Introducción Al Análisis Forense

Introducción al Análisis Forense
1
INDICE
¿Qué es el análisis forense? Nuevos Artifacts en Windows 10
Sistema operativo ▪ Asistente personal CORTANA
▪ Diferencias entre Windows 7, Windows 8 y Windows 10 ▪ Introducción
▪ Arquitectura de Linux ▪ Integración Windows 10
▪ Captura y análisis de la información
Kits de Respuesta a Incidentes
▪ Integración de aplicaciones
▪ Basados en Agente ▪ Centro de Notificaciones
▪ Sin Agente ▪ Geolocalización en Windows 10
Extracción de Evidencias Análisis de la línea temporal

▪ Navegación ▪ Cuando un sistema ha sido actualizado, arrancado,
parado
▪ Conexiones de Red
▪ Análisis de creación/modificación de ficheros
▪ Aplicaciones
▪ Ocultación y ex-filtración de datos
▪ Sistemas de Ficheros
▪ Relación de procesos, puertos y conexiones realizadas
▪ Módulos
¿Qué es el análisis forense?
Respuesta a Incidentes VS Análisis Forense
Dr.House Dra.Brennan
Respuesta a Incidentes Análisis Forense

▪ Incidente en Curso ▪ Incidente pasado
▪ Interactuar ▪ Analizar restos
▪ Cambiante ▪ Repetible
▪ Resolver ▪ Documentar
Análisis Forense (forensics)

• El Análisis forense es una disciplina que busca obtener conocimiento sobre
hechos acaecidos en base a los rastros que dichos hechos han dejado.
• El Análisis forense de equipos informáticos (Computer forensics) es la
aplicación de dicha disciplina a la informática.
Computer Forensics:
Disciplina que se ocupa de IDENTIFICAR, ASEGURAR, ANALIZAR,
EXTRAER y PRESENTAR pruebas generadas electrónicamente y
guardadas en medios electrónicos con el objetivo de que sean
aceptadas en un proceso legal.
Cuando un asesino deja salpicaduras de sangre en la pared, no lo hace para

que el investigador de CSI pueda reconstruir con exactitud lo que ha sucedido,
sino como efecto secundario de lo que hace.
• En Computer Forensics sucede lo mismo.
• Es necesario conocer esos “efectos secundarios”, cómo estudiarlos, y qué fiabilidad
tienen.
En esto es en lo que se basa el Computer Forensics.
Principio de Intercambio de Locard: Siempre que dos objetos

entran en contacto, transfieren parte del material que
incorporan al otro objeto.
Importante:
Del mismo modo que el principio de Locard a la hora de realizar
el análisis forense, por lo que ser especialmente cuidadoso para
que el sistema se vea afectado en la menor medida posible y
que las evidencias adquiridas no se vean alteradas.
El procedimiento de análisis forense debe poseer las siguientes características:

▪ Verificable: se debe poder comprobar la veracidad de las conclusiones extraídas
a partir del análisis.
▪ Reproducible: se deben poder reproducir en todo momento las pruebas
realizadas durante el proceso.
▪ Documentado: todo el proceso debe estar correctamente documentado.
▪ Independiente: las conclusiones obtenidas deben ser las mismas,
independientemente de la persona que realice el proceso.
Tipos de análisis forense:

• Análisis forense de sistemas: tanto sistemas operativos Windows,
Linux, Android e IOS.
• Análisis forense de redes
• Análisis forense sistemas embebidos o IoT
• Análisis forense de memoria volátil
Hay que considerar también los aspectos legales, no

solamente los aspectos técnicos.
• Cadena de custodia
• Admisibilidad de la prueba obtenida: debe tener valor legal
▪ Uso de herramientas adecuadas para análisis forense (las

herramientas habituales no son adecuadas la mayoría de las
veces).
▪ Capacidad técnica para, no solo usar las herramientas, sino
saber interpretar adecuadamente los resultados obtenidos
Etapas del análisis forense:

• Consultoría
• Adquisición
• Extracción
• Análisis
• Emisión de Informe
Consultoría
▪ Entender cuál es el problema.
▪ Determinar dónde puede haber información relevante.
▪ Fijar los objetivos de la investigación.
Adquisición
▪ Asegurar los medios en los que haya información relevante
▪ Obtener una copia bit a bit de estos medios para poder trabajar con ella
ISO 27037 NIST 800-86

Information technology -- Security techniques -- Guide to Integrating Forensic Techniques into Incident
Guidelines for identification, collection, Response
acquisition and preservation of digital evidence
Extracción
Extraer la información relevante de la información obtenida en la etapa
anterior:
▪ Filtrar la información obtenida en base a: palabras clave, marco
temporal, dirección IP, usuario.
▪ Obtener los ficheros relevantes de los medios adquiridos: sacar el
buzón de correo del usuario para estudiar la base de datos de
mensajes de un servidor de correo.
Análisis
Analizar la información extraída de los medios adquiridos.
▪ Garantías de legalidad:
• No violar derechos fundamentales
• Principios de proporcionalidad, idoneidad y necesidad
• Investigar únicamente aquello que estamos autorizados a investigar
Emisión del Informe

▪ Plasmar en un informe todos los hechos
• Contrastados
• Relacionados con la investigación
▪ No incluir valoraciones subjetivas (opinión)
▪ En caso de incluir hipótesis probables, pero no probadas,
hacerlo constar claramente.
Cadena de custodia
Cadena de custodia
Cadena de custodia
Cadena de custodia
¿Adquisición de? ¿Dónde podemos encontrar las evidencias?

No necesitamos analizar la
computadora entera, sino tan
solo la parte encargada de
almacenar información.
Principios para realizar la adquisición
Justo antes de la fase de adquisición esta la fase de collection o recolección de
evidencias.
▪ Capturar una imagen del sistema tan precisa como sea posible.
▪ Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario
local o UTC.
▪ Minimizar los cambios en la información que se está recolectando y eliminar los
agentes externos que puedan hacerlo.
▪ En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero
recolección y después análisis.
▪ Recoger la información según el orden de volatilidad (de mayor a menor).
▪ Tener en cuenta que por cada dispositivo la recogida de información puede realizarse
de distinta manera.
Orden de volatilidad
El orden de volatilidad hace referencia al período de tiempo en el que está accesible cierta
información.
Por este motivo se debe recolectar en primer lugar aquella información que vaya a estar
disponible durante el menor período de tiempo, es decir, aquella cuya volatilidad sea mayor.
De acuerdo a esta escala se puede crear la siguiente lista en orden de mayor a menor
volatilidad:
▪ Registros y contenido de la caché.
▪ Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
▪ Información temporal del sistema.
▪ Disco.
▪ Logs del sistema.
▪ Configuración física.
Orden de volatilidad
Adquisición de Evidencias
Equipo Encendido:
• Obtención de datos volátiles
• Verificación de sistemas de cifrado (Veracrypt, Bitlocker, Luks, Filevault)
• Documentar todos los pasos realizados para minimizar el impacto
Equipo Apagado:
• Si está encendido nunca apagar de formada ordenada -> tirar del cable
• Clonado Exacto
Tipo de Adquisición de Evidencias

En función de como se encuentre la evidencia y cual sea el objetivo de la
investigación se puede realizar varios tipos de adquisición:
▪ Live Collection: Solo para equipos encendidos
▪ Adquisición lógica: Solo la parte visible del sistema de archivos
▪ Adquisición física: La parte visible como visible ( allocated + unallocated)
Tipos de Imágenes Forense

RAW
▪ Son la evidencia pura, sin metadatos sobre la misma
Expert Witness Format (EWF/E01)
▪ Formato propietario de Guidance Software (Encase
▪ Compresión
▪ Guarda metadatos (información del casos + hashes)
Tipos de Imágenes Forense

AFF (Advanced Forensics Format)
▪ Soporte de compresión, cifrado y firma digital
▪ Soporte de almacenado en varios ficheros
▪ Guarda metadatos extensibles (información variable)
PRÁCTICA_1: UTILIZACIÓN DE FTK PARA APERTURA DE IMÁGENES FORENSES

INDICE
Sistema operativo Nuevos Artifacts en Windows 10
▪ Diferencias entre Windows 7, Windows 8 y Windows 10 ▪ Asistente personal CORTANA
▪ Arquitectura de Linux ▪ Introducción
▪ Integración Windows 10
Kits de Respuesta a Incidentes ▪ Captura y análisis de la información
▪ Basados en Agente ▪ Integración de aplicaciones
▪ Sin Agente ▪ Centro de Notificaciones
▪ Geolocalización en Windows 10
Extracción de Evidencias
▪ Navegación Análisis de la línea temporal
▪ Conexiones de Red ▪ Cuando un sistema ha sido actualizado, arrancado,
parado
▪ Aplicaciones
▪ Módulos ▪ Relación de procesos, puertos y conexiones realizadas
Diferencias entre Windows 7, Windows 8 y Windows 10
Windows 7 introduce nuevas fuentes de

información que pueden ser utilizadas en una
investigación:
• Jumplist
• Ficheros de Hibernación
• Shadow Copies
Windows 7: Jumplists
Los Jumplist permiten saber
cuales han sido las aplicaciones
y ficheros que han sido
recientemente accedidos.
Windows 7: Ficheros de hibernación

