Bienvenida y presentación general.
Todo lo que aprenderás sobre informática forense
Cómputo forense: qué es
Etapas I y II: Identificación y Preservación de Evidencia Digital
Etapas III y IV: Análisis y Presentación de Resultados
Etapa I: Identificación
Preparación de un kit para adquisición
Procedimientos de Cadena de Custodia
Identificación de fuentes de evidencia
Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado
Etapa II: Preservación
Sistemas de protección contra escritura por hardware y software
Introducción a FTK Imager
Adquisición de imágenes forenses con FTK Imager
Adquisición de imágenes forenses con EnCase
Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo
Introducción a Paladin Forensics
Adquisición de imágenes forenses con DD
FTK Imager para Linux
Adquisición de imágenes forenses de Mac. (Paladin)
Adquisición de imágenes forenses de Mac. (Target Disk Mode)
Verificación de imágenes forenses. Explicación de algoritmos Hash
Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles
Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas
Etapa III: Análisis de Evidencia Pt. 1
Sistemas de archivos Windows: FAT, NTFS
Sistemas de archivos Unix: EXT, HFS y APFS
Exportado de archivos a partir de imágenes forenses
Creación de imágenes parciales con FTK Imager
Análisis preliminar de sistemas Windows
Análisis preliminar de sistemas Unix (Linux y MacOS)
Elaboración de informe preliminar
Crear una imagen de contenido personalizado para análisis
Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada
Etapa III: Análisis de Evidencia Pt. 2
Análisis de Registro de Windows: SAM
Análisis de Registro de Windows: Software
Análisis de logs de un Sistema Windows
Análisis de listas recientes (MRU) y Shellbags
Referencia del registro de Windows
Análisis de procesos ejecutados
Análisis de bandejas de reciclaje
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa III: Análisis de Evidencia Pt. 3
Estructura de un sistema Unix
Arranque y ejecución de procesos en Linux
Análisis de archivos de autenticación
Análisis temporal del sistema
Autopsy y Sleuth Kit Suite
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa IV: Presentación.
Elaboración de un informe ejecutivo
Elaboración de un informe técnico completo
Presentación ante autoridades judiciales
Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso
Conclusiones Finales
Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
El análisis del registro de Windows es una habilidad esencial para cualquier profesional en ciberseguridad o administración del sistema. En esta guía, exploraremos cómo utilizar la herramienta Raydiant per para analizar en profundidad los archivos de registro y obtener información crucial sobre las aplicaciones y el sistema operativo instalado en una máquina.
Raydiant per es una herramienta poderosa que permite procesar y analizar archivos del Registro de Windows. Esta utilidad es especialmente útil para extraer información valiosa de los sistemas sin necesidad de intervención manual, automatizando el procesamiento y la interpretación de datos complejos.
Para comenzar a utilizar Raydiant per, primero debes seleccionar el archivo de registro que deseas analizar. En un análisis típico, podrías haber exportado múltiples archivos de registro, tales como:
El archivo Software es particularmente interesante debido a que contiene la mayoría de la información sobre las aplicaciones y programas instalados en el sistema. Aquí es donde encontrarás detalles sobre versiones de software, fechas de instalación y modificaciones.
Una vez que el archivo Software es seleccionado y procesado, Raydiant per utiliza una variedad de plugins y librerías para analizar cada sección del archivo. Algunos de los aspectos que puedes descubrir son:
Internet Explorer Version: Este plugin específico muestra la información de la versión de Internet Explorer instalada, incluidas las fechas de modificación y la disposición de las llaves.
Internet Explorer Version: Número de versión exacta
Última modificación: Fecha de última modificación
Versión de Windows: Otro plugin útil es Vim Ver, que proporciona detalles sobre la versión del sistema operativo Windows, su Service Pack y la fecha de instalación.
Windows 7 Ultimate, Service Pack 1
Fecha de instalación: 22 de marzo de 2015
Rutas de instalación: El análisis también puede revelar rutas importantes en el sistema, como la ubicación de los archivos de programa, diferenciando entre arquitecturas de 32 y 64 bits.
Ruta X86: C:\Program Files (x86)
Ruta X64: C:\Program Files
Es crucial entender que la fecha de modificación en las llaves de registro no siempre coincide con la fecha de instalación original. Podría reflejar actualizaciones, cambios en la ruta del ejecutable, o modificaciones de las configuraciones. Por tanto, la interpretación de estas fechas debe realizarse cuidadosamente para evitar conclusiones erróneas.
Si bien Raydiant per proporciona una panorámica detallada del software instalado, no todas las aplicaciones se ejecutan continuamente, ni todos los procesos en ejecución tienen una aplicación asociada necesariamente. En futuras clases, se abordarán los sistemas de logs y cómo interpretar eventos del sistema para completar el entendimiento del comportamiento de un sistema Windows.
Invitamos a los estudiantes a seguir aprendiendo y a profundizar en los análisis de sistemas para obtener mejores habilidades en el manejo de información crítica. ¡Nos vemos en la próxima clase!
Aportes 8
Preguntas 1
Mi resumen
La llave de registro SOFTWARE contiene información de las aplicaciones y software instalado en el equipo
El pluggin unistall contiene la información de las aplicaciones disponibles para des instalar en el panel de control
Análisis de Registro de Windows: Software
.
Llave de registro: contiene información de los programas instalados en el equipo.
.
Archivo Software: es el que contiene más información de nuestro equipo.
.
Plugin de Software: muestra todas las características y datos de aplicaciones instaladas; fecha de modificación, versión, etc.
En la carpeta de RegRipper existe una herramienta de línea de comandos (CLI) llamada rip.exe, si la ejecutan con el parámetro -l muestra una lista de todos los plugins disponibles, cada uno con una breve descripción.
Yo la ejecuté y me desplegó un total de 379 plugins y más interesante aún resulta si lo ejecutan con los parámetros -l y -c, te muestra el plugin, su versión, archivo hive y una descripción corta.
Interesante herramienta
El archivo SOFTWARE es el que más información contiene del registro.
Interesantes conclusiones.
este reporte es más extenso que el de la llave SAM
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?