incibe_toma_evidencias_analisis_forense

Recommendations

Info

Ilustración 4: HashMyFilesTambién puede resultar de gran interés para el análisis forense la obtención de la memoriavirtual, por lo que es recomendable adquirir el fichero pagefile.sys siempre que sea posible.Para ello se puede utilizar alguna herramienta especializada como NTFSCopy 30 o bien, seríanecesario apagar el ordenador, extraer el disco duro y conectarlo en otro ordenador para quedicho fichero no esté en uso y poder así copiarlo, corriendo el riesgo de que si el sistema tieneconfigurada la opción de borrar el archivo de paginación de la memoria virtual al apagar elequipo, perdamos la información.En el caso de realizar la adquisición del fichero de paginación con la herramienta indicada,tan sólo es necesario ejecutar el programa desde una consola del intérprete de comandos.Un ejemplo de utilización es la siguiente instrucción:NTFSCopy.exe c:\pagefile.sys g:\pagefile.sys –raw –MD5Se indica a la herramienta que realice una copia de fichero de paginación pagefile.sys ubicadoen C: y que la almacene en la unidad G:,añadiéndole el MD5 al nombre.AccessData FTKImagerHobocopyShadowCopyhttp://www.accessdata.comhttps://github.com/candera/hobocopyhttp://www.runtime.org/shadow-copy.htmNo es necesario obtener el fichero pagefile.sys si se va a realizar un volcado de discoa posteriori ya que de este modo ya se está obteniendo el propio fichero de30https://tzworks.net/prototype_page.php?proto_id=9Toma de evidencias en entornos Windows 26
paginación, por lo que la persona que vaya a realizar el análisis de las evidencias notendrá ningún problema en extraerlo de la propia imagen de disco.Este mismo caso se aplica al fichero de hibernación (hiberfil.sys), el cual almacena unaimagen exacta del ordenador justo antes de que hiberne con el fin de poder restaurar dichaimagen cuando se abandone el estado de hibernación. En el caso de que la hibernación noesté configurada por defecto, es posible hacerlo mediante la utilidad Powercfg 31 yposteriormente forzar el estado con la utilidad PsShutdown 32 o desde Inicio – Apagar -Hibernar.En ocasiones puede que no sea necesario, por el tipo de incidente, volcar toda la memoria,sino que con obtener cierto tipo de información será suficiente. A continuación se indicanalgunas evidencias significativas que puede ser necesario recopilar en incidentes concretos.5.3.2.1. Procesos en ejecución.Para obtener el listado de procesos en ejecución se puede utilizar la utilidad tasklist.Para ello, se debe escribir la siguiente instrucción:tasklist > "ProcesosEnEjecución-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"Y el resultado obtenido es la Ilustración 5:Ilustración 5: Procesos en ejecución31http://technet.microsoft.com/es-es/library/cc748940(v=ws.10).aspx32http://technet.microsoft.com/en-us/sysinternals/bb897541.aspxToma de evidencias en entornos Windows 27
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25: ordenador, si es uno de sobremesa,
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?