UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

Maestría en Seguridad Informática

Curso: Informática Forense

Guía No.5
Análisis
Recopilación de Información Volátil

Facilitador: Ing. Itsmaosgama Azaleth Alvendas

Eric Aguilar Santana 8-912-1789

Jorge L. Martínez Casas 8-887-884
Marcos Rodolfo Ramos 8-346-250
Oliver A Serrano N 4-797-1836
Yelena Pedroza 8-701-554

Fecha de Entrega: martes, 20 de septiembre de 2022, a las 6:00p.m.

Introducción.
Existen muchos casos de investigación forense en el que el entorno común es un
ambiente Windows. En el mercado hay muchas herramientas gráficas amigables y
efectivas que permiten efectuar una investigación de forma eficiente tanto del
ambiente Windows como Linux. Sin embargo, es importante también conocer que hay
utilidades en línea de comandos que deben saberse utilizar e interpretar a través del
empleo de la consola.
La investigación forense trata de esclarecer un hecho cometido, y la misma intenta
descubrir, determinar y reconstruir los delitos ocurridos.
La investigación forense en la legislación panameña se práctica sobre un entorno
muerto, es la que se aplica después del apagado del equipo sobre las imágenes de
soporte de datos efectuadas a través de un apagado no ordenado, es decir, a través
de la interrupción de la alimentación eléctrica.
La investigación en vivo en cambio, inicia con la búsqueda de información volátil y
relativa a:
• Procesos en ejecución
• Conexión de red
• Usuarios conectados
• Archivos abiertos

1
 • Y todo aquello que por estar en RAM se perdería al momento de
apagarlo o del reinicio del equipo.
Debido a lo anterior, se hace imperante maximizar la aplicación de procedimientos
que garanticen la recopilación de la información volátil, fuente de insumo de indicios y
evidencias de delitos informáticos.

Objetivos:

 Adquirir conocimientos de cuáles elementos son objetos de recopilación de

información volátil.
 Reforzar el conocimiento del empleo de líneas de comando para la recuperación
de información volátil.
 Explorar la información volátil contenida en el SO Windows y Linux.
 Interpretar los elementos contenidos en la información volátil obtenida.

2
Parte I.
Bajo un entorno de una organización, seleccione uno o dos equipos u ordenadores, y
aplique lo siguiente:

1. Establezca la fecha del sistema comando date.

Mediante el comando DATE, es posible cambiar la fecha del dispositivo informático. Sin
necesidad de entrar a el modo gráfico y buscar la opción de fecha y hora. Al realizar este tipo
de cambios a una fecha que no sea la actual, se podra presentar problemas como lo es
navegar en internet pues inmediatamente inhalbilita la busqueda hasta colocar la fecha
correcta.

2. Compruebe si hay conexiones de red remotas conectadas al equipo.

Mediante el comando netstat -n, la consola mostrará todas las conexiones, además de los
puertos abiertos. En el apartado de estado se muestra si es la conexión ha sido establecida,
en tiempo de espera o a la escucha.

3
 3. Liste los puertos que estén abiertos, TCP y UDP

Siguiendo con el comando netstat pero determinado que se muestren solo protocolos TCP
que de igual forma para solamente protocolos UDP. Con TCP se ve varias conexiones
utilizando el protocolo, en cambio con UDP no se obtuvo resultados.

4. Verifique si hay algún puerto activado por algún programa parásito

Con el uso de la herramienta de nmap se puede escanear los puertos de un dispositivo

conectado en la red o la misma maquina que se este utilizando y obtener los estados de los
puertos, y poder ver la información de que servicio está utilizando dichos puertos.

4
 5. Verifique si alguien está conectado al equipo de forma remota

Con el comando PsloogedOn se permite verificar si existe alguna conexión remota con el
dispositivo. Tras utilizar el comando, se observa que para uno de los ejemplos que se colocó
existe dos conexiones con respecto a MSL y SQL. Mientras en el otro ejemplo se puede ver
que en el equipo no existe conexión remota establecida.

5
 6. Examine el tráfico de la red para ver si hay desvíos

A través del netstat –rn fue posible escanear la red del dispositivo y comprobar si existe algún
desvió en la red. Que puede que no hayamos planeado a propósito. Sin embargo, como
resultado se logra ver que no hay rutas persistentes y deja ver tanto las rutas de la IPv 4 y 6
con sus vínculos y métricas.

6
7. Examine si hay algún proceso extraño o ajeno que perteneciera a un
externo o posible atacante.
Pslist

El comando Pslist tal como lo dice su nombre hace un listado de los procedimientos que
lleva el dispositivo, permitiendo que el usuario pueda conocer si hay algún proceso extraño
que se esté ejecutando y pueda ser dañino. Al activarse sin darnos cuenta. Para nuestro caso
no se ha encontrado ningún proceso fuera de lo inusual, todos los que se están ejecutando
han sido planificados.

