ANLISIS FORENSE SISTEMAS WINDOWS

FUENTES DE EVIDENCIA

El registro de Windows Archivo NTUSET.DAT. Memoria RAM Archivo pagefile Archivo INDEX.DAT Log de Eventos

ANLISIS DEL REGISTRO DEL SISTEMA.

El registro de Windows es una estructura organizada de forma jerrquica que centraliza el almacenamiento de los datos de configuracin para el sistema, los usuarios, las aplicaciones y el hardware.

El registro est formado por cinco claves maestras de las cuales slo HKLM y HKU son almacenadas fsicamente, el resto se crean a travs de referencias a stas: HKEY_CLASSES_ROOT (HKCR): Contiene informacin acerca de la asociacin por tipos de archivo y el registro de las clases que representan componentes COM a travs del CLSID (Class Identifier). Esta clave se deriva de la fusin de HKLM\SOFTWARE\Classes y HKCU\SOFTWARE\Classes lo que permite tener la asociacin de los archivos y el registro de COM por defecto y por usuario. HKEY_CURRENT_USER (HKCU): Almacena informacin acerca de la configuracin del usuario con una sesin activa.

HKEY_LOCAL_MACHINE (HKLM): Almacena informacin relativa a la configuracin del equipo que se aplicar por defecto a todos los usuarios del sistema. Se divide en cinco subclaves: SOFTWARE: Contiene informacin de configuracin acerca de las aplicaciones instaladas en el sistema bajo la estructura Fabricante\Aplicacin\Versin. 1 SECURITY: Almacena las polticas de seguridad para cada cuenta de usuario y la base de datos local de usuarios SAM (Security Account Manager) el nmero del Control- Set activo.

2 SAM: Contiene informacin acerca de los usuarios y grupos locales del sistema. Existen listas de control de acceso (ACLs) que evitan que el administrador explore est clave junto con la clave 3 SECURITY por lo que para ver su contenido es necesario ejecutar regedit bajo la cuenta Lo cal System Account. Para ello puede utilizarse el comando de consola at y programar la ejecucin del regedit para un instante cercano:"at 17:30 /interactive regedit". Otra opcin sera utilizar el comando psexec del conjunto de utilidades PsTools de SysInternals:"psexec -s -i regedit" 4 HARDWARE: Almacena informacin acerca de hardware que se ha detectado durante el arranque. Esta clave permanece siempre en memoria y no se almacena fsicamente en disco. 5 SYSTEM: Contiene los Control Sets que definen la configuracin de los servicios y controladores del sistema. Existen ControlSets alternativos con las ltimas configuraciones estables conocidas y slo habr un ControlSet activo en cada momento (HKLM\SYSTEM\CurrentControlSet). En la clave HKLM\SYSTEM\S

HKEY_USERS (HKU): Contiene subclaves para cada cuenta de usuario predefinida de windows y para cada usuario que haya iniciado una sesin primaria o secundaria en el sistema. Estas subclaves se identifican con el SID (Security Identifier) de la cuenta y almacenan la informacin relativa a la configuracin especfica de la misma.

Anlisis en vivo (online)

El registro de Windows puedes ser analizado sin problema en un sistema vivo, a tiempo real, para esta labor tenemos varios procesos como la extraccin de datos, la exportacin de claves para su posterior anlisis y la comparacin de ficheros.

DONDE ESTA LA INFORMACIN ?

Most Recent Used & MRU HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs Programas ejecutados por la opcin ejecuta de inicio o el box ejecutar. HKEY_CURRENT_USER \ \Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Path digitados en internet explorer. HKEY_CURRENT_USER \ Software\Microsoft\Internet Explorer\TypedURLs Otra fuentes de MRU reflejados a programas y archivos abiertos HKEY_CURRENT_USER \ \Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Bsquedas realizadas en windows HKEY_CURRENT_USER \ Software\Microsoft\Search Assistant\ACMru

Dispositivos conectados usb HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

REGISTRO EN MRU

CD BURNING
%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning En visat y windows 7 %USERPROFILE%\AppData\Local\Microsoft\Windows\Burn\Burn

Conociendo la ubicacin del registro lo primero que debemos hacer es extraerlo para su posterior anlisis. Podemos utilizar la herramienta nativa reg.exe que nos permitir exportar el rbol entero del registro o una clave como lo vemos en el siguiente ejemplo.

