Análisis Forense Prof. Reinaldo Mayol

Conceptos Iniciales Parte 1 Reinaldo Mayol Arnao

¿Qué es el Análisis Forense? Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos de un sistema computacional: Preservación Identificación Extracción Documentación Interpretación Reinaldo Mayol Arnao

RFC3227. Recolección y manejo de evidencias Principios para la recolección de evidencias Orden de volatilidad Cosas a evitar Consideraciones relativas a la privacidad de los datos Mantener adherencia a la política organizacional Hacer replica lo mas exacta y comprobable posible Documentar todo Establecer con certeza la hora y las referencias a GMT Remueva fuentes externas de modificación Primero recolecte. Luego analice No se separe de la metodología Respete Orden de Volatibilidad No confie en los programas del sistema comprometido/ atendido Reinaldo Mayol Arnao

RFC3227. Recolección y manejo de evidencias Procedimiento de recolección Transparencia Pasos de la recolección Cadena de custodia Como archivar una evidencia Herramientas necesarias y medios de almacenamiento de éstas Reinaldo Mayol Arnao

Orden de Jerarquía + - Registros y contenidos de la caché. Contenidos de la memoria. Estado de las conexiones de red, tablas de rutas. Estado de los procesos en ejecución. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento. + - Reinaldo Mayol Arnao

Equipo para Análisis Forense Reinaldo Mayol Arnao

Ciclo de Vida del Análisis Forense Diseño de Evidencia Producción de la Evidencia Recolección de la Evidencia Análisis de la Evidencia Reporte y Presentación Determinación de Relevancia HB171:2003 Handbook Guidelines for the management of IT Evidence.] Reinaldo Mayol Arnao

Manipulación de la Evidencia Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.

Manipulación de la Evidencia Uno de los elementos que se utilizan son las Cadenas de Custodia Una adecuada Cadena de Confianza debe responder, para cada evidencia, las siguientes interrogantes: ¿Quién colectó la evidencia? ¿Cómo y donde fue colectada? ¿Quiénes tuvieron posesión y acceso a la evidencia? ¿Cómo fue almacenada y protegida? ¿Quién la ha manipulado?

Autentificación de la Evidencia El objetivo de este paso es proveer un mecanismo que garantice la evidencia colectada no pueda ser modificada o sustituida sin que el investigador pueda notarlo. Por lo general, se recomienda utilizar algoritmos de HASH (SHA2!!!!!) capaces de crear un hash de la evidencia que garantice su integridad. Se puede firmar digitalmente el hash de cada evidencia garantizando de esta forma que la misma no pueda ser sustituida.

Características de la evidencia forense digital Si alguien intenta destruir las evidencias, podemos tener copias igual de válidas lejos del alcance del criminal. El proceso de autenticación siempre siembra dudas sobre la veracidad de la prueba. Adquirir una copia de la evidencia puede ser un proceso difícil y delicado. Las pruebas pueden ser modificadas incluso durante su recolección.

Características de la evidencia forense digital No solo hay que validar las copias sino incluso el momento en que se realizan. La autentificación de la evidencia requiere mecanismos externos como: certificados digitales, autoridades de certificación y cadenas de certificación acordes a las leyes de un país o incluso de una organización.

Características de la evidencia forense digital Pueden ser duplicadas de forma exacta y la copia puede examinarse como si fuera el original. Con las herramientas adecuadas “es muy fácil” determinar si la evidencia ha sido modificada o falsificada comparándola con la original. Es relativamente difícil de destruir, incluso borrándola, la evidencia digital puede ser recuperada de un disco.

¿Hasta Donde ? Es posible definir con exactitud el 80 % de lo que ha hecho un sospechoso el…20% del TIEMPO

Conociendo el sistema de Archivos Parte 2 Reinaldo Mayol Arnao

Organización de los Datos Los SO agrupan varios sectores consecutivos FAT, NTFS: Clusters EXT? (*nix): Blocks 1 sector: Aprox. 512 bytes Reinaldo Mayol Arnao

Niveles del Sistema de Archivos File Name Nombre de los Archivos Metadata Información de la Estructura del F. S Datos Clúster, Blocks Sistema de Archivos Información de Particiones Físico Disco Físico Reinaldo Mayol Arnao

