Tecnico
Páginas: 44 (10827 palabras)
Publicado: 6 de septiembre de 2010
Informe Técnico Reto Análisis Forense
Juan Garrido Caballero UNAM CERT / RED IRIS
Informe Técnico
Reto Análisis Forense UNAM CERT /RED IRIS
“¿A quién va usted a creer, a mí o a sus propios ojos?” Groucho Marx, Actor estadounidense. 18901977 “Si tu intención es describir la verdad, hazlo con sencillez, y la elegancia déjasela al sastre.” Albert Einstein, Científico alemán,nacionalizado estadounidense. 18791955
Informe Técnico Reto Análisis Forense
Juan Garrido Caballero UNAM CERT / RED IRIS
Índice
Audiencia………………………………………………………………………………..3 Introducción…………………………………………………………………………….3 Montaje del sistema espejo para el análisis…………………………..4 Análisis del sistema de ficheros………………………………………….…..7 Recogida de datos de la máquina………………………………………..….8 Tipos de Logon enWindows………………………………………….………..11 Ficheros Log……………………………………………………………….……………11 Perfiles de usuario en Windows………………………………….………….16 La papelera de Reciclaje…………………………………………….………….18 Breve resumen de pistas…………………………………………….………….20 Index.dat e Internet Explorer…………………………………….………….22 Localizando direcciones IP……………………………………….……………26 El agujero de Seguridad……………………………………………….……….28 Resumenfinal…………………………………………………………….….………31 Recomendaciones…………………………………………………….….……….34 Conclusión Final…………………………………………………………..……..36 Referencias……………………………………………………………………………36 Curiosidades……………………………………………………………..………...37
Informe Técnico Reto Análisis Forense
Juan Garrido Caballero UNAM CERT / RED IRIS
Audiencia
Este documento mantendrá un estilo informal pero sin despreciar el aspecto técnico del mismo, para facilitar y hacer másamena su lectura, evitando de esta manera el estilo correcto y serio que redactaría si fuese para un cliente. Se pretende así que este documento llegue a mucha más gente interesada en la informática forense, y puedan aprender a la vez que se divierten. Este documento describirá de manera detallada todos los aspectos técnicos, comandos y operaciones que se utilizaron para realizar el informe, por loque los usuarios con mayor conocimiento podrán pasar por alto dichas explicaciones, y centrarse más en el aspecto práctico. He detallado paso por paso todas las acciones que he realizado en el sistema, porque aunque el sistema operativo Windows es bien conocido por todos, es de código propietario. Eso me ha dificultado a la hora de “visualizar” distintos tipos de datos y archivos, ya que algunosarchivos estaban “codificados” para el ojo humano. Por otra parte me ha resultado bastante fácil conseguir información sobre aspectos técnicos del sistema operativo, gracias a la abundante información, manuales y boletines de seguridad encontrados en la amplia base de datos que posee Microsoft. En concreto de Microsoft Knowledge Base. Las explicaciones detalladas servirán para que no nos “perdamos”ningún detalle en el análisis.
Introducción
Este documento pretende dar una visión técnica sobre el análisis realizado sobre la máquina COUNTERS. El análisis se ha realizado utilizando una máquina instalada desde cero con el sistema operativo Windows 2000 Server. El fichero .img de la máquina atacada se montó como sistema de archivos. Las herramientas que he utilizado son las habituales en unsistema operativo Windows, necesitando en algunos campos herramientas de terceros. Las herramientas de terceros que he necesitado las describo a continuación: FileDisk: Herramienta que emula un disco virtual en Windows NT/2000/XP. Emula discos físicos. Licencia GPL. Url: http://www.acc.umu.se/~bosse/ NTLast 3.0: Herramienta para usar con Windows NT. Nos da información acerca de los logon de unamáquina. Licencia: FreeWare para uso personal y no comercial. Fabricante: FoundStone Pasco: Herramienta que nos permitirá ver las URL visitadas en el Internet Explorer. Licencia: FreeWare para uso personal y no comercial. Fabricante: FoundStone Rifiuti: Herramienta de análisis forense que nos ayudará a examinar los archivos que se encuentran en la papelera de reciclaje....
