Bienvenida y presentaci贸n general.

1

Todo lo que aprender谩s sobre inform谩tica forense

2

C贸mputo forense: qu茅 es

3

Etapas I y II: Identificaci贸n y Preservaci贸n de Evidencia Digital

4

Etapas III y IV: An谩lisis y Presentaci贸n de Resultados

Etapa I: Identificaci贸n

5

Preparaci贸n de un kit para adquisici贸n

6

Procedimientos de Cadena de Custodia

7

Identificaci贸n de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservaci贸n

9

Sistemas de protecci贸n contra escritura por hardware y software

10

Introducci贸n a FTK Imager

11

Adquisici贸n de im谩genes forenses con FTK Imager

12

Adquisici贸n de im谩genes forenses con EnCase

13

Adquisici贸n de im谩genes l贸gicas, memoria vol谩til y sistemas operativos en vivo

14

Introducci贸n a Paladin Forensics

15

Adquisici贸n de im谩genes forenses con DD

16

FTK Imager para Linux

17

Adquisici贸n de im谩genes forenses de Mac. (Paladin)

18

Adquisici贸n de im谩genes forenses de Mac. (Target Disk Mode)

19

Verificaci贸n de im谩genes forenses. Explicaci贸n de algoritmos Hash

20

Adquirir im谩genes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificaci贸n con algoritmos HASH de las diferentes im谩genes forenses generadas

Etapa III: An谩lisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de im谩genes forenses

25

Creaci贸n de im谩genes parciales con FTK Imager

26

An谩lisis preliminar de sistemas Windows

27

An谩lisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboraci贸n de informe preliminar

29

Crear una imagen de contenido personalizado para an谩lisis

30

Elaborar un informe de an谩lisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: An谩lisis de Evidencia Pt. 2

31

An谩lisis de Registro de Windows: SAM

32

An谩lisis de Registro de Windows: Software

33

An谩lisis de logs de un Sistema Windows

34

An谩lisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

An谩lisis de procesos ejecutados

37

An谩lisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa III: An谩lisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecuci贸n de procesos en Linux

41

An谩lisis de archivos de autenticaci贸n

42

An谩lisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa IV: Presentaci贸n.

45

Elaboraci贸n de un informe ejecutivo

46

Elaboraci贸n de un informe t茅cnico completo

47

Presentaci贸n ante autoridades judiciales

48

Consolidar los resultados en dos informes: t茅cnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

An谩lisis de Registro de Windows: SAM

31/49
Recursos

Windows tiene dos tipos de usuarios: los usuarios locales que son creados en la m谩quina y los usuarios de red, los cuales son usuarios que se crean cuando, por ejemplo, te dan un usuario de correo electr贸nico y puedes iniciar sesi贸n en cualquier parte.

Aportes 17

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Mi resumen
RegRipper es la herramienta que se usa para revisar el archivo SAM
Genera dos archivos un log y el archivo reporte de SAM
se puede obtener entre otros datos los siguientes

  • El nombre del usuario

  • SID de los usuario de sistema incluido el administrador

  • Nombre completo

  • tipo de cuenta

  • Ultima fecha de acceso del usuario

  • Ultima fecha de acceso con password equivocado
    Ultima fecha de cambio de contrase帽a

  • Estado de la cuenta (activa)

  • La pista de contrase帽a

Los usuarios b谩sicos que necesita Windows para funcionar si ID comienza con el 500 para el administrador y 501 para el Invitado, despu茅s de estos todos los usuarios que se crean se asignan el id a partir del 1000 de manera consecutiva

Nota
Los numero Id de cada usuario no se reutilizan son 煤nicos para cada usuario de tal forma que si se borra un usuario su ID no se asigna a uno nuevo, esto permite reconstruir lka carpeta de un usuario borrado pues se tiene el id que tenia al observar el faltante en los consecutivos del ID

LastWrite es un valor com煤n de las llaves de registro que se pueden modificar y siempre muestra cuando se modifico por ultima vez

Los tips de an谩lisis contiene informaci贸n practica que se debe tener en cuenta

RegRipper: Analisis de registro de windows

Tipos de usuarios en windows:
- Locales: Creados en la maquina
- Red: De dominio
鈼 SAM
鈼 MT User

SAM:
- User information (local and red)
鈼 SID: Identificador de seguridad que identificada a cada usuario en el sistema
搂 Usuarios b谩sicos: 500 y 5001
搂 Usuarios que tu configuras: 1000
搂 Si borras un usuario, el n煤mero no se vuelve a asignar

	鈼  Cuando se creo el usuario
	鈼  Ultima fecha de acceso
	鈼 Fecha cuando el usuario intento acceder con un pwd equivocado
	鈼 Cantidad de veces que el usuario ha iniciado sesi贸n
- Grupos
- Last write: Ultima fecha que se modifico esa llave completa
	鈼 De toda la llave, no de algo en particular

RegRipper; herramienta open source escrita en Perl para extraer e interpretar informaci贸n (llaves, valores y datos) desde el registro de Windows y presentarlos para su an谩lisis.

El RegRipper est谩 en la versi贸n 3.0, lo encuentran en:https://github.com/keydet89/RegRipper3.0
Nota, en est谩 versi贸n no trae la opci贸n de seleccionar el perfil a analizar, lo hace autom谩ticamente.

Nota a tomar en cuenta: Los usuarios que se identifican de 1000 para arriba han sido generados manualmente, el ID que se les asigna no lo puede tener otro usuario por mas que eliminen la cuenta.

Saludos a todos, por aqu铆 les dijo un excelente PDF titulado _Digital Forensics with Open Source Tools _ del mismo Harlan Carvey.
Bendiciones!

500 - Administrator
501 - Guest

Interesante

Como se llama el libro que mencionas?

El Sitio Wiki para algunas consultas es:
https://forensicswiki.xyz/page/Main_Page

El de esta clase de Regripper:
https://forensicswiki.xyz/wiki/index.php?title=Regripper

Al d铆a de hoy ya vamos en RedRipper3.0:
https://github.com/keydet89/RegRipper3.0

El enlace se encuentra caido, este es el nuevo repositorio

https://github.com/keydet89/RegRipper3.0