Bienvenida y presentaci贸n general.

1

Todo lo que aprender谩s sobre inform谩tica forense

2

C贸mputo forense: qu茅 es

3

Etapas I y II: Identificaci贸n y Preservaci贸n de Evidencia Digital

4

Etapas III y IV: An谩lisis y Presentaci贸n de Resultados

Etapa I: Identificaci贸n

5

Preparaci贸n de un kit para adquisici贸n

6

Procedimientos de Cadena de Custodia

7

Identificaci贸n de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservaci贸n

9

Sistemas de protecci贸n contra escritura por hardware y software

10

Introducci贸n a FTK Imager

11

Adquisici贸n de im谩genes forenses con FTK Imager

12

Adquisici贸n de im谩genes forenses con EnCase

13

Adquisici贸n de im谩genes l贸gicas, memoria vol谩til y sistemas operativos en vivo

14

Introducci贸n a Paladin Forensics

15

Adquisici贸n de im谩genes forenses con DD

16

FTK Imager para Linux

17

Adquisici贸n de im谩genes forenses de Mac. (Paladin)

18

Adquisici贸n de im谩genes forenses de Mac. (Target Disk Mode)

19

Verificaci贸n de im谩genes forenses. Explicaci贸n de algoritmos Hash

20

Adquirir im谩genes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificaci贸n con algoritmos HASH de las diferentes im谩genes forenses generadas

Etapa III: An谩lisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de im谩genes forenses

25

Creaci贸n de im谩genes parciales con FTK Imager

26

An谩lisis preliminar de sistemas Windows

27

An谩lisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboraci贸n de informe preliminar

29

Crear una imagen de contenido personalizado para an谩lisis

30

Elaborar un informe de an谩lisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: An谩lisis de Evidencia Pt. 2

31

An谩lisis de Registro de Windows: SAM

32

An谩lisis de Registro de Windows: Software

33

An谩lisis de logs de un Sistema Windows

34

An谩lisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

An谩lisis de procesos ejecutados

37

An谩lisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa III: An谩lisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecuci贸n de procesos en Linux

41

An谩lisis de archivos de autenticaci贸n

42

An谩lisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa IV: Presentaci贸n.

45

Elaboraci贸n de un informe ejecutivo

46

Elaboraci贸n de un informe t茅cnico completo

47

Presentaci贸n ante autoridades judiciales

48

Consolidar los resultados en dos informes: t茅cnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Referencia del registro de Windows

35/49

Lectura

En las 煤ltimas clases aprendiste a analizar algunas ubicaciones del Registro de Windows, y a obtener informaci贸n a partir de llaves usando herramientas como FRED y RegRipper. Sin embargo, el Registro de Windows es una base de datos extensa que contiene muchas ubicaciones que pueden tener informaci贸n 煤til, y con las que deber谩s estar familiarizado.
A continuaci贸n, se detallan algunas de las ubicaciones comunes donde un investigador forense puede encontrar informaci贸n relevante para una investigaci贸n dentro del Registro de Windows.

Archivo NTUSER.dat

  • Historial de b煤squeda
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Search\Assistant\ACMru

  • Documentos recientes
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

  • Documentos recientes de Office
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Word\FileMRU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Excel \FileMRU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\PowerPoint \FileMRU

  • Comandos ejecutados por el usuario
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

  • Programas ejecutados
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\UserAssist{GUID}\Count

Archivo SOFTWARE

  • Versi贸n del S.O.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

  • Archivo SYSTEM

  • CurrentControlSet
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x
    HKEY_LOCAL_MACHINE\SYSTEM\SelectCurrent

Nota: El Control Set es el conjunto de par谩metros de una configuraci贸n del Sistema Operativo. La llave 鈥淪electCurrent鈥 es un apuntador a uno de los posibles ControlSet00x disponibles, y ese es el que se conoce como 鈥淐urrentControlSet鈥. Al hacer puntos de restauraci贸n del S.O. y guardar copias del registro, se crean nuevos Control Sets que son backups funcionales de configuraciones anteriores, pero la configuraci贸n actual del sistema siempre hace referencia al 鈥淐urrentControlSet鈥.

  • Nombre del computador en red
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName

  • Interfaces de red
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

  • Zona horaria del S.O.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

Aportes 8

Preguntas 0

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Es de lectura interesante un art铆culo dedicado en la wikipedia
.
.
Sin embargo, en el art铆culo no podremos encontrar que la fecha de instalaci贸n del sistema est谩 en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
.

Tambi茅n encontr茅 que existe una herramienta nativa del propio windows, la cual trabaja desde la l铆nea de comandos para hacer consultas (Query / Queries) al registro de Windows, de tal forma que se puede manipular 鈥渆n vivo鈥, haciendo operaciones de lectura, escritura, eliminaci贸n y modificaci贸n de las Claves del Registro y sus valores.

Les comparto algunos QUERIES que el maestro nos se帽al贸 arriba de algunas ubicaciones comunes, d贸nde un investigador forense puede encontrar informaci贸n relevante durante una investigaci贸n:

La herramienta se llama reg.exe y ya viene con windows:

En el libro que mencion贸 el maestro, encontr茅 un dato hist贸rico importante sobre el Registro de Windows, resulta que fue creado para reemplazar a los archivos (.ini), utilizados en las versiones muy antiguas de Windows; entonces hoy en lugar de usar archivos .ini usamos el registro de windows que actualmente es una estructura de datos binaria.

Adjunto extracto del libro:

Uff esta buena esta informacion para el examen

Gracias por la lectura

Los eventos de error y BSOD, en que rama del registro lo podemos encontrar, asi como sus codigos de error?.

Gracias