Análisis Forense Fast Tracke1lisis%20... · ¿Qué es el Análisis Forense? Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos

Análisis Forense

Fast Track

Prof. Reinaldo n. Mayol Arnao

[email protected]

Conceptos InicialesParte 1

Reinaldo Mayol Arnao

2

¿Qué es el Análisis Forense?

Es un proceso, metodológicamente guiado, que

involucra los siguientes elementos, referidos a los datos

de un sistema computacional:

Preservación

Identificación

Extracción

Documentación

Interpretación


3

RFC3227. Recolección y manejo de

evidencias

RFC3227

Procedimiento de

recolección

Transparencia

Pasos de la recolección

Cadena de custodia

Como archivar una evidencia

Herramientas necesarias y medios de almacenamiento

de éstas


4

Orden de Jerarquía

Registros y contenidos de la caché.

Contenidos de la memoria.

Estado de las conexiones de red, tablas de rutas.

Estado de los procesos en ejecución.

Contenido del sistema de archivos y de los discos duros.

Contenido de otros dispositivos de almacenamiento.


5

+

-

Ciclo de Vida del Análisis

Forense

Diseño de Evidencia

Producción de la Evidencia

Recolección de la Evidencia

Análisis de la Evidencia

Reporte y Presentación

Determinación de Relevancia


6

HB171:2003 Handbook Guidelines forthe management of IT Evidence.]

Manipulación de la Evidencia

Si no se toman las medidas adecuadas para la

manipulación de la evidencia esta puede perderse o

resultar inaceptable como prueba.

7

Manipulación de la Evidencia

Uno de los elementos que se utilizan son las

Cadenas de Custodia

Una adecuada Cadena de Confianza debe

responder, para cada evidencia, las siguientes

interrogantes:

¿Quién colectó la evidencia?

¿Cómo y donde fue colectada?

¿Quiénes tuvieron posesión y acceso a la evidencia?

¿Cómo fue almacenada y protegida?

¿Quién la ha manipulado?

8

Autentificación de la

Evidencia

El objetivo de este paso es proveer un mecanismo que garantice la evidencia colectada no pueda ser modificada o sustituida sin que el investigador pueda notarlo.

Por lo general, se recomienda utilizar algoritmos de HASH (SHA2!!!!!) capaces de crear un hash de la evidencia que garantice su integridad.

Se puede firmar digitalmente el hash de cada evidencia garantizando de esta forma que la misma no pueda ser sustituida.

9

Características de la

evidencia forense digital

Si alguien intenta destruir las evidencias, podemos

tener copias igual de válidas lejos del alcance del

criminal.

El proceso de autenticación siempre siembra dudas

sobre la veracidad de la prueba.

Adquirir una copia de la evidencia puede ser un proceso

difícil y delicado.

Las pruebas pueden ser modificadas incluso durante su

recolección.

10



No solo hay que validar las copias sino incluso el

momento en que se realizan.

La autentificación de la evidencia requiere mecanismos

externos como: certificados digitales, autoridades de

certificación y cadenas de certificación acordes a las

leyes de un país o incluso de una organización.

11



Pueden ser duplicadas de forma exacta y la copia

puede examinarse como si fuera el original.

Con las herramientas adecuadas “es muy fácil”

determinar si la evidencia ha sido modificada o

falsificada comparándola con la original.

Es relativamente difícil de destruir, incluso borrándola,

la evidencia digital puede ser recuperada de un disco.

12

¿Hasta Donde ?

Es posible definir con exactitud el 80 % de lo que

ha hecho un sospechoso el…20% del

TIEMPO

13

Práctica 1 Creando Imágenes

Forense En esta práctica utilizaremos el comando dd de Linux para la

creación de una imagen del disco duro de la estación.

Inicie Backtrack ( también se puede realizar prácticamente con cualquier distribución sin instalar software adicional)

Abra un Shell y como root ejecute el siguiente comando

# dc3dd if=/dev/sdb of=imag.dat

Es un buen momento para tomar café. El proceso demorará en función del tamaño de la imagen a crear. Este proceso crea una imagen bit a bit de la partición o volumen declarado en la opción if la imagen creada se obtiene según lo declarado en la opción of.


