UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN TECNOLOGÍA DE LA INFORMACIÓN

MATERIA
INFORMÁTICA FORENSE

TRABAJO GRUPAL - GRUPO 1

ANÁLISIS FORENSE DE ARCHIVOS DE REGISTRO DE SISTEMAS OPERATIVOS

CURSO
TIN-S-NO-10-2

INTEGRANTES:
SOLANGE LISSETTE ARREAGA CASTAÑEDA
ISMAEL JEFFRY CANGA MINA
JORDY OMAR GILER MORENO
FLOR MARIA GUERRERO CACERES
MIGUEL ALEXANDER ORTIZ CHILÁN

DOCENTE
ING. CECILIA ELIZABETH CABANILLA BURGOS

GUAYAQUIL – ECUADOR
2023 – 2024 CI
 INDICE

Análisis Forense De Archivos De Registro De Sistemas Operativos ........................................ 1

Definición De Análisis Forense De Archivos Y Su Importancia ...................................... 1

Explicación De Los Diferentes Tipos De Archivos De Registro Utilizados En Sistemas

Operativos Populares, Como Windows Event Logs, Logs De Linux, Logs De Macos,

Etc. ......................................................................................................................................... 3

Tipos de archivos de registros de eventos en Windows .................................................... 3

Principales registros de eventos de Windows ................................................................... 3

Extensión de archivo de registro de eventos en Windows (.evtx) .................................... 4

Ubicación de archivo ........................................................................................................ 4

Principales registros de eventos del sistema Mac ............................................................ 4

Ubicación ........................................................................................................................... 4

Nombres y uso comunes de los archivos de registro de Linux ........................................ 6

¿Cómo ver los archivos de registro en Linux?................................................................. 7

Técnicas Y Herramientas Utilizadas Para Recolectar Archivos De Registro De

Sistemas Operativos. ............................................................................................................ 9

Soluciones Para Vulnerabilidad De Los Archivos De Registro De Sistemas Operativos

.............................................................................................................................................. 12

Conclusiones ....................................................................................................................... 13

Bibliografía .............................................................................................................................. 14
 Análisis Forense De Archivos De Registro De Sistemas Operativos

Definición De Análisis Forense De Archivos Y Su Importancia

Un registro de sistemas operativos, en el contexto de la informática, es un

documento que contiene los detalles de los eventos que han ocurrido en un sistema. Todos

los software y sistemas generan archivos de registro. Estos archivos incluyen información

como la hora, la fuente, el texto sin procesar y los campos sobre los eventos; los detalles

almacenados en los registros son importantes para las empresas para analizar las

actividades de red. Los registros actúan como una fuente importante para detectar

amenazas, mitigar ataques y realizar análisis posteriores a un ataque. La gestión de

registros es el proceso de recopilar, almacenar, analizar y archivar los datos de registro.

En caso de una investigación forense, los registros de sistemas operativos sirven

como la fuente principal de evidencia, ya que el sistema operativo registra todas las

actividades del sistema. El análisis de los registros de eventos puede ayudar a un

investigador a construir una línea de tiempo basada en la información de registro y los

artefactos descubiertos. La información que se registra depende de las características de

auditoría que estén activadas, lo que significa que los registros de eventos pueden ser

desactivados con privilegios administrativos. Desde el punto de vista forense, los

registros de eventos capturan una gran cantidad de datos.

La informática forense de registros se refiere al proceso de analizar los datos de

registro para identificar el momento en que se inició un incidente de seguridad, quién lo

inició, la secuencia de acciones y el impacto que tuvo en el negocio. También ayuda a

identificar los datos que han sido afectados por un ataque y a identificar el patrón de

ataque.

El análisis forense de archivos de registro de sistemas operativos ayuda a:

 • Reconstruir el escenario del ataque y recopilar evidencia para

demostrar un ataque.

• Cumplir con los requisitos de mandatos de cumplimiento al

demostrar cómo ocurrió el ataque.