Time Line

Otra forma de extraer claves del registro de Windows para su posterior anlisis es usando el mismo registro con su opcin extraer:

Ya cuando tengamos extrado el registro o parte de l, podemos indicar el anlisis offline utilizando el software Reg View.

NTUSER.DAT
Contiene las claves de registro correspondiente al usuario. Este archivo debe ser extrado utilizando un software autoarranque de Linux para su anlisis, caso contrario siempre estar en uso y no nos permitir el sistema hacer accin alguna sobre l.

WINDOWS REGISTRY RECOVERY

EVENTOS DE WINDOWS
Un evento es cualquier evento significativo del sistema o de un programa que requiere que se notifique a los usuarios o que se agregue una entrada a un registro. El servicio Registro de eventos graba eventos de aplicacin, de seguridad y de sistema en el Visor de eventos.

GUARDAR EVENTOS

ABRIR EVENTOS

EVENTO IMPORTANTE
Acceso a un equipo mediante la red o con cuenta de usuario. o C$. En windows Xp el evento es 540 en vista, 7 y 2008 el ID es el 4624

ALGUNOS EVENTOS

UTILIZANDO REGRIPPER

Anlisis de la papelera de reciclaje.

Al hablar de anlisis forense Windows no debe quedar fuera el tema de la papelera de reciclaje fuente de evidencia donde se depositan los archivos que fueron eliminados del sistema. Cuando se elimina un archivo desde el explorador de Windows no se elimina totalmente, estos van al contenedor INFO2, que es un archivo donde se almacena todo los archivos eliminados.

Al ingresar el archivo a este contenedor cambiara su nombre tomando una nueva sintaxis propia de la papelera de reciclaje que procedemos a explicar. (Letra de la unidad desde donde se elimino) (La primera letra del nombre del archivo) (Extensin del archivo) ( un numero que es secuencial si coincide en los otros caracteres) Es decir si elimnanos el archivo persona.doc de la unidad c: al ingresar a INFO2 quedara como CP1.doc En windows vista y 7 los archivos se renombran com $R

EN WINDOWS VISTA Y 7

Anlisis de archivo Pagefiles.sys

Este archivo es muy especial y lo usa Windows para almacenar temporalmente datos los cuales son intercambiados entre la memoria RAM y ste, con el fin de disponer de un bloque ms grande de memoria, a sta se le conoce como MEMORIA VIRTUAL El nombre del archivo es pagefile.sys y se crea en el momento de la instalacin de Windows en la unidad raiz (normalmente C:\) donde se encuentra el boot del sistema y sus atributos son de oculto. El tamao de archivo pagefile.sys normalmente es 1.5 veces mas grande que la memoria RAM del sistema. (Por ejemplo, si tienes 1GB de RAM, el archivo deberia pesar algo como 1.5GB.

Pagefiles.sys en una fuente de evidencia voltil muy til la cual podr ser examinada usando un editor hexadecimal como Winhex, los resultados de visualiza con este software sern entre otras cosas, archivos abiertos, archivos ofimticos , navegaciones en internet, procesos en ejecucin, correos electrnicos enviados, mensajes Messenger, etc. Este archivo es dependiente del sistema lo que nonos permitir extraerlo o copiarlo para su anlisis por lo cual debemos utilizar un live cd para extraer el archivo as como lo realizamos con el NTUSER.DAT al abrirlo el pagefile.sys en el editor winhex podremos observar informacin como lo veremos en la siguiente imagen.