14

Conociendo el sistema de

ArchivosParte 2


15

Organización de los DatosLos SO agrupan varios sectores consecutivos

FAT, NTFS: Clusters

EXT? (*nix): Blocks


16

1 sector: generalmente

512 bytes

Niveles del Sistema de

Archivos

• File Name Nombre de los Archivos

• Metadata Información de la Estructura del F. S

• Datos Clúster, Blocks

• Sistema de Archivos Información de Particiones

• Físico Disco Físico


17

Particiones D.O.S

Comenzamos Revisando como se guarda la

configuración del DISCO

Particiones DOS

Las particiones tipo DOS se utilizan en la mayoría de los

sistemas operativos, incluyendo Linux.


19

Sólo 4 entradas

Imagen t

om

ada d

e:

Carr

ier

B.

F.S

Fore

nsi

cAnaly

sis,

2005.

modif

icada p

or

R.M

ayol

Particiones Extendidas (E. P) Con 4 entradas solamente

no es posible cubrir las

necesidades de los sistemas

modernos.

Una partición extendida

contiene una segunda tabla

de particiones y puede

describir 2 particiones. (

una para el F. S y otra para

otra E.P)


20

Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol

MBR Partition Table

ExtendedPartition Table

Tabla de Particiones

Posición Longitud en

Bytes

Contenido

0 1 Estado de la partición 00h no activa, 80h activa

1 1 Comienzo de la partición ( cabezal)

2 2 Sector y Cilindro donde comienza la partición

4 1 Tipo de Partición

5 1 Cabezal donde la partición termina

6 2 Sector y Cilindro donde la partición termina

8 4 Distancia, en sectores (por omisión

512B/sector) desde la tabla de particiones al

primer sector de la partición

12 4 Longitud ( en sectores) de la partición


21

Ej. Partición de 40 GB

Tabla de Particiones


22

Byte 446

Continuación


23

80 01 01 00 07 FE F8 FF 38 00 00 00

10 B3 FF 04 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 55 AA

Partición activa Sector 1, Cilindro 0

Partición NTFS

Termina: Sector F8(248) cilindro FF

La partición inicia

56 sectores desde

el inicio de la

tabla

83866384

Sectores *

512B= 40GB

Fin de la Tabla de Particiones

Algunos Tipos de Particiones

Hex

Valor

Tipo

0C FAT 32

83 Linux

82 Linux Swap

07 NTFS

a8 MacOSX


24

Slack Space

La unidad mínima de direccionamiento son los clusters.

El S.O sólo puede direccionar clusters.

Si un archivo es menor que el tamaño del cluster el

espacio sobrante se pierde.

Este espacio es interesante, desde el punto de vista

forense, ya que normalmente puede contener datos de

otros archivos que utilizaron anteriormente el cluster.


25

Práctica 2 MBR


26

Inicie la máquina virtual Backtrack y

localice la imagen del disco creado en la

práctica anterior.

Utilice el comando hexedit para visualizar el

contenido el archivo de imágenes.

root@bt:~# hexedit imag2.dat

Localice la Tabla de Particiones (note que

las posiciones están en hexadecimal)

A partir de la tabla de particiones describala estructura de las mismas.

Práctica 2 Cont…


27

Utilice el comendo mmls para ver la tabla de particiones. Esta información

puede ser útil. A continuación se muestra un ejemplo. Sus resultados pueden ser

diferentes.

root@bt:~# mmls /dev/sda -t dos

DOS Partition Table

Offset Sector: 0

Units are in 512-byte sectors

Slot Start End Length Description

00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)

01: ----- 0000000000 0000002047 0000002048 Unallocated

02: 00:00 0000002048 0040105983 0040103936 Linux (0x83)

03: ----- 0040105984 0040108031 0000002048 Unallocated

04: Meta 0040108030 0041940991 0001832962 DOS Extended (0x05)

05: Meta 0040108030 0040108030 0000000001 Extended Table (#1)

06: 01:00 0040108032 0041940991 0001832960 Linux Swap / Solaris x86

(0x82)

07: ----- 0041940992 0041943039 0000002048 Unallocated

NTFSNew Technologies File System

Ahora que ya conocemos la estructura del disco nos interesan las particiones

Sistema de Archivos de NTFS

Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control.

