Análisis de las evidencias

[4.1] ¿Cómo estudiar este tema?

[4.2] Esquema de un análisis

[4.3] Archivos de interés en Windows

[4.4] Archivos de interés en Linux

[4.5] Archivos de interés en Mac OS

TEMA
 Análisis de las evidencias
Esquema

Esquema de Archivos de interés Archivos de interés Archivos de interés

TEMA 4 – Esquema
análisis en Windows en Linux en Mac OS

Pre-análisis
Registro de Partición de Paginación e
• Archivos y
volúmenes
Windows intercambio hibernación
cifrados
• Máquinas
virtuales
• Archivos Archivos de
Sudoers Logs
borrados eventos
• Hash
• Firmas

Paginación e Bash history / Archivos de

hibernación Logs contraseñas
Análisis
• Palabras clave
• Sistema
operativo
Tareas
• Componentes
de red programadas
Análisis Forense
 Análisis Forense

Ideas clave

4.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee los siguientes documentos, además de las Ideas clave:

Póster publicado por SANS sobre elementos de interés en Sistemas Operativos

Windows. Disponible en: https://digital-
forensics.sans.org/media/Poster_Windows_Forensics_2017_WEB.pdf

Presentación del experto Nicole Ibrahim para el SANS DFIR 2017 sobre eventos en
Sistemas Operativos Mac OS e iOS. Disponible en: https://www.sans.org/summit-
archives/file/summit-archive-1498158287.pdf

El artículo el titulado Basic Mac Forensics, publicado por la Universidad Purdue.

Disponible en: http://files.peelman.us/BasicMacForensics.pdf

El artículo Linux forensics (for non-Linux folks), publicado por Deer Run
Associates. Disponible en: http://www.deer-run.com/~hal/LinuxForensicsForNon-
LinuxFolks.pdf

The Law Enforcement and Forensic Examiner’s Introduction to Linux, una guía
muy útil sobre el análisis forense de equipos Linux. Disponible en:
http://linuxleo.com/Docs/linuxintro-LEFE-4.31.pdf

SIFT, o SANS Investigative Forensics Toolkit es un conjunto de herramientas

recopiladas por SANS para la realización de Análisis Forenses. Disponible en:
https://media.readthedocs.org/pdf/sift/latest/sift.pdf

En este último tema de la asignatura veremos cómo realizar el análisis forense

completo de un equipo informático.

Puesto que cada caso y sistema son únicos, en este tema se plantean las estrategias más
comunes que podemos utilizar en la mayoría de los escenarios con los que nos
encontraremos.

TEMA 4 – Ideas clave

 Análisis Forense

Junto con dichas estrategias, también conoceremos algunos de los elementos más
importantes de cada Sistema Operativo. Estos elementos contendrán información muy
valiosa de cara al análisis y resolución del caso en que nos encontremos.

Los objetivos de este primer tema son:

Conocer el esquema global de un análisis forense y saber qué buscamos en cada

etapa de este.
Conocer algunas de las herramientas necesarias para realizar las tareas de un
análisis forense.
Conocer los archivos y carpetas más importantes a la hora de realizar un análisis en
un sistema Windows, Linux y Mac OS.

Por supuesto, tanto el esquema como las herramientas presentadas en este tema son
orientativas, pudiendo variar en función del caso concreto en que nos encontremos.

Los archivos más importantes de cada Sistema Operativo son aquellos donde siempre
vamos a poder encontrar información de interés. Ahora bien, estos no son los únicos
archivos a analizar puesto que deberemos tener en cuenta también aquellos elementos
que se encuentren directamente relacionados con la pericial.

4.2. Esquema de un análisis

En el anterior tema hemos visto como recolectar las evidencias que vamos a analizar,
tanto las volátiles como las no volátiles. Ahora, lo que vamos a plantear es el esquema
típico de un análisis de dichas evidencias.