Particiones D.O.S

Particiones DOS Las particiones tipo DOS se utilizan en la mayoría de los sistemas operativos, incluyendo Linux. Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol Sólo 4 entradas Reinaldo Mayol Arnao

Particiones Extendidas (E. P) Con 4 entradas solamente no es posible cubrir las necesidades de los sistemas modernos. Una partición extendida contiene una segunda tabla de particiones y puede describir 2 particiones. ( una para el F. S y otra para otra E.P) MBR Partition Table ExtendedPartition Table Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol Reinaldo Mayol Arnao

Tabla de Particiones Posición Longitud en Bytes Contenido 1 1 Estado de la partición 00h no activa, 80h activa Comienzo de la partición ( cabezal) 2 Sector y Cilindro donde comienza la partición 4 Tipo de Partición 5 Cabezal donde la partición termina 6 Sector y Cilindro donde la partición termina 8 Distancia, en sectores (por omisión 512B/sector) desde la tabla de particiones al primer sector de la partición 12 Longitud ( en sectores) de la partición Reinaldo Mayol Arnao

Ej. Partición de 40 GB Tabla de Particiones Byte 446 Reinaldo Mayol Arnao

Continuación Termina: Sector F8(248) cilindro FF La partición inicia 56 sectores desde el inicio de la tabla Partición activa Sector 1, Cilindro 0 Partición NTFS 80 01 01 00 07 FE F8 FF 38 00 00 00 10 B3 FF 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 83866384 Sectores * 512B= 40GB Fin de la Tabla de Particiones Reinaldo Mayol Arnao

Algunos Tipos de Particiones Hex Valor Tipo 0C FAT 32 83 Linux 82 Linux Swap 07 NTFS a8 MacOSX Reinaldo Mayol Arnao

NTFS : MFT ( Master File Table) Metadata Todos los sistemas de archivos dedican algunos archivos a contener información que describe a otros archivos. NTFS : MFT ( Master File Table) *nix :Inodos FAT: Entradas de Directorio. Reinaldo Mayol Arnao

Metadata MAC times, permisos, propietarios, tamaño de los archivos, Los archivos de Metadatos contienen información como: MAC times, permisos, propietarios, tamaño de los archivos, localización, etc. Reinaldo Mayol Arnao

Slack Space La unidad mínima de direccionamiento son los clusters. El S.O no puede direccionar sino clusters. Si un archivo es menor que el tamaño del cluster el espacio sobrante se pierde. Este espacio es interesante, desde el punto de vista forense, ya que normalmente puede contener datos de otros archivos que utilizaron anteriormente el cluster. Reinaldo Mayol Arnao

New Technologies File System NTFS New Technologies File System

Sistema de Archivos de NTFS Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control. Existe una entrada de 1KB en la MFT por cada archivo o directorio en el volumen. El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos) y el resto son atributos no previamente definidos. Reinaldo Mayol Arnao

Sistema de Archivos NTFS cont.. La localización del MFT está definido en el Boot Sector del F.S Un MFT almacena los atributos de los archivos y subdirectorios incluyendo el nombre, MAC, permisos, flags de estado, entre otros. Si un archivo no puede contener todos sus atributos en una sóla entrada utiliza entradas consecutivas. Adicionalmente el MFT almacena parte ( o su totalidad) de la data (dependiendo del tamaño del archivo, menor a 1500Bytes) Reinaldo Mayol Arnao

Boot Sector Partición NTFS Cluster: Grupo de Sectores Consecutivos. Reinaldo Mayol Arnao

Estructura del $MFT Cada entrada al MFT es direccionada usando un valor de 48 bits, comenzando por 0. Cada entrada MFT tiene también un número de secuencia de 16 bits que es incrementado cuando la entrada es utilizada. Este número nunca es decrementado. Combinando ambos valores se forma una dirección de 64 bits (llamada File Reference) El uso del File Reference permite determinar en algunas ocasiones cuando el FS está corrupto. Reinaldo Mayol Arnao

Estructura $MFT Formalmente las primeras 16 entradas ( en la práctica 24) son para localizar los archivos de metadata del F. S Los archivos de metadata se encuentran en la raiz del F. S y comienzan por $ Reinaldo Mayol Arnao