• Identificar vulnerabilidades o lagunas en el sistema de seguridad

que condujeron a un ciberataque para sellar las lagunas y evitar futuros ataques.

Cuando se analiza un incidente, se debe tener cuidado de no destruir ni alterar la

evidencia. Al igual que la policía, nadie debe tocar nada en la escena del crimen. A

continuación, se presentan algunas mejores prácticas que se deben seguir para recopilar

los registros adecuados en el momento adecuado:

• Siempre se deben recopilar los registros antes de formatear o

incluso reiniciar el sistema.

• No se debe llevar a cabo ninguna actividad a nivel del sistema,

como la instalación de una nueva herramienta en la máquina infectada, antes de

realizar el análisis forense.

• Los registros del sistema operativo Windows se deben guardar,

incluyendo los registros de aplicación, seguridad y sistema desde el visor de

eventos.

• En el caso de los sistemas operativos Linux, se deben guardar los

registros boot.log, auth.log, kern.log, message, utmp y wtmp ubicados en el

directorio /var/log/.

• Es importante guardar los registros del antivirus en caso de un

ataque de malware.

• Si se está tratando con un acceso no autorizado, se deben recopilar

todos los registros del servidor de aplicaciones, registros de la aplicación, registros

2
 del servidor web, registros de la base de datos, registros del firewall, registros del

switch o router y cualquier otro registro donde se haya registrado una

autorización.

• En caso de un hackeo de red, se deben recopilar los registros de

todos los demás dispositivos que se encuentren en la ruta del dispositivo

hackeado. Los registros del enrutador del proveedor de servicios de Internet

también resultan útiles.

Explicación De Los Diferentes Tipos De Archivos De Registro Utilizados En

Sistemas Operativos Populares, Como Windows Event Logs, Logs De Linux, Logs

De Macos, Etc.

Tipos de archivos de registros de eventos en Windows

El registro de eventos se inició con tres archivos primarios; "Security", "System"

y "Application". Estos registros de eventos han mantenido su importancia a través de

todas las plataformas Windows. A lo largo del camino se han añadido registros de eventos

para realizar un registro especializado, los cuales han sido agrupados bajo los registros

"Personalizados"

Principales registros de eventos de Windows

• Registro de Eventos "Security": Graba los eventos basados sobre

criterios de auditoría proporcionado por las políticas de grupo global o local

• Registro de Eventos "System": Graba los eventos registrados por

el sistema operativo o sus componentes, como las fallas de un servicio a iniciar

durante el ciclo de inicio del sistema.

3
 • Registro de Eventos "Application": Graba los eventos registrados

por las aplicaciones, como la falla de Microsoft SQL Server para acceder hacia

una base de datos o la alerta de un antivirus.

Extensión de archivo de registro de eventos en Windows (.evtx)

¿Qué es un archivo EVTX?

Es un archivo de registro creado por el Visor de eventos de Windows; contiene

una lista de eventos registrados por Windows; guardado en un formato binario propietario

que sólo se puede ver dentro del programa Visor de eventos.

Ubicación de archivo

La ubicación del registro de eventos de Windows es la carpeta

C:\Windows\System32\winevt\Logs. Los registros de eventos se pueden verificar con

la ayuda de 'Visor de eventos' para realizar un seguimiento de los problemas en el sistema

Principales registros de eventos del sistema Mac

los archivos de registro del sistema en una Mac son informes de errores del sistema

y de las aplicaciones. Registran información detallada sobre los problemas del sistema o

software que han ocurrido

Ubicación

La ubicación de los registros del sistema en Mac suele estar en la carpeta Log

debajo de la carpeta var por defecto. Pero los archivos de registro de la aplicación se

4
encuentran en diferentes ubicaciones. Los registros de la aplicación del sistema se

almacenan en la carpeta Library en el volumen de arranque. Mientras que los registros de

aplicación de usuario se encuentran en la carpeta Library dentro de la carpeta Usuarios

en el disco de arranque.