Cuando una computadora hiberna , Windows escribe todo el
contenido de la memoria RAM en el fichero C:\hiberfil.sys.
Hiberfil.sys
Windows 7 : Volume Shadow Copies
▪ Puntos de Restauración nuevos: Volume Shadow Copies -> no
Hiberfil.sys
▪ Por defecto vienen activadas
▪ Se pueden recuperar por técnicas de carving

Windows 8 desde una perspectiva Forense:

▪ Metro APPS
▪ User pinned Application
▪ System-reset
▪ System Restore Points
▪ Skype pre instalado
▪ Logín con Windows Live Account
▪ Communications APPs
▪ Nuevo formato de Hiberfil.sys
Windows 8 : System Restore Points (Shadow Copies)
▪ Mantiene el sistema tradicional Shadows Copies Windows 7
pero añadiendo nuevas funcionalidades.
▪ Dentro de estos puntos de restauración podemos encontrar:
• Registro
• Aplicaciones
• Eventos del Sistema
• Documentos y archivos
• Configuraciones
Windows 8 : System Refresh Points
▪ Windows 8 introduce dos tipos de restablecimiento:
• Refresh Points
• System Recovery
En ambos sirve para eliminar ficheros maliciosos y entradas corruptas.
▪ Cuando se utiliza un Refresh Point, se crea una imagen de recovery
personalizada con todas las actualizaciones hasta la fecha, pero no
conserva información del usuario.
▪ Partición dedicada al restablecimiento.
Windows 8 : System Refresh Points

¿Qué información se almacena?
• Wireless Network Connections
• Mobile Broadband Connections
• BitLocker Settings
• BitLocker To GO settings
• Drive Letter Assignments
• Personalization Settings
• Podemos obtener también la fecha de cuando se
produjo este restablecimiento
Windows 8 : System Reset

No realiza borrado seguro: Se puede recuperar por técnicas de carving
Windows 10 desde una perspectiva Forense:

▪ Cortana: búsqueda mejorada de Windows 8
▪ OneDrive : almacenamiento en la nube
▪ Centro de notificaciones
▪ Nuevo tratamiento de logs en cuento a dispositivos USB
▪ Nuevo Browser: Edge
¡Los veremos más adelante!
INDICE
▪ Conexiones de Red ▪ Cuando un sistema ha sido actualizado,
arrancado, parado
▪ Aplicaciones
▪ Módulos ▪ Relación de procesos, puertos y conexiones
realizadas
Arquitectura Linux
▪ Basado en UNIX
▪ Kernel por Linus Torvalds
▪ Diferentes distribuciones: Debian, Ubuntu, RedHat/CentOS/Scientific
Linux, Suse, Arch, Gentoo…
▪ Sistema operativo monolítico
▪ ¿Mayor seguridad?
Arquitectura Linux
Formato EPOCH
▪ Usado por Linux para timestamps
▪ Número de segundos que han pasado desde 1/1/1970
http://www.epochconverter.com/
Arquitectura Linux
Sistemas de Archivos
▪ Extended File System (Ext*)
▪ Basados en UFS (Unix File System)
▪ Bloques= la unidad mínima de información (FAT/NTFS clusters)
Arquitectura Linux
Sistemas de Archivos: EXT2
▪ Tablas de inodos -> Punteros a los inodos (del grupo)
▪ Inodos -> Cada inodo de un fichero/directorio: metadatos de cada fichero
(tamaño, propietario, permisos, MAC y Deletion). Normalmente 128
bytes/inodo (todos del mismo tamaño en el FS)
Inodos reservados:
• El primer inodo guarda info de Bad blocks
• El segundo inodo -> Directorio raíz
• El inodo 11 -> Primer inodo de usuario (“lost+found”))
Arquitectura Linux
Estructura de un Inodo
Arquitectura Linux

▪ Igual que Ext2 pero con journaling
▪ El Inodo número 8 apunta al journaling
▪ El journal guarda registro de los updates de los ficheros,
ANTES de que sucedan
▪ En borrado de ficheros, se pone a cero el valor del tamaño
del fichero y direcciones de bloques en el inodo
Arquitectura Linux
Sistemas de Archivos: Journaling -> También existe en Windows
▪ Bitácora del sistema de ficheros
▪ Reset cuando se monta
▪ Cambios -> primero en Journal y luego en filesystem
▪ Tipos:
• Journal -> Log completo
• Ordered -> Log de metadatos (default)
• Write Back -> Log de metadatos
Arquitectura Linux

▪ FS de gran tamaño (1 Exbibyte ~ 1 Exabyte) 10^18 bytes
▪ Extents (Bloques físicos continuos) -> Mejora rendimiento
▪ Asignación persistente en disco
▪ Asignación retrasada de espacio en disco
▪ 64.000 subdirectorios/ficheros max (y más)
▪ Journaling con checksums
▪ Timestamps en nanosegundos
▪ Se añade Creation time a metadatos
Arquitectura Linux
Sistemas de Archivos: LVM (Logical Volume Management)
Sistema que permite gestión de particiones (cambio de tamaño, unión,
movimiento, etc,…)
• PV -> Physical Volume (Partición física)
• VG -> Volume Group (contiene PV)
• LV -> Logical Volume
▪ Ejemplo: /dev/sda
• /dev/sda1 -> Partición Boot (Ext*)
• /dev/sda2 -> Partición LVM (PV)
• /dev/VolGroup/lv_root -> (LV)
• /dev/Volgroup/lv_swap -> (LV)
Arquitectura Linux
Sistemas de Archivos: LVM (Logical Volume Management)

Arquitectura Linux
Evidencias en sistema Linux (Dependiendo de distribución)
La carpeta “mágica” es /var/log/
▪ Fichero messages: Mensages globales del sistema, incluyendo el
inicio del mismo
▪ Fichero dmesg: Información del kernel, incluyendo los dispositivos
hardware que el kernel detecta cuando el sistema arranca.
▪ Fichero auth.log: Información de autorización del sistema,
incluyendo los inicios de sesión del usuario y mecanismo de
autenticación.
Arquitectura Linux
Evidencias en sistema Linux:
▪ Fichero boot.log: Información que se registra cuando se inicia el
sistema
▪ Fichero daemon.log: Información registrada por los demonios en
segundo plano que se ejecutan en el sistema
▪ Fichero dkpg.log: Información que se registra cuando un paquete
un paquete se instala o se elimina con el comando dkpg.
Arquitectura Linux

▪ Fichero kern.log: Información que registrada por el nucleo.
▪ Fichero lastlog: Información de acceso reciente para todos los
usuarios. No es un archivo de texto y se debe usar el comando
lastlog
▪ Fichero mail.log: Información de registro del servidor de correo
que se ejecuta en el sistema.
Arquitectura Linux
▪ Fichero user.log: Contiene información sonre todos los registros a
nivel de usuario.
▪ Fichero btmp: Información Sobre los accesos fallidos: lastlog
–f /var/log/btmp|more
▪ Fichero cups: Registro de los mensajes relacionados con las
impresoras y el sistema de impresión cups.
Arquitectura Linux
▪ Fichero cron: Información sobre los trabajos programados
iniciados por el deminio crond
▪ Fichero secure: Información relacionada con los privilegios de
autenticación y autorización (registros del demonio ssh)
▪ Fichero wtmp, utmp: Registros de conexión. Usando wtmp se
puede averiguar quien está conectado al sistema. El comando Who
utiliza este archivo para mostrar la información.
Arquitectura Linux

▪ Fichero faillog: Contiene los intentos de login usuario fallidos.
Se puede usar el comando faillog para mostrar este archivo.
Arquitectura Linux
Logs en Ubuntu
Arquitectura Linux
Rotación de Logs
▪ Los ficheros en /var/log pueden crecer indefinidamente
hasta llenar el disco y bloquear el sistema.
▪ Es necesario hacer una limpieza de los ficheros a
intervalos regulares, encargada de comprimir.
▪ Actualmente existe la herramienta logrotate, que es capaz
de comprimir y rotar automáticamente los logs.
Arquitectura Linux
Syslog
▪ Linux(Unix) tiene un sistema de registro muy flexible y
potente que permite:
• Registrar casi cualquier cosa que se imagine
• Manipular los logs para obtener la información requerida
▪ La aplicación básica de registro se llama syslog

• Defindo en el RFC5424
• UDP/514
• Sin autenticación entre cliente y servidor
Arquitectura Linux
Arquitectura Básica Syslog