Existe una entrada de 1KB en la MFT por cada archivo o directorio en el volumen.

El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr

Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos) y el resto son atributos no previamente definidos.


Metadata

Todos los sistemas de archivos dedican algunos archivos a contener información que describe a otros archivos.

NTFS : MFT ( Master File Table)

*nix :Inodos

FAT: Entradas de Directorio.


30

Metadata

Los archivos de Metadatos contienen información como:

MAC times,

permisos,

propietarios,

tamaño de los archivos,

localización,

etc.Reinaldo

Mayol Arnao

31

Metadata FILES


32

Archivos de Metadata

Índice

$MFT

Nombre del Archivo Descripción

0 $MFT MFT

1 $MFTmirr Archivo de Respaldo del MFT

2 $LogFile Registro de las transacciones de metadata

3 $Volume Información sobre el volumen

4 $AttrDef Información sobre atributos

5 $Root Directorio Root del F.S

6 $Bitmap Mapa de disponibilidad de cada cluster

7 $Boot Boot Sector

8 $BadClus Mapa con clusters que contienen sectores dañados

9 $Secure Información de Seguridad

10 $Upcase Versión de cada carácter Unicode

11 $Extend Contiene file para extensiones opcionales.


33

Sistema de Archivos NTFS

cont..

La localización del MFT está definido en el Boot Sector del F.S

Un MFT almacena los atributos de los archivos y subdirectorios incluyendo el nombre, MAC, permisos, flags de estado, entre otros.

Si un archivo no puede contener todos sus atributos en una sóla entrada utiliza entradas consecutivas.

Adicionalmente el MFT almacena parte ( o su totalidad) de la data (dependiendo del tamaño del archivo, menor a 1500Bytes)


34

Estructura del $MFT

Cada entrada al MFT es direccionada usando un valor de

48 bits, comenzando por 0.

Formalmente las primeras 16 entradas ( en la práctica

24) son para localizar los archivos de metadata del F. S

Los archivos de metadata se encuentran en la raíz del F.

S y comienzan por $


35

Entradas MFT

Cada entrada es secuencialmente numerada usando un

valor de 48 bits.

Cada entrada tiene además un número de Secuencia de

16 bits que es incrementado cuando la entrada es

localizada.

Ambos valores se combinan para formar un valor de 64

bits que se utiliza como referenciador de los archivos.


36

Entradas MFT ( Ejemplo)


37

Header MFT Atributos Entrada MFT

Atribute Header Espacio no utilizado

Atribute Header: • Tipo• Tamaño• Nombre

Header

MFT$STANDARD_INFORMATION $FILE_NAMESTANDARD_INFORMATION $DATA

Práctica 3 Técnicas

Antiforense ADS

Vaya a este enlace y realice la práctica descrita

https://www.dropbox.com/s/dk8fh5orau524np/Alternative

DS.txt


38

Formato Simplificado de una

ENTRADA a la MFT

Para un archivo:

Header

$FILE_NAME(48)

$ STANDART_INFORMATION(16)

$DATA(128)

Para un subdirectorio:

Header

$INDEX_ROOT

$INDEX_ALLOCATION


Atributos ( algunos, sólo

algunos)

• Información general, tales como flags, MAC Times, ID del propietario

$STANDARD_INFORMATION:

•Nombre del Archivo en Unicode,MAC TIME del nombre

SFILE_NAME

• Contenido del Archivo$DATA:

•Nodo Raíz del árbol de índices$INDEX_ROOT

•Nodos del árbol de índices$INDEX_ALLOCATION

•Mapa de Bits del MFT $BITMAT


40

Boot Sector Partición NTFS


41

Boot Sector

Cluster: Grupo de Sectores Consecutivos.

