Scribd
Cargar
200 vistas141 páginas

An For Win

Este documento trata sobre el análisis forense digital en entornos Windows. Explica conceptos clave como la recogida de evidencias digitales, el análisis de discos, y el análisis de evidencias específicas como cookies e historial de navegación. Incluye información sobre herramientas para la recopilación de datos físicos de ordenadores, la captura de memoria RAM, la generación de imágenes de discos para análisis offline, y técnicas para recuperar ficheros eliminados y extraer metadatos. El

Cargado por

simbiak
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
200 vistas141 páginas

An For Win

Este documento trata sobre el análisis forense digital en entornos Windows. Explica conceptos clave como la recogida de evidencias digitales, el análisis de discos, y el análisis de evidencias específicas como cookies e historial de navegación. Incluye información sobre herramientas para la recopilación de datos físicos de ordenadores, la captura de memoria RAM, la generación de imágenes de discos para análisis offline, y técnicas para recuperar ficheros eliminados y extraer metadatos. El

Cargado por

simbiak
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

5

ndice

ndice

Prlogo............................................................................................................................................... 9
Captulo I Anlisis forense e incidencias...................................................................................... 13
1. Introduccin............................................................................................................................... 13
2. Delitos informticos.................................................................................................................. 15
3. Principio de Locard................................................................................................................... 16
4. Definicin de anlisis forense.................................................................................................... 17
5. Respuesta a incidentes............................................................................................................... 18
6. Incidentes ms comunes............................................................................................................ 19
7. Evidencia digital........................................................................................................................ 20
8. RFC 3227. Recoleccin y manejo de evidencias...................................................................... 20
9. Buenas prcticas para la recogida y anlisis de los datos.......................................................... 23
Estudio preliminar...................................................................................................................................23
Equipos afectados....................................................................................................................................24
Utilizacin de herramientas.....................................................................................................................24
Tipo de copia del sistema........................................................................................................................25

10. Conclusiones............................................................................................................................ 25
Captulo II Respuesta a incidentes................................................................................................ 27
1. Recogida de informacin........................................................................................................... 27
2. Datos fsicos de los ordenadores afectados............................................................................... 27
3. Actualizaciones de seguridad: Service Packs, parches y hotfixes............................................. 28
Systeminfo...............................................................................................................................................29
PsInfo (SysInternals)...............................................................................................................................30
MSINFO32..............................................................................................................................................30
Net statistics.............................................................................................................................................31
Descubrimiento de servicios....................................................................................................................31
Netstat......................................................................................................................................................32
Tasklist.....................................................................................................................................................33
Fport (Foundstone)..................................................................................................................................34
Process Explorer (SysInternals)...............................................................................................................34
Procesos y conexiones ocultas.................................................................................................................36
g g g

Anlisis Forense Digital en Entornos Windows

5. DLL y verificacin de firmas..................................................................................................... 38


ListDlls....................................................................................................................................................38
Verificacin de firmas digitales................................................................................................................39
SigCheck (Microsoft SysInternals).........................................................................................................40

6. Accesos a disco . ....................................................................................................................... 42


Handle (SysInternals)..............................................................................................................................42
Comando DIR . .......................................................................................................................................42
MacMatch (FoundStone).........................................................................................................................43

7. Captura de evidencias fsicas..................................................................................................... 43


Procedimientos de adquisicin................................................................................................................44
Captura de la memoria RAM...................................................................................................................47
Instantneas de volumen (Shadow Copy)...............................................................................................56
Recogida de las evidencias en discos fsicos...........................................................................................62

9. Generacin y montaje de imgenes para anlisis offline........................................................... 70


10. Conclusiones............................................................................................................................ 74
Captulo III Anlisis forense de discos.......................................................................................... 75
1. Lnea temporal........................................................................................................................... 76
2. Indexacin de la informacin.................................................................................................... 80
3. Diferenciacin de la informacin basada en ficheros y firma de ficheros................................. 82
4. Bsqueda de datos..................................................................................................................... 85
5. Recuperacin de ficheros eliminados........................................................................................ 92
6. La metainformacin................................................................................................................... 96
La informacin EXIF...............................................................................................................................97
XMP.........................................................................................................................................................99
Metadatos en documentos ofimticos....................................................................................................100
Imgenes incrustadas.............................................................................................................................101
Imgenes borradas.................................................................................................................................102

7. Forensic FOCA........................................................................................................................ 104


Anlisis de datos con Forensic FOCA...................................................................................................105
Ejemplos de casos reales de utilizacin de metadatos...........................................................................107

8. Conclusiones............................................................................................................................ 108
Captulo IV Anlisis de evidencias.............................................................................................. 109
1. La Papelera de reciclaje. Estructura y funcionamiento........................................................... 109
2. Cookies. Estructura, funcionamiento y metodologa de acceso a la informacin................... 112
Limitaciones de las cookies................................................................................................................... 113
Riesgos reales de una cookie................................................................................................................. 113
Aplicacin para visualizar cookies: Galleta.......................................................................................... 113