TEMA 4 – Ideas clave

 Análisis Forense

Identificación de archivos
y volúme ne s cifrados
Por cada máquina virtual

¿Se NO
SI
¿Existen? pueden Documentar
descifrar?

NO SI

Ide ntificación de
De scrifrar
máquinas virtuales

SI
¿Existen?

NO
Re cuperación de
archivos borrados

Hash a los archivos

(descartar / se ñalar)

Ve rificación de firmas

Búsque da de
palabras clave

Análisis de l
sistema operativo

Análisis de los
componentes de red

TEMA 4 – Ideas clave

 Análisis Forense

En el esquema anterior podemos diferenciar dos fases:

Fase preanálisis Fase análisis

Fase en la que identificamos los archivos

Fase en la que realizamos búsquedas de
y volúmenes cifrados, las máquinas
las palabras clave que nos interesan,
virtuales, recuperamos los archivos
analizamos el sistema operativo (con
borrados, obtenemos el hash de todos
todo lo que ello incluye) y analizamos los
los archivos y realizamos una
componentes de red.
verificación de firmas de los mismos.

La primera de las fases, la fase de pre-análisis se puede hacer de manera casi

automática, pues en prácticamente todos los casos que nos encontremos se van a
realizar dichos pasos, mientras que la fase de análisis es específica para cada caso
concreto, pudiendo alterar algunos de los pasos que la componen o incluso eliminarlos.

Fase de pre-análisis

1. Identificación de archivos y volúmenes cifrados

En este paso, nuestra labor como analistas forenses consiste en descubrir los
archivos y volúmenes que pudieran encontrarse cifrados en el equipo.

Para ello podemos hacer uso de programas como Encryption Analyzer, de la empresa
Passware, que realiza una búsqueda de los archivos y volúmenes cifrados existentes en
el equipo, aunque también podemos realizar una búsqueda de archivos cifrados
conocidos, por sus cabeceras o sus extensiones.

Una vez tengamos los elementos que se encuentran cifrados en el equipo,

procederemos a descifrar los mismos con herramientas como Passware Kit
Forensics, de la misma empresa Passware, u otros programas específicos en función
del tipo de encriptación que se pretenda «romper».

Hay que tener en cuenta que no se van a poder descifrar todos los tipos de
cifrado existentes, por lo que en caso de encontrar un archivo que no se pudiera
descifrar y, por lo tanto, no se pudiera leer su contenido, pasaríamos a anotar tal
información en nuestro informe pericial con el fin de que quede constancia de dicho
extremo.

TEMA 4 – Ideas clave

 Análisis Forense

2. Identificación de las máquinas virtuales

Para identificar las máquinas virtuales que pudieran existir en el equipo, lo ideal es
comenzar por las aplicaciones instaladas en el mismo. Si el equipo tiene instalado el
software VMware, es lógico pensar que puede tener máquinas virtuales en dicho
formato, aunque esto no excluye la búsqueda de otro tipo de máquinas virtuales.

Los formatos más comunes de discos duros de máquinas virtuales son:

Extensión de
Tipo de máquina virtual
archivo

*.VMDK Formato abierto utilizado por VMware (desarrollador) y VirtualBox

Formato abierto(Bajo la especificación Microsoft Open Specification

*.VHD
Promise) utilizado por MS Virtual PC y MS Hyper-V

*.XVA Formato abierto utilizado por Citrix XEN

En caso de encontrarnos con el disco duro de una máquina virtual, al consistir en una
máquina similar a una real, procederemos a analizarla como si de una máquina distinta
se tratara, siendo necesario aplicar sobre ella los mismos pasos que se aplican para
analizar cualquier otro equipo.

3. Recuperación de archivos borrados

El tercer paso a realizar durante el pre-análisis será la recuperación de los archivos

borrados. Cuando se elimina un archivo sigue siendo posible la recuperación del
mismo. Para ello, primeramente utilizaremos programas como AccessData FTK, que
muestran los archivos marcados como borrados en el índice del sistema de ficheros y
posteriormente realizaremos una búsqueda en bruto de archivos borrados mediante
programas como Photorec o R-Studio, que realizan la búsqueda sobre el espacio libre
del dispositivo.

