Asignatura Datos del alumno Fecha

Apellidos: Briceo Jimnez

Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

Actividades

Trabajo: Anlisis de los componentes bsicos de un S.O. Windows

Esta actividad va a consistir en el anlisis de tres partes distintas de lo que sera un

anlisis completo de un sistema operativo. En este caso, revisaremos el sistema
Windows XP, del cual analizaremos: los archivos de eventos del sistema operativo, el
historial de navegacin del explorador y el registro del sistema operativo.

El resultado de la presente prctica ha de ser un documento de texto donde se

expongan los pasos realizados durante los anlisis, acompaando dichos pasos de
imgenes del proceso.

Antes de comenzar la actividad, lo primero es descargar del aula virtual el archivo a

revisar.

Adems, de responder a las preguntas antes planteadas, debers incluir un apartado en

el que expongas:

Qu has aprendido de este tema que no supieras?

Qu cosas ya sabas y con la lectura de este tema has comprendido mejor?
Qu esperabas aprender con este tema y no has logrado aprender?

Anlisis de los eventos del sistema operativo

Para realizar el anlisis de los eventos del sistema operativo podis utilizar el propio
visor de eventos de Windows, o programas como Event Log Explorer, que permiten
realizar filtros y bsquedas sobre la lista de eventos.

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

De los eventos del sistema operativo, debis obtener los siguientes datos:

Qu usuario ha sido creado recientemente?, Quin ha creado dicho usuario?

Ha intentado acceder dicho usuario al sistema? Cuntas veces y de qu manera lo
ha intentado? Ha conseguido acceder al equipo?

Para responder a las dos primeras preguntas, tendris que buscar en los eventos, el
evento de creacin de usuario, en el cual se especifica que usuario ha sido creado, por
quin y a qu hora. Para responder al resto de las preguntas, tendris que buscar los
eventos de acceso al equipo, donde se especifica el tipo de inicio de sesin
(http://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx), la fecha
y hora y si el acceso se ha conseguido o no.

Anlisis del historial de navegacin del explorador

Para realizar el anlisis del historial de navegacin del explorador, en este caso de
Firefox, podis utilizar programas como NetAnalysis, o alguno especfico de anlisis del
historial de Firefox, aunque tambin es posible visualizar el historial y algunos registros
mas de este navegador, accediendo directamente al contenido de las bases de datos, en
formato SQLite, del mismo.

Del anlisis del historial de navegacin, tenis que obtener:

En qu pgina web solicit el usuario del sistema la cena? A qu hora?

Anlisis de los archivos de registro del sistema operativo

El ltimo paso, va a consistir en analizar los archivos de registro del sistema operativo.
Estos archivos pueden ser analizados con multiples programas, aunque el
recomendado, por su sencillez, es Windows Registry Recovery, de Mitec.

Los archivos de registro objeto del anlisis son los archivos NTUSER.DAT del
usuario Administrador y del usuario Pirata.

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

Del anlisis del registro del sistema operativo teneis que obtener:

Alguno de los usuarios ejecutaba algn programa malicioso en el inicio?

En caso afirmativo, cul es la ruta donde se encontraba dicho programa?

DESARROLLO DE LA ACTIVIDAD
Anlisis de los eventos del sistema operativo
Qu usuario ha sido creado recientemente? Quin ha creado dicho
usuario?
Con el software Event Log Explorer, podemos observar que el usuario creado es
pirata y que fue creado por el usuario Administrador.

Ha intentado acceder dicho usuario al sistema? Cuntas veces y de qu

manera lo ha intentado? Ha conseguido acceder al equipo?
Podemos observar en los registros que el usuario pirata SI ha intentado ingresar al
sistema, los hace en 2 ocasiones mediante terminal remota, pero no logra ingresar. Lo
podemos ver en las siguientes imgenes tomadas del software Event Log Explorer.

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

PRIMER INTENTO

SEGUNDO INTENTO

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

Anlisis del historial de navegacin del explorador

En qu pgina web solicit el usuario del sistema la cena? A qu hora?
Mediante el uso de la herramienta Netanalysis, podemos ver que el usuario realiza el
pedido de la cena en la pgina web www.telepizza.es

Accede a su cuenta de usuario para realizar el pedido.

A las 11:34:04 inicia el pedido de la cena.

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

Escogidos los productos, le emiten la respectiva factura.

Por ltimo le detallan el pedido que tiene un valor de $13.65

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

Anlisis de los archivos de registro del sistema operativo

Alguno de los usuarios ejecutaba algn programa malicioso en el inicio?
En caso afirmativo, cul es la ruta donde se encontraba dicho programa?

Con ayuda del software Windows Registry Recovery, podemos observar que el usuario
Administrador no ejecutaba ningn programa malicioso, ya que que el ctfmon.exe es
un proceso del Microsoft Office XP siempre y cunado la ruta sea
C:\WINDOWS\System32\ como lo podemos observar:

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

Por el contrario el usuario pirata si ejecutaba programas maliciosos, como lo vemos a

continuacin:

TEMA 4 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin

PREGUNTAS DE APRENDIZAJE:
Qu has aprendido de este tema que no supieras?
Los 3 procesos que se han solicitado en la actividad, para mi han sido totalmente
nuevos ya que no tengo experiencia laguna en este tipo de actividades.

Qu cosas ya sabas y con la lectura de este tema has comprendido

mejor?
Como lo he indicado en la pregunta anterior, los 3 temas planteados para m son
nuevos; la actividad ha sido bastante interesante as como un tanto complicada y espero
haber cumplido con lo solicitado.

Qu esperabas aprender con este tema y no has logrado aprender?

Pienso que en base a lo indicado en clase y con la investigacin personal para realizar la
tarea, he aprendido nuevos e interesantes temas; tal vez ms adelante tenga que
profundizar ms y con la prctica pronto lograr comprender a plenitud este
interesante y nuevo mundo de la informtica forense.

TEMA 4 Actividades