Metadata Files Nombre del Archivo Descripción $MFT MFT 1 $MFTmirr Índice $MFT Nombre del Archivo Descripción $MFT MFT 1 $MFTmirr Archivo de Respaldo del MFT 2 $LogFile Registro de las transacciones de metadata 3 $Volume Información sobre el volumen 4 $AttrDef Información sobre atributos 5 $Root Directorio Root del F.S 6 $Bitmap Mapa de disponibilidad de cada cluster 7 $Boot Boot Sector 8 $BadClus Mapa con clusters que contienen sectores dañados 9 $Secure Información de Seguridad 10 $Upcase Versión de cada carácter Unicode 11 $Extend Contiene file para extensiones opcionales. Reinaldo Mayol Arnao

Metadata FILES Reinaldo Mayol Arnao

Entradas MFT Cada entrada es secuencialmente numerada usando un valor de 48 bits. Cada entrada tiene además un número de Secuencia de 16 bits que es incrementado cuando la entrada es localizada. Ambos valores se combinan para formar un valor de 64 bits que se utiliza como reverenciador de los archivos. Reinaldo Mayol Arnao

Entradas MFT ( Ejemplo) Header MFT Atributos Entrada MFT Atribute Header: Tipo Tamaño Nombre Atribute Header Espacio no utilizado Header MFT STANDARD_INFORMATION $STANDARD_INFORMATION $FILE_NAME $DATA Reinaldo Mayol Arnao

Formato Simplificado de una ENTRADA a la MFT Para un archivo: Header $FILE_NAME(48) $ STANDART_INFORMATION(16) $DATA(128) Para un subdirectorio: $INDEX_ROOT $INDEX_ALLOCATION Reinaldo Mayol Arnao

Atributos ( algunos, sólo algunos) Información general, tales como flags, MAC Times, ID del propietario $STANDARD_INFORMATION: Nombre del Archivo en Unicode,MAC TIME del nombre SFILE_NAME Contenido del Archivo $DATA: Nodo Raíz del árbol de índices $INDEX_ROOT Nodos del árbol de índices $INDEX_ALLOCATION Mapa de Bits del MFT $BITMAT Reinaldo Mayol Arnao

Sistemas de Archivo de Linux Ext* Reinaldo Mayol Arnao

Ext El F.S comienza con un área reservada y el resto está dividido en sectores llamados grupos de bloques. Todos los grupos de bloques, excepto el último contienen la misma cantidad de bloques. Un bloque es un conjunto de sectores consecutivos (1024,2048,4096 bytes) La información de la estructura del F.S es almacenada en una estructura llamada SuperBlock la cual se encuentra localizada el inicio del F.S Los metadatos de cada archivo o directorio son almacenados en estructuras llamadas inodos Reinaldo Mayol Arnao

Ext cont… Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits) Existe un inodo por cada archivo o directorio existente Existe una tabla de inodos para cada grupo de bloques. Los primeros 10 inodos tienen funciones fijas y están siempre localizados. El inodo 11 se utiliza para el subd lost +found Los nombres de archivos son almacenados en las entradas de los directorios que los contienen. Esas entradas de directorio son estructuras simples que contienen el nombre de los archivos y un puntero al inodo correspondiente. Reinaldo Mayol Arnao

Inodos Cada inodo tiene un número fijo de campos . Un inodo contiene: Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096 1019) Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups) Información temporal ( último acceso, modificación, borrado, cambio de la metadata) Permisos Tipo de archivos Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero 1970. Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero 1970. Reinaldo Mayol Arnao

Inodos Cada inodo puede almacenar las direcciones de los primeros 12 bloques de un archivo. (bloques directos) Si un archivo requiere mas de 12 bloques se localiza un bloque para almacenar los punteros a otros bloques( bloques indirectos) Reinaldo Mayol Arnao

Entradas de directorio, inodos y bloques de datos Metadata Metadata Metadata archivo1 Metadata Metadata Metadata Entradas de Directorio Inodos Bloques de Contenido Reinaldo Mayol Arnao