TEMA 4 – Ideas clave

 Análisis Forense

4. Hash de los archivos (Descartar/Señalar)

Una técnica muy importante dentro

del análisis forense es el filtrado
mediante hash. Este tipo de filtrado
consiste en obtener el hash de todos
los archivos a estudiar y comparar sus
valores con una base de datos de
archivos «malos» o «buenos», de
manera que podamos descartar los
archivos considerados como «buenos»
(archivos del sistema operativo o de
programas fiables) y nos podamos centrar en los «malos» o desconocidos.

Para ello, podemos emplear programas como Sorter, incluido en la suite forense
Autopsy, que nos permite agrupar por categorías (en este caso «malos» y «buenos») los
archivos de un dispositivo, o el propio AccessData FTK que permite importar distintas
Bases de Datos de hashes conocidos.

Junto con estos programas podemos hacer uso de las bases de datos disponibles en la
National Software Reference Library (http://www.nsrl.nist.gov/) para filtrar de forma
rápida los archivos objeto del análisis o ir creándonos nuestra propia base de datos de
hash conforme vallamos realizando casos.

Hay que tener muy en cuenta el algoritmo hash utilizado, puesto que si estamos
realizando una comparativa entre algoritmos hash diferentes nos será imposible
encontrar concordancia. Un ejemplo sería el tener en nuestra Base de Datos de hashes,
los hashes MD5 de archivo de interés e intentar compararlos con hashes SHA1.

5. Verificación de firmas

Lo que realmente indica de qué tipo es un fichero es su cabecera o firma, puesto

que la extensión puede ser fácilmente cambiada. Para comprobar si en los archivos que
vamos a analizar coincide lo que la extensión indica con el contenido del archivo es por
lo que se realiza la verificación de firmas.

TEMA 4 – Ideas clave

 Análisis Forense

Para la verificación de firmas podemos utilizar el ya mencionado AccessData FTK, el

cual, a partir de una base de datos de firmas de archivo, indica si en los archivos
analizados se corresponde o no la firma y la extensión.

La modificación de la extensión y/o la ruta con el objetivo de ocultar el verdadero

contenido de un archivo es una técnica muy rudimentaria de ocultación de
información, pero todavía bastante utilizada.

Fase de análisis

1. Búsqueda de palabras clave

En ocasiones nos podemos encontrar con análisis en los que es necesario obtener
documentos relacionados con determinadas palabras, por ejemplo, que
tengamos que obtener los documentos en los que se menciona a una determinada
persona. Para estos casos, realizaremos una búsqueda de palabras clave en las
evidencias recolectadas.

Este tipo de búsquedas es muy similar a la que podemos realizar con nuestro propio
sistema operativo, con la diferencia de que también se busca sobre los espacios libres
de la evidencia y en el interior de los archivos.

Para realizar la búsqueda podemos utilizar el mismo AccessData FTK, que permite
realizar búsquedas mediante palabras clave o mediante expresiones regulares las cuales
nos permiten definir patrones de búsqueda mucho más complejos que una simple
búsqueda literal.

Un ejemplo de expresión regular sería: «v[i!1][a@]gr[a@]» Esta expresión encontraría

los siguientes términos: «viagra», «vi@gra» y «v1agra» (entre otros), que son términos
muy comúnmente utilizados para el envío de SPAM.

TEMA 4 – Ideas clave

 Análisis Forense

2. Análisis del sistema operativo

Durante el análisis del sistema operativo tenemos que seguir una serie de pasos,
durante los cuales tenemos que intentar responder a las siguientes preguntas:

1. Nombre y versión del sistema operativo instalado, así como las

actualizaciones.
a. ¿Es una versión no oficial, o hay alguna actualización que no lo sea?

