Es de lectura interesante un artículo dedicado en la wikipedia
.
.
Sin embargo, en el artículo no podremos encontrar que la fecha de instalación del sistema está en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
.
Bienvenida y presentación general.
Todo lo que aprenderás sobre informática forense
Cómputo forense: qué es
Etapas I y II: Identificación y Preservación de Evidencia Digital
Etapas III y IV: Análisis y Presentación de Resultados
Etapa I: Identificación
Preparación de un kit para adquisición
Procedimientos de Cadena de Custodia
Identificación de fuentes de evidencia
Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado
Etapa II: Preservación
Sistemas de protección contra escritura por hardware y software
Introducción a FTK Imager
Adquisición de imágenes forenses con FTK Imager
Adquisición de imágenes forenses con EnCase
Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo
Introducción a Paladin Forensics
Adquisición de imágenes forenses con DD
FTK Imager para Linux
Adquisición de imágenes forenses de Mac. (Paladin)
Adquisición de imágenes forenses de Mac. (Target Disk Mode)
Verificación de imágenes forenses. Explicación de algoritmos Hash
Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles
Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas
Etapa III: Análisis de Evidencia Pt. 1
Sistemas de archivos Windows: FAT, NTFS
Sistemas de archivos Unix: EXT, HFS y APFS
Exportado de archivos a partir de imágenes forenses
Creación de imágenes parciales con FTK Imager
Análisis preliminar de sistemas Windows
Análisis preliminar de sistemas Unix (Linux y MacOS)
Elaboración de informe preliminar
Crear una imagen de contenido personalizado para análisis
Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada
Etapa III: Análisis de Evidencia Pt. 2
Análisis de Registro de Windows: SAM
Análisis de Registro de Windows: Software
Análisis de logs de un Sistema Windows
Análisis de listas recientes (MRU) y Shellbags
Referencia del registro de Windows
Análisis de procesos ejecutados
Análisis de bandejas de reciclaje
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa III: Análisis de Evidencia Pt. 3
Estructura de un sistema Unix
Arranque y ejecución de procesos en Linux
Análisis de archivos de autenticación
Análisis temporal del sistema
Autopsy y Sleuth Kit Suite
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa IV: Presentación.
Elaboración de un informe ejecutivo
Elaboración de un informe técnico completo
Presentación ante autoridades judiciales
Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso
Conclusiones Finales
Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento
En las últimas clases aprendiste a analizar algunas ubicaciones del Registro de Windows, y a obtener información a partir de llaves usando herramientas como FRED y RegRipper. Sin embargo, el Registro de Windows es una base de datos extensa que contiene muchas ubicaciones que pueden tener información útil, y con las que deberás estar familiarizado.
A continuación, se detallan algunas de las ubicaciones comunes donde un investigador forense puede encontrar información relevante para una investigación dentro del Registro de Windows.
Archivo NTUSER.dat
-
Historial de búsqueda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Search\Assistant\ACMru -
Documentos recientes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs -
Documentos recientes de Office
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Word\FileMRU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Excel \FileMRU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\PowerPoint \FileMRU -
Comandos ejecutados por el usuario
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU -
Programas ejecutados
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\UserAssist{GUID}\Count
Archivo SOFTWARE
-
Versión del S.O.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ -
Archivo SYSTEM
-
CurrentControlSet
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x
HKEY_LOCAL_MACHINE\SYSTEM\SelectCurrent
Nota: El Control Set es el conjunto de parámetros de una configuración del Sistema Operativo. La llave “SelectCurrent” es un apuntador a uno de los posibles ControlSet00x disponibles, y ese es el que se conoce como “CurrentControlSet”. Al hacer puntos de restauración del S.O. y guardar copias del registro, se crean nuevos Control Sets que son backups funcionales de configuraciones anteriores, pero la configuración actual del sistema siempre hace referencia al “CurrentControlSet”.
-
Nombre del computador en red
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName -
Interfaces de red
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces -
Zona horaria del S.O.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
Aportes 8
Preguntas 0
Ordenar por:
También encontré que existe una herramienta nativa del propio windows, la cual trabaja desde la línea de comandos para hacer consultas (Query / Queries) al registro de Windows, de tal forma que se puede manipular “en vivo”, haciendo operaciones de lectura, escritura, eliminación y modificación de las Claves del Registro y sus valores.
Les comparto algunos QUERIES que el maestro nos señaló arriba de algunas ubicaciones comunes, dónde un investigador forense puede encontrar información relevante durante una investigación:
La herramienta se llama reg.exe y ya viene con windows:
En el libro que mencionó el maestro, encontré un dato histórico importante sobre el Registro de Windows, resulta que fue creado para reemplazar a los archivos (.ini), utilizados en las versiones muy antiguas de Windows; entonces hoy en lugar de usar archivos .ini usamos el registro de windows que actualmente es una estructura de datos binaria.
Adjunto extracto del libro:
Uff esta buena esta informacion para el examen
Gracias por la lectura
Los eventos de error y BSOD, en que rama del registro lo podemos encontrar, asi como sus codigos de error?.
Gracias
¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.