Está en la página 1de 18

INFORMATICA FORENSE II 1

Recolección de información volátil y no volátil

Gonzalo JR Varela Castaño

Fundación Universitaria del Área Andina

Eje 1

18/08/2022
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 2

Resumen

Como investigadores forenses estamos obligados a conocer el sistema operativo Windows

perfectamente, ten claro su estructura interna, la jerarquía de sus archivos, dónde y cómo

almacena información importante, como información de inicio de sesión, almacenamiento de

registros, principales archivos de configuración, conexiones iniciadas o cerradas, etc. Esta

información para un investigador El análisis forense es muy importante, y Windows ofrece

diferentes tipos de comandos que se incluyen en el sistema operativo, que proporcionan todos

información que puede ser de suma importancia para un investigador. Además de los

comandos especiales, también hay varias herramientas que se utilizarán para analizar las

diferentes estructuras del sistema como registro del sistema, proceso de memoria de

Windows, eventos y análisis de archivos entre otros. sabiendo y sabiendo como utilizar las

diferentes herramientas que existen será un plus de un investigador forense.


[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 3

Recolección de información volátil y no volátil

Situación Propuesta: El investigador Pepito Pérez llega a su oficina y al ver su

computador se da cuenta que está presentando un comportamiento extraño, se evidencia

lentitud al procesar cualquier orden y la mayoría de los mandos no responden. El señor Pepito

Pérez determina que alguien ingresó a su sistema y antes de que se llegue a apagar el equipo

decide realizar un análisis y una recolección de información que pueda perder si el equipo se

apaga.

Contar con una máquina virtual sistemas operativo Windows.

• Recrear la escena y realizar la práctica de los comandos y herramientas utilizadas

para la recolección de información volátil.

• Imagínese la escena propuesta y aplique los comandos recomendados para la

recolección de información volátil.

• Comando date/time.

• Comando net con cuatro opciones.

• Comando psloggedon.

• Comando Logonsessions.

• Comando nbtstat.

• Comando psfile.

• Comandos Tasklist, Pslist y Listdlls.

• Descargar, instalar la herramienta Process Explorer, analizar los procesos que están

activos en el sistema y tratar de identificar si alguno les parece sospechoso.

• Realizar una búsqueda en internet de los procesos sospechosos para determinar qué

aplicación lo lanza y determinar si es maligno o benigno.

• Comando doskey.
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 4

• Haga una revisión de directorio, y las diferentes llaves de registro usadas por un

investigador para poder encontrar información.

• Descargue la iso de Partition Logic.

• Cree un nuevo disco y asignarlo a la máquina virtual.

• Con la herramienta Partition Logic, elimine la particion del disco nuevo y cree dos

de igual tamaño.

• Para ampliar el uso de Partition Logic les recomendamos ver el siguiente video:

https://www.youtube.com/watch?V=t0Dr7UGuBIw.

• Haga una investigación de la herramienta DevCon, y como le puede servir a un

investigador.

• Desarrolle la práctica y realice un documento con los resultados obtenidos y sus

conclusiones.

• Revisar los archivos, el registro de Windows.

• En el informe debe tener los resultados de los comandos y unas conclusiones de lo

encontrado en el sistema analizado.

date/time

Lo primero que hacemos es obtener los datos del sistema tipo time.
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 5

Comando net con cuatro opciones.

Lo primero que haremos averiguar que usuarios hay en el sistema, que cuentas existen en el

sistema, que configuración existe en el sistema y saber si existe una perturbación en las

configuraciones de esté, revisamos registro de estadísticas del servicio estación de trabajo.

Ilustración 2 net user

Ilustración 3 net accounts


[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 6

Ilustración 4 net config

Ilustración 4 net statistics Workstation


[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 7

Comando psloggedon.

Ilustración 5 psloggedon.exe

Logonsessions.

Ilustración 6 logonsession.exe
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 8

nbtstat.

Ilustración 7 nbtstat

nbtstat.

Ilustración 7 nbtstat

psfile.

Ilustración 8 psfile
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 9

ListDlls.

Ilustración 9 ListDlls
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 10

Tasklist.

Ilustración 10 Tasklist
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 11

pslist.

Ilustración 10 pslist
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 12

Process explorer.

Ilustración 11 process explorer

doskey.

Ilustración 12 doskey

Hallazgos.

De acuerdo con las órdenes ejecutadas, el investigador forense puede

Observar lo siguiente en el dispositivo de Pepito Pérez:

I. Identificar quien registró el dispositivo,

II Indica cuántas veces comenzó en minutos.


[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 13

III Complete con estadísticas de trabajo identificadas si contiene errores de red, sus

conexiones, sesiones fallidas, operaciones fallidas.

IV. Con psloggedon se visualiza en qué momento inicio de sesión.

V. En el caso de logonsession de inicio de sesión, las sesiones iniciadas se determinan

con la fecha y la hora.

VI. Con el comando nbtstat -s y-n, la sesión con su IP predefinida y el username.

VII. El psfile se utiliza para identificar los directorios en estado open de forma

remota, ninguno de los cuales se abrió en este caso.

VIII Process Explorer visualizar de forma gráfica los procesos y cuáles de ellos

pueden ser detener para finalizar el proceso malicioso.

IX. Se comprueba si hay algún dlls sospechoso con el comando listdlls mostrarnos

todas las dlls.

X Para finalizar el comando doskey /history, invierte el historial de comandos

recientes que fueron ejecutados, lo que nos ayuda a saber que usó el sospechoso para alterar

el equipo de seguridad.

Se enumeran las tareas y la ejecución de los procesos para determinar si hay algún

proceso malicioso que ocupe un alto porcentaje en el proceso y posiblemente un virus

sospechoso.
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 14

DevCon

Esta es una herramienta que nos puede ayudar a determinar si un dispositivo ha sido expuesto

a una brecha de hardware o software, hallazgo que puede causarle problemas a Pepito Pérez,

de esta manera deshabilitar o eliminar la configuración del dispositivo que nos muestra esta

herramienta para que sea reconocido para que pueda eliminarse del dispositivo para

restaurarlo.

Conclusiones

Se ha descubierto que las herramientas de Windows son muy efectivas cuando se trata

de seguridad cibernética, ayudándonos como científicos forenses informáticos a identificar y

encontrar la evidencia correcta en un caso. El conocimiento combinado con las herramientas

nos puede ayudar a identificar las causas de mal funcionamiento por motivos como; Los

piratas informáticos malintencionados quieren dañar un dispositivo o una empresa a cambio

de una recompensa.
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 15

Referencias
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 16

Martínez Retenaga,A.(noviembre de 2014).Guía de toma de evidencias en entornos

Windows.
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 17

Obtenido de https://www.incibecert.es/sites/default/files/contenidos/guias/doc/

incibe_toma_evidencias_analisis_forense.pdf
[TÍTULO ABREVIADO DE HASTA 50 CARACTERES] 18

Microsoft.(2017).Comandos NET en sistemas operativos Windows.Obtenido de

https://support.microsoft.com/es-co/help/556003

También podría gustarte