2. Usuarios del sistema y sus privilegios.

a. ¿Hay algún usuario anormal?
b. ¿Hay cuentas anónimas activas?
c. ¿Alguno de los usuarios es el propietario de algún archivo sospechoso?

3. Programas instalados.
a. ¿ Hay programas que permitan realizar el hecho investigado?
Ejemplo: Si estamos investigando la clonación de tarjetas, ¿hay algún
programa que permita su copia?

4. Antivirus instalados y análisis de seguridad

a. ¿Tiene instalado algún antivirus?
b. ¿Existe algún antivirus fake?
c. ¿Está infectado con algún virus el equipo? En tal caso, ¿dicho virus se
encuentra activo?

5. Análisis de los archivos de registro del sistema operativo.

a. ¿Sobre qué sucesos se guardan registros?
b. ¿Los archivos de registro han sido modificados?

6. Hardware configurado en el sistema.

a. ¿Qué hardware se encuentra configurado en el sistema?
b. ¿Qué dispositivos han sido conectados al mismo?
c. ¿Con el hardware configurado se ha podido realizar el incidente investigado?

TEMA 4 – Ideas clave

 Análisis Forense

Con el análisis de estos seis apartados tendremos una idea general de lo que se puede
o no hacer con el equipo. Además de que gracias a los archivos de registro analizados
(posteriormente se especifican los archivos interesantes al respecto) podremos obtener
información sobre las acciones realizadas sobre el equipo.

3. Análisis de los componentes de red

Al igual que durante el análisis del sistema operativo, durante el análisis de los
componentes de red tendremos que seguir una serie de pasos e intentar responder a
las siguientes preguntas:

1. Programas Peer to Peer (P2P), FTP u otros de compartición de ficheros.

a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Alguno de ellos tenía una configuración «extraña»?
c. ¿Qué archivos se han compartidos o descargado?

2. Correos electrónicos y mensajería instantánea

a. ¿Qué programas de este tipo tenía instalados y configurados?
b. Listado de contactos.
c. ¿Qué archivos han sido enviados o recibidos mediante estos programas?
d. Listado de mensajes de correo, mensajería y llamadas VoIP.

3. Exploradores de Internet
a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación

4. Otros programas con acceso a Internet

a. Dropbox, Google Drive, etc.

Cuando analicemos los correos electrónicos, los programas de mensajería instantánea o

cualquier otro programa que pueda albergar comunicaciones privadas entre personas,
debemos de tener cuidado de no incurrir en un delito contra el secreto de las
comunicaciones.

TEMA 4 – Ideas clave

 Análisis Forense

4.3. Archivos de interés en Windows

Como todos los sistemas operativos, Windows tiene una serie de archivos que nos van a
proporcionar una valiosa información a la hora de realizar un análisis del mismo.
Estos archivos son:

1 El registro de Windows

2 Los archivos de eventos

3 Los archivos de paginación e hibernación

Registro de Windows
Es una gran base de datos donde se almacena información sobre el propio
sistema operativo y los programas instalados. De él podemos obtener
información como: el histórico de dispositivos USB conectados, el hardware
configurado en el equipo, las redes Wifi a las que el equipo ha estado conectado, los
programas instalados, contraseñas de los usuarios, etc.

El registro de Windows está compuesto por varios archivos, los cuales, en Windows 7 y
8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM», ubicados en la ruta
«[WINDOWS INSTALL DIR]\System32\config\». Además del archivo
«NTUSER.DAT» ubicado en la carpeta personal de cada usuario. Estos archivos
pueden ser analizados fácilmente con la herramienta Windows Registry Recóvery de
MiTeC.

Archivos de eventos
Son archivos que almacenan los eventos ocurridos en el sistema operativo. En ellos
podemos encontrar eventos sobre los accesos de los usuarios al equipo, las
conexiones a la red, errores en la impresión de archivos, la creación de usuarios, etc.

