Forense en

Windows
Windows

ü Versiones
ü Perfiles
ü Procesos
ü Servicios
ü Eventos
ü Registry
 Diferencia entre
Estaciones de Trabajo y Servidores
 Introducción
ü Una estación de trabajo es una computadora utilizada
como cliente en una red informática. Por ejemplo, las
computadoras de una oficina, las del laboratorio de
informática, etc. Las estaciones de trabajo acceden a
recursos compartidos y servicios ofrecidos por los
servidores.
ü Un servidor es comúnmente una computadora más
potente (aunque no necesariamente), que ofrece servicios
o recursos al resto de los equipos de la red. Por ejemplo,
acceso a Internet, Servicios de DNS o DHCP, carpetas
compartidas, impresoras, etc.
Introducción
Introducción
Introducción
 Información Básica

En cualquiera de los equipos (servidores o

estaciones de trabajo) es posible obtener
información de lo que han hecho tanto los
usuarios legítimos, como los del Sistema
propio, o como los intrusos.
 Datos básicos Windows

Si bien muchas cosas podemos estar acostumbrados a verlo

desde la propia interface gráfica, comprender que el Sistema
tiene muchos caminos paradnos información nos automatizar
muchas tareas o incluso obtener más información que la que
vemos normalmente.

ü Ejecutar acciones por consola.

ü Entender la separación de perfiles.
Datos básicos Windows
 ¿Qué es un Proceso?
Proceso: un programa en ejecución. Una unidad de actividad que se
caracteriza por la ejecución de una secuencia de instrucciones, un
estado actual, y un conjunto de recursos del sistema asociados
Los procesos son gestionados por el OS y están formados por:
• Las instrucciones de un programa destinadas a ser ejecutadas por
el micro..
• Su estado de ejecución en un momento dado, esto es, los valores
de los registros de la unidad central de procesamiento para dicho
programa.
• Su memoria de trabajo (memoria crítica), es decir, la memoria que
ha reservado y sus contenidos.
• Otra información que permite al sistema operativo su planificación.
• Un proceso se rige en pequeñas porciones, conocidas como páginas,
y cada proceso tiene su propia tabla de paginación, fungiendo
como una optimización del sistema operativo ante los fallos de
página.
 Procesos más importantes
Csrss.exe (Client Server Run-time Subsystem)
Es un subsistema esencial que debe estar siempre activo. Administra la consola
de Windows, crea y destruye “threads”.

Explorer.exe Basicamente es el famoso “Explorador de Windows”. Este proceso

puede ser detenido para luego volverse a ejecutarlo a través del administrador de
tareas.

Lsass.exe Genera los procesos responsables de la autentificación de usuarios

para el proceso Winlogon. Si la autentificación tiene éxito, lsass.exe genera los
tokens de acceso para el usuario que son utilizados para lanzar el shell inicial. Los
otros procesos que el usuario inicia, heredan estos tokens

Winlogon.exe Gestiona el inicio y cierre de sesion . Winlongon únicamente se

activa cuando el usuario presiona las teclas CTRL+ALT+SUPR,
 Procesos más importantes

Svchost.exe Es un proceso genérico que hace de host para otros procesos que
corren desde DLL.

Services.exe Es el administrador de servicios de Windows (Service Control

Manager). Este proceso inicia, detiene e interactúa con los servicios del sistema.

System La mayoría de threads del modo núcleo funcionan como proceso

System.

System Idle Process Este proceso es un único threads que corre en cada
procesador cuando el procesador no tiene nada que hacer.

Spoolsv.exe
Es el proceso responsable de la gestión de los trabajos de impresión y fax…
 ¿Cómo visualirzarlo?
La forma más común de ver los procesos es utilizando el Task Manager, sin
embargo hay información que NO está disponible en el Task Manager, como por
ejemplo:
ü Ruta completa al archivo ejecutable (.exe)
ü Cómo se abrió el proceso por línea de comandos (si así fuera)
ü El tiempo de vida del proceso
ü El contexto de seguridad donde se ejecutó el proceso
ü Qué módulos son “hijos” de ese proceso
ü Los contenidos en memoria de ese proceso

Otras formas de visualirzalo pueden ser:

• Tasklist Tasklist es una herramienta en línea de comandos proporcionada con
Windows.
• ProcMon Una de las herramientas más utilizadas por los analistas de malware
y researchers.
 Laboratorio 1: Procesos.
1) Abrir el bloc de notas en la PC.
2) Verificar con el Administrador de Tareas los procesos en ejecución.
3) Cerrar el programa del bloc de notas y ver que sucede con el proceso
en el Administrador de Tareas.
4) Volver a abrir el bloc de notas, buscar el proceso en el Administrador
de Tareas y detenerlo desde el Administrador de Tareas
5) Detener los procesos SVCHOST.exe desde el Administrador de Tareas
y observar que sucede.
6) Detener el proceso winlogon.exe y ver que sucede.
7) Buscar y descargar el programa Process Explorer de internet:
https://technet.microsoft.com/es-es/sysinternals/bb896653
8) Ejecutarlo y observar el detalle de cada proceso, y a su vez sus
vinculaciones. Compararlo con el Administrador de Tareas
 ¿Qué es un Servicio?

