

Ilustración 17. Revisión registro ClearPageFileAtShutdown

DisableLastAccess:

Ilustración 18. Revisión registro DisableLastAccess

• Eventos

Ilustración 19. Eventos del sistema

• Index.dat File

Ilustración 20. Autopsy archivo Index.dat

 Ilustración 21. Contenido archivo Index.dat

• Connected Devices

Ilustración 22. Dispositivos físicos y lógicos conectados 1

 Ilustración 23. Dispositivos físicos y lógicos conectados 2

• Slack Space

• Herramienta: DriveSpy

• Swap File

Ilustración 24. Autopsy pagefile.sys

Ilustración 25. Autopsy contenido pagefile.sys

Ilustración 26. Registró de memoria

• Windows Search Index

Ilustración 27. Search index

• Hidden Partitions
 Ilustración 28. Listado de particiones

• Hidden ADS
- Navegación correo

Ilustración 29. Revisión navegación correo

4. Extraer la lista de todos los documentos docs y derivados, PDFs y txt incluyendo
los eliminados.
 Ilustración 30. Listado de archivos eliminados

Flor Becerra

INFORMACION DEL REGISTRO DE WINDOWS

• Examining File Systems

Ilustración 31. Extraer File Systems 1

 Ilustración 32. Extraer File Systems 2

• Registry Settings
ClearPageFileAtShutdown:

Ilustración 33. Revisión registro ClearPageFileAtShutdown

DisableLastAccess:
 Ilustración 34. Revisión registro DisableLastAccess

• Eventos

Ilustración 35. Eventos del sistema

• Index.dat File

Ilustración 36. Autopsy archivo Index.dat

Ilustración 37. Contenido archivo Index.dat

• Connected Devices
Ilustración 38. Dispositivos físicos y lógicos conectados 1
 Ilustración 39. Dispositivos físicos y lógicos conectados 2

• Slack Space

• Herramienta: DriveSpy

• Swap File

Ilustración 40. Autopsy pagefile.sys

Ilustración 41. Autopsy contenido pagefile.sys

Ilustración 42. Registró de memoria

• Windows Search Index

Ilustración 43. Search index

• Hidden Partitions
 Ilustración 44. Listado de particiones

• Hidden ADS
- Navegación correo

Ilustración 45. Revisión navegación correo

 RASTREO DE LA EJECUCIÓN DEL ARCHIVO USADO

Demostrar el rastreo de la ejecución del archivo usado según el gerente el cuál se halló
dentro del portátil; ¿dónde se guarda?, ¿cómo se ejecuta? y ¿qué modifica dentro el
sistema operativo de Windows 10?

Después de eliminar KMSPico, los siguientes archivos ejecutables deben ser

completamente eliminados:

 Secoh-qad.exe

Ilustración 46. Aplicaciones instaladas por KMSPico

 AutoPico.exe

Ilustración 47. Aplicaciones instaladas por KMSPico

 unins000.exe
 Ilustración 48. Aplicación instalada por KMSPico

 KMSELDI.exe

Ilustración 49. Aplicación instalada por KMSPico

 tap-windows-9.21.0.exe

Ilustración 50. Aplicación instalada por KMSPico

PROPUESTAS ANTE ESTE INCIDENTE DE SEGURIDAD

 Bloqueo de instalación de archivos por parte de usuarios que no sean

administradores del sistema.
 Bloqueo de uso de USB para se permita ingreso de este tipo de programas.
 Activación de los eventos de Windows con relación a la instalación de
aplicaciones, mediante un plantilla GPO desde el directorio activo.
 Actualización de parches de seguridad de Windows e ingreso de la
aplicación en lista de no deseados dentro del antivirus para su bloqueo en
los escaneos pasivos y activos.
 Administrar los logs de los equipos mediante un ELK o un SIEM que permita
generar alarmas cuando se instalan programas.

DESCRIBIR INCIDENTE

CONCLUSIONES

BIBLIOGRAFIA