Boot Sector

Byte Offset

Hex (Dec)

Longitud

(bytes)

Significado

0 (0) 3 Instrucción Jump

3 (3) 8 Identificación en ASCII del formato del Disco

0B(11) 2 Bytes por Sector ( 512,1024,2048, 4096)

0D(13) 1 Sectores/clusters ( potencias de 2 hasta 32KB)

0E (14) 2 Tamaño en Sectores del Área reservada

10 (16) 3 Siempre en 00

13 (19) 2 No usado por NTFS

15 (21) 1 Media Type . 0xf8 discos fijos. 0xf0 removibles

16 (22) 2 Siempre en 00

18 (24) 2 Sectores por Pista

1 A (26) 2 Número de Cabezales

1 C (28) 4 Sectores Ocultos

20 (32) 8 No usado por NTFS

28 (40) 8 Número de sectores en el disco


42

Boot Sector Cont….

Offset

Hex (Dec)

Longitud

(bytes)

Significado

30 (48) 8 Número de Cluster lógico para el archivo

$MFT

38 (56) 8 Número de Cluster lógico para el archivo

$MFTMirr

40 (64) 4 Clusters por Segmento de Entrada de Archivo

44 (68) 4 Clusters por Index Block

48(72) 8 Número de Serie del Volumen

50(80) 4 Número de Chequeo

54-1FD (84-

509)

425 Reservado

1FE (510) 2 Fin 0X55AA


43

Práctica 4

Vaya a este enlace y realice la práctica descrita

https://www.dropbox.com/s/4bp0x3ny8v3gy8u/NTFSBOOT

SEC.txt


44

Práctica 5 Analizando NTFS

Vaya al enlace a continuación y realice la práctica

descrita

https://www.dropbox.com/s/fd35v09xg1qa836/NTFS.txt


45

Sistemas de Archivo de

LinuxExt*


46

Ext

El F.S comienza con un área reservada y el resto está

dividido en sectores llamados grupos de bloques.

Todos los grupos de bloques, excepto el último

contienen la misma cantidad de bloques.

Un bloque es un conjunto de sectores consecutivos

(1024,2048,4096 bytes)

La información de la estructura del F.S es almacenada

en una estructura llamada SuperBlock la cual se

encuentra localizada el inicio del F.S

Los metadatos de cada archivo o directorio son

almacenados en estructuras llamadas inodos


47

Ext cont…

Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits)

Existe un inodo por cada archivo o directorio existente

Existe una tabla de inodos para cada grupo de bloques.

Los primeros 10 inodos tienen funciones fijas y están siempre localizados. El inodo 11 se utiliza para el subd lost+found

Los nombres de archivos son almacenados en las entradas de los directorios que los contienen.

Esas entradas de directorio son estructuras simples que contienen el nombre de los archivos y un puntero al inodo correspondiente.


48

Inodos

Cada inodo tiene un número fijo de campos .

Un inodo contiene:

Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096 1019)

Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups)

Información temporal ( último acceso, modificación, borrado, cambio de la metadata)

Permisos

Tipo de archivos

Los tiempos son almacenados en la cantidad de segundos desde 1ro Enero 1970.


49 Los tiempos son almacenados en la cantidad de segundos desde 1ro Enero

1970.

Entradas de directorio,

inodos y bloques de datos


50

archivo1

MetadataMetadata

MetadataMetadata

MetadataMetadata

Entradas de Directorio

Inodos Bloques de Contenido

Inodos Cada inodo puede almacenar las direcciones de los primeros 12

bloques de un archivo. (bloques directos)

Si un archivo requiere mas de 12 bloques se localiza un bloque para

almacenar los punteros a otros bloques( bloques indirectos)


51

Inodos


52

Ext cont…

Ext tiene un grupo de opciones organizadas en 3

categorías basadas en que debe hacer el sistema

operativo si alguna de ellas no es soportada.

