Introduccion ala informatica forense
Páginas: 41 (10215 palabras)
Publicado: 6 de abril de 2010
Introducción a la informática forense en entornos Windows (I) Este documento no pretende ni tiene la finalidad de convertirse en manual de referencia. Este documento relata los aspectos básicos relacionados en el campo de la informática forense, explicando de una forma simple y concisa las herramientas utilizadas para la captura de evidencias. También explicará los aspectos técnicos relativos ala arquitectura de un sistema Windows. Probablemente esto ayudará al lector a comprender mejor cómo un sistema Windows recopila y almacena la información, ayudando también a entender la arquitectura del sistema. Prohibida la reproducción total o parcial de este texto sin poner la fuente (http://www.elhacker.net) Prohibida la modificación o eliminación de enlaces e imágenes en este documento.Redactado por Silverhack desde el 08 de Agosto de 2006 al 07 de Marzo de 2007 Versión 0.1 General Definición de análisis forense Evidencia Digital RFC3227 (Recolección y manejo de evidencias) Buenas prácticas a la hora de analizar datos Entorno Microsoft Cuentas de usuario y perfil de usuario Tipos de Logon en un sistema basado en Windows La Papelera de Reciclaje. Estructura y funcionamiento Archivos deRegistro. Estructura Index.dat e Internet Explorer. Estructura y funcionamiento Service Pack, HotFix. Qué es y para qué sirve? Introducción y definición de análisis forense En este tutorial, vamos a explicar de la forma más sencilla posible el uso de algunas herramientas que nos pueden facilitar la tarea a la hora de realizar un análisis forense en entornos Windows. Existen muchísimasherramientas destinadas a éste propósito, comerciales y gratuitas. En este tutorial vamos a ver como enfocaríamos un análisis partiendo de herramientas gratuitas. Cuando un usuario no autorizado toma el control de un sistema, éste puede instalar múltiples backdoors (puertas traseras) que le permitan entrar al sistema en un futuro,
aunque parcheemos la vulnerabilidad original. Se denomina análisis forenseal proceso de analizar una copia completa de un sistema que ha sufrido una intrusión o ataque. El análisis forense permite obtener la mayor cantidad posible de información sobre:
• • • •
El método utilizado por el atacante para introducirse en el sistema Las actividades ilícitas realizadas por el intruso en el sistema El alcance y las implicaciones de dichas actividades Las “puertas traseras”instaladas por el intruso
Realizando un análisis forense nos permitirá, entre otras cosas, recuperarnos del incidente de una manera más segura y evitaremos en la medida de lo posible que se repita la misma situación en cualquiera de nuestras máquinas. Un buen análisis forense debe dar respuestas a varias cuestiones, entre las que se encuentran las siguientes:
• • • •
¿En que fecha exactase ha realizado la intrusión o cambio? ¿Quién realizó la intrusión? ¿Cómo entró en el sistema? ¿Qué daños ha producido en el sistema?
Si una vez realizado el análisis forense no conocemos con exactitud las respuestas a estas preguntas, no tendremos un análisis funcional. Esto puede derivar en futuros ataques, bien por la misma persona, o bien por diferentes medios de intrusión que desconozcamos.Evidencia digital Uno de los pasos a tener en cuenta en toda investigación, sea la que sea, consiste en la captura de la/s evidencia/s. Por evidencia entendemos toda información que podamos procesar en un análisis. Por supuesto que el único fin del análisis de la/s evidencia/s es saber con la mayor exactitud qué fue lo que ocurrió. Bueno, y ¿qué entendemos por evidencia digital? Podemos entenderevidencia como:
• • • • • • • • •
El último acceso a un fichero o aplicación (unidad de tiempo) Un Log en un fichero Una cookie en un disco duro El uptime de un sistema (Time to live o tiempo encendido) Un fichero en disco Un proceso en ejecución Archivos temporales Restos de instalación Un disco duro, pen-drive, etc...
RFC3227. Recolección y manejo de evidencias El propósito de este...
aunque parcheemos la vulnerabilidad original. Se denomina análisis forenseal proceso de analizar una copia completa de un sistema que ha sufrido una intrusión o ataque. El análisis forense permite obtener la mayor cantidad posible de información sobre:
• • • •
El método utilizado por el atacante para introducirse en el sistema Las actividades ilícitas realizadas por el intruso en el sistema El alcance y las implicaciones de dichas actividades Las “puertas traseras”instaladas por el intruso
Realizando un análisis forense nos permitirá, entre otras cosas, recuperarnos del incidente de una manera más segura y evitaremos en la medida de lo posible que se repita la misma situación en cualquiera de nuestras máquinas. Un buen análisis forense debe dar respuestas a varias cuestiones, entre las que se encuentran las siguientes:
• • • •
¿En que fecha exactase ha realizado la intrusión o cambio? ¿Quién realizó la intrusión? ¿Cómo entró en el sistema? ¿Qué daños ha producido en el sistema?
Si una vez realizado el análisis forense no conocemos con exactitud las respuestas a estas preguntas, no tendremos un análisis funcional. Esto puede derivar en futuros ataques, bien por la misma persona, o bien por diferentes medios de intrusión que desconozcamos.Evidencia digital Uno de los pasos a tener en cuenta en toda investigación, sea la que sea, consiste en la captura de la/s evidencia/s. Por evidencia entendemos toda información que podamos procesar en un análisis. Por supuesto que el único fin del análisis de la/s evidencia/s es saber con la mayor exactitud qué fue lo que ocurrió. Bueno, y ¿qué entendemos por evidencia digital? Podemos entenderevidencia como:
• • • • • • • • •
El último acceso a un fichero o aplicación (unidad de tiempo) Un Log en un fichero Una cookie en un disco duro El uptime de un sistema (Time to live o tiempo encendido) Un fichero en disco Un proceso en ejecución Archivos temporales Restos de instalación Un disco duro, pen-drive, etc...
RFC3227. Recolección y manejo de evidencias El propósito de este...
Leer documento completo
Regístrate para leer el documento completo.