Inodos Reinaldo Mayol Arnao

Ext cont… Ext tiene un grupo de opciones organizadas en 3 categorías basadas en que debe hacer el sistema operativo si alguna de ellas no es soportada. Las opciones compatibles son aquellas que pueden ser ignoradas por el S.O que monta un F. S incluso si no las soporta. EJ. Journals Las opciones incompatibles si no son soportadas el F. S no será montado. Ej. Cifrado Las compatibles de solo lectura implican que el F. S será montado pero solo en modo Read-Only. Ej. Estructuras en arbol en lugar de listas. Reinaldo Mayol Arnao

Superblock y Descriptor de Bloques El Superblock es localizado al inicio del F. S ocupando los primeros 1024 bytes ( aunque utiliza sólo unos pocos) Contiene la estructura del F. S ( similar al BootSector en NTFS) y de configuración. Copias de respaldo pueden ser encontradas en el primer bloque de cada grupo de bloques. Información contenida: Tamaño de los bloques Número total de bloques por grupo de bloques Número de bloques reservados antes del primer grupo de bloques. Reinaldo Mayol Arnao

Superblock y Descriptor de Bloques También puede incluir: Nombre del volumen Fechas de montaje y escritura Sitio del último montaje Consistencia del F. S Número total de inodos y bloques disponibles Opciones habilitadas. Reinaldo Mayol Arnao

Superblock y Descriptor de Bloques En Linux una opción llamada Sparse Superblock está siempre habilitada y hace que sólo algunos grupos de bloques contengan copias del Superblock. El Superblock tiene una firma ( 0xef53) en los bytes 56 y 57, desafortunadamente es demasiado pequeña y buscarla conduce a gran cantidad de falsos positivos Reinaldo Mayol Arnao

Buscando la firma.. root@bt:~# sigfind -o 56 -l ef53 /dev/sda1 Block size: 512 Offset: 56 Signature: 53EF Block: 2 (-) Block: 262144 (+262142) Otras apariciones Block: 346505 (+84361) Primera aparición de la firma Reinaldo Mayol Arnao

Tabla de Descriptores de grupos de bloque En el bloque siguiente del superblock se encuentra la tabla descriptora de grupos de bloque. Comúnmente existe copias de tabla en los bloques de grupo ( ver figura inferior) Un F.S en linux tiene igual número de bloques por grupo que bits en un block. Por lo tanto el BlockBitmap requiere un bloque. Backup SuperB. Tabla desc. De grupos Block Bitmap Inode Bitmap Tabla de Inodos Datos Reinaldo Mayol Arnao

Estructuras Ext: SuperBlock (selección de campos) Byte Descripción 0-3 Número de Inodos en el FS 4-7 Número de Bloques en el F. S 8-11 Número de bloques reservados 12-15 Número de bloques disponibles ( no usados) 16-19 Número de inodos disponibles ( no usados) 20-23 Bloque donde el Grupo de Bloques 0 comienza 24-27 Tamaño del bloque ( número de lugares para desplazar 1024 a la izquierda) Ej: 0-1024, 2-4096 32-35 Número de bloques en cada grupo de bloques 40-43 Número de inodos en cada grupo de bloques 44-47 Fecha del último montaje 48-51 Fecha de la última escritura Reinaldo Mayol Arnao

Estructuras Ext: SuperBlock (selección de campos) cont.. Bytes Descripción 52-53 Contador de montajes 54-55 Máximo número de montajes sin chequeo 56-57 Firma del F.S (0xef53) 58-59 Estado del F.S ( limpio, con errores, con archivos perdidos) 104-109 ID del Volumen 136-199 Subdirectorio donde fue montado por última vez RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES Recuerde que esta no es la tabla entera de los campos del Superblock. Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystem implementor's guide, Part 8. Reinaldo Mayol Arnao

Una mirada al SuperBlock 1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe comenzar en el bit 1024 (0x400). 2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos 3-Los bytes del 4-7 informan el número de bloques=240254 bloques 4- Los bytes 56-57 (0x38) contienen la firma 0xef53 Reinaldo Mayol Arnao

Tabla descriptora de grupos Tiene una entrada por cada grupo de bloques existente en el F. S Comienza en el segundo bloque byte Descripción 0-3 Dirección de inicio del bloque del bitmap del bloque 4-7 Dirección de inicio del bloque del bitmap de inodos 8-11 Dirección de inicio del bloque de la tabla de inodos 12-13 Número de bloques disponibles en el grupo 14-15 Número de inodos disponibles en el grupo 16-17 Número de directorios en el grupo 18-31 No usados Reinaldo Mayol Arnao