Las opciones compatibles son aquellas que pueden ser

ignoradas por el S.O que monta un F. S incluso si no las

soporta. EJ. Journals

Las opciones incompatibles si no son soportadas el F. S no

será montado. Ej. Cifrado

Las compatibles de solo lectura implican que el F. S será

montado pero solo en modo Read-Only. Ej. Estructuras en

arbol en lugar de listas.


53

Superblock y Descriptor de

Bloques

El Superblock es localizado al inicio del F. S ocupando los primeros 1024 bytes ( aunque utiliza sólo unos pocos)

Contiene la estructura del F. S ( similar al BootSector en NTFS) y de configuración.

Copias de respaldo pueden ser encontradas en el primer bloque de cada grupo de bloques.

Información contenida:

Tamaño de los bloques

Número total de bloques por grupo de bloques

Número de bloques reservados antes del primer grupo de bloques.


54


Bloques También puede incluir:

Nombre del volumen

Fechas de montaje y escritura

Sitio del último montaje

Consistencia del F. S

Número total de inodos y bloques

disponibles

Opciones habilitadas.


55


Bloques

En Linux una opción llamada Sparse

Superblock está siempre habilitada y hace que

sólo algunos grupos de bloques contengan

copias del Superblock.

El Superblock tiene una firma ( 0xef53) en los

bytes 56 y 57, desafortunadamente es

demasiado pequeña y buscarla conduce a gran

cantidad de falsos positivos


56

Buscando la firma..

root@bt:~# sigfind -o 56 -l ef53 /dev/sda1Block size: 512 Offset: 56 Signature: 53EFBlock: 2 (-) Block: 262144 (+262142) Otras aparicionesBlock: 346505 (+84361)


57

Primera aparición de la firma

Tabla de Descriptores de

grupos de bloque

En el bloque siguiente del superblock se encuentra la tabla

descriptora de grupos de bloque.

Comúnmente existe copias de tabla en los bloques de grupo ( ver

figura inferior)

Un F.S en linux tiene igual número de bloques por grupo que bits en

un block. Por lo tanto el BlockBitmap requiere un bloque.


58

Backup

SuperB.

Tabla desc.

De gruposBlockBitmap

Inode

Bitmap

Tabla de

InodosDatos Datos

Estructuras Ext: SuperBlock

(selección de campos)

Byte Descripción

0-3 Número de Inodos en el FS

4-7 Número de Bloques en el F. S

8-11 Número de bloques reservados

12-15 Número de bloques disponibles ( no usados)

16-19 Número de inodos disponibles ( no usados)

20-23 Bloque donde el Grupo de Bloques 0 comienza

24-27 Tamaño del bloque ( número de lugares para

desplazar 1024 a la izquierda) Ej: 0-1024, 2-

4096

32-35 Número de bloques en cada grupo de bloques

40-43 Número de inodos en cada grupo de bloques

44-47 Fecha del último montaje

48-51 Fecha de la última escrituraReinaldo

Mayol Arnao

59

Estructuras Ext: SuperBlock

(selección de campos) cont..

Bytes Descripción

52-53 Contador de montajes

54-55 Máximo número de montajes sin chequeo

56-57 Firma del F.S (0xef53)

58-59 Estado del F.S ( limpio, con errores, con archivos

perdidos)

104-

109

ID del Volumen

136-

199

Subdirectorio donde fue montado por última vez


60

Recuerde que esta no es la tabla entera de los campos del Superblock. Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystemimplementor's guide, Part 8.

RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES

http://www.ibm.com/developerworks/linux/library/l-fs8.html

http://www.ibm.com/developerworks/linux/library/l-fs8.html

Una mirada al SuperBlock


61

1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe comenzar en el bit 1024 (0x400).2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos3-Los bytes del 4-7 informan el número de bloques=240254 bloques4- Los bytes 56-57 (0x38) contienen la firma 0xef53

Práctica 6: Analizando

particiones EXT

Vaya al enlace que se muestra y realice la práctica

descrita

https://www.dropbox.com/s/vzjevg541h8js9z/ext.txt


62

Tabla descriptora de grupos Tiene una entrada por cada grupo de bloques existente en el F. S

Comienza en el segundo bloque


63

byte Descripción

0-3 Dirección de inicio del bloque del bitmap

del bloque

4-7 Dirección de inicio del bloque del bitmap de

inodos

8-11 Dirección de inicio del bloque de la tabla de

inodos

12-13 Número de bloques disponibles en el grupo

14-15 Número de inodos disponibles en el grupo

16-17 Número de directorios en el grupo

18-31 No usados

Cuando se crea un archivo

El SO debe utilizar un inodo para el nuevo archivo.