Arquitectura Linux
Syslog: Mensajes
▪ Los mensajes Syslog incluyen información básica que identifica
desde dónde, cuando y porqué se envio el log.
• Dirección IP, Marca de tiempo, mensaje de log
▪ Syslog utiliza el concepto de facility para identificar el origen de un

mensaje de una maquina determinada:
• Facility=0 -> mensajes enviados por el Kernel
▪ Los mensajes de syslog también incluyen un campo para indicar el

nivel de gravedad -> severity
• Severity=0 -> indica emergencia
Arquitectura Linux
Arquitectura Linux
Prioridades
INDICE
Sistema Operativo Nuevos Artifacts en Windows 10
Kits de Respuesta a Incidentes
▪ Captura y análisis de la información
▪ Basados en Agente
Extracción de Evidencias ▪ Geolocalización en Windows 10
parado
▪ Aplicaciones
▪ Modulos
Kit de Respuesta a Incidentes: Basados en Agente
Google Rapid Response
▪ Herramienta de forense remoto que puede ser instalada como un
agente en una red para analizar la actividad del usuario.
▪ Cross-platform: Linux, OSX y Windows endpoint.
▪ Permite realizar búsquedas y descarga de ficheros de archivos de
registro.
▪ Acceso al sistema de archivos mediante librería TSK de Autopsy
▪ Enterprise hunting (búsqueda en todo el grupo de computadores)
Google Rapid Response: Características

• Recolección forensic artifacts
• Adquisición de ficheros
• Búsqueda de archivos y en el registro.
• Análisis de memoria remoto -> deprecated
• Hash set de la NSRL (National Software Reference library)
https://github.com/google/grr
Arquitectura:
• Cliente (Agentes desplegados)
• Servidor Frontend
• Data Store
• Admin UI
• Worker
• API
¿Cómo desplegar GRR sobre una red Windows?
• A través de SCCM (System Center Configuration Manager)

• Mediante políticas de grupo en el DA (Directorio Activo)
Flujo para identificar

Acciones principales desde el GUI:
▪ Flow -> Dirigido a un target en concreto

▪ Hunts -> Planificar múltiples flows a múltiples targets
▪ Browse Virtual Filesystem -> Explorar remotamente el
almacenamiento
Caso de uso: localizar un fichero PDF descargador por un browser.

▪ Localizamos la URI: http://webserver.local/example.pdf
▪ Analizar todos los posibles browser instalados en los endpoints.
• Chrome
• Firefox
• Internet Explorer
Segunda tarea: investigar que ocurrió con el fichero descargado

Posibles métodos de extracción del fichero:
• Subir el fichero a sistemas Cloud : Dropbox, OneDrive
• Enviar el fichero por correo electrónico
• Transferir el fichero a otro computador
• Copiar a un dispositivo de almacenamiento USB
Podemos adquirir todos los ficheros necesarios para obtener los
artifacts de manera remota.
Explorar el registro remotamente:

Artifacts relacionados con dispositivos USB:
• Software hive
• SYSTEM hive
• NTUSER hive
• SETUPAPIDEV logs
• LNK Files
• SHELL BAGS
Buscando el fichero PDF
▪ Se puede adquirir la tabla mft -> $MFT y el $Extend/$UsnJrnl:$J
para procesar localmente.
¿Y si el nombre del fichero fue cambiado?
▪ Solución, buscar por:
• Hash
• Tamaño
• Contenido
Buscando por hash

▪ Podemos hashear ficheros con condiciones:
• Directorio de los ficheros a hashear
• Mínima fecha de modificación
• Máxima fecha de modificación
• Hashear ficheros de hasta un tamaño máximo
Buscando por tamaño

▪ Podemos buscar ficheros con las siguientes condiciones
• En qué directorio buscar
• Mínima fecha de modificación del fichero objetivo
• Máxima fecha de modificación del fichero
modificado
• Tamaño
Cabecera del fichero

▪ Sabiendo el tipo de fichero y parte de su contenido podemos
llevar a cabo búsquedas de bajo nivel:
Cabeceras típicas de fichero:

• PDF: 0x25 0x50 0x44 0x46
• DOCX: 0xD0 0xCF 0x11 0xE0 0xA1 0xB1 0x1A 0xE1
• JPG: 0xFF 0xD8 0xFF 0xE0
Rekall Forensics
▪ Viene de la mano de GRR (antes era un modulo de GRR)
▪ Misma funcionalidad que GRR pero está especializado en
memoria
▪ El servidor se puede desplegar en la nube de Google
▪ Cross-platform
http://www.rekall-forensic.com/
Rekall Forensics: Características

▪ Análisis remoto de memoria
▪ Es un framework avanzado de forense
▪ Mecanismos de control basados en roles
▪ Muchos de los plugin están basados en Volatility
http://www.rekall-forensic.com/documentation-1/rekall-
documentation/plugins
El agente desplegado de Rekall puede correr plugins del propio

rekall o los creados por ti:
netstat Plugin: Lista las conexiones activas del endpoint remoto

YaraScan Plugin: Permite buscar indicadores de compromiso

mediante reglas YARA
Encase Endpoint Investigator

▪ De pago
▪ Permite recolectar información independientemente de si el endpoint
está en la red corporativa o no.
▪ Cross-platform: Windows, Linux, MacOSX, Google Android y Apple
Iphone
▪ Capacidad de triage
▪ Investigación de todo el almacenamiento
Evimetry: Digital Forensics at Wire Speed

▪ De pago
▪ Adquisición remota de almacenamiento entero
▪ Adquisición remota de memoria
▪ Cross-platform: Windows, Linux, MacOSX
▪ Adquisiciónes concurrentes
▪ Nuevo formato de almacenamiento de Evidencias AFF4
Evimetry: Digital Forensics at Wire Speed

Tipos de adquisición:
• Lineal: Todo el dispositivo de almacenamiento
• Allocated: Solo el espacio ocupado
• Metadata: Metadatos del sistema de archivo ($MFT,$Usnjrnl,etc)
• Incident Response: Registros, logs swap/pagefile, EXE.
• Documentos: Documentos por categoría
INDICE
Kits de Respuesta a Incidentes ▪ Integración Windows 10
▪ Basados en Agente ▪ Captura y análisis de la información
▪ Sin Agente
▪ Centro de Notificaciones
▪ Navegación
Análisis de la línea temporal
▪ Conexiones de Red
▪ Cuando un sistema ha sido actualizado, arrancado,
▪ Aplicaciones parado
▪ Sistemas de Ficheros ▪ Análisis de creación/modificación de ficheros
▪ Módulos ▪ Ocultación y ex-filtración de datos
Kit de Respuesta a Incidentes: Sin Agente
Cybertriage
• De pago (versión community)
• Sólo para Windows
• Identificación del registro: programar de arranque, drivers, servicios,
programas que fueron ejecutados.
• Identificación de tareas programadas
• Análisis de los eventos del sistema en cuanto a login y accesos por escritorio
remoto.
• Información Volatil: procesos, puertos abiertos, unarios logados, conexiones
de red, dns.
• Admite evidencias enteras: imágenes RAW y E01
Cybertriage
PRÁCTICA _2: ANÁLISIS CON CYBERTRIAGE

PSHUNT
Power Shell Threat Hunting
▪ Está diseñado par escanear remotamente
endpoints para indicadores de compromiso
(procesos, autoarranque,configuraciones y logs)
▪ Fue el inició del Threat Hunter Infocyte
https://github.com/Infocyte/PSHunt
BrimorLabs
▪ Live Response Collection: Herramienta automatizadas que
recolecta información volátil para Windows, OSX y Unix.
https://www.brimorlabs.com/tools/
PRÁCTICA _3: EXTRACCIÓN DE DATOS CON BRIMOR

Kansa
▪ Solo Windows
▪ Framework de incident response modular basado en Powershell.
▪ Actualizado recientemente
https://github.com/davehull/Kansa
PowerForensics
▪ Solo Windows
▪ Proporciona todas las herramientas necesarias para
realizar una investigación mediante poweshell sobre
un sistema Live.
https://github.com/Invoke-IR/PowerForensics
PSRECON
▪ Solo Windows
▪ Obtiene toda la información de un host de Windows, la organiza
en carpetas, hashea toda la información extraída y puede enviarla
mediante:
• Email
• Carpetas compartidas
NOHA: No Agent Hunting
▪ Solo Windows
▪ Basado en Powershell para ayudar a los incident responders a
obtener un gran número de artifacts sin tener que instalar nada.
CimSweep
• Windows y esta basado en la Windows Management Interface.
• Soporta últimas versiones: Windows 10 y Windows Server 2016
• Registry keys, values, value types, and value content with optional recursion
• Directory and file listing with optional recursion
• Event log entries
• Services
• Processes
Práctica_3
IR Analyst:CyLR CCF-VM:CDQR
3) Perform analysis
1) Initiate artifact collection 2) Collection direct to server

CyLR
▪ Recolecta forensic artifacts de un host con sistema de archivos
NTFS, de manera rápida y segura. Minimizando el impacto al host.
▪ Artifacts almacenados en memoria
▪ La API de Windows no es usada para este proceso.
▪ Puedes enviar los resultados a través se SFTP a un servidor de
análisis
https://github.com/rough007/CyLR
CDQR: Cold Disk Quick Response Tool