Cuando se crea un archivo El SO debe utilizar un inodo para el nuevo archivo. Trata de hacerlo en el mismo grupo de bloques del directorio que contiene el archivo Si no es posible se busca un nuevo grupo para localizar el inodo. Reinaldo Mayol Arnao

Cuando se crea un directorio Se trata de localizar en un grupo que no haya sido utilizado mucho ( equilibrando el uso del disco)( mucho es cantidad de inodos ocupados no veces!) Para encontrarlo el S.O puede obtener del superblock el número de inodos y bloques libres. Con este valor se comienza a buscar por los grupos de bloques hasta encontrar a uno que tenga un valor por debajo del valor promedio de utilización. Reinaldo Mayol Arnao

Los inodos y la creación Cuando un inodo es localizado toda su información anterior es borrada. Un atributo llamado link count es puesto a 1 ( en caso de archivos) y 2 para directorios Cuando se borra un archivo el contador es decrementado, si llega a 0 el inodo es considerado libre. Si un archivo es borrado y alguna aplicación lo tiene todavía abierto pasa a ser considerado un orphan file y es inscrito en una lista en el superblock. Cuando la aplicación cierra el archivo o cuando el sistema se reinicia el inodo es liberado. Reinaldo Mayol Arnao

Pero recuerde Hay muchos otros sitios donde buscar Y sobre todo: LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS RESULTADOS OBTENIDOS POR UN INVESTIGADOR: -ENTRENADO -PACIENTE -DISCIPLINADO -CREATIVO Reinaldo Mayol Arnao

Otros sitios donde buscar en *nix? contiene los mensajes generales del sistema /var/log/messages guarda los sistemas de autenticación y seguridad /var/log/secure guarda un historial de inicio y cierres de sesión pasadas /var/log/wmtp guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux) /var/log/btmp Reinaldo Mayol Arnao

Sistema de Archivos # fdisk –l /dev/hda Disk /dev/hda: 64 heads, 63 sectors, 789 cylinders Units = cylinders of 4032* 512 bytes Device Boot Start End Blocks Id System /dev/hda1 1 9 18112 83 Linux Tipo de SA Disco IDE A Partición:1 Reinaldo Mayol Arnao

Permisología UNIX R: Lectura W: Escritura X: Ejecución Permiso Negado Permiso Otorgado 111 110 111 Resto Grupo Propietario Reinaldo Mayol Arnao

Archivos Ocultos En UNIX los archivos ocultos se distinguen por comenzar por un “. “ # ls –a .home .stach .gnome$ Reinaldo Mayol Arnao

Casos típicos de intrusión ( ejemplos) Apache :23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh Un usuario “demonio” no debe tener shell válido ( /bin/shell) Usuarios del Sistema con Shell Válido User:23wedjg”jf:0:0:Usuario General:/home/user:/bin/csh El UID 0 está reservado SOLO para el root Más de un superusuario User:23wedjg”jf:500:500:Usuario General:/var/www:/bin/csh ¿Por qué un usuario general tiene como HOME el subdirectorio de Apache? Usuarios con HOME incorrecto Reinaldo Mayol Arnao

SUID y SGID _rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at _rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport SUID SGID Reinaldo Mayol Arnao

Syslog Reinaldo Mayol Arnao

Servicios Disponibles Revisar todo el árbol /etc/ rc* Ejecutar (si es posible) alguna herramienta de búsqueda de puertos abiertos. Tener en cuenta que muchos servicios pueden ser manejados por Superdemonios (inetd) Reinaldo Mayol Arnao

Ejemplo típico de Intrusión Servicios Arrancados fuera de orden Scripts de Arrancada “ Adulterados” Bibliotecas o Binarios Alterados Reinaldo Mayol Arnao

Cuentas de Usuarios Revisar /etc/passwd Si existe /etc/shadow Reinaldo Mayol Arnao

Trabajos temporizados Revisar los archivos relacionados con el cron del sistema Reinaldo Mayol Arnao

Y en Windows?? Algunos sitios donde buscar información adicional en Windows Reinaldo Mayol Arnao

Otras fuentes de información Los archivos de acceso directo Index.dat Thumbs.db Entradas del registro Reinaldo Mayol Arnao