Los archivos de eventos de Windows 7 y 8 se encuentran en la ruta «[WINDOWS

INSTALL DIR]\System32\winevt\» y tienen extensión *.EVTX (en versiones anteriores
de Windows la extensión es *.EVT). Estos archivos pueden ser analizados desde el
propio sistema operativo o con la herramienta Event Log Explorer de FSPro Labs.

TEMA 4 – Ideas clave

 Análisis Forense

Archivos de paginación e hibernación de Windows

Son archivos que contienen información que se encontraba previamente en la
memoria RAM, pero que por falta de espacio (archivo de paginación) o por entrar
el equipo en suspensión (archivo de hibernación), se han copiado al disco duro.

Estos archivos suelen estar ubicados en la raíz del dispositivo y en Windows 7 (y en

prácticamente todas las versiones de Windows) son los archivos «pagefile.sys» e
«hiberfile.sys», aunque no tienen por qué encontrarse en el dispositivo.

Sobre estos archivos podemos realizar el mismo tipo de análisis que sobre la memoria
RAM. Podemos realizar búsquedas de cadenas, recuperación de archivos, etc.

Además, también una serie de artefactos que también pueden resultar de mucho
interés, en función del caso objeto de análisis como son los relacionados con los
archivos descargados, programas ejecutados, los archivos abiertos y creados, etc.

En 2012, el Instituto SANS publicó un poster con la ubicación y forma de proceder ante
todos estos artefactos.

Este poster está disponible para su descarga en la siguiente dirección:

https://blogs.sans.org/computer-forensics/files/2012/06/SANS-Digital-Forensics-
and-Incident-Response-Poster-2012.pdf

4.4. Archivos de interés en Linux

Dentro de un sistema operativo tipo Linux, los archivos y carpetas de los que más
información podremos extraer son:

La partición de intercambio «swap», o archivos de intercambio añadidos al sistema

(archivos con extensión «.swap»). Similar al archivo de paginación en sistemas
Windows.
El archivo «/etc/sudoers», indica qué usuarios pueden ejecutar comandos como
administrador (mediante los comandos «su» o «sudo»).
El archivo «/etc/ passwd», contiene el listado de usuarios del sistema, el grupo a que
dichos usuarios pertenecen y su contraseña cifrada.

TEMA 4 – Ideas clave

 Análisis Forense

El archivo «.bash_history», el cual se encuentra en la carpeta del usuario y almacena

el historial de comandos ejecutados en la consola del equipo.
La carpeta «/var/log/», contiene toda la lista de archivos logs del sistema operativo.
Podemos ver que se escribe en cada uno de estos archivos leyendo el fichero de
configuración «/etc/rsyslog.conf».
La carpeta «/var/spool/cron/crontabs» en la cual se almacenan las tareas
programadas de cada uno de los usuarios del sistema.

El archivo «/etc/sudoers» es un archivo de gran interés ya que, si el sistema ha sufrido

algún tipo de ataque, suele alterarse este archivo para permitir que el usuario
comprometido pueda ejecutar comandos como si fuera un usuario root.

Por su parte, el archivo «/etc/ passwd» también es muy relevante en casos en los que el
sistema se haya visto comprometido, ya que de su análisis podremos obtener
información sobre posibles usuarios creados o usuarios que han cambiado de un grupo
sin privilegios a otro con mayores privilegios de acceso.

La estructura de las entradas del archivo «/etc/ passwd» es la que se puede observar en
la imagen anterior.

Como vemos, dicho archivo almacena el nombre de usuario, la contraseña cifrada, los
identificadores del usuario, una descripción del usuario, la ruta de su carpeta home y la
Shell del usuario.