Rutas específicas de archivos de registro en una Mac:

• Archivos de registro del sistema: /var/log

• Archivos de registro de aplicación del sistema: /Library/Logs

• Archivos de registro de aplicación de usuario: ~/Library/Logs (o

/Usuarios/NOMBRE/Library/Logs)

Para ver los registros del sistema en tu Mac, se debe usar la funcionalidad de Ir a

la carpeta del Finder para encontrarlos ya que por defecto están ocultos.

1. Abre el Finder.

2. Haz clic en el menú Ir en la barra de menú superior del Finder > Ir

a la carpeta.

5
 3. Escribir /var/log y presiona Enter.

Nombres y uso comunes de los archivos de registro de Linux

• /var/log/messages: Mensaje general y cosas relacionadas con el

sistema

• /var/log/auth.log: Registros de autenticación

• /var/log/kern.log: Registros del kernel

• /var/log/cron.log: Crond logs (cron job)

• /var/log/maillog : Registros del servidor de correo

• /var/log/qmail/: Directorio de registro Qmail (más archivos dentro

de este directorio)

6
 • /var/log/httpd/ : Directorio de registros de errores y acceso de

Apache

• /var/log/lighttpd/ : Directorio de registros de errores y acceso

lighttpd

• /var/log/nginx/ : Directorio de acceso y registros de errores de

Nginx

• /var/log/apt/ : Apt/apt-get historial de comandos y directorio de

registros

• /var/log/boot.log : Registro de arranque del sistema

• /var/log/mysqld.log : Archivo de registro del servidor de base de

datos MySQL

• /var/log/secure o bien: Registro de autenticación/var/log/auth.log

• /var/log/utmp o bien: Archivo de registros de inicio de

sesión/var/log/wtmp

• /var/log/yum.log o: Archivo de registro de comandos

Yum/Dnf./var/log/dnf.log

¿Cómo ver los archivos de registro en Linux?

Abrir la Terminal o iniciando sesión como usuario root usando el comando ssh.

Se va al directorio /var/log mediante el siguiente comando cd:

#cd/var/log

# ls

7
 Para ver un archivo de registro común denominado /var/log/messages, utilice

cualquiera de los siguientes comandos:

8
Técnicas Y Herramientas Utilizadas Para Recolectar Archivos De Registro De

Sistemas Operativos.

Existen diversas técnicas y herramientas utilizadas para recolectar archivos de

registro de sistemas operativos. Entre ellas están:

Registro de eventos del sistema operativo: Los sistemas operativos, como

Windows y Linux, registran eventos en archivos de registro específicos. Estos registros

contienen información detallada sobre el funcionamiento del sistema, como errores,

advertencias, actividades de inicio y cierre de sesión, cambios en la configuración, entre

otros. Puedes acceder a estos archivos utilizando herramientas nativas del sistema

operativo, como el Visor de eventos de Windows o el registro de syslog en Linux.

Herramientas de auditoría y monitoreo: Existen herramientas de terceros

diseñadas para auditar y monitorear sistemas operativos, y que permiten recolectar

registros de eventos de forma más eficiente. Estas herramientas pueden proporcionar una

interfaz gráfica para facilitar la búsqueda y el análisis de los registros. Algunas opciones

9
populares incluyen Splunk, ELK Stack (Elasticsearch, Logstash, Kibana), Nagios,

Zabbix, entre otros.

Herramientas forenses: En el ámbito de la ciberseguridad y la informática

forense, se utilizan herramientas especializadas para recolectar y analizar archivos de

registro en sistemas comprometidos o en investigación. Algunas herramientas forenses

comunes son Autopsy, The Sleuth Kit, EnCase, FTK (Forensic Toolkit), Volatility, entre

otras. Estas herramientas pueden extraer y analizar registros de sistemas operativos, así

como otros artefactos relevantes para la investigación forense.