Trata de hacerlo en el mismo grupo de bloques del

directorio que contiene el archivo

Si no es posible se busca un nuevo grupo para localizar

el inodo.


64

Cuando se crea un directorio

Se trata de localizar en un grupo que no haya sido

utilizado mucho ( equilibrando el uso del disco)( mucho

es cantidad de inodos ocupados no veces!)

Para encontrarlo el S.O puede obtener del superblock el

número de inodos y bloques libres.

Con este valor se comienza a buscar por los grupos de

bloques hasta encontrar a uno que tenga un valor por

debajo del valor promedio de utilización.


65

Los inodos y la creación

Cuando un inodo es localizado toda su información anterior es borrada.

Un atributo llamado link count es puesto a 1 ( en caso de archivos) y 2 para directorios

Cuando se borra un archivo el contador es decrementado, si llega a 0 el inodo es considerado libre.

Si un archivo es borrado y alguna aplicación lo tiene todavía abierto pasa a ser considerado un orphan file y es inscrito en una lista en el superblock.

Cuando la aplicación cierra el archivo o cuando el sistema se reinicia el inodo es liberado.


66

Pero recuerdeHay muchos otros sitios donde buscar

Y sobre todo:

LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS RESULTADOS OBTENIDOS POR UN INVESTIGADOR:

-ENTRENADO

-PACIENTE

-DISCIPLINADO

-CREATIVO


67

¿Dónde mas buscar ?

Otros sitios donde buscar en

*nix?

• contiene los mensajes generales del sistema

/var/log/messages

• guarda los sistemas de autenticación y seguridad

/var/log/secure

• guarda un historial de inicio y cierres de sesión pasadas

/var/log/wmtp

• guarda una lista dinámica de quien ha iniciado la sesión

/var/run/utmp

• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)

/var/log/btmp


Permisos UNIX


R: Lectura

W: Escritura

X: Ejecución

111 110 111

Resto

Permiso

Negado

Permiso

Otorgado

Grupo

Propietario

Archivos Ocultos

En UNIX los archivos ocultos se distinguen por comenzar

por un “. “

# ls –a

.home

.stach

.gnome$


Casos típicos de intrusión

( ejemplos)

• Apache :23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh

• Un usuario “demonio” no debe tener shell válido ( /bin/shell)

Usuarios del Sistema con Shell Válido

• User:23wedjgjf:0:0:Usuario General:/home/user:/bin/csh

• El UID 0 está reservado SOLO para el root

Más de un superusuario

• User:23wedjg”jf:500:500:Usuario General:/var/www:/bin/csh

• ¿Por qué un usuario general tiene como HOME el subdirectorio de Apache?

Usuarios con HOME

incorrectoReinaldo

Mayol Arnao

SUID y SGID

_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at

_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport


SUID

SGID

Servicios Disponibles

Revisar todo el árbol /etc/ rc*

Ejecutar (si es posible) alguna herramienta de búsqueda

de puertos abiertos.

Tener en cuenta que muchos servicios pueden ser

manejados por Superdemonios (inetd)


Ejemplo típico de Intrusión

Servicios Arrancados

fuera de orden

Scripts de Arrancada

“ Adulterados”

Bibliotecas o Binarios

AlteradosReinaldo

Mayol Arnao

Cuentas de Usuarios

Revisar /etc/passwd

Si existe /etc/shadow


Trabajos temporizados

Revisar los archivos relacionados con el cron del sistema


Y en Windows??Algunos sitios donde buscar información adicional en Windows


77

Otras fuentes de información

Los archivos de acceso directo

Index.dat

Thumbs.db

Entradas del registro


Index.dat


Index.dat


Análisis de Temporales


Análisis de Atajos


El registro

Los registros se encuentran

en varios archivos ocultos en: %systemroot%\system32\config y

NTUSER.DAT.

