incibe_toma_evidencias_analisis_forense

Recommendations

Info

5.3.4.4. Configuración del firewall de Windows.En la configuración del firewall de Windows se almacenan las aplicaciones permitidas, lospuertos abiertos y demás información relacionada con el propio firewall.Para exportar dicha información se debe ejecutar la siguiente instrucción:reg export"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy" "HKLM-FirewallPolicy-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"Ilustración 17: Excepción de malware en el firewall de WindowsUn caso práctico corresponde a un equipo en el que había ocurrido una fuga de informacióncorrespondiente a datos bancarios del propietario del mismo y tras analizar dicha entrada deregistró se constató que en el firewall había establecida una excepción para que el programadfsdasdcxz.exe pudiera conectar con el exterior, como se puede observar en la Ilustración 17.Tras una investigación posterior del propio fichero se determinó que era un malware que teníafunciones de keylogger y que enviaba la información recopilada a un servidor externo.5.3.4.5. Programas que se ejecutan al iniciar el sistema operativo.Las principales entradas de registro donde se almacenan el listado de programas que seejecutan al iniciar el sistema operativo son las siguientes:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell FoldersHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell FoldersHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell FoldersHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell FoldersHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerHKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\SYSTEM\CurrentControlSet\Control\Session ManagerToma de <strong>evidencias</strong> en entornos Windows 40
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39: Ilustración 16: Listado de redes W
Page 43 and 44: eg export "HKEY_CLASSES_ROOT\batfil
Page 45 and 46: Ilustración 20: Browser Helper Obj
Page 47 and 48: veMRU" "OpenSaveMRU-%date:~6,4%%dat
Page 49 and 50: • WebBrowserPassView 39 : Recopil
Page 51 and 52: y cambiando a su vez el nombre del
Page 53 and 54: 5.3.12. Últimas búsquedasConocer
Page 55 and 56: dir "%UserProfile%\Configuración l
Page 57 and 58: para que vaya borrando electrónica
Page 59 and 60: Y el resultado obtenido es la Ilust
Page 61 and 62: psloglist -s application > "Applica
Page 63 and 64: Ilustración 29: Contenido carpeta
Page 65 and 66: Ilustración 31: Fecha de eliminaci
Page 67 and 68: Ilustración 34: Fichero Host modif
Page 69 and 70: 7 GLOSARIO• Resiliencia: En segur
Page 71 and 72: [13] The Art of Memory Forensics: D
Page 73 and 74: ___________________________________
Page 75 and 76: ANEXO 2 - CADENA DE CUSTODIA DE EVI
Page 77 and 78: Listado de evidenciasCADENA DE CUST
Page 79 and 80: Ilustración 23: Ficheros abiertos

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?