Software">
Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 80 vistas

    Unidad 5. Análisis Forense de Sistemas Operativos

    Cargado por

    CH P. Walter
    Este documento describe las herramientas y técnicas de análisis forense de sistemas operativos Windows. Explica que el Editor de Registro de Windows permite a los administradores acceder y modificar la configuración del sistema operativo almacenada en el Registro. También describe las ubicaciones comunes en el Registro que contienen información sobre programas de inicio automático, redes inalámbricas conectadas, computadoras en la red local y dispositivos USB conectados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Unidad 5. Análisis Forense de Sistemas Operativos

    Cargado por

    CH P. Walter
    80 vistas36 páginas
    Este documento describe las herramientas y técnicas de análisis forense de sistemas operativos Windows. Explica que el Editor de Registro de Windows permite a los administradores acceder y modificar la configuración del sistema operativo almacenada en el Registro. También describe las ubicaciones comunes en el Registro que contienen información sobre programas de inicio automático, redes inalámbricas conectadas, computadoras en la red local y dispositivos USB conectados.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe las herramientas y técnicas de análisis forense de sistemas operativos Windows. Explica que el Editor de Registro de Windows permite a los administradores acceder y modificar la configuración del sistema operativo almacenada en el Registro. También describe las ubicaciones comunes en el Registro que contienen información sobre programas de inicio automático, redes inalámbricas conectadas, computadoras en la red local y dispositivos USB conectados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    80 vistas36 páginas

    Unidad 5. Análisis Forense de Sistemas Operativos

    Cargado por

    CH P. Walter
    Este documento describe las herramientas y técnicas de análisis forense de sistemas operativos Windows. Explica que el Editor de Registro de Windows permite a los administradores acceder y modificar la configuración del sistema operativo almacenada en el Registro. También describe las ubicaciones comunes en el Registro que contienen información sobre programas de inicio automático, redes inalámbricas conectadas, computadoras en la red local y dispositivos USB conectados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 36

    CENTRO NACIONAL

    DE SEGURIDAD DIGITAL
    Análisis Forense Digital

    Ing. Maurice Frayssinet Delgado


    mfrayssinet@gmail.com
    Tfl. (+51)980.997.203
    Unidad 5

    Análisis Forense de
    Sistemas
    Operativos
    Unidad 5. Análisis forense de sistemas
    operativos

    5.1 Análisis forense de Windows


    5.2 Análisis forense de Linux
    5.3 Análisis forense de MAC

    4
    5.1 Análisis forense de Windows
    Editor de registro de Windows

    Una de las herramientas más importantes para los administradores y


    personal de soporte de IT es sin lugar a dudas el editor de registros de
    Windows.
    La herramienta de Editor de Registro nos permite tener acceso a las
    claves administrativas del sistema cuyas modificaciones pueden
    alterar sustancialmente el correcto funcionamiento del equipo para
    modificar bien el Registro del sistema.

    6
    El Editor de Registro es una utilidad
    gráfica dentro de Windows que permite
    a determinados usuarios poder entrar
    en el Registro del sistema y realizar
    cambios complejos.
    Está orientado a un uso avanzado del
    sistema y desde aquí podremos
    modificar prácticamente cualquier
    elemento del sistema
    También sirve para auditar el sistema
    operativo y hacer análisis forense
    digital.

    7
    Estructura del Registro en Windows

     El Registro de Windows se describe como un sistema de archivos unificado, aunque contiene cinco
    carpetas jerárquicas principales.
     Las cinco carpetas principales se denominan colmenas y comienzan con HKEY (Handle to a Key).
     Cada una de estas colmenas se compone de claves que contienen valores y subclaves.
     Los valores son los nombres de los elementos que identifican de forma única valores específicos
    pertenecientes al sistema operativo o a las aplicaciones que dependen de ese valor.
     Las claves dependen de las carpetas y las subclaves dependen de las subcarpetas del Explorador
    de Windows.
     Los valores clave son similares a los archivos en el Explorador de Windows.