Un auditor forense debe hacer

copias de los archivos del

registro y visualizarlos en otro

editor.


Logs

Los archivos Log de una máquina, son una fuente de información importantísima en un análisis

forense.

SysEvent.Evt. Registra los

sucesos relativos al

sistema

SecEvent.Evt. Registra los

sucesos relativos a la

seguridad

AppEvent.Evt. Registra los

sucesos relativos a

aplicaciones


Log con Visor Externo


Más donde buscar: Archivos

Recientes


Más donde buscar: SystemInfo

C:\>systeminfo

Nombre de host: MEFISTONombre del sistema operativo: Microsoft Windows XP ProfessionalVersión del sistema operativo: 5.1.2600 Service Pack 2 Compilación

2600Fabricante del sistema operativo: Microsoft CorporationConfiguración del sistema operativo: Estación de trabajo

independienteTipo de compilación del sistema operativo: Uniprocessor FreePropiedad de: Reinaldo Mayol ArnaoOrganización registrada: ULAId. del producto: 55274-640-4467482-23960Fecha de instalación original: 20/11/2007, 10:27:26 p.m.Tiempo de actividad del sistema: 0 días, 12 horas, 28 minutos, 33

segundosFabricante del sistema: CLEVO Co.Modelo el sistema: M550SE/M660SETipo de sistema: X86-based PC


Más donde buscar: SystemInfo

Cont…Procesador(es): 1 Procesadores instalados.

[01]: x86 Family 6 Model 14 Stepping

12 GenuineIntel ~1861 Mhz

Versión del BIOS: MSTEST - 6040000

Directorio de Windows: C:\WINDOWS

Directorio de sistema: C:\WINDOWS\system32

Dispositivo de inicio: \Device\HarddiskVolume1

Configuración regional del sistema: 0c0a

Idioma: 0000040A

Zona horaria: N/D

Cantidad total de memoria física: 894 MB

Memoria física disponible: 168 MB

Memoria virtual: tamaño máximo: 2.048 MB

Memoria virtual: disponible: 2.004 MB

Memoria virtual: en uso: 44 MB

Ubicación(es) de archivo de paginación: C:\pagefile.sys

Dominio: INICIOMS

Servidor de inicio de sesión: \\MEFISTO

Revisión(es): 170 revisión(es) instaladas.


Estado de los servicios

C:\>sc query >>scSERVICE_NAME: ALGDISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n

TYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING

(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0

SERVICE_NAME: AudioSrvDISPLAY_NAME: Audio de Windows

TYPE : 20 WIN32_SHARE_PROCESSSTATE : 4 RUNNING

(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0

………


Conexiones Establecidas

C:\>netstat

Conexiones activas

Proto Dirección local Dirección remota Estado

TCP mefisto:2852 bd07f3d2.virtua.com.br:https ESTABLISHED

TCP mefisto:2855 wr-in-f189.google.com:http ESTABLISHED

TCP mefisto:2856 by1msg3275906.phx.gbl:1863 ESTABLISHED

TCP mefisto:2876 eo-in-f147.google.com:http CLOSE_WAIT

TCP mefisto:2879 by1msg5082501.phx.gbl:1863 ESTABLISHED

TCP mefisto:2890 wx-in-f83.google.com:http CLOSE_WAITReinaldo

Mayol Arnao

En muchos otros sitios ….

Imágenes ( esteganografía )


Reto Final

El profesor le entregará un reto final. ¿Se anima a

encontrar las evidencias ( si las hay) de un caso de

prostitución y tráfico de drogas?


92

Y mucho mas…Prof. Reinaldo Mayol Arnao


93

Documents

Análisis Forense Fast Tracke1lisis%20... · ¿Qué es el Análisis Forense? Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos