Análisis preliminar de sistemas Windows - Platzi

Curso de Informática Forense

Curso de Informática Forense

Bienvenida y presentación general.

Todo lo que aprenderás sobre informática forense

Cómputo forense: qué es

Etapas I y II: Identificación y Preservación de Evidencia Digital

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

Preparación de un kit para adquisición

Procedimientos de Cadena de Custodia

Identificación de fuentes de evidencia

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

Sistemas de protección contra escritura por hardware y software

Introducción a FTK Imager

Adquisición de imágenes forenses con FTK Imager

Adquisición de imágenes forenses con EnCase

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

Introducción a Paladin Forensics

Adquisición de imágenes forenses con DD

FTK Imager para Linux

Adquisición de imágenes forenses de Mac. (Paladin)

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

Verificación de imágenes forenses. Explicación de algoritmos Hash

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

Sistemas de archivos Windows: FAT, NTFS

Sistemas de archivos Unix: EXT, HFS y APFS

Exportado de archivos a partir de imágenes forenses

Creación de imágenes parciales con FTK Imager

Análisis preliminar de sistemas Windows

Análisis preliminar de sistemas Unix (Linux y MacOS)

Elaboración de informe preliminar

Crear una imagen de contenido personalizado para análisis

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Registro de Windows: SAM

Análisis de Registro de Windows: Software

Análisis de logs de un Sistema Windows

Análisis de listas recientes (MRU) y Shellbags

Referencia del registro de Windows

Análisis de procesos ejecutados

Análisis de bandejas de reciclaje

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

Estructura de un sistema Unix

Arranque y ejecución de procesos en Linux

Análisis de archivos de autenticación

Análisis temporal del sistema

Autopsy y Sleuth Kit Suite

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

Elaboración de un informe ejecutivo

Elaboración de un informe técnico completo

Presentación ante autoridades judiciales

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Iniciar sesión

Recursos

El registro de Windows es una base de datos estructurada que contiene la información y configuración del sistema Windows.

Aportes 22

Preguntas 3

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

c3tuxpo2018

Mi resumen
La herramienta Fred (Forensic Registry editor) disponible desde aqui disponible para Linux y Windows, nos permite examinar Y editar el contenido de los archivos de registro y consultar manualmente cada una de sus llaves.

una de sus mas útiles opciones es un interprete exadecimal,

los números exadecimales los podemos reconocer por que inicia con 0x lo que sigue a partir de ahí esta en exadecimal

Registro de Windows
Colección de datos que contiene toda la configuración todos los parámetros y todo lo que necesita Windows para funcionar

Base de datos estructurada que contiene la información y configuración del sistema Windows

EL registro de Windows esta separado en 4 archivos básicos y un archivo que corresponde a cada uno de los usuarios del sistema

Los archivos generales estan en

Windows / System32 / config

Los 4 archivos son

SAM
SYSTEM
SOFTWARE
SECURITY

Eduardo Recinos

Para los que se pregunten donde están las imagenes pueden bajarlas desdes este enlace:

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

Valeria Calcina Cisneros

Análisis preliminar de sistemas Windows
.
Registro de Windows: es una base de datos estructurada que contiene la información y configuración del sistema Windows.
.
Herramienta Fred: nos permite examinar el contenido de los archivos de registro y consultar manualmente cada una de sus llaves.
.
Los archivos generales de son:
• SAM
• Systeam
• Software
• Security
.
Datos extras
• Los números hexadecimales los podemos reconocer por que inicia con 0x lo que sigue a partir de ahí esta en hexadecimal

Ariel Jacob

La imagen forense no está disponible. En el enlace al drive están los archivos separados.

GTBche

El archivo se divide en 3 partes
parte 1: https://cfreds-archive.nist.gov/data_leakage_case/images/pc/cfreds_2015_data_leakage_pc.7z.001
parte 2: https://cfreds-archive.nist.gov/data_leakage_case/images/pc/cfreds_2015_data_leakage_pc.7z.002
parte 3: https://cfreds-archive.nist.gov/data_leakage_case/images/pc/cfreds_2015_data_leakage_pc.7z.003

Saludos cordiales
Atte Ing. Francisco Tscherig

Cristhian Julian Astoquilca Romero

Intente extraer el registro de mi windows como indica el profesor, pero me sale que se exportan 0 bytes, me imagino que se debe aque como windows tiene ejecutando la carpeta system32 no permite realizar la exportación de los archivos SAM, SECURITY, SOFTWARE y SYSTEM.

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Archivos puntuales de la configuración de Windows

SAM
SECURITY
SYSTEM
SOFTWARE

GTBche

Descargar FRED
link para Windows: https://files.pinguin.lu/fred-0.1.0beta4-win32.exe

Alan Mena

Hive: Archivos de Registro (Contenedor de todas las llaves)

jose Carlos Vega Moron

Tengo una duda.
No seria mas rápido extraer SAM, SECURITY, SYSTEM Y SOFTWARE desde la primera imagen ?
O si o si tiene que ser primero crear otra imagen personalizada de esos 4 archivos y despues extraerlos

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Oscar Jaramillo

Excelente clase

Christian Pazos

Muy interesante la clase!

AlvaroRT

Excelente clase.

Jean Carlos Nuñez Hernandez

El formato como se guarda el valor de la fecha de instalacion de windows es hexadecimal, pero con la herramienta forensic registry esta la insterpreta y nos la da en formato legible

Junior Aguilera

Gracias