• Analiza imágenes de disco
• Soporta: Windows y Mac/Linux
• Crea TimeLines y se puede exportar a TimeSketch
• Los datos son exportables a KIBANA
Recopilar con CyLR Procesar con CDQR
Ver en CCF-VM: Time Sketch
Ver en CCF-VM: KIBANA
INDICE
parado
▪ Aplicaciones
▪ Módulos ▪ Relación de procesos, puertos y conexiones realizadas
Estructura de un disco
▪ Un disco esta formado por varios platos.
▪ Cada plato tiene dos caras.
▪ Para cada cara, hay una cabeza magnética o cabezal que la va a leer.
▪ En cada cara, se pueden definir varias pistas concéntricas.
▪ El conjunto de pistas que ocupan la misma posición a lo largo de todas las
caras se denomina cilindro.
▪ Cada pista se puede dividir en distintos sectores.
▪ Cada sector puede albergar 512 bytes de información.
Estructura de un disco: direccionamiento
CHS: Cilinder, Head, Sector
• Cilindro: 0..1023
• Cabeza: 1..254
• Sector: 0..63
Pista: Es lo que se define con un Cilindro y una Cabeza
• Mediante esta forma de direccionamiento, solo se puede llegar a
direccionar 8 Gb.
LBA: Large Block Addressing
• Modo de direccionamiento lineal en el que cada sector se accede
mediante un número.
Estructura de un disco: Estilo de particiones

MBR (Master Boot Record) y GPT (GUID Partition Table) son dos
maneras de almacenar información sobre el particionado en
dispositivo.
MBR : Tabla de particiones

MBR (Master Boot Record) alojado en el primer sector de un
device y contiene tabla de particiones: 1 sector 512 bytes

La tabla de particiones contiene registros de 16 bytes cada uno.
En los registros se especifica de que tipo es la partición.
MBR: Master Boot Record

1. El MBR está formado por una porción de código que se encarga de
averiguar cuál es la partición de arranque y dónde está.
2. Una vez localizada, este código ejecuta el sector de arranque de
dicha partición.
3. Además, se encuentra información sobre las particiones que hay
en ese disco duro.
Tanto la tabla de particiones, como el sector de arranque de una

partición son sectores especiales ya que contienen información
sobre la organización del disco y código que se ejecuta en el
momento de arrancar.
Es por ello que, para detectar problemas, estos sectores se marcan
utilizando para ello los dos últimos bytes del sector con los
siguientes valores:
• 55 AA
GPT
GUID Partition Table
• Tras una MBR de mentira que solo incluye una entrada de tipo EE que cubre
todo el disco
• 128 bytes de información por cada partición
• Hasta 128 particiones en total
• Copia al final del disco
GPT
• Siempre empieza por el string “EFI PART”
• 45 46 49 20 50 41 52 54 -> Little endian
GPT: Entradas de 128 bytes

▪ GUID Tipo de partición (16 bytes)
▪ ID único de la partición (16 bytes)
▪ Primer sector LBA (8 bytes, little endian)
▪ Último sector LBA (8 bytes, little endian)
▪ Flags (8 bytes)
▪ Nombre (72 bytes=36 caracteres UTF-16LE)
GPT: GUIDs Tipo de Partición
Sistemas de Ficheros en Windows

FAT
• FAT12
• FAT16
• FAT32
NTFS
FAT: File Allocation Table

El sistema de archivos FAT, es un sistema para almacenamiento pequeño.
Para proteger el volumen hay dos tablas FAT: FAT1 y FAT2
Las tablas contienen una relación de clúster- siguiente clúster.

Cada fichero se indexa a partir del primer clúster que ocupa y una tabla
donde se indica para cada clúster cuál es el siguiente. Esta tabla se
denomina FAT (File Allocation Table).
En esta tabla hay valores especiales para marcar:
• Clústers erróneos (FF7, FFF7, FFFFFF7)
• Clústers vacíos (0,0,0) que no hay más clústeres a continuación del clúster
actual (FFF, FFFF, FFFFFFF)
La tabla representa el estado del clúster y su siguiente clúster, asociado
al fichero.
• Debido al tamaño de la tabla, solo puede rediccionar hasta 65526 clusters

• El tamaño máximo de un fichero es de 4 Gigabytes.
• El timestamp es local, es decir, lleva una zona horaria determinada
NTFS
NTFS: New Type File System
• Permite hasta 16 Exabytes (16.000.000.000 Gb) por partición (2^32
bytes).
• Los clusters son pequeños (512 a 4 Kb) poca fragmentación interna.
• Todo es tratado como atributos (incluso los datos de un fichero, el
contenido de un directorio, etc.)
• Permite directamente nombres de fichero de hasta 255 caracteres.
NTFS Características
▪ Journaling: Guarda todos los cambios producidos respecto a si
mismo, es decir cambios en los metadatos -> $logfile
(modificaciones $mft). También guarda en $Extend\$UsnJrnl los
cambios relacionados con los ficheros
▪ UsnJrnl: Tienen un tamaño limitado y se podría utilizar también
para localizar los ficheros borrados.
▪ Volume Shadow Copy : Mantiene un histórico de los ficheros y
directorios.
NTFS Características
• Seguridad: Cada fichero o directorio mantiene un descriptor de
seguridad mediante ACLs
• Cifrado: EFS -> Encrypting File System permite cifrar ficheros o
directorios
• Bitlocker: permite cifrar el volumen entero
• Fechas y Horas en formato GMT
NTFS:MFT
Dentro de la tabla MTF hay registros.

Uno por cada fichero o directorio del sistema NTFS
NTFS:MFT
▪ Es un fichero que contiene una tabla con todos los ficheros y directorios,
incluido él mismo.
▪ Los primeros 16 registros de la tabla $mft son los llamado metadatos y sirven
para organizar el sistema de archivos.
▪ Hay dos MFT, ambos indicados por el boot NTFS:
• $mft
• $mftfirror: al final de la partición sirve como backup.
▪ Cada registro ocupa 1 Kb, aunque un fichero puede ocupar varios registros.
MFT los 16 primeros registros

• 0 $MFT: Descripción de la propia tabla.
• 1 $MFTMIRR: Copia de los 16 primeros registros de la tabla.
• 2 $LOGFILE: Almacena la información con las transacciones pendientes de
hacer para poder restaurar el estado en caso de fallo o rehacer las
operaciones que han sido interrumpidas
• 3 $VOLUME: Datos del volumen (número de serie, fecha de creación,
nombre, ...).
MFT los 16 primeros registros

• 4 $ATTRDEF: Tabla con los atributos, nombre, valor, descripción.
• 5 $.: Directorio raíz.
• 6 $BITMAP: Mapa de bits con los clústers Libres (bit a 0) u ocupados (bit a 1).
• 8 $BADCLUS: Lista de los clústers defectuosos del disco.
• 9 $QUOTA: Información sobre la cuota de disco de los usuarios (sin uso en
Win NT).
• 10 $UPCASE: Fichero que mapea los caracteres en mayúsculas
correspondientes a cada uno de ellos en minúsculas.
MFT. Los 16 primeros registros
▪ 11 a 15 Libres (por ahora)
▪ A partir del 16 comienzan los registros de los ficheros comunes.
¿Cómo son estos registros?
Registro de MFT: ¿Cómo identificar un fichero borrado?

▪ Flags dentro del registro
▪ Los ficheros borrados se pueden recuperar mediantes 2 técnicas:

• Mediante el propio sistema de archivos: registros mft y clusters asociados
• Mediante Carving: file signatures & magic numbers
¿Recuperar un fichero borrado? NTFS Carving

Se utiliza un header conocido y un footer.
• Fichero JPEG Header: OxFF,OxD8 -> FFD8

• Fichero JPEG Footer: OxFF,OxD9 -> FFD9
Artifacts
Artifacts, ¿qué son?

▪ Conjunto de aplicaciones, ficheros, rutas de acceso,
configuraciones y registros que pueden determinar la
actividad de un malware o usuario malicioso.
▪ Contienen información relevante para la investigación
▪ Son evidencias a buscar y preservar
Extracción de evidencias o artifacts
Tipos de Artifacts
▪ MFT ▪ Thumcache
▪ Sistema operativo ▪ Recycle Bin
▪ FileSystem/Partitions ▪ Volume Shadows Copies
▪ Hives de Registro ▪ Windows Indexing Service
▪ Logs de eventos ▪ Cortana
▪ Prefetch ▪ Notification Centre
▪ Shelbags ▪ Fichero de hibernación
▪ LNK
Registro de Windows
• Valiosa fuente de artefactos forenses
• El registro contiene configuraciones para Windows
• Es una base de datos binarios, jerárquica y algunos de sus contenidos
incluyen los valores de configuración y datos para el sistema
operativo y para distintas aplicaciones que dependen de ella.
• Supervisa y registra los datos específicos del usuario para estructurar
y mejorar la experiencia del usuario.
Registro de Windows
PRÁCTICA _4: EXTRACCIÓN DE ARTIFACTS