10
 Recolección remota de registros: En entornos distribuidos o en redes

empresariales, es común utilizar sistemas de recolección remota de registros. Estos

sistemas permiten centralizar y almacenar los registros generados por múltiples sistemas

en un servidor central. Algunas soluciones populares incluyen syslog-ng, rsyslog,

Graylog y Splunk.

Scripts y comandos personalizados: En ocasiones, es posible que necesites

desarrollar scripts o comandos personalizados para recolectar registros específicos o

automatizar el proceso de recolección en sistemas operativos. Esto se puede lograr

utilizando lenguajes de scripting como Python, PowerShell o Bash, aprovechando las

utilidades y comandos nativos del sistema operativo.

11
 Es importante destacar que la recolección de archivos de registro debe realizarse

siguiendo las políticas y regulaciones aplicables, y considerando los aspectos legales y de

privacidad correspondientes. Además, el análisis de los registros recopilados puede

requerir conocimientos técnicos y especializados para identificar patrones, detectar

amenazas o resolver problemas específicos.

Soluciones Para Vulnerabilidad De Los Archivos De Registro De Sistemas

Operativos

Proteger la seguridad de los archivos de registro de los sistemas operativos es

crucial para salvaguardar la confidencialidad y la integridad de la información

almacenada en ellos. Hay varias medidas que se pueden tomar para abordar estas

vulnerabilidades:

• Es importante restringir el acceso a los archivos de registro

únicamente a usuarios autorizados, mediante la configuración adecuada de

permisos de archivo y políticas de seguridad.

• Implementar sistemas de monitorización y registros de auditoría

que alerten sobre cualquier actividad sospechosa en los archivos de registro.

• Encriptar los archivos de registro para proteger su contenido,

asegurando que solo las personas con la clave adecuada puedan acceder a la

información almacenada.

• Realizar copias de seguridad periódicas de los archivos de registro

para poder restaurarlos en caso de pérdida, corrupción o manipulación indebida.

• Mantener el sistema operativo y las aplicaciones actualizados con

las últimas correcciones de seguridad para mitigar las vulnerabilidades

conocidas.

12
 • Establecer procedimientos para revisar regularmente los archivos

de registro en busca de actividad sospechosa y tomar medidas correctivas de

manera oportuna.

Conclusiones

La Informática Forense en la actualidad ha tomado gran importancia porque

permite encontrar las evidencias necesarias y suficientes de un siniestro, evidencia que

pueden ser de gran valor en el momento de resolver un caso, en muchos de estos casos

puede ser la única evidencia disponible.

El análisis forense de archivos de registro de sistemas operativos es una

herramienta esencial en las investigaciones forenses digitales ya que proporciona

información crítica para reconstruir la secuencia de eventos y establecer una línea de

tiempo precisa.

Las metodologías mencionadas durante esta investigación, las técnicas y

herramientas que se aplican en Informática Forense, pueden ser comunes en otro tipo de

ámbitos, pero aquí y en conjunto ayudan a proporcionar información valiosa para

investigaciones forenses digitales. Este análisis permite el seguimiento de actividades,

la detección de intrusiones, la recopilación de evidencia y el análisis de incidentes,

contribuyendo a la resolución efectiva de casos y a la protección de la seguridad de los

sistemas operativos.

13
 Bibliografía

Automatic log parser to support forensic analysis. (s/f). Edu.au. Recuperado el 11 de

junio de 2023, de

https://researchportal.murdoch.edu.au/esploro/outputs/991005543139307891

Lerena, S. (2020, diciembre 9). Qué es un log, para qué sirve y algunos de los

principales tipos de log. Pandora FMS - The Monitoring Blog; Pandora FMS.

https://pandorafms.com/blog/es/logs/

What is a log file: Definition & types explained. (s/f). Sematext. Recuperado el 11 de

junio de 2023, de https://sematext.com/glossary/log-file/

Darkcrizt. (2018, diciembre 3). Graylog, una herramienta para la administración y

análisis de registros. Desde Linux. https://blog.desdelinux.net/graylog-una-herramienta-

para-la-administracion-y-analisis-de-registros/

14