3. Index.dat y Microsoft Internet Explorer. Estructura y funcionamiento................................... 113


Desde lnea de comandos...................................................................................................................... 115
Desde lnea de comandos con herramientas de terceros........................................................................ 115

g g g

ndice

4. Auditora de los accesos de usuario......................................................................................... 117


Registro de inicios de sesin en sistemas Microsoft Windows............................................................. 118
Netusers.................................................................................................................................................121
PsLoggedOn..........................................................................................................................................121
NtLast....................................................................................................................................................122

5. Recuperacin del Sistema (System Restore)........................................................................... 124


6. Registro de Microsoft Windows.............................................................................................. 126
Anlisis del registro...............................................................................................................................129
Equipos ocultos.....................................................................................................................................129
Most Recent Use & MRU.....................................................................................................................130
User Assist.............................................................................................................................................131
Dispositivos USB..................................................................................................................................132
ARES P2P (Peer to Peer).......................................................................................................................133
Autoruns................................................................................................................................................134
Exportacin de datos.............................................................................................................................135
Ubicaciones fsicas del registro de Windows........................................................................................136
RegView (Mitec Software)....................................................................................................................138
UserAssist..............................................................................................................................................138
Registry File Viewer (Mitec Software).................................................................................................139
Windows Registry Recovery (Mitec Software).....................................................................................140
RegRipper (Parsing Registry)................................................................................................................140

7. Conclusiones............................................................................................................................ 142
Captulo V Ficheros temporales.................................................................................................. 143
1. Ficheros de impresin.............................................................................................................. 143
Ubicacin de la informacin de impresin............................................................................................144
SPL (Microsoft Windows Spool File Format).......................................................................................145
Archivos de tipo RAW...........................................................................................................................146
SHD (Shadow file format).....................................................................................................................146
Herramientas de anlisis........................................................................................................................147

2. Memoria RAM........................................................................................................................ 149


Comandos bsicos WinDbg...................................................................................................................152
Acceso al registro a travs de WinDbg..................................................................................................155
Bsqueda de procesos............................................................................................................................156
Volatility Framework.............................................................................................................................160
Anlisis del archivo de paginacin........................................................................................................163

3. Conclusiones............................................................................................................................ 165
Captulo VI Anlisis forense de tramas de red........................................................................... 167
1. Introduccin al anlisis de paquetes de red............................................................................. 168
Cmo trabaja un analizador de protocolos............................................................................................169
Captura de informacin.........................................................................................................................169

2. Anlisis de correo electrnico................................................................................................. 171


MIME, S/MIME y SMTP......................................................................................................................172
Comandos SMTP...................................................................................................................................172
g g g

Anlisis Forense Digital en Entornos Windows


Protocolo extendido SMTP....................................................................................................................173
Post Office Protocol e Internet Message Access Protocol.....................................................................174
Internet Message Access Protocol (IMAP)...........................................................................................174
Anlisis..................................................................................................................................................175

3. Anlisis de un escaneo de puertos (PORT SCAN).................................................................. 179


Tipos de escaneos..................................................................................................................................184

4. Deteccin de escaneos............................................................................................................. 187


5. Deteccin de herramientas...................................................................................................... 188
Deteccin de Nessus..............................................................................................................................188
Deteccin de Nmap...............................................................................................................................189

6. Conclusiones............................................................................................................................ 191
Captulo VII Anlisis forense de malware.................................................................................. 193
1. Introduccin............................................................................................................................. 193
2. Qu es un malware?............................................................................................................... 193
Tipos de malware...................................................................................................................................193
Vas de infeccin...................................................................................................................................194

3. Antecedentes............................................................................................................................ 196
Preparacin de un entorno de anlisis...................................................................................................196

4. Tipos de anlisis...................................................................................................................... 201

Anlisis esttico.....................................................................................................................................201
Anlisis en base a comportamiento......................................................................................................206
Anlisis dinmico.................................................................................................................................. 211

5. Anlisis con VirusTotal............................................................................................................ 212


Mltiples motores de antivirus..............................................................................................................213
Mltiples analizadores de URL.............................................................................................................213
Caracterizacin y catalogacin de muestras..........................................................................................214
Envo de muestras a VirusTotal.............................................................................................................215
API pblica............................................................................................................................................215

Captulo VIII Reflexiones finales................................................................................................. 221


Bibliografa.................................................................................................................................... 225
ndice de imgenes........................................................................................................................ 227
ndice de tablas.............................................................................................................................. 233
ndice alfabtico............................................................................................................................ 235
Libros publicados.......................................................................................................................... 239
Productos....................................................................................................................................... 249
Servicios de Auditora en Informtica 64................................................................................... 255
g g g

También podría gustarte