Registro de Windows
Localización de Hives:
• \Users\<usuario>\NTUSER.DAT -> (>Win7)
• \Documents and Settings\<$user>\NTUSER.DAT (< WinXP)
• \Windows\System32\config\DEFAULT
• \Windows\System32\config\SAM
• \Windows\System32\config\SECURITY
• \Windows\System32\config\SOFTWARE
• \Windows\System32\config\SYSTEM
Registro de Windows
Registro de Windows
Herramientas:
▪ WRR: Windows Registry Recovery
http://www.mitec.cz/wrr.html
Registro de Windows
Herramientas:
▪ RegRipper
▪ Proyecto Open Source
▪ Scripts en Perl
▪ Command line e interfaz gráfica
https://github.com/keydet89/RegRipper2.8
Autoruns
Permite identificar que programas
son ejecutados en el arranque:
▪ Entradas registro
▪ Tareas
▪ Servicios
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
Bulk Extractor
Herramienta para búsquedas de strings dentro de
una imagen forense, también permite buscar en los
siguientes:
▪ Credit card numbers

▪ Dominios
▪ Emails
▪ Direcciones IP
▪ URLs
https://github.com/4n6ist/bulk_extractor-rec
Eventos del sistema

Registran los eventos importantes que tienen lugar en el equipo, como por ejemplo
cuando un usuario inicia sesión
• Eventos de seguridad
• Eventos de configuración: Los equipos que se han configurado como
controladores de dominio dispondrán de mas registros aquí.
• Eventos del sistema: Los eventos del sistema los registran Windows y los
servicios del sistema de Windows, se pueden clasificar como error,
advertencia o información.
• Eventos reenviados: Estos eventos llegan a este registro desde otros equipos
Ficheros de eventos en sistemas Windows
Event log: Event log:

• Sistema • Sistema
• Aplicación • Aplicación
• Seguridad • Seguridad
Formato Binario(*.evt) • 200 ficheros mas
Formato Binario + XML (*.evtx)
Ficheros de eventos en sistemas Windows

Existe un fichero por cada categoría de eventos:
• Aplicación: Application.evtx
• Seguridad: Security.evtx
• Sistema: System.evtx
Los ficheros tienen un tamaño, aino se indica lo contrario se irán
sobreescribiendo.
Es muy importante cambiar el comportamiento del fichero sino se
borrarán.
Eventos seguridad: EventID de logon en Windows 2003 Server
ID -> Description
528 -> A user successfully logged on to a computer.
529 -> Logon failure. A logon attempt was made with an unknown user name or a known
user name with a bad password.
530 ->Logon failure. A logon attempt was made outside the allowed time.
531 -> Logon failure. A logon attempt was made using a disabled account.
532 ->Logon failure. A logon attempt was made using an expired account.
533 -> Logon failure. A logon attempt was made by a user who is not allowed to log on at
the specified computer.
534 -> Logon failure. The user attempted to log on with a password type that is not
allowed
Eventos de seguridad: EventID de logon en Windows 2003 Server
ID -> Description
535 -> Logon failure. The password for the specified account has expired.
536 -> Logon failure. The Net Logon service is not active.
539 -> Logon failure. The account was locked out at the time the logon attempt was made.
540 -> A user successfully logged on to a network.
551 -> A user initiated the logoff process.
552 -> A user successfully logged on to a computer with explicit credentials while already logged
on as a different user.
682 -> A user has reconnected to a disconnected terminal server session.
683 ->A user disconnected a terminal server session but did not log off.
Note: This event is generated when a user is connected to a terminal server session over
the network. It appears on the terminal server.
Eventos de seguridad: EventID de login posterior Windows 2003

ID -> Description
▪ 4624 -> An account was successfully logged on.
▪ 4625 -> An account failed to log on.
▪ 4648 -> A logon was attempted using explicit credentials.
▪ 4675 -> SIDs were filtered.
Eventos de cuenta posterior Windows 2003.
ID -> Description
▪ 4649 ->A replay attack was detected.
▪ 4778 ->A session was reconnected to a Window Station.
▪ 4779 ->A session was disconnected from a Window Station.
▪ 4800 ->The workstation was locked.
▪ 4801 ->The workstation was unlocked.
▪ 4802 ->The screen saver was invoked.
▪ 4803 ->The screen saver was dismissed.
▪ 5378 ->The requested credentials delegation was disallowed by policy.
▪ 5632 ->A request was made to authenticate to a wireless network.
▪ 5633 ->A request was made to authenticate to a wired network
Eventos de seguridad: Tipos de Login 4624 ó 528
▪ 2 -> Interactive (keyboard and screen of system)
▪ 3 -> Network (connection to shared folder)
▪ 10 -> Remote Interactive (Terminal Service, Remote Desktop)
▪ 4 -> Batch (scheduled task)
▪ 5 -> Service
▪ 7 -> Unlock (screen saber)
▪ 8 -> Network Cleartext (logon to IIS)
▪ 9 -> NewCredentials (RunAS)
▪ 11 -> Cached Logon (cached domain credentials)
Winlogon View
▪ Herramienta gratuita
de Nirsoft.
▪ Eventos de Windows
Vista/7/8/10
▪ Solamente para los
eventos de seguridad
y detectar las
autenticaciones de
sesión.
https://www.nirsoft.net/utils/windows_log_on_times_view.html
Event Log Explorer

▪ Herramienta gratuita Eventos
de Windows tanto en
formato evt como evtx
▪ Analiza cualquier eventID
https://eventlogxp.com/
Artifact: USB Conectados

USB Forensic Tracker
▪ Gratis
▪ Windows, Mac y Linux
▪ Windows10 incluido (eventos
del sistema)
▪ Extrae información de las
shadows copies.
http://www.orionforensics.com/w_en_page/USB_forensic_tracker.php
Artifact: Prefetch
Permite mejorar la capacidad de arranque de aplicaciones. Sólo existe en
Windows para Cliente. En versiones server no hay prefetching ni en discos SSD.
Durante un arranque suceden
• Páginas de disco a memoria
• Búsqueda del fichero ¿dónde está?
Sistema de precarga o Prefetching
• Guarda datos sobre una aplicación
• Archivos cargados, posición, número de arranques, etc..
No permite identificar qué usuario abrió un fichero, pero sí que permite concluir
que un determinado fichero se abrió con un programa
Artifact: Prefetch
Cada vez que el equipo arranca, Windows monitoriza los programas que se abren
habitualmente.
• Windows guarda esta información, archivos de la carpeta %WINDIR%\Prefetch
(Solo guarda las 8 primeras veces).
• La siguiente vez que arranque, mirará en estos archivos cacheados para acelerar
el proceso de inicio
• La carpeta Prefetch no requiere mantenimiento. Si se vacía, Windows tardará
más en cargar los programas, vuelva a analizar los hábitos de carga y genere de
nuevo la caché.
• Es el servicio Superfetch
Artifact: Prefetch
El arranque de Windows:
▪ Tras el tercer arranque sucesivo de Windows, monitoriza los archivos cargados
durante el inicio y su posición en el disco.
▪ Las posiciones (offset) las obtiene de la MFT (Master File Table) del sistema de
ficheros NTFS.
La sección metadata (los 15 primeros registros de la MFT, estando del 12 al 15
reservados para usos futuros) contiene todos estos datos: árbol de directorios,
posición, clústers inválidos, descriptores de seguridad, etc.
Tras ello, Windows crea un fichero denominado "NTOSBOOT-B00DFAAD.pf" que
aloja en el directorio \Windows\Prefetch
Artifact: Prefetch
Durante el arranque de servicios y aplicaciones:
▪ Windows monitoriza, o el primer minuto tras la inicialización de los servicios, o
bien los 30 primeros segundos tras la carga de la interfaz gráfica(explorer.exe);lo
que ocurra primero
▪ Monitoriza también entre los 10 y 20 primeros segundos de arranque de cualquier
aplicación
▪ El responsable de todo esto es la aplicación Cache Manager (Administrador de
caché) de Windows que, una vez ha recabado toda esta información, invoca al
Programador de tareas para que registre en la carpeta \Windows\Prefetch un
archivo .pf de la forma APLICACION.EXE-HASH.pf
Artifact: Prefetch
Al iniciarse una aplicación:
▪ Windows busca un fichero de precarga en C:\Windows\Prefetch
▪ Manda al administrador de memoria que analice las trazas que va dejando el fichero
▪ Guarda esa base de conocimiento en el archivo
▪ Al iniciarse la aplicación de nuevo, Windows intentará iniciarla con los datos del Prefetch
▪ Reduce el trabajo del disco duro (Movimientos de cabeza)
▪ Cada 3 días, Windows crea un listado de aplicaciones más usadas y las guarda en
%WINDIR%\Prefetch\Layout.ini
▪ En tiempos de inactividad de sistema, Windows defragmenta en segundo plano los ficheros que están en ese
listado
▪ Al estar ese espacio optimizado, la carga de información es mucho más rápida
Herramienta de análisis de Prefetching