7
 8. Verifique si hay archivos abiertos desde un equipo remoto que pudiera
ser ajeno a la organización
Psfile

Parte II
Ejercite la capacidad de Análisis recopilando información volátil.
El análisis en entorno muerto se practica después de apagado el equipo; sin
embargo, en un entorno vivo donde el equipo no este apagado, una investigación
comienza con la búsqueda de información relativa a:
 procesos en ejecución
 conexiones de red
 fecha y hora del sistema
 URLS
 archivos abiertos
 y otras instancias que se pueden perder si se apaga el equipo.

2.1 Descargue la versión gratuita de la herramienta Volatility, o la versión

workbench. Refiérase a los archivos de imagen indicados por Votality
foundation.

Ir a la web https://www.osforensics.com/tools/volatility-workbench.html
para descargar Volatility workbench

8
 2.2 Aplique los pasos necesarios para obtener los requerimientos indicados
en la lista de enumeración anterior.
 Analice los resultados e interprételos
 Documente lo observado

Plugin relacionado información de la imagen

Comando 1: vol.py -f cridex.vmem imageinfo

Plugin imageinfo: Este comando se usa para identificar el sistema operativo, el paquete de
servicio y la arquitectura de hardware (32 o 64 bits), pero también contiene otra información
útil, como la dirección DTB y la hora en que se recopiló la muestra

Comando 2: vol.py -f cridex.vmem kdbgscan

Plugin kdbgsca: Entrega una sugerencia precisa del perfil de imagen que se utiliza para esta
muestra de memoria.

9
Plugin relacionado con los procesos
Comando 3: vol.py -f cridex.vmem --profile=WinXPSP2x86 pslist

Plugin pslist: Muestra el listado de los procesos del sistema relativo a la imagen de memoria
volátil adquirida anteriormente.

Comando 4: vol.py -f cridex.vmem --profile=WinXPSP2x86 pstree

Plugin pstree: Muestra el listado de los procesos del sistema relativo a la imagen contenido
en un formato árbol.

10
Comando 5: vol.py -f cridex.vmem --profile=WinXPSP2x86 psscan

Plugin psscan: Permite ver procesos inactivos y los procesos.

Comando 6: vol.py -f cridex.vmem --profile=WinXPSP2x86 psxview

Plugin psxview: Muestra procesos ocultos y muestra una serie de columna, uno de eso
valores esta en falso quiere decir que puede haber algo sospechoso que se debe verificar.

Plugin relacionado dll

Comando 1: vol.py -f cridex.vmem --profile=WinXPSP2x86 dlllist

Plugin dlllist: Muestra las librerías del sistema que esta siendo utilizada en el momento que
se utilizó la imagen de memoria volátil adquirida.

11
Plugin relacionado Conexiones de red
Comando 1: vol.py -f cridex.vmem --profile=WinXPSP2x86 connections

Plugin connections: Muestra las conexiones TCP que estaban activa en el momento de la
adquisición de la imagen de memoria volátil.

12
Comando 2: vol.py -f cridex.vmem --profile=WinXPSP2x86 netscan

Plugin netscan: Muestra las conexiones TCP, UDP, ver direcciones locales con sus
respectivos puertos, direcciones remotas, ver identificador de procesos relativo a cada
conexión y el proceso propietario.

Comando 3: vol.py -f cridex.vmem --profile=WinXPSP2x86 sockets

Plugin sockets: Detectar los sockets que están a la escucha de los protocolos tcp

Comando 4: vol.py -f cridex.vmem --profile=WinXPSP2x86 connscan

Plugin connscan: Para encontrar _TCPT_OBJECTestructuras usando el escaneo de

etiquetas de piscinas, use el comando connscan. Esto puede encontrar artefactos de
conexiones anteriores que se han terminado desde entonces, además de las activas

13
Plugin relacionado escaneos de archivos

Comando 2: vol.py -f cridex.vmem --profile=WinXPSP2x86 filescan

Plugin filescan: Esto encontrará archivos abiertos incluso si un rootkit oculta los archivos en el disco y
si el rootkit engancha algunas funciones API para ocultar los identificadores abiertos en un sistema en
vivo. El resultado muestra el desplazamiento físico de FILE_OBJECT, el nombre del archivo, la cantidad
de punteros al objeto, la cantidad de identificadores del objeto y los permisos efectivos otorgados al

objeto.