    8
    Funciones de clave raíz
    Función Descripción
    HKEY_CLASSES_ROOT (HKCR) Contiene información de que el programa correcto se abre cuando se ejecuta en el
    Explorador de Windows. También contiene información sobre accesos directos, reglas de
    arrastrar y soltar e interfaces de usuario. La clave contiene la siguiente ruta: HKLM \
    Software \ Classes.
    HKEY_CURRENT_USER (HKCU) Contiene información de configuración para la cuenta de usuario que está actualmente
    registrada en el sistema. Los datos pertenecen a los colores de la pantalla, la configuración
    del Panel de control y las carpetas de usuario. Los alias para las ramas específicas del
    usuario se pueden encontrar en la siguiente clave principal: HKEY_USERS.
    HKEY_LOCAL_MACHINE (HKLM) Contiene información sobre el hardware de la máquina en la que se ejecuta el sistema
    operativo. Incluye una lista de unidades montadas en el sistema y configuraciones
    genéricas de hardware y aplicaciones instalados.
    HKEY_USERS (HKU) Contiene información de configuración de perfiles de usuario completos en el sistema,
    que pertenecen a configuraciones de aplicaciones y ajustes visuales.
    HKEY_CURRENT_CONFIG (HCU) La clave raíz almacena información sobre la configuración actual del sistema. Contiene la
    siguiente ruta: HKLM \ Config \ profile.

    9
    Abrir el editor de Registro en Windows

    10
    Editor de registro de Windows

    11
     Ubicaciones de ejecución automática

    Las ubicaciones de ejecución


    Si el usuario niega su participación,
    automática son claves de registro
    entonces es posible que su sistema
    que inician programas o
    haya sido comprometido y utilizado
    aplicaciones durante el proceso de
    para iniciar el ataque.
    arranque.

    En un caso como ese, las


    Si se sospecha que una
    ubicaciones de ejecución
    computadora ha estado
    automática podrían demostrar que
    involucrada en un caso de intrusión
    el sistema tenía una puerta trasera
    del sistema, se deben examinar las
    troyana instalada, dejándola
    ubicaciones de ejecución
    vulnerable para que un atacante la
    automática.
    use a su discreción.

    12
     Ubicaciones de ejecución automática
    Las ubicaciones comunes de ejecución automática se enumeran a continuación:

    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Runonce

    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run

    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

    HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ Run

    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

    (ProfilePath) \ Menú Inicio \ Programas \ Inicio


    13
     Listas MRU

    Las listas MRU (Usados ​más


    recientemente) contienen entradas Un ejemplo de una lista MRU ubicada en el
    realizadas debido a acciones Registro de Windows es la clave RunMRU.
    específicas realizadas por un usuario. Cuando un usuario escribe un comando en el
    cuadro "Ejecutar" a través del menú Inicio, la
    entrada se agrega a esa clave de Registro. Su
    ubicación es HKCU \ Software \ Microsoft \
    Windows \ CurrentVersion \ Explorer \
    Existen numerosas listas de MRU RunMRU. El orden cronológico de las
    ubicadas en varias claves de registro. aplicaciones ejecutadas mediante “Ejecutar”
    se puede determinar mirando la columna de
    datos del valor “MRUList”. La letra "a"
    representa el primer comando escrito en el
    cuadro "Ejecutar", y la letra “c" representa el
    El Registro mantiene esas listas de
    último comando escrito en el cuadro
    elementos en caso de que el usuario
    "Ejecutar".
    vuelva a ellos en el futuro.

    14
     Tecla RunMRU

    15
     Redes inalámbricas

    Una conexión de red o punto de Se puede encontrar en el Registro en la clave


    acceso a una computadora se HKLM \ SOFTWARE \ Microsoft \ WZCSVC \
    identifica por su SSID. Parameters \ Interfaces. La clave del Registro
    genera varias subclaves y deben contener los
    valores "ActiveSettings" y "Static # 0000".
    También hay valores que comienzan con
    “Static #” y están numerados
    secuencialmente. En los datos binarios de los
    valores “Static #” se encuentran los SSID de
    red de todos los puntos de acceso
    inalámbricos a los que se ha conectado el
    Un SSID se registra en Windows XP sistema. Eso se puede ver haciendo clic
    como conexión de red preferida. derecho en el valor y seleccionando el botón
    "modificar".

    16
     Vista del registro de redes inalámbricas

    17
     Computadoras LAN

    La clave de registro HKCU \ Software \


    Microsoft \ Windows \ CurrentVersion \ La clave ComputerDescriptions es útil
    Explorer \ ComputerDescriptions contiene para determinar si un usuario estaba
    información sobre las computadoras conectado a ciertas computadoras o
    conectadas a una LAN. pertenecía a una LAN específica.