WinPrefetchView
▪ Herramienta de Nirsoft Gratuita
▪ Analiza todos los Prefetch en la caperta
C:\Windows\Prefetch
▪ Para analizar Prefetch de Windows 8-10 es
necesario hacerlo desde una computadora
Windows 8-10
http://www.nirsoft.net/utils/win_prefetch_view.html
Archivos LNK
Enlazan con una aplicación o archivo comúnmente encontrados en el
escritorio de un usuario y terminan con una extensión LNK
▪ Pueden ser creados por el usuario, o automáticamente por el sistema
operativo Windows
▪ Cada uno tiene su propio valor y significado. Los metadatos se crean en
los archivos LNK y se generan cuando un usuario abre un archivo o
documento local o remoto
Archivos LNK
Pueden servir para encontrar archivos que ya no puedan existir en el
sistema que están examinando
▪ Los archivos podrían haber sido borrados o eliminados, almacenados en
un recurso compartido de red o USB, por lo que aunque el archivo podría
ya no estar allí, seguirá existiendo los archivos LNK asociados con el
archivo original
▪ La ruta por defecto de ficheros “Recientes” es:
\Users\<$user>\AppData\Roaming\Microsoft\Windows\Recent
Archivos LNK
Contienen:
▪ Tiempos MAC (Modificación, Acceso y Creación) del archivo original
▪ Nombre del volumen, Número de serie, El nombre NetBIOS y la dirección MAC
de la máquina donde está almacenado el archivo vinculado
▪ Detalles de la red si el archivo se almacenó en un recurso compartido de red o
equipo remoto
▪ Tamaño de archivo del archivo vinculado
Herramientas para analizar LNK

LINK PARSER
▪ Gratuita
▪ Analiza desde un simple fichero LNK
hasta una carpeta completa
▪ Permite exportar en formato CSV
http://www.4discovery.com/our-tools/
Artifact: thumbs.db
Cuando se visualizan archivos como imágenes en miniatura en el Explorador de
Windows, se creará un archivo de sistema oculto llamado Thumbs.DB en ese
directorio y almacenará un gráfico-miniatura de tamaño y en formato JPG de cada
uno de los archivos, manteniendo el original.
En términos forenses, si encontramos un archivo Thumbs.DB en una carpeta que
se corresponda con imágenes, se puede analizar aunque las fotos ya no estén
Anti-forensics: Cualquier alteración que un usuario pueda haber hecho, como
copiar un Thumbs.DB desde una carpeta distinta a la que está.
Herramienta para analizar

thumbs.db
THUMBCACHE VIEWER
▪ Gratuita
▪ thumbcache_*.db
▪ iconcache_*.db
C:\Users\<user>\AppData\Local\Micro
soft\Windows\Explorer\
https://thumbcacheviewer.github.io/
Artifact: Tareas Programadas

Se encuentran en C:\Windows\Tasks o C:\Windows\System32\Tasks
• Un malware puede utilizar las tareas programadas como mecanismo
de persistencia
• Con TaskschedulerView se puede ver información relativa a las tareas
de una máquina o de otra remota
Herramienta Tareas
Programadas
TaskSchedulerView
▪ Herramienta de Nirsoft
▪ Windows Vista/7/8/10
▪ Permite exportar a CSV
▪ No funciona en
postmortem
https://www.nirsoft.net/utils/task_scheduler_view.html
Artifact: Alternate Data Stream (ADS)

Desde Windows 2000, el sistema de archivos NTFS permite el uso de metadatos
conocido como ALTERNATE DATA STREAMS (ADS), que le permiten almacenar
datos dentro de un propio fichero.
No es detectable durante la navegación por el sistema de archivos, o en cualquier
lugar dentro de Windows ... que sólo se puede acceder a ella con la "clave
secreta“.
Este proceder solo funciona con sistemas basados en NTFS, perdiendo esta
particularidad si se copia o mueve a otros formatos de ficheros.
Herramienta para ADS

Alternate StreamVIEW
▪ Funciona con volúmenes
NTFS o sobre imagen
montada.
▪ Ficheros descargados de
internet:
Zone.Identifier:$DATA
https://www.nirsoft.net/utils/alternate_data_streams.html
Artifact: Papelera de reciclaje

Almacén donde Windows guarda archivos para su posterior borrado:
• Permite que un usuario pueda recuperar sus archivos

• Los archivos se guardan en zonas reservadas de disco
• Los nombres de los archivos se guardan en un expediente
• Realmente estamos viendo la papelera desde el expediente
• Por defecto, se reserva un 10% de espacio en disco para papelera
Papelera de reciclaje NT/XP/2003

Archivo llamado INFO2
• En versiones NT/XP/2003 la papelera reside en C: \RECYCLER\<USER
SID>\INFO2
• Si se elimina un fichero, Windows lo guarda como D <Unidad raíz del sistema>
<número> .Extensión del archivo
• Ejemplo: Contabilidad.doc == DC1.doc
• Lista numérica hasta 99
• Si existe algún archivo en la papelera, INFO2 existirá
• Si se elimina la papelera el archivo se genera de nuevo
Herramienta para papelera

de reciclaje NT/XP/2003
Rifiuti
▪ Gratis
▪ Analiza el fichero INFO2
https://abelcheung.github.io/rifiuti2
Papelera de reciclaje Windows Vista en adelante

Cada usuario, al eliminar un fichero, queda en una estructura específica
dentro de %SYSTEMROOT%\$Recycle.bin (C:\Recycle.bin)
▪ Cada vez que un usuario tiene al menos un archivo en su papelera de
reciclaje en la carpeta, se crea una carpeta con el SID del usuario.
▪ Si 2 usuarios del sistema tuvieran archivos en su papelera de reciclaje, la
carpeta $Recycle.Bin tendría 2 carpetas del estilo S-1-5-21-XXXX
▪ Por cada SID, hay 2 tipos de archivos:
• Los que empiezan por $I -> Contiene la ruta original del archivo y metadatos
• Los que empiezan por $R -> Contienen el fichero original
Papelera de reciclaje Windows Vista en

adelante
El Objeto eliminado genera dos objetos en
la papelera
– $I.- Nombre y ubicación (544bytes)
– $R.- Fichero original (su tamaño original)
Artifact: Volume Shadow Copy ó Volume Snapshot Service (VSS)

A partir de Windows Vista (7 y 2008). En XP hay soporte a través de KB. En
Windows 2003 Server, hay que habilitarlo. En 8, 10 y 2012 no está
habilitado por defecto.
▪ Guardan copia de un instante de determinado de los archivos situados
en recursos compartidos
▪ Normalmente realizadas por servidores de ficheros
▪ Permiten recuperar información a administradores y usuarios volviendo
a un punto del pasado, sin tener que ir a backups externos
▪ Carpeta System Volume Information
Artifact: SRUM (System Resource Usage Monitor)
Permite identificar:
▪ Conectividad en datos
▪ Dispositivos que generan esos datos
▪ Que aplicación genera esos datos
▪ Fechas donde se han producido esa generación de datos
▪ Útil para identificar malware
▪ A partir de Windows 8
SRUM
Es una base de datos ESE
• C:\Windows\System32\sru\SRUDB.dat
Usos:
SRUM
El Prefetch indica el arranque de un proceso pero no la duración:
SRUM
Ejemplo de explorer. exe
SRUM
Herramienta para analizar SRUM.
▪ Permite exportar a Excel.
https://github.com/MarkBaggett/srum-dump
Artifact: Volume Shadow Copy ó Volume Snapshot Service (VSS)

Listar Volúmenes
Comando (con privilegios de administrador): vssadmin list shadows
Shadows Copies
Shadow Copy View
▪ Para realizarlo de una
imagen forense se
necesita otra
herramienta que
permita el montaje.
▪ Arsenal Image Mounter
https://www.nirsoft.net/utils/shadow_copy_view.html
Internet Explorer
▪ A partir de XP integrado en el sistema.
▪ Diferentes versiones (5, 6, 7, 8, 9, 10, 11, etc..)
Internet Explorer
Archivos temporales
▪ Guarda copias de las páginas que visitamos
▪ El navegador primero mira en la caché antes de salir a Internet
▪ El usuario puede prescindir de esta opción
▪ El usuario tiene opción de eliminar estos archivos
Internet Explorer
Index.dat
▪ Archivo oculto y de sistema
▪ Índice de referencia de las páginas visitadas
▪ Incluye también “visitas” con Explorer.exe
▪ Lista no sincronizada, luego no se borra con las opciones de Internet
Explorer
▪ El usuario no puede borrar este archivo en una primera instancia
Internet Explorer
Rutas por defecto de de IE en Win8
Navegador de escritorio
▪ C:\Users\<$user>\AppData\Local\Microsoft\Windows\Temporary Internet Files
▪ C:\Users\<$user>\AppData\Local\Microsoft\Windows\Webcache
Rutas por defecto de Win8 en adelante

▪ Historial de navegación y cookies en un EDB
▪ Queda incluso la navegación privada
▪ Ficheros .log y WebCacheV01.dat (se abre con ESEDatabaseViewe Nirsoft)
Metro App
▪ C:\Users\<$user>\AppData\Local\Packages\windows_ie_ac_001\AC
Internet Explorer
Este proceso no borra toda la información, se almacenan rastros en
el perfil de usuario:
▪ IE Metadata
• Listado de URL introducidas por perfil de usuario
▪ Webcache
• Funcionamiento similar a Index.dat
▪ No más Index.dat analyzer…

Internet Explorer
EseDatabase View
▪ Analiza .edb
https://www.nirsoft.net/utils/ese_database_view.html
Más Artifacts de Internet Explorer

▪ La navegación en Powershell también queda registrada
▪ Navegador en Metro (Windows 8
▪ Navegador de Escritorio (Windows 8-10)
Herramienta para la cache de

