incibe_toma_evidencias_analisis_forense

Recommendations

Info

Así mismo, existen una serie de ficheros que pueden ser recopilados y que sirven de respaldopara las claves de registro. En la siguiente tabla se pueden visualizar las correspondenciasentre ficheros y entradas de registro:Tabla 3: Entradas del registro y ficheros asociados [9].Entrada de registroHKEY_LOCAL_MACHINE\SAMHKEY_LOCAL_MACHINE\SECURITYHKEY_LOCAL_MACHINE\SOFTWAREHKEY_LOCAL_MACHINE\SYSTEMHKEY_CURRENT_CONFIGHKEY_CURRENT_USERHKEY_USERS\.DEFAULTFicheros asociadosSam, Sam.log, Sam.savSecurity, Security.log, Security.savSoftware, Software.log, Software.savSystem, System.log, System.alt, System.savSystem, System.log, System.alt, System.savNtuser.dat y Ntuser.dat.logDefault, Default.log, Default.savLos ficheros se almacenan en %SystemRoot%\System32\Config\ (Windows NT/2000/XP)o %SystemRoot%\System32\Config\Regback\ (Windows 7/8), a excepción deNtuser.dat y Ntuser.dat.log que se encuentran en %HomePath%.RegRipperRegFileExportForensic RegistryEDitor (fred)Registry Decoderhttps://code.google.com/p/regripperhttp://www.nirsoft.net/utils/registry_file_offline_export.htmlhttps://www.pinguin.lu/index.phphttps://code.google.com/p/registrydecoderPuede darse el caso de que no sea necesario, por el tipo de incidente, exportar todo el registro,sino que con ciertas claves sea suficiente. A continuación se indican algunas evidenciassignificativas del registro que puede ser necesario recopilar en incidentes concretos.5.3.4.1. Dispositivos USB conectados.Con cada conexión de un nuevo dispositivo USB al equipo se crea su correspondiente entradade registro en la que se almacena información del mismo, como el fabricante o un númeroúnico identificativo. Es por ello que puede resultar relevante exportar las entradas de registroque se indican a continuación, en el caso de que el incidente lo requiera. Para ello se debenejecutar las siguientes instrucciones:Toma de evidencias en entornos Windows 36
eg export "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBSTOR""USBSTOR-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USB" "USB-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses""DeviceClasses-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export "HKEY_LOCAL_MACHINE\System\MountedDevices" "MountedDevices-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"Así mismo, setupapi.log (Windows XP) o setupapi.dev.log (a partir de Windows Vista) ubicadoen la carpeta %WinDir% y %WinDir%\inf contiene información relativa a los dispositivosinstalados y almacena registros tales como el nombre del dispositivo, el número de serie, lafecha correspondiente a la primera vez que se conectó al equipo, etc.Un caso práctico corresponde a una empresa en la que estaba establecida una directiva paraprohibir el uso de pendrives propios por parte de los trabajadores por temas de seguridad. Unequipo de la empresa, sin acceso a la red local ni a Internet, se infectó con un malware ymediante el análisis de dicha entrada se observó la Ilustración 15:Ilustración 15: Dispositivos USB conectadosComo se ha indicado previamente en el registro se puede obtener, entre otra información:• El número que identifica la clase del dispositivo (Device Class ID, en formatoDisk&Vendedor&Producto&Version, en este casoDisk&Ven_USB&Prod_Flash_Disk&Rev_1100.• El número de identificador único (Unique Instance ID), en este casoFBH1301080600351&0. En el caso de que el segundo carácter del identificador sea un &indica que el dispositivo no tiene un número de serie identificativo propio y que el sistemaoperativo le ha asignado uno.De este modo se demostró que se había infringido la normativa y que se había conectado undispositivo USB al equipo.USB History Dumphttp://sourceforge.net/projects/USBhistory/Toma de evidencias en entornos Windows 37
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35: En algunos de los correos se observ
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77: ___________________________________
Page 78 and 79: ÍNDICE DE ILUSTRACIONESIlustració
Page 80: ÍNDICE DE TABLASTabla 1: Listado d

incibe_toma_evidencias_analisis_forense

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?