ANLISIS DE MEMORIA RAM

Importante
Como en toda investigacin, la informacin que podamos recopilar depende de muchos factores, tales como el sistema operativo, el TimeLime de la mquina y lgicamente, el tamao de la memoria RAM. Pongamos como ejemplo a Windows Vista y Windows XP. Windows Vista maneja de forma diferente los datos en memoria RAM. Utiliza mucho el acceso a RAM, para no cargar tanto al disco duro, ya que el acceso a memoria RAM es mucho ms rpido que el acceso a disco. Windows XP no carga tanto la RAM, y en cambio utiliza mucho ms el archivo de paginacin.

QUE PODEMOS ENCONTRAR?

Entrada de usuarios Archivos abiertos Informacin de la red Conexiones de red Informacin de Procesos Visualizar actividad de puertos Proceso de memoria Estado de la red Informacin de drivers y servicios

Para iniciar una anlisis forense de la memoria RAM debemos iniciar con la captura de la informacin en memoria o realizando un volcado de la misma manera esto podemos usar la herramienta dd.exe vista anteriormente o el comando Mantech Memory DD que explicaremos a continuacin. Para usar este comando lo ejecutamos en nuestro cmd de Windows con la siguiente sintaxis: mdd.exe -o nombredelvolcado

Usando NIGILANT32 y HELIX. Este es un software auto ejecutable que no requiere instalacin, veamos los pasos para la extraccin de la imagen de una memoria RAM.

ANALIZANDO LA IMAGEN GENERADA.

UNA VEZ EXTRADA LAS IMGENES DE LA MEMORIA RAM VISTO ANTERIORMENTE PROCEDEREMOS A ANALIZARLAS. A CONTINUACIN VAMOS A UTILIZAR LA HERRAMIENTA VOLATILY (HTTPS://WWW.VOLATILESYSTEMS.COM/DEFAULT/VOLATILITY#OVERVIEW) CON LA CUAL SIMULTNEAMENTE TENEMOS QUE TENER INSTALADO PHYTON (HTTP://WWW.PYTHON.ORG/DOWNLOAD/ YA QUE VOLATILY) ES UN ENTORNO PROGRAMADO EN PHYTON , CON DICHO FRAMEWORK NOS VA A PERMITIR LLEVAR LA CABO EL ANLISIS DEL DUPLICADO DEL MEMORIA RAM DONDE BUSCAREMOS: PROCESOS EN EJECUCIN PROCESOS EN FASE DE TERMINACIN CONEXIONES ACTIVAS (TCP-UDP) FICHEROS MAPEADOS (DRIVERS, EJECUTABLES, FICHEROS) OBJETOS EN CACH (HTML,JAVASCRIPT,PASSWORDS) ELEMENTOS OCULTOS (ROOTKITS)

Procedemos a instalar Phyton en C:\Python26

Posteriormente cogemos el archivo .rar que contiene el framework volality y lo descomprimimos en el directorio C:\Python26. Vamos a copiar el archivo RAM que habamos creado con la aplicacin en el directorio Python26 (esto no es necesario simplemente habra que indicar la ruta de donde se encuentra pero por comodidad procederemos a copiarlo

Comandos mas utilizados de volatility

Vamos a ejecutar una lnea de comando que nos va a decir los procesos que estaban ejecutndose en memoria: C:\Python26>python volatility pslist -f ram . Vamos a listar con la sintaxis : C:\Python26>python volatility connscan -f ram Si algn objeto est conectado a otro equipo de forma remota. ...

Mostrar la fecha en la que nuestra imagen fue volcada. C:\Python26>python volatility datetime -f ram

Ejecutaremos un comando que nos liste la relacin de los procesos con sus libreras. C:\Python26>python volatility dlllist -f ram . Ahora listaremos los ficheros que mantienen abiertos los procesos que haba en ejecucin. C:\Python26>python volatility files -f ram ... Procederemos a mostrar propiedades de la imagen. C:\Python26>python volatility ident -f ram ... Con el comando modscan listaremos los mdulos de memoria que ocupan los procesos en ejecucin. C:\Python26>python volatility modscan -f RAM

Con la siguiente sintaxis revelaremos que directorios del registro estn en relacin directa con los procesos que se encontraban en ejecucin. C:\Python26>python volatility regobjkeys -f RAM

Sysinternals Suite

HTTP://TECHNET.MICROSOFT.