Internet Explorer
IECacheView
C:\Users\<user>\AppData\Local\
Microsoft\Windows\WebCache
http://www.nirsoft.net/utils/ie_cache_viewer.html
Herramienta para la cache

de Internet Explorer
IECookiesView
C:\Users\<user>\AppData\
Roaming\Microsoft\Wind
ows\Cookies
https://www.nirsoft.net/utils/iecookies.html
Mozilla Firefox
Rutas de Instalación en Windows:
▪ C:\Documents and Settings\<$user>\Datos de
programa\Mozilla\Firefox\Profiles
▪ C:\Users\<$user>\AppData\Roaming\Mozilla\Firefox
Mozilla Firefox
Información en BBDD
▪ Tipo SQLITE
▪ Visores específicos: SQLiteStudio
Mozilla Firefox
Histórico de sitios
▪ Places.sqlite
Autocompletar
▪ FormHistory.sqlite
Cookies
▪ Cookies.sqlite
Passwords
▪ signons.sqlite
Herramienta para Mozilla Firefox
MzHistoryView
▪ C:\Users\<user>\AppData\
Roaming\Mozilla\Firefox\P
https://www.nirsoft.net/utils/mozilla_history_view.html rofiles

MzCookiesView
▪ C:\Users\<user>\AppData\Roa
ming\Mozilla\Firefox\Profiles
https://www.nirsoft.net/utils/mzcv.html

MzCacheView
▪ C:\Users\<user>\AppData\Roaming\
Mozilla\Firefox\Profiles
http://www.nirsoft.net/utils/mozilla_cache_viewer.html
Chrome
Ruta de instalación en Windows
▪ C:\Documents and Settings\<$user\Configuración local\Datos de
programa\Google\Chrome
▪ C:\Users\<$user>\AppData\Local\Google\Chrome\User
Data\Default
Chrome
Información en BBDD
▪ Tipo SQLite
▪ Visores específicos : SQLiteStudio
Chrome
Histórico de sitios
▪ History
Cookies
▪ Cookies
Passwords
▪ Login.Data
Herramienta para Chrome

ChromeCacheView
https://www.nirsoft.net/utils/chrome_cache_view.html
Herramienta para Chrome

ChromeCookieView
https://www.nirsoft.net/utils/chrome_cookies_view.html
INDICE

parado
▪ Aplicaciones
▪ Módulos
Nuevos Artifacts Windows 10
Cortana
La característica de Windows 10 Cortana, un asistente persona, el cual
expande la búsqueda que había sido introducida en Windows 8.
Cortana puede:
▪ Buscar ficheros locales, en el Windows Store
▪ Puede establecer recordatorios
▪ Puede iniciar contactos para escribir un email
Cortana
Las bases de datos de Cortana (EDBs):
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Windows.C
ortana_xxxx\AppData\Indexed DB\IndexedDB.edb
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Windows.C
ortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance\Cortan
aCireDb.dat
Cortana
Tablas interesantes :
▪ Location triggers
• Latitude/Longitude and y nombre del lugar de búsqueda
▪ Geofences
• Latitud/Longitud para de los reminders
▪ Reminders
• Creación y finalización en formato UNIX time.
Cortana
Las siguientes bases de datos contienen una lista de contactos
sincronizados desde las cuentas de email:
\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cort
ana_xxxx\LocalState\Contacts_xxxxx.cfg
\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cort
ana_xxxx\LocalState\Contacts_xxxxx.cfg.txt
Centro de Notificaciones
Las siguientes bases de datos contienen una lista de notificaciones
▪ \Users\user_name\AppData\Local\Microsoft\Windows\Notificatio
ns\appdb.dat
Almacenados en XML
Centro de Notificaciones
Picture Password
Picture Password es método de login alternativo donde los gestos del
top de la imagen son usados como un Password.
Esta entrada de registro se encuentra:
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Authentication\LogonUI\PicturePassword\user_GUID
Directorio de donde se encuentra localizado el picture password file
▪ C:\ProgramData\Microsoft\Windows\SystemData\user_GUID\Re
adOnly\PicturePassword\background.png
Picture Password
Picture Password
Picture Password es método de login alternativo donde los gestos del top
de la imagen son usados como un password:
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Authentication\LogonUI\PicturePassword\user_GUID
Directorio de donde se encuentra localizado el picture password file
▪ C:\ProgramData\Microsoft\Windows\SystemData\user_GUID\Re
adOnly\PicturePassword\background.png
Windows Store
Windows Store
Aplicaciones compradas/instaladas gracias al Windows Store
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer
sion\Appx\AppxAllUserStore\Applications\
Lista de aplicaciones borradas
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer
sion\Appx\AppxAllUserStore\Deleted\
Email
El cuerpo de los correos es almacenado en TXT o en formato HTML
▪ \Users\user_name\AppData\Local\Comms\Unistore\data\
Los metadatos de los emails son almacenados en la siguiente base
de datos (EDB)
▪ \Users\user_name\AppData\Local\Comms\UnistoreDB\store.vol
• Ficheros adjuntos
• Cabecera del correo electrónico
• Información de contacto
Nuevos Artifacts en Windows 10
Microsoft Edge
Nuevo navegador web y motor de rendering. Se guarda en formato de base de datos EDB
▪ Los settings en:
\Users\<$user>\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\Us
er\Default\DaaStore\Data\nouser1\xxxxx\DBStore\spartan.edb
▪ Cache en:
\Users\<$user>\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\#!001\MicrosoftE
dge\Cache\
▪ Última sesión de navegación en:

\Users\<$user>\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\Us
er\Default\Recovery\Active
Microsoft Edge
Edge (y IE) guarda los registros en la siguiente base de datos:
▪ \Users\user_name\AppData\Local\Microsoft\Windows\WebCache\
WebCacheV01.dat
• Actualmente es un fichero .EDB
• Puede ser interpretado por el EseDBViewer or ESEDatabaseView
• Podría ser un desmontaje complicado, esentutl.exe
• La base de datos también almacena cookies
Utilizar Browsing History view para analizar
Comunicaciones unificadas
UC (Unified Communication) es un aplicación construida por Microsoft
que trae todas las plataformas sociales por defecto.
La configuración de UC está almacenada en la siguiente base de datos:
\Users\user_name\AppData\Local\Packages\microsoft.windowscommu
nicationsapps…\LocalState\livecomm.edb
Tablas interesantes:
▪ Account: lista de cuentas (Windows Live, Skype, twitter)
▪ Contact: lista de los contactos sincronizados de las plataformas)
▪ Event: entradas en el calendario
▪ MeContact: más detalles sobre el propietario de la cuenta
▪ Person and PersonLink: más detalles sobre cada contacto,
incluyendo de que cuenta es
Las entradas de los contactos se encuentran unificadas en el siguiente
directorio:
▪ \Users\user_name\AppData\Local\Packages\microsoft.windowscom
municationsapps_xxxxx\LocalState\Indexed\LiveComm\xxxxx\xxxxx\
People\AddressBook\
Las fotografías de los contactos están almacenadas en este directorio:
▪ \Users\user_name\AppData\Local\Packages\microsoft.windowscommu
nicationsapps_xxxx\LocalState\LiveComm\xxxx\xxxx\UserTiles\
Twitter App
Base de datos con el Historial almacenado en el siguiente archivo:
▪ \Users\user_name\AppData\Local\Packages\xxxx.Twitter_xxxxxxx\LocalState\
twitter_user_id\twitter.sqlite
Base de datos en SQLite, tablas interesantes:
▪ Messages : Contiene los tweets y mensajes privamos
▪ Search_queries: Almacena las búsquedas a través de Twitter
▪ Statuses: Listado de los últimos tweets de las cuentas seguidas
▪ Users: Listado de cuentas que son seguidas por el usuario
OneDrive
Esta aplicación viene por defecto.
Lista de los ficheros sincronizados:
▪ \Users\user_name\AppData\Local\Microsoft\Windows\OneDrive\
settings\xxxxxxxx.dat
Ficheros locales:
▪ \Users\user_name\OneDrive\
Microsoft Office Apps

Con la publicación de Windows Insider program, Microsoft introdujo
las Office Mobile Apps:
▪ Si tienes una cuenta de Office365 valida, puedes crear y editar
documentos.
▪ Sino, solo puedes leer documentos.
Microsoft Office Apps: Word APP

Listado de ficheros recientes almacenados en el siguiente archivo (XML):
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Office.Word_xxx
x\LocalState\AppData\Local\Office\16.0\MruServiceCache\xxxx_LiveId\
Excel\Documents_en-AU
Ficheros cacheados
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Office.Word_xxx
x\LocalState\OfficeFileCache\
Actualmente almacenados con extensión FSD -> permite carving
Microsoft Office Apps: Excel App

Listado de ficheros recientes almacenados en el siguiente formato:
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Office.Excel_xxxx\
LocalState\AppData\Local\Office\16.0\MruServiceCache\xxxx_LiveId\Exce
l\Documents_en-AU
Ficheros cacheados en el siguiente directorio:
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Office.Excel_xxxx\
LocalState\OfficeFileCache\
• Almacenado en formato FSD -> Permite Carving
Microsoft Office Apps: Powerpoint App