Juan Garrido Caballero UNAM CERT / RED IRIS
Informe Técnico
Reto Análisis Forense UNAM CERT /RED IRIS
“¿A quién va usted a creer, a mí o a sus propios ojos?” Groucho Marx, Actor estadounidense. 18901977 “Si tu intención es describir la verdad, hazlo con sencillez, y la elegancia déjasela al sastre.” Albert Einstein, Científico alemán,nacionalizado estadounidense. 18791955
Informe Técnico Reto Análisis Forense
Juan Garrido Caballero UNAM CERT / RED IRIS
Índice
Audiencia………………………………………………………………………………..3 Introducción…………………………………………………………………………….3 Montaje del sistema espejo para el análisis…………………………..4 Análisis del sistema de ficheros………………………………………….…..7 Recogida de datos de la máquina………………………………………..….8 Tipos de Logon enWindows………………………………………….………..11 Ficheros Log……………………………………………………………….……………11 Perfiles de usuario en Windows………………………………….………….16 La papelera de Reciclaje…………………………………………….………….18 Breve resumen de pistas…………………………………………….………….20 Index.dat e Internet Explorer…………………………………….………….22 Localizando direcciones IP……………………………………….……………26 El agujero de Seguridad……………………………………………….……….28 Resumenfinal…………………………………………………………….….………31 Recomendaciones…………………………………………………….….……….34 Conclusión Final…………………………………………………………..……..36 Referencias……………………………………………………………………………36 Curiosidades……………………………………………………………..………...37
Informe Técnico Reto Análisis Forense
Juan Garrido Caballero UNAM CERT / RED IRIS
Audiencia
Este documento mantendrá un estilo informal pero sin despreciar el aspecto técnico del mismo, para facilitar y hacer másamena su lectura, evitando de esta manera el estilo correcto y serio que redactaría si fuese para un cliente. Se pretende así que este documento llegue a mucha más gente interesada en la informática forense, y puedan aprender a la vez que se divierten. Este documento describirá de manera detallada todos los aspectos técnicos, comandos y operaciones que se utilizaron para realizar el informe, por loque los usuarios con mayor conocimiento podrán pasar por alto dichas explicaciones, y centrarse más en el aspecto práctico. He detallado paso por paso todas las acciones que he realizado en el sistema, porque aunque el sistema operativo Windows es bien conocido por todos, es de código propietario. Eso me ha dificultado a la hora de “visualizar” distintos tipos de datos y archivos, ya que algunosarchivos estaban “codificados” para el ojo humano. Por otra parte me ha resultado bastante fácil conseguir información sobre aspectos técnicos del sistema operativo, gracias a la abundante información, manuales y boletines de seguridad encontrados en la amplia base de datos que posee Microsoft. En concreto de Microsoft Knowledge Base. Las explicaciones detalladas servirán para que no nos “perdamos”ningún detalle en el análisis.
Introducción
Este documento pretende dar una visión técnica sobre el análisis realizado sobre la máquina COUNTERS. El análisis se ha realizado utilizando una máquina instalada desde cero con el sistema operativo Windows 2000 Server. El fichero .img de la máquina atacada se montó como sistema de archivos. Las herramientas que he utilizado son las habituales en unsistema operativo Windows, necesitando en algunos campos herramientas de terceros. Las herramientas de terceros que he necesitado las describo a continuación: FileDisk: Herramienta que emula un disco virtual en Windows NT/2000/XP. Emula discos físicos. Licencia GPL. Url: http://www.acc.umu.se/~bosse/ NTLast 3.0: Herramienta para usar con Windows NT. Nos da información acerca de los logon de unamáquina. Licencia: FreeWare para uso personal y no comercial. Fabricante: FoundStone Pasco: Herramienta que nos permitirá ver las URL visitadas en el Internet Explorer. Licencia: FreeWare para uso personal y no comercial. Fabricante: FoundStone Rifiuti: Herramienta de análisis forense que nos ayudará a examinar los archivos que se encuentran en la papelera de reciclaje....
Leer documento completo
Regístrate para leer el documento completo.