Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Análisis de Registro de Windows: Software

32/49
Recursos

¿Cómo analizar el registro de Windows con Raydiant per?

El análisis del registro de Windows es una habilidad esencial para cualquier profesional en ciberseguridad o administración del sistema. En esta guía, exploraremos cómo utilizar la herramienta Raydiant per para analizar en profundidad los archivos de registro y obtener información crucial sobre las aplicaciones y el sistema operativo instalado en una máquina.

¿Qué es Raydiant per?

Raydiant per es una herramienta poderosa que permite procesar y analizar archivos del Registro de Windows. Esta utilidad es especialmente útil para extraer información valiosa de los sistemas sin necesidad de intervención manual, automatizando el procesamiento y la interpretación de datos complejos.

¿Cómo se selecciona el archivo de registro?

Para comenzar a utilizar Raydiant per, primero debes seleccionar el archivo de registro que deseas analizar. En un análisis típico, podrías haber exportado múltiples archivos de registro, tales como:

  • Archivos SAM.
  • Archivos Security.
  • Archivos System.
  • Archivos Software.

El archivo Software es particularmente interesante debido a que contiene la mayoría de la información sobre las aplicaciones y programas instalados en el sistema. Aquí es donde encontrarás detalles sobre versiones de software, fechas de instalación y modificaciones.

¿Qué información proporciona el análisis del archivo Software?

Una vez que el archivo Software es seleccionado y procesado, Raydiant per utiliza una variedad de plugins y librerías para analizar cada sección del archivo. Algunos de los aspectos que puedes descubrir son:

  1. Internet Explorer Version: Este plugin específico muestra la información de la versión de Internet Explorer instalada, incluidas las fechas de modificación y la disposición de las llaves.

    Internet Explorer Version: Número de versión exacta
    Última modificación: Fecha de última modificación
    
  2. Versión de Windows: Otro plugin útil es Vim Ver, que proporciona detalles sobre la versión del sistema operativo Windows, su Service Pack y la fecha de instalación.

    Windows 7 Ultimate, Service Pack 1
    Fecha de instalación: 22 de marzo de 2015
    
  3. Rutas de instalación: El análisis también puede revelar rutas importantes en el sistema, como la ubicación de los archivos de programa, diferenciando entre arquitecturas de 32 y 64 bits.

    Ruta X86: C:\Program Files (x86)
    Ruta X64: C:\Program Files
    

¿Qué advertencias se deben considerar?

Es crucial entender que la fecha de modificación en las llaves de registro no siempre coincide con la fecha de instalación original. Podría reflejar actualizaciones, cambios en la ruta del ejecutable, o modificaciones de las configuraciones. Por tanto, la interpretación de estas fechas debe realizarse cuidadosamente para evitar conclusiones erróneas.

¿Qué sigue después del análisis?

Si bien Raydiant per proporciona una panorámica detallada del software instalado, no todas las aplicaciones se ejecutan continuamente, ni todos los procesos en ejecución tienen una aplicación asociada necesariamente. En futuras clases, se abordarán los sistemas de logs y cómo interpretar eventos del sistema para completar el entendimiento del comportamiento de un sistema Windows.

Invitamos a los estudiantes a seguir aprendiendo y a profundizar en los análisis de sistemas para obtener mejores habilidades en el manejo de información crítica. ¡Nos vemos en la próxima clase!

Aportes 8

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Mi resumen
La llave de registro SOFTWARE contiene información de las aplicaciones y software instalado en el equipo

  • Cada sección corresponde a un pluggin que muestra características de las aplicaciones instadas con datos como
  1. fecha de modificación
  2. Ubicación de los ejecutables
  3. Versión de la aplicación
  4. fecha de instalación

El pluggin unistall contiene la información de las aplicaciones disponibles para des instalar en el panel de control

Análisis de Registro de Windows: Software
.
Llave de registro: contiene información de los programas instalados en el equipo.
.
Archivo Software: es el que contiene más información de nuestro equipo.
.
Plugin de Software: muestra todas las características y datos de aplicaciones instaladas; fecha de modificación, versión, etc.

En la carpeta de RegRipper existe una herramienta de línea de comandos (CLI) llamada rip.exe, si la ejecutan con el parámetro -l muestra una lista de todos los plugins disponibles, cada uno con una breve descripción.

Yo la ejecuté y me desplegó un total de 379 plugins y más interesante aún resulta si lo ejecutan con los parámetros -l y -c, te muestra el plugin, su versión, archivo hive y una descripción corta.

Interesante herramienta

Gracias

El archivo SOFTWARE es el que más información contiene del registro.

Interesantes conclusiones.

este reporte es más extenso que el de la llave SAM