Bienvenida y presentaci贸n general.

1

Todo lo que aprender谩s sobre inform谩tica forense

2

C贸mputo forense: qu茅 es

3

Etapas I y II: Identificaci贸n y Preservaci贸n de Evidencia Digital

4

Etapas III y IV: An谩lisis y Presentaci贸n de Resultados

Etapa I: Identificaci贸n

5

Preparaci贸n de un kit para adquisici贸n

6

Procedimientos de Cadena de Custodia

7

Identificaci贸n de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservaci贸n

9

Sistemas de protecci贸n contra escritura por hardware y software

10

Introducci贸n a FTK Imager

11

Adquisici贸n de im谩genes forenses con FTK Imager

12

Adquisici贸n de im谩genes forenses con EnCase

13

Adquisici贸n de im谩genes l贸gicas, memoria vol谩til y sistemas operativos en vivo

14

Introducci贸n a Paladin Forensics

15

Adquisici贸n de im谩genes forenses con DD

16

FTK Imager para Linux

17

Adquisici贸n de im谩genes forenses de Mac. (Paladin)

18

Adquisici贸n de im谩genes forenses de Mac. (Target Disk Mode)

19

Verificaci贸n de im谩genes forenses. Explicaci贸n de algoritmos Hash

20

Adquirir im谩genes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificaci贸n con algoritmos HASH de las diferentes im谩genes forenses generadas

Etapa III: An谩lisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de im谩genes forenses

25

Creaci贸n de im谩genes parciales con FTK Imager

26

An谩lisis preliminar de sistemas Windows

27

An谩lisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboraci贸n de informe preliminar

29

Crear una imagen de contenido personalizado para an谩lisis

30

Elaborar un informe de an谩lisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: An谩lisis de Evidencia Pt. 2

31

An谩lisis de Registro de Windows: SAM

32

An谩lisis de Registro de Windows: Software

33

An谩lisis de logs de un Sistema Windows

34

An谩lisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

An谩lisis de procesos ejecutados

37

An谩lisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa III: An谩lisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecuci贸n de procesos en Linux

41

An谩lisis de archivos de autenticaci贸n

42

An谩lisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa IV: Presentaci贸n.

45

Elaboraci贸n de un informe ejecutivo

46

Elaboraci贸n de un informe t茅cnico completo

47

Presentaci贸n ante autoridades judiciales

48

Consolidar los resultados en dos informes: t茅cnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

An谩lisis preliminar de sistemas Windows

26/49
Recursos

El registro de Windows es una base de datos estructurada que contiene la informaci贸n y configuraci贸n del sistema Windows.

Aportes 22

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Mi resumen
La herramienta Fred (Forensic Registry editor) disponible desde aqui disponible para Linux y Windows, nos permite examinar Y editar el contenido de los archivos de registro y consultar manualmente cada una de sus llaves.

una de sus mas 煤tiles opciones es un interprete exadecimal,

  • los n煤meros exadecimales los podemos reconocer por que inicia con 0x lo que sigue a partir de ah铆 esta en exadecimal

Registro de Windows
Colecci贸n de datos que contiene toda la configuraci贸n todos los par谩metros y todo lo que necesita Windows para funcionar

  • Base de datos estructurada que contiene la informaci贸n y configuraci贸n del sistema Windows

EL registro de Windows esta separado en 4 archivos b谩sicos y un archivo que corresponde a cada uno de los usuarios del sistema

Los archivos generales estan en

Windows / System32 / config

Los 4 archivos son

SAM
SYSTEM
SOFTWARE
SECURITY

Para los que se pregunten donde est谩n las imagenes pueden bajarlas desdes este enlace:

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

An谩lisis preliminar de sistemas Windows
.
Registro de Windows: es una base de datos estructurada que contiene la informaci贸n y configuraci贸n del sistema Windows.
.
Herramienta Fred: nos permite examinar el contenido de los archivos de registro y consultar manualmente cada una de sus llaves.
.
Los archivos generales de son:
鈥 SAM
鈥 Systeam
鈥 Software
鈥 Security
.
Datos extras
鈥 Los n煤meros hexadecimales los podemos reconocer por que inicia con 0x lo que sigue a partir de ah铆 esta en hexadecimal

La imagen forense no est谩 disponible. En el enlace al drive est谩n los archivos separados.

Intente extraer el registro de mi windows como indica el profesor, pero me sale que se exportan 0 bytes, me imagino que se debe aque como windows tiene ejecutando la carpeta system32 no permite realizar la exportaci贸n de los archivos SAM, SECURITY, SOFTWARE y SYSTEM.

Archivos puntuales de la configuraci贸n de Windows

  • SAM
  • SECURITY
  • SYSTEM
  • SOFTWARE

Hive: Archivos de Registro (Contenedor de todas las llaves)

Tengo una duda.
No seria mas r谩pido extraer SAM, SECURITY, SYSTEM Y SOFTWARE desde la primera imagen ?
O si o si tiene que ser primero crear otra imagen personalizada de esos 4 archivos y despues extraerlos

Excelente clase

Muy interesante la clase!

Excelente clase.

El formato como se guarda el valor de la fecha de instalacion de windows es hexadecimal, pero con la herramienta forensic registry esta la insterpreta y nos la da en formato legible

Gracias