Parte III
Descubra señales de intrusión
3.1 S.O. Windows
 Ingrese dentro del menú Herramientas administrativas, el Visor de
sucesos, el de Servicios o el de la Directiva de seguridad local. ¿Qué
información brinda?
 Otro lugar donde se esconde gran cantidad información es el registro
de Windows. regedit.exe. ¿Qué nos dice?

14
 Encontramos las directivas de auditoria

1. Auditoria Correcta de administración de credenciales

Las credenciales del Administrador de credenciales se leyeron.

15
Asunto:
Id. de seguridad: HP-ENVY-MARCUS\marco
Nombre de la cuenta: marco
Dominio de la cuenta: HP-ENVY-MARCUS
Id. de inicio de sesión: 0x2009C91B
Operación de lectura: Enumerar las credenciales
- System
- Provider
[ Name] Microsoft-Windows-Security-
Auditing
[ Guid] {54849625-5478-4994-a5ba-
3e3b0328c30d}

EventID 5379
Version 0
Level 0
Task 13824
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2022-09-25T02:02:56.9417912Z
EventRecordID 1817203
- Correlation
[ ActivityID] {519bba31-ca27-0002-82ba-
9b5127cad801}
- Execution
[ ProcessID] 804
[ ThreadID] 14880
Channel Security
Computer HP-ENVY-Marcus
Security
- EventData
SubjectUserSid S-1-5-21-2834774242-2378752428-
1618088064-1001
SubjectUserName marco
SubjectDomainName HP-ENVY-MARCUS
SubjectLogonId 0x2009c91b
TargetName

MicrosoftAccount:user=marcos_r19@hotmail.com
Type 0
CountOfCredentialsReturned 1
ReadOperation %%8100
ReturnCode 0
ProcessCreationTime 2022-09-25T02:02:25.6450420Z
ClientProcessId 660

16
 2. Error de Auditoria en Logon

Error de una cuenta al iniciar sesión.

Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: HP-ENVY-MARCUS$
Dominio de cuenta: WORKGROUP
Id. de inicio de sesión: 0x3E7

Tipo de inicio de sesión: 2

Cuenta con error de inicio de sesión:

Id. de seguridad: NULL SID
Nombre de cuenta: -
Dominio de cuenta: -

Información de error:
Motivo del error: Error durante el inicio de sesión.
Estado: 0xC000006D
Subestado: 0xC0000380

Información de proceso:
Id. de proceso del autor de la llamada: 0x7a0
Nombre de proceso del autor de la llamada: C:\Windows\System32\svchost.exe

Información de red:
Nombre de estación de trabajo: -

17
Dirección de red de origen: 127.0.0.1
Puerto de origen: 0

Información de autenticación detallada:

Proceso de inicio de sesión: User32
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (solo NTLM): -
Longitud de clave: 0

Este evento se genera cuando se produce un error en una solicitud de inicio de sesión. Lo genera el equipo al que
se intentó tener acceso.

Los campos de sujeto indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como
el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se solicitó. Los tipos más comunes son 2
(interactivo) y 3 (red).

Los campos Información de proceso indican la cuenta y el proceso en el sistema que solicitó el inicio de sesión.

Los campos Información de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de
estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de
sesión específica.
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
- Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
- Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.

3.2 S.O. Unix/Linux

 En este tipo de sistemas se dispone de una serie de archivos de registro
(logs), que podremos encontrar habitualmente bajo el directorio /var/log,
por lo que, determine que mensajes observa dentro de los siguientes
directorios?:
 /var/log/messages
 /var/log/secure
 /var/log/wmtp
 /var/run/utmp
 /var/log/btmp

Para cada directorio observado capture la imagen

correspondiente.

18
 Revise si hay indicios contenidos en los archivos:
 /etc/passwd,
 /etc/shadow,
 /etc/group.
 /root/.bash_history

 Observe el siguiente fragmento de un archivo /var/log/messages, en una

máquina comprometida:
.....
 Abr 22 23:37:55 localhost ftpd[7020]: FTP session closed
 Abr 23 00:12:15 localhost ftpd[7045]: FTP session closed
 Abr 23 00:19:19 localhost ftpd[7046]: FTP session closed
 Abr 22 22:21:05 localhost ftpd[7049]: Anonymous FTP
login from 200.49.185.117 [200.49.185.117], mozilla@
 Abr 22 22:22:48 localhost ftpd[7052]: Anonymous FTP
login from 200.49.185.117 [200.49.185.117], mozilla@
 Abr 23 00:25:03 localhost kernel: Kernel logging (proc)
stopped. Aug 23 00:25:03 localhost kernel: Kernel log
daemon terminating.
¿Qué observa en el fragmento, qué información proporciona, describa?

19