TEMA 4 – Ideas clave

 Análisis Forense

4.5. Archivos de interés en Mac OS

Cuando tengamos que analizar un sistema operativo Mac OS (nos referimos al sistema
operativo de Mac para ordenadores portátiles o de sobremesa, no estamos hablando de
iOS, que es el sistema operativo del iPhone y del iPad) hay una serie de archivos y
carpetas con especial interés. Estos son:

Carpeta «/private/var/vm». Contiene los archivos «sleepimage» y «swapfile», similares

a los archivos de paginación e hibernación en sistemas Windows.
Carpeta «/private/var/log». Contiene los logs del sistema operativo. También es posible
encontrar ficheros de log (archivos con extensión *.log) en otras rutas, como la carpeta
«/Users/[username]/Library/Logs» que contiene los logs correspondientes al usuario.
Carpetas «/Library/», «/Users/[username]/Library/» y «/System/Library/».
Archivos con extension «*.plist». Son archivos en formato XML que almacenan
información similar a la contenida en el registro de un sistema Windows.
Carpetas «/private/var/db/shadow», «/Library/Keychains/» y
«/Network/Library/Keychains/». Contiene las contraseñas de acceso al equipo y las
guardadas por el usuario (redes Wifi, exploradores, etc.).

Los archivos plist, o archivos de lista de propiedades, son archivos que almacenan multitud
de información de interés sobre programas utilizados por el usuario y la configuración de
los mismos.

Este tipo de archivos está presente tanto en los equipos con sistemas operativos MacOS,
como en los terminales móviles con sistemas operativos iOS y pueden ser visualizados
directamente desde el propio sistema operativo del equipo, o bien haciendo uso de
herramientas de terceros como Plist Explorer o Plist Editor, ambos para sistemas
operativos Windows.

TEMA 4 – Ideas clave

 Análisis Forense

Lo + recomendado

Lecciones magistrales

Archivos de eventos en Windows

En esta lección magistral vamos a realizar el análisis de los archivos de eventos de los
sistemas operativos Windows.

La clase magistral está disponible en el aula virtual.

TEMA 4 – Lo + recomendado
 Análisis Forense

No dejes de leer…

Computer Forensics Procedures and Methods

Este documento realiza un repaso general de los procedimientos y métodos utilizados

durante un análisis forense. Desde la captura de la evidencia, hasta los análisis más
concretos, como la búsqueda de palabras clave o las colas de impresión.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.cyberace.org/Publications/craiger.forensics.methods.procedures.DRAFT.pdf

First Responders Guide to Computer Forensics

First Responders Guide To Computer Forensics, publicado por el CERT (Computer

Emergency Response Team) de la universidad de Carnegie Mellon, es un completo
manual explicativo de cómo afrontar un análisis forense en primera instancia.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

https://resources.sei.cmu.edu/asset_files/Handbook/2005_002_001_14429.pdf

TEMA 4 – Lo + recomendado
 Análisis Forense

No dejes de ver

La práctica de la Informática Forense

Como peritos informáticos debemos saber utilizar una amplia variedad de

herramientas que nos permitan obtener la mayor cantidad de información posible de
un sistema. En esta OpenClass, se hace un recorrido por algunas de las más
importantes y conocidas, centrándose especialmente en las herramientas libres que
nos permitirán desarrollarnos como peritos desde el primer día.

Accede a la OpenClass a través del siguiente enlace:

https://www.youtube.com/watch?v=VKVu3_SLqwM

TEMA 4 – Lo + recomendado
 Análisis Forense

+ Información

Webgrafía

Análisis de las evidencias

Las siguientes direcciones web te servirán para profundizar más en el tema:

SANS: Whitepapers (http://computer-forensics.sans.org/community/whitepapers)

National Institute of Justice. Topical Collection: Digital Forensics
(http://nij.ncjrs.gov/App/publications/Pub_search.aspx?searchtype=basic&categor
y=99&location=top&PSID=31)
The United States Department of Justice. Computer Crime & Intellectual Property
(http://www.justice.gov/criminal/cybercrime/)
Computer Forensics Tool Testing (http://www.cftt.nist.gov/)
Digital Forensic Research Workshop, DFRWS (http://www.dfrws.org/)

Bibliografía

Altheide, C. y Carvey, H. (2011). Computer forensics with Open Source tools. Syngress.

