Para continuar con el análisis se hace necesario un pimer acercamiento a nuestro sistema objetivo, para ello se muestra una simple exploración por los diferentes archivos y carpetas contenidas en nuestro sistema.

Esta exploración se lleva a cabo sobre el entorno de trabajo implementado con Mount Image Pro, esto con la finalidad de no alterar la evidencia y tratando de entrar en un primer contacto con el sistema de archivos del sistema (Servidor Web Apache, WebERP, Carpetas y Archivos personales, etc.)

Esta entrega hace referencia sobre el procedimiento necesario para llevar a cabo la creación de un nuevo caso en la solución software para Análisis Forense: EnCase.

EnCase Enterprise/Forensic:

EnCase proporciona las herramientas más avanzadas para el Análisis Forense de Sistemas e Investigaciones Digitales. Con un entorno gráfico intuitivo, flexible y un rendimiento sin igual, EnCase proporciona a los investigadores todo lo necesario para realizar análisis a gran escala en investigaciones complejas con precisión y seguridad.

Una solución premiada que garantiza por completo la integridad de la información tratada permitiendo a los analistas gestionar con facilidad grandes volúmenes de pruebas digitales incluso en ficheros borrados, en áreas de slack, zonas de paginación y clusters sin asignar.

• Adquisición de imágenes forenses utilizando técnicas no invasivas con soporte para múltiples sistemas: Windows, MAC OS, Linux, Solaris, HP UX
• Soporte Unicode completo
• Capacidad para análisis concurrente de múltiples sistemas
• Herramientas de búsqueda avanzada
• Soporte para RAID 0,1 y 5
• Soporte para Sistemas de Fichero NTFS comprimidos
• Gestión de filtros compuestos
• Tiempos de respuesta únicos gracias a múltiples caches a nivel de sector y algoritmos de búsqueda optimizados

El video tutorial muestra entonces el proceso de creación de un caso en esta herramienta, además de una simple exploración por el sistema de archivos en la imágen implementada con Mount Image Pro.

Descargar video tutorial de creación de un caso con EnCase Enterprise/Forensics (password: www.dragonjar.org)

Más información sobre EnCase
Página Oficial de EnCase

Se hace necesario recolectar la mayor cantidad de información posible en el sistema objetivo. Una de estas fuentes de información hace referencia a las actualizaciones presentes en dicho sistema.

Para ello, solo basta con explorar un poco algunos directorios del sistema, en los cuales se encuentran algunos logs interesantes y que revelan las actualizaciones del mismo.

Cabe aclarar que este no es el único método para determinar las actualizaciones del sistema, este es solo uno de ellos, pues en otras publicaciones veremos otros procedimientos para determinarlas (registro).

El siguiente video tutorial presenta un simple exploración por el sistema de archivos del objetivo, además de la ubicación y consulta correspondiente a cada log de actualización (ID de HotFix – Falla que corrige, Fecha y hora de actualización, etc).

A partir de este momento comienza la parte un poco más “operativa” y que exige un alto grado de concentración, dedicación y sobre todo mucha paciencia .

Es el momento de comenzar a interactuar más con el sistema a analizar para recolectar toda la información necesaria y que muestre los resultados a los objetivos propuestos.

Para esta finalidad nada mejor que la información contenida en el registro de Windows, pero para poder entender de que va todo esto se hace necesario definir y tener muy claro este concepto.

Veamos:

El Registro de Windows

El Registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows.

Contiene información y configuraciones de todo el hardware, software, usuarios, y preferencias del PC. Si un usuario hace cambios en las configuraciones del “Panel de control”, en las asociaciones de ficheros, en las políticas del sistema o en el software instalado, los cambios son reflejados y almacenados en el registro.

El Registro se almacena en varios ficheros que, dependiendo de la versión de Windows, se ubican en diferentes lugares dentro del sistema local, excepto NTuser (o archivo de usuario), que puede ser ubicado en otra máquina para permitir perfiles móviles.

Windows NT, 2000, XP, Server 2003 y Vista

Los siguientes archivos del Registro se encuentran en %SystemRoot%\System32\Config\:

• Sam – HKEY_LOCAL_MACHINE\SAM
• Security – HKEY_LOCAL_MACHINE\SECURITY
• Software – HKEY_LOCAL_MACHINE\SOFTWARE
• System – HKEY_LOCAL_MACHINE\SYSTEM
• Default – HKEY_USERS\DEFAULT
• Userdiff

(más…)

Una vez instalada la herramienta con la cual pretendamos analizar el archivo de registro de windows emprederemos la tarea de obtener la información correspondiente al software instalado en la máquina objetivo.

En mi caso lo haré con la solución software Alien Registry Viewer, veamos:

(más…)

Continuemos entonces con el análisis del registro de Windows y sigamos extrayendo información de interés que nos permita cubrir cada uno de los puntos dispuestos como objetivos del análisis.

Para ello seguiré haciendo uso de la herramienta Alien Registry Viewer. Veamos:

Así como vimos en la práctica anterior y pudimos determinar el software instalado en el sistema obejtivo, veremos como podemos determinar todos los usuarios, el sistema operativo y services pack, zona horaria, procesador, interfaces de red, entre muchos otros datos de interés.

(más…)

Veamos como podemos realizar una rápida y completa identificación de los usuarios presentes en el sistema analizado, además como podemos obtener su respectiva contraseña, ello con el fin de determinar la fortaleza de las mismas y determinar si se estaba aplicando algún tipo de política sobre la complejidad de ellas.

En el siguiente videotutorial se observa como podemos obtener los nombres de usuario del directorio Documents and Settings y como podemos extraer el archivo SAM, y System (archivos de administración de cuentas de seguridad en Windows) que almacena los usuarios y contraseñas cifrados del sistema y como podemos descifrar sus respectivos passwords. (para ello hago uso de la herramienta SAMInside)
Más información sobre archivos SAM y System.

Ahora veamos como podemos identificar la disponibilidad del Terminal Services en el sistema analizado, esto con el fin de identificar si este servicio está habilitado o no, para luego verificar en el registro de sucesos de Windows (tema a estudiar en próximos labs y que será determinante en este caso) si ha sido modificado su valor.

(más…)

Veamos ahora como podemos identificar por medio del análisis del registro de Windows la configuración establecida para el funcionamiento del Firewall (Cortafuegos).

(más…)

Veamos ahora como podemos obtener toda la información relacionada a una cuenta de usuario (SID, Estructura de datos de longitud variable que identifica cuentas de usuario, de grupo y de equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos internos de Windows hacen referencia al SID de las cuentas en vez de al nombre del usuario o grupo de las cuentas.)

(más…)