Listado de ficheros recientes almacenados en el siguiente formato:
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Office.Powerpoint
_xxxx\LocalState\AppData\Local\Office\16.0\MruServiceCache\xxxx_LiveI
d\Powerpoint\Documents_en-AU
Ficheros cacheados en el siguiente directorio:
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Office.Powerpoint
_xxxx\LocalState\OfficeFileCache\
• Almacenado en formato FSD -> Permite Carving
Maps App
Lugares recientes almacenados en este
fichero (XML):
\Users\user_name\AppData\Local\Package
s\Microsoft.WindowsMaps_xxxx\LocalState
\Graph\xxxx\Me\00000000.ttl
• Latitud/Longitud
• Fechas modificadas ( de la búsqueda)
Windows 10 Anti forensics USB

Existe una tarea nueva que se encarga de eliminar de las claves de
registro, los dispositivos que no han sido conectados durante 30 días.
Se puede evidenciar la ejecución de esta tarea en el fichero
▪ setupapi.dev.log
Windows 10 Anti forensics USB

INDICE

parado
▪ Aplicaciones
▪ Módulos
Herramienta de análisis temporal

La mejor herramienta para realizar líneas temporales es PLASO.
Es capaz de realizar timelines desde multitud de sistemas o
aplicaciones, desde sistemas Windows hasta Android.
https://github.com/log2timeline/plaso/releases
Plaso
Plaso nos ofrece multitud de salidas para que nos facilite una
investigación.
• Mysql
• Sqlite
• ElasticSearch
• Jsonl2tcsv
• L2ttln
• Timesketch
INDICE
Sistema operativo
▪ Asistente personal CORTANA
▪ Diferencias entre Windows 7, Windows 8 y Windows 10
▪ Introducción
▪ Arquitectura de Linux
▪ Conexiones de Red ▪ Cuando un sistema ha sido actualizado,
arrancado, parado
▪ Aplicaciones ▪ Análisis de creación/modificación de ficheros
▪ Sistemas de Ficheros ▪ Ocultación y ex-filtración de datos
▪ Módulos ▪ Relación de procesos, puertos y conexiones
realizadas
Cuando un sistema ha sido actualizado, parado y arrancado
Timeline - Eventos del sistema

Para poder saber cuando un sistema ha sido parado o arrancado,
necesitamos saber cuales son los eventos y que categoría es la que
nos puede proporcionar esa información.
Para ello hay que analizar los eventos de System
• 6005: Windows start-up
• 6006: Windows shutdown (properly)
• 6008: Windows shutdown (unexpectedly)
• 1074: Type of shutdown.
Timeline Eventos del sistema

Para crear el timeline, bastaría con exportar desde la herramienta
Event Log Explorer a un fichero Excel para poder tener el timeline.
Timeline - Eventos del sistema

Existe un log de Actualizaciones del sistema en Windows 10:
▪ Microsoft-Windows-WindowsUpdateClient-perational.evtx
▪ Localizado en la misma carpeta donde están todos los eventos.
INDICE

parado
▪ Aplicaciones
▪ Módulos
Análisis de Creación y modificación de ficheros
MFT
En este caso, como sabemos que la tabla MFT en un sistema NTFS es
la que tiene toda la información, vamos analizarla también en busca
de ficheros borrados.
Para ello se podría utilizar la herramienta MFT2CSV
https://github.com/jschicht/Mft2Csv/wiki/Mft2Csv
MFT2CSV
Esta herramienta nos va permitir analizar:
• Desde una imagen forense (MBR´o GPT)
• Directamente el $MFT
• De un sistema en vivo o de las shadowcopies
Como salida de la herramienta:
• CSV
• L2t_csv
• Bodyfile
$Extend/$UsnJrnl/$J
Este artifact contiene un log de transacciones de lo que ha ocurrido
con los ficheros, por lo que se puede obtener información muy
valiosa.
Herramienta: NTFS Log Tracker
https://sites.google.com/site/forensicnote/ntfs-log-tracker
Timeline
Podemos crear un timeline a partir fichero CSV como salida de los
programas anteriores y ordenarlo mediante Excel.
Otra opción sería utilizar Autopsy de Windows y ver el timeline
generado.
INDICE
Sistema operativo
▪ Asistente personal CORTANA
▪ Diferencias entre Windows 7, Windows 8 y Windows 10
▪ Introducción
▪ Arquitectura de Linux
▪ Cuando un sistema ha sido actualizado, arrancado,
▪ Conexiones de Red parado
▪ Aplicaciones ▪ Análisis de creación/modificación de ficheros
▪ Sistemas de Ficheros ▪ Relación de procesos, puertos y conexiones
▪ Módulos realizadas
Relación de procesos, puertos y conexiones realizadas
Timeline
Sin entrar en artifacts de memoria podríamos identificar:
▪ SRUM -> monitor de recursos y procesos
▪ Prefetch -> ejecución de binarios
▪ AppCompatCache -> Dentro del registro SYSTEM (RegRipper)
▪ UserAssist -> Dentro del Registro NTUSER.DAT(RegRipper)
▪ Amcache.hve -> C:\Windows\AppCompat\Programs\Amcache.hve
(RegRipper)
Relación de procesos, puertos y conexiones realizadas
Timeline
De los anteriores artifacts habría que ir uno por uno obteniendo todos
los datos. Sin embargo con la herramienta plazo podríamos hacerlo.
Otra manera de realizar este timeline sería utilizando artifacts de
memoria:
https://volatility-labs.blogspot.com.es/2013/05/movp-ii-23-creating-
timelines-with.html
Copyright
IHACKLABS LTD.
HM Revenue & Customs
Registrar of Companies for England and Wales
Company Number 10246354
All rights reserved. No part of this publication may be reproduced, distributed, or transmitted in any form or by any means, including photocopying, recording, or other
electronic or mechanical methods, without the prior written permission of the publisher, except in the case of brief quotations embodied in critical reviews and certain
other noncommercial uses permitted by copyright law.
255

Introducción Al Análisis Forense

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Introducción Al Análisis Forense

Caricato da

Copyright:

Formati disponibili

Introducción al Análisis Forense

Extracción de Evidencias Análisis de la línea temporal

Respuesta a Incidentes VS Análisis Forense

Respuesta a Incidentes Análisis Forense

Análisis Forense (forensics)

Cuando un asesino deja salpicaduras de sangre en la pared, no lo hace para

Principio de Intercambio de Locard: Siempre que dos objetos

El procedimiento de análisis forense debe poseer las siguientes características:

Tipos de análisis forense:

Hay que considerar también los aspectos legales, no

▪ Uso de herramientas adecuadas para análisis forense (las

Etapas del análisis forense:

ISO 27037 NIST 800-86

Emisión del Informe

¿Adquisición de? ¿Dónde podemos encontrar las evidencias?

Tipo de Adquisición de Evidencias

Tipos de Imágenes Forense

Tipos de Imágenes Forense

PRÁCTICA_1: UTILIZACIÓN DE FTK PARA APERTURA DE IMÁGENES FORENSES

Windows 7 introduce nuevas fuentes de

Windows 7: Ficheros de hibernación

▪ Se pueden recuperar por técnicas de carving

Windows 8 desde una perspectiva Forense:

Windows 8 : System Refresh Points

Windows 8 : System Reset

Windows 10 desde una perspectiva Forense:

Sistemas de Archivos: EXT3

Sistemas de Archivos: EXT4

Sistemas de Archivos: LVM (Logical Volume Management)

Evidencias en sistema Linux:

Evidencias en sistema Linux:

▪ La aplicación básica de registro se llama syslog

Arquitectura Básica Syslog

▪ Syslog utiliza el concepto de facility para identificar el origen de un

▪ Los mensajes de syslog también incluyen un campo para indicar el

Google Rapid Response: Características

¿Cómo desplegar GRR sobre una red Windows?

• A través de SCCM (System Center Configuration Manager)

Flujo para identificar

Acciones principales desde el GUI:

▪ Flow -> Dirigido a un target en concreto

Caso de uso: localizar un fichero PDF descargador por un browser.

Segunda tarea: investigar que ocurrió con el fichero descargado

Explorar el registro remotamente:

Buscando por hash

Buscando por tamaño

Cabecera del fichero

Cabeceras típicas de fichero:

Rekall Forensics: Características

El agente desplegado de Rekall puede correr plugins del propio

netstat Plugin: Lista las conexiones activas del endpoint remoto

YaraScan Plugin: Permite buscar indicadores de compromiso

Encase Endpoint Investigator

Evimetry: Digital Forensics at Wire Speed

Evimetry: Digital Forensics at Wire Speed

PRÁCTICA _2: ANÁLISIS CON CYBERTRIAGE

PRÁCTICA _3: EXTRACCIÓN DE DATOS CON BRIMOR

NOHA: No Agent Hunting

1) Initiate artifact collection 2) Collection direct to server

CDQR: Cold Disk Quick Response Tool

Estructura de un disco: Estilo de particiones

MBR : Tabla de particiones

MBR : Tabla de particiones