Brown, C. L. T. (2010). Computer evidence. Collection and preservation. Boston:

Course Technology PTR.

Jones, K., Bejtlich, R. y Rose, C. (2005). Real Digital Forensics: Computer Security
and Incident Response. Addison-Wesley Educational Publishers Inc.

TEMA 4 – + Información
 Análisis Forense

Actividades

Trabajo: Análisis Forense de un equipo Windows 10

Descripción y pautas de la actividad

Como perito, recibimos un archivo .ZIP que contiene los siguientes archivos:
Config.ad1 y Config.ad1.txt
Users.ad1 y Users.ad1.txt
Winevt.ad1 y Winevt.ad1.txt
Directory Listing.csv

Los archivos con extensión .ad1 son imágenes lógicas de las carpetas:
«Windows\System32\Config», «Users\» y «Windows\System32\Winevt»
respectivamente, mientras que el archivo “Directory Listing.csv” es un listado completo
de los archivos y carpetas del equipo.

El motivo por el cual no recibimos una imagen forense de todo el contenido del disco
duro del equipo es porque el juez únicamente ha autorizado el análisis de los
componentes facilitados, por lo que debemos de basar todo el estudio únicamente en
los archivos que nos han facilitado.

Para realizar la práctica hay que responder a las preguntas planteadas en la plantilla
que adjuntamos en la siguiente página) contestando simplemente a lo que se le
pregunta.

Nota: Cualquier hora que indique, debe ir acompañada de la zona horaria en la que se
encuentra.

Objetivos

El objetivo de esta actividad es realizar el análisis forense de los elementos más

importantes de un Sistema Operativo Windows.

TEMA 4 – Actividades
 Análisis Forense

¿Cuál es el hash SHA1 del archivo .ZIP facilitado?

¿En qué fecha se instaló el Sistema Operativo Windows 10?

¿Qué usuarios han iniciado sesión en el equipo? y ¿Cuál ha sido la fecha (y hora) de
último acceso de estos usuarios?
 Nombre del usuario: xx
 Fecha y hora de inicio de sesión: xx

 Nombre del usuario: xx

 Fecha y hora de inicio de sesión: xx

Se sospecha que uno de los usuarios del sistema modificó su cuenta para obtener
privilegios de administración. Analizando los registros de eventos indique: ¿Qué
usuario fue? y ¿En qué fecha y hora realizó dicha modificación’
 Nombre del usuario: xx
 Fecha y hora de la modificación: xx

Analizando los registros de eventos, indique: Los encendidos y apagados del sistema y
los inicios y cierres de sesión de los usuarios
 Fecha y hora: xx/xx/xxxx xx:xx
 Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
 Usuario: Que ha iniciado o cerrado la sesión

 Fecha y hora: xx/xx/xxxx xx:xx

 Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
 Usuario: Que ha iniciado o cerrado la sesión

 Fecha y hora: xx/xx/xxxx xx:xx

 Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
 Usuario: Que ha iniciado o cerrado la sesión

TEMA 4 – Actividades
 Análisis Forense

Analizando los registros de eventos, responda a las siguientes preguntas sobre los
posibles cambios en la fecha y hora del sistema.
 Se ha realizado algún cambio en la fecha y hora del sistema:
 ¿Qué usuario ha realizado dicho cambio?:
 ¿Qué fecha y hora era originalmente?:
 ¿Qué nueva fecha y hora se indicó?:
 ¿Se revirtió el sistema a la fecha y hora real?:

Se sospecha que en el sistema se descargó e instaló un software para el registro de las

teclas pulsadas (keylogger). Analizando las evidencias facilitadas, indique: ¿Qué
usuario descargó e instaló el software?, ¿En qué fecha y hora descargó e instaló el
mismo? y ¿Llegó dicho software a ejecutarse y a registrar algún tipo de información?
 Nombre del usuario:
 Fecha y hora de la descarga:
 Fecha y hora de la instalación:
 Llegó dicho software a registrar algún tipo de información:
 ¿Qué registro información registró?:

El sistema disponía del navegador Internet Explorer y Microsoft Edge. Aun así, se
sospecha que uno de los usuarios instaló un navegador web alternativo. Analizando las
evidencias facilitadas: ¿Qué navegador alternativo se instaló?, ¿Qué usuario instaló
dicho navegador? Por último, obtenga el historial de navegación del navegador y
adjúntelo.