Un servicio de Windows es un programa de una computadora

que normalmente se ejecuta en Segundo plano, es decir que
no está a la vista de los usuarios. En sistemas Linux y Unix
se los conoce con el concepto de “daemon” o “demonio”

Los servicios de Windows son controlados por el Service

Control Manager, y una vez que un programa corre como
servicio, desde el SCM es posible:
- Iniciarlo.
- Detenerlo
- Reiniciarlo.
 Laboratorio 2: Servicios
1) Abrir el “Explorador de archivos”.
2) Seleccionar con botón derecho sobre “Este equipo”.
3) Seleccionar del submenu, “administración de equipos” y
luego buscar en el panel “Servicios y Aplicaciones”
4) Observar las columnas asociadas a los servicios.
5) Detener un servicio iniciado por el usuario “Sistema Local”
6) Detener un servicio iniciado por el usuario local
7) Analizar las propiedades de un servicio.
 ¿Qué es un Evento?

Un evento es un registro con las acciones que se realizaron

en el sistema. No obstante, las acciones que se registran
dependen de la configuración del sistema.
El gran problema de este tipo de registros es que pueden
contener mucha información y encontrar los datos valiosos
puede ser como buscar una aguja en un pajar.
Veamos…
 Laboratorio 3: Event Log.
1) Seleccionar sobre la opción de mi equipo, la opción administrar
2) Seleccionar la opción Visor de Eventos dentro de Herramientas
de Sistemas.
3) Recorrer los eventos y observar los de sistemas, aplicaciones y
seguridad.
4) Dejar la ventana del visor de eventos abierto e ingresar a:
Panel de Control\Sistema y Seguridad\Herramientas
Administrativas
5) Ingresar a Directiva Seguridad Local
6) Seleccionar sobre el cuadro de la derecha Directivas Locales,
luego seleccionar Directivas de Auditoría,
7) Modificar las políticas y ver luego cuando se realizan acciones,
como se muestran en el Visor de Eventos
 ¿Qué es la Registry?

"Una base de datos jerárquica central utilizada en

Microsoft Windows 98, Windows CE, Windows NT y Windows
2000 con el fin de almacenar información necesaria para
configurar el sistema para uno o varios usuarios,
aplicaciones y dispositivos de hardware.
El Registro contiene información que Windows utiliza
como referencia continuamente, por ejemplo los perfiles
de los usuarios, las aplicaciones instaladas en el equipo y
los tipos de documentos que cada aplicación puede crear,
las configuraciones de las hojas de propiedades para
carpetas y los iconos de aplicaciones, los elementos de
hardware que hay en el sistema y los puertos que se están
utilizando.”
https://support.microsoft.com/en-us/help/256986/windows-registry-information-for-advanced-users
 ¿Qué es la Registry?
Se divide en unos ficheros, llamados 'hive’ y no todos se
cargan a la vez. Algunos “hive” son volátiles, es decir que
no se almacenan en el disco y se pierden al reiniciar la PC.

"Es un grupo lógico de claves, subclaves y valores en el

registro que tiene un conjunto de archivos de respaldo que
contienen copias de seguridad de sus datos. Cada vez que
un nuevo usuario inicia sesión en un equipo, se crea
una nuevo 'hive' para ese usuario con un archivo separado
para el perfil de usuario.
Muchas herramientas forenses basan su funcionamiento
en la extracción de datos de ciertas claves del Registro.
 ¿Qué es la Registry?
HKEY_CLASSES_ROOT
Contiene información sobre aplicaciones registradas, como
asociaciones de archivos
HKEY_USERS
Contiene subclaves correspondientes a las claves
HKEY_CURRENT_USER de cada perfil de usuario cargado
activamente en el equipo, aunque normalmente sólo se
cargan los subárboles de usuario correspondientes a los
usuarios con sesión iniciada en esos momentos.
HKEY_CURRENT_USER
almacena configuraciones específicas del usuario con sesión
iniciada en esos momentos
 ¿Qué es la Registry?

HKEY_LOCAL_MACHINE
Realmente no se almacena en el disco, sino que el núcleo
del sistema la mantiene en la memoria para asignar allí las
demás subclaves
guardar la configuración especifica del equipo, siendo ésta
aplicada a cualquier usuario que inicie sesión en nuestra
máquina

HKEY_CURRENT_CONFIG
Contiene información acerca del perfil de hardware que
utiliza el equipo local cuando se inicia el sistema.