Index.dat Reinaldo Mayol Arnao

Index.dat Reinaldo Mayol Arnao

Análisis de Temporales Reinaldo Mayol Arnao

Análisis de Atajos Reinaldo Mayol Arnao

El registro Los registros se encuentran en varios archivos ocultos en: %systemroot%\system32\config y NTUSER.DAT. Un auditor forense debe hacer copias de los archivos del registro y visualizarlos en otro editor. Reinaldo Mayol Arnao

¿Cuál es la estructura del registro? Reinaldo Mayol Arnao

Logs SysEvent.Evt. Registra los sucesos relativos al sistema Los archivos Log de una máquina, son una fuente de información importantísima en un análisis forense. SysEvent.Evt. Registra los sucesos relativos al sistema SecEvent.Evt. Registra los sucesos relativos a la seguridad AppEvent.Evt. Registra los sucesos relativos a aplicaciones Reinaldo Mayol Arnao

Log con Visor Externo Reinaldo Mayol Arnao

Más donde buscar: Archivos Recientes Reinaldo Mayol Arnao

Más donde buscar: SystemInfo C:\>systeminfo Nombre de host: MEFISTO Nombre del sistema operativo: Microsoft Windows XP Professional Versión del sistema operativo: 5.1.2600 Service Pack 2 Compilación 2 600 Fabricante del sistema operativo: Microsoft Corporation Configuración del sistema operativo: Estación de trabajo independiente Tipo de compilación del sistema operativo: Uniprocessor Free Propiedad de: Reinaldo Mayol Arnao Organización registrada: ULA Id. del producto: 55274-640-4467482-23960 Fecha de instalación original: 20/11/2007, 10:27:26 p.m. Tiempo de actividad del sistema: 0 días, 12 horas, 28 minutos, 33 segu ndos Fabricante del sistema: CLEVO Co. Modelo el sistema: M550SE/M660SE Tipo de sistema: X86-based PC Reinaldo Mayol Arnao

Más donde buscar: SystemInfo Cont… Procesador(es): 1 Procesadores instalados. [01]: x86 Family 6 Model 14 Stepping 12 GenuineIntel ~1861 Mhz Versión del BIOS: MSTEST - 6040000 Directorio de Windows: C:\WINDOWS Directorio de sistema: C:\WINDOWS\system32 Dispositivo de inicio: \Device\HarddiskVolume1 Configuración regional del sistema: 0c0a Idioma: 0000040A Zona horaria: N/D Cantidad total de memoria física: 894 MB Memoria física disponible: 168 MB Memoria virtual: tamaño máximo: 2.048 MB Memoria virtual: disponible: 2.004 MB Memoria virtual: en uso: 44 MB Ubicación(es) de archivo de paginación: C:\pagefile.sys Dominio: INICIOMS Servidor de inicio de sesión: \\MEFISTO Revisión(es): 170 revisión(es) instaladas. Reinaldo Mayol Arnao

Estado de los servicios C:\>sc query >>sc SERVICE_NAME: ALG DISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 SERVICE_NAME: AudioSrv DISPLAY_NAME: Audio de Windows TYPE : 20 WIN32_SHARE_PROCESS ……… Reinaldo Mayol Arnao

Conexiones Establecidas C:\>netstat Conexiones activas Proto Dirección local Dirección remota Estado TCP mefisto:2852 bd07f3d2.virtua.com.br:https ESTABLISHED TCP mefisto:2855 wr-in-f189.google.com:http ESTABLISHED TCP mefisto:2856 by1msg3275906.phx.gbl:1863 ESTABLISHED TCP mefisto:2876 eo-in-f147.google.com:http CLOSE_WAIT TCP mefisto:2879 by1msg5082501.phx.gbl:1863 ESTABLISHED TCP mefisto:2890 wx-in-f83.google.com:http CLOSE_WAIT Reinaldo Mayol Arnao

En muchos otros sitios …. Imágenes ( esteganografía ) Vaya al manual de prácticas de criptografía y encontrará una práctica Reinaldo Mayol Arnao

Prof. Reinaldo Mayol Arnao Y mucho mas… Prof. Reinaldo Mayol Arnao Reinaldo Mayol Arnao