La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Analisis Forense de evidencias Imagen windows 2003 INFORMATICA FORENSE.

Presentaciones similares


Presentación del tema: "Analisis Forense de evidencias Imagen windows 2003 INFORMATICA FORENSE."— Transcripción de la presentación:

1 Analisis Forense de evidencias Imagen windows 2003 INFORMATICA FORENSE

2 Pasos 1. Cargada la imagen cree el archivo de notas y si es necesario la línea de tiempo. 2. Analice los archivos Iníciales 3. Explore la carpeta Documentos de cada usuario (documentos, imágenes, historial internet etc) 4. Busque el archivo config.sys y analice su informacion (sw,hw, red otros etc) 5. Busque y analice el archivo pagefile.sys 6. Recupere archivos borrados 7. Busque archivos específicos 8. Comandos grep

3 Tipos de inicio (evento ID 528) Tipo 2. Interactivo. Entrada a un sistema desde la consola (teclado) Tipo 3. Red. Entrada al sistema a través de la red. Por ejemplo con el comando net use, recursos compartidos, impresoras, etc... Tipo 4. Batch. Entrada a la red desde un proceso por lotes o script programado. Tipo 5. Servicio. Cuando un servicio arranca con su cuenta de usuario. Tipo 7. Unlock. Entrada al sistema a través de un bloqueo de sesión. Tipo 10. Remote Interactive. Cuando accedemos a través de Terminal Services, Escritorio Remoto o Asistencia Remota. La Papelera

4 Datos del registro Toda información relativa al sistema operativo y al PC se encuentra recogida en los archivos del sistema del registro de Windows, los cuales se localizan en %systemroot%\system32\config, y atienden a los nombres siguientes: · SECURITY · SOFTWARE · SYSTEM · SAM. DEFAULT

5 Datos del registro. Usuarios en el sistema: HKEY_LOCAL_MACHINE - SAM - Domains - Account - Users - Names Software Instalado en el sistema: HKEY_LOCAL_MACHINE - SOFTWARE Nombre del producto (S.O), Versión actual, Registrante, ServicePack: HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows NT - CurrentVersion Nombre del Equipo: HKEY_LOCAL_MACHINE - SYSTEM - ControlSet002 - Control - ComputerName Nombre del Equipo, Zona Horaria: HKEY_LOCAL_MACHINE - SYSTEM - ControlSet002 - TimeZoneInformation Procesador: HKEY_LOCAL_MACHINE - SYSTEM - ControlSet002 -Enum - GenuineIntel_-_x86_Family_6_Model_8 Interfaces de Red: HKEY_LOCAL_MACHINE - SYSTEM - ControlSet002 -Services - Tcpip - Parameters - Interfaces

6 Internet Explorer Con esto conseguimos una carga mucho más rápida de las páginas Web, o como dirían los expertos, Una mejor experiencia para el usuario final. Podemos borrar el caché de disco desde el propio Internet Explorer (herramientas, opciones de Internet, eliminar archivos). El problema es que esta opción borra todo el contenido del historial de Internet (los archivos html, los gráficos, etc.) pero no borra el índice de referencia que Internet Explorer usa para buscar dentro de su historial: el archivo index.dat.

7 Recogida de archivos Log del sistema Los ficheros Log de una máquina, sea la que sea, son una fuente de información importantísima en un análisis forense. Empezaremos con estos ficheros. Los sistemas Windows basados en NT tienen su principal fuente de Log en los archivos de sistema siguientes: · SysEvent.Evt. Registra los sucesos relativos al sistema · SecEvent.Evt. Registra los sucesos relativos a la seguridad · AppEvent.Evt. Registra los sucesos relativos a aplicaciones Estos ficheros se encuentran en el directorio %systemroot%\system32\config. Si están auditadas las opciones de inicio de sesión, cambio de directivas y permisos, nos centraremos con especial atención en el archivo Log SecEvent.Evt. evento 624 es el referido por Windows para un suceso de creación de cuenta de usuario

8 Técnicas avanzadas de búsqueda (comandos Grep) Utilidad poderosa de Unix que permite el manejo de sintaxis poderosa y flexible en la descripción de términos de búsqueda. Ejemplos 1. Juan[, ;] Peña Resultado [Juan Peña - Juan,Peña] etc 2. Juan[0-9 a-z] Peña Resultado [Juan20Peña JuanzPeña] 3. Resultado (cualquier pag.org) 4. ##?#?\.##?#?\.##?#?\.##?#?[^#\.] Resultado direcciones IP 5. ####- ####- ####- #### Resultado tarjeta de credito 6. ##?[^-] ##?[^-]###?#? Resultado fechas con 4 digitos en el año y 1 ó 2 en el día y mes. 7. De ?:.{20,200}A?: Resultado encabezados de correo electronico

9 Conclusiones El empleo de las nuevas herramientas informáticas, incrementa las modalidades de delitos con usos de tecnología. Se ha destacado la necesidad imperiosa de aplicar metodologías y procedimientos específicos con el fin de asegurar la garantía de calidad de las evidencias durante todo el proceso forense, haciendo hincapié en la recopilación y custodia de las evidencias digitales. Desde el punto de vista de la situación actual de la disciplina, se destaca una falta de unicidad de criterios tanto a la hora de definir estándares para las herramientas a emplear, como para el proceso de certificación y acreditación de los profesionales del sector. Es importante a parte de aplicar una metodología validada en el análisis tener la capacidad de poder reconstruir o armar el caso para que las evidencias encontradas tengan el peso y valor suficiente ante un Juez.


Descargar ppt "Analisis Forense de evidencias Imagen windows 2003 INFORMATICA FORENSE."

Presentaciones similares


Anuncios Google