Software">
Unidad 5. Análisis Forense de Sistemas Operativos
Unidad 5. Análisis Forense de Sistemas Operativos
Unidad 5. Análisis Forense de Sistemas Operativos
DE SEGURIDAD DIGITAL
Análisis Forense Digital
Análisis Forense de
Sistemas
Operativos
Unidad 5. Análisis forense de sistemas
operativos
4
5.1 Análisis forense de Windows
Editor de registro de Windows
6
El Editor de Registro es una utilidad
gráfica dentro de Windows que permite
a determinados usuarios poder entrar
en el Registro del sistema y realizar
cambios complejos.
Está orientado a un uso avanzado del
sistema y desde aquí podremos
modificar prácticamente cualquier
elemento del sistema
También sirve para auditar el sistema
operativo y hacer análisis forense
digital.
7
Estructura del Registro en Windows
El Registro de Windows se describe como un sistema de archivos unificado, aunque contiene cinco
carpetas jerárquicas principales.
Las cinco carpetas principales se denominan colmenas y comienzan con HKEY (Handle to a Key).
Cada una de estas colmenas se compone de claves que contienen valores y subclaves.
Los valores son los nombres de los elementos que identifican de forma única valores específicos
pertenecientes al sistema operativo o a las aplicaciones que dependen de ese valor.
Las claves dependen de las carpetas y las subclaves dependen de las subcarpetas del Explorador
de Windows.
Los valores clave son similares a los archivos en el Explorador de Windows.
8
Funciones de clave raíz
Función Descripción
HKEY_CLASSES_ROOT (HKCR) Contiene información de que el programa correcto se abre cuando se ejecuta en el
Explorador de Windows. También contiene información sobre accesos directos, reglas de
arrastrar y soltar e interfaces de usuario. La clave contiene la siguiente ruta: HKLM \
Software \ Classes.
HKEY_CURRENT_USER (HKCU) Contiene información de configuración para la cuenta de usuario que está actualmente
registrada en el sistema. Los datos pertenecen a los colores de la pantalla, la configuración
del Panel de control y las carpetas de usuario. Los alias para las ramas específicas del
usuario se pueden encontrar en la siguiente clave principal: HKEY_USERS.
HKEY_LOCAL_MACHINE (HKLM) Contiene información sobre el hardware de la máquina en la que se ejecuta el sistema
operativo. Incluye una lista de unidades montadas en el sistema y configuraciones
genéricas de hardware y aplicaciones instalados.
HKEY_USERS (HKU) Contiene información de configuración de perfiles de usuario completos en el sistema,
que pertenecen a configuraciones de aplicaciones y ajustes visuales.
HKEY_CURRENT_CONFIG (HCU) La clave raíz almacena información sobre la configuración actual del sistema. Contiene la
siguiente ruta: HKLM \ Config \ profile.
9
Abrir el editor de Registro en Windows
10
Editor de registro de Windows
11
Ubicaciones de ejecución automática
12
Ubicaciones de ejecución automática
Las ubicaciones comunes de ejecución automática se enumeran a continuación:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
14
Tecla RunMRU
15
Redes inalámbricas
16
Vista del registro de redes inalámbricas
17
Computadoras LAN
18
Computadoras LAN
19
Dispositivos USB
20
Clave de registro de dispositivos USB
21
Internet Explorer
22
Clave TypedURLs
23
5.2 Análisis Forense de Linux
25
Registros Log de Linux
26
Registros Log de Linux
27
Registros Log de Linux
28
Registros Log de Linux
29
5.3 Análisis Forense de MAC
Registros Log de Mac
31
Registros Log de Mac
33
Visor Console de Mac
34
ewqrewrew
¡Muchas gracias!
wewerwer
CENTRO NACIONAL
DE SEGURIDAD DIGITAL