    18
     Computadoras LAN

    19
     Dispositivos USB

    Cada vez que un dispositivo se


    conecta al bus serie universal (USB), Debajo de cada dispositivo, hay un ID
    se consultan los controladores y la de dispositivo y el fabricante del
    información del dispositivo se dispositivo los asigna de forma única.
    almacena en el Registro.

    La primera clave importante es HKLM \ SYSTEM \


    ControlSet00x \ Enum \ USBSTOR. Esa clave
    almacena el contenido del producto y los valores Por lo tanto, los dispositivos USB
    de identificación del dispositivo de cualquier pueden identificarse específicamente
    dispositivo USB que alguna vez se haya mediante esa ID de dispositivo.
    conectado al sistema.

    20
     Clave de registro de dispositivos USB

    21
     Internet Explorer

    Internet Explorer almacena sus datos en la clave HKCU \ Software \ Microsoft


    \ Internet Explorer. HKCU \ Software \ Microsoft \ Internet Explorer \ Main es
    una de las tres subclaves y almacena la configuración del usuario en Internet
    Explorer. Contiene información como barras de búsqueda, la página de inicio y
    la configuración del formulario. La segunda subclave es HKCU \ Software \
    Microsoft \ Internet Explorer \ TypedURLs y contiene el historial de
    navegación del usuario en particular.

    La tercera subclave es HKCU \ Software \ Microsoft \ Internet Explorer \


    Download Directory y contiene el último directorio utilizado para almacenar un
    archivo descargado de Internet Explorer.

    22
     Clave TypedURLs

    23
    5.2 Análisis Forense de Linux
    25
    Registros Log de Linux

    El sistema de logs de Linux (log = registro), es un mecanismo


    estándar que se encarga de recoger los mensajes generados por los
    programas, aplicaciones y demonios y enviarlos a un destino
    predefinido. En cada mensaje consta la fuente (el programa que
    generó el mensaje), la prioridad (nivel de importancia del mensaje), la
    fecha y la hora.

    26
    Registros Log de Linux

    Los logs se guardan en archivos ubicados en el directorio /var/log,


    aunque muchos programas manejan sus propios logs y los guardan en
    /var/log/<programa>. Además, es posible especificar múltiples
    destinos para un mismo mensaje.

    27
    Registros Log de Linux

    /var/log/message: registro de los mensajes generales del sistema.


    /var/log/auth.log: log de autenticación.
    /var/log/kern.log: registro del kernel, muy interesante para detectar
    problemas con el núcleo.
    /var/log/cron.log: registro de la herramienta de crond
    /var/log/maillog: registro del servidor de emails.

    28
    Registros Log de Linux

    var/log/qmail: registro de Qmail.


    /var/log/httpd: registro de errores y accesos del servidor web Apache
    /var/log/lightpd: registro de errores y acceso a Lighttpd.
    /var/log/boot.log: registro de inicio del sistema, si se producen problemas
    al inicio, es aquí donde tenemos que acudir.
    /var/log/mysqld.log: registro para la base de datos MySQL.
    /var/log/secure: log de autenticación, muy importante para la seguridad,
    ya que podrás ver lo referente a la autenticación del sistema.
    /var/log/utmp o /var/log/wtmp: registro de logins.

    29
    5.3 Análisis Forense de MAC
    Registros Log de Mac

    Mac mantiene registros del sistema, que pueden ayudar a


    diagnosticar y solucionar problemas con macOS y sus aplicaciones
    instaladas.
    Estos registros se almacenan como archivos de registro de texto sin
    formato en la unidad del sistema de Mac, y macOS también incluye
    una aplicación para verlos.

    31
    Registros Log de Mac

    Carpeta de registro del sistema : / var / log


    Registro del sistema : /var/log/system.log
    Datos de análisis de Mac : / var / log / DiagnosticMessages
    Registros de aplicaciones del sistema : / Biblioteca / Registros
    Informes del sistema : / Biblioteca / Registros / DiagnosticReports
    Registros de aplicaciones de usuario : ~ / Biblioteca / Registros (en
    otras palabras, / Usuarios / NOMBRE / Biblioteca / Registros)
    Informes de usuario : ~ / Library / Logs / DiagnosticReports (en otras
    palabras, / Users / NAME / Library / Logs / DiagnosticReports)
    32
    Visor Console de Mac

    33
    Visor Console de Mac

    34
    ewqrewrew
    ¡Muchas gracias!
    wewerwer
    CENTRO NACIONAL
    DE SEGURIDAD DIGITAL

    También podría gustarte