TEMA 4 – Actividades
 Análisis Forense

Test

1. La identificación de volúmenes cifrados, ¿a qué fase del análisis pertenece?

A. Durante el análisis no se identifican los volúmenes cifrados.
B. Al post-análisis.
C. A la fase de análisis.
D. A la fase de pre-análisis.

2. ¿Cuál es el objetivo de realizar un hash a los archivos contenidos en la evidencia?

A. Comprobar si en los archivos que vamos a analizar coincide lo que la extensión
indica con el contenido del archivo.
B. Filtrar los archivos a analizar, pudiendo categorizarlos en «malos» y
«buenos».
C. Es contraproducente la realización de un hash a los archivos contenidos en la
evidencia.
D. Ninguna de las anteriores es correcta.

3. Respecto a la búsqueda de palabras clave:

A. En ocasiones nos podemos encontrar con análisis en los que es necesario
obtener documentos relacionados con determinadas palabras.
B. Es una tarea perteneciente a la fase de pre-análisis.
C. No se usa para buscar documentos en los que se mencione a personas.
D. Es una tarea perteneciente a la fase de post-análisis.

4. Respecto de la identificación de las máquinas virtuales:

A. Si nos encontramos con un disco duro virtual, procederemos a analizarlo como
si de una máquina distinta se tratara.
B. No es necesario identificar las máquinas virtuales.
C. Es una tarea perteneciente a la etapa de «análisis».
D. Ninguna de las anteriores son correctas.

TEMA 4 – Test
 Análisis Forense

5. Durante el análisis del sistema operativo:

A. Tenemos que responder a preguntas como: ¿es una versión no oficial o hay
alguna actualización que no lo sea?
B. Se realiza un análisis de seguridad para determinar si el equipo se encuentra
infectado por algún virus.
C. Obtenemos los dispositivos que han sido conectados al equipo.
D. Todas las respuestas son correctas.

6. Durante el análisis de los componentes de red:

A. Obtenemos la lista de programas que permitan realizar el hecho que se está
investigando.
B. Los componentes de red no se analizan.
C. Obtenemos la lista de páginas web visitadas por el usuario.
D. Ninguna de las anteriores es correcta.

7. Referido a los archivos de interés en Windows:

A. Son los mismos que en Linux y MacOS.
B. Los más importantes son «el registro de Windows», «los archivos de eventos»
y «los archivos de paginación e hibernación».
C. No proporcionan apenas información de interés.
D. Son los mismos que en MacOS.

8. El registro de Windows:
A. Es uno de los archivos de interés del sitema operativo Windows.
B. Es una gran base de datos donde se almacena información.
C. Las respuestas A y B son correctas.
D. Windows no dispone de registro.

9. Los archivos de interés en Linux:

A. Son los mismos que los de Windows.
B. Son los mismos que los de Windows y MacOS.
C. La partición de intercambio «swap» no es uno de ellos.
D. Ninguna de las anteriores es correcta.

TEMA 4 – Test
 Análisis Forense

10. Los archivos de interés en MacOS:

A. La carpeta «/private/var/vm» contiene los archivos «sleepimage» y
«swapfile», similares a los archivos de paginación e hibernación en sistemas
Windows.
B. Son los mismos que los de Windows.
C. MacOS no almacena archivos de logs.
D. No contienen información sobre las contraseñas almacenadas por los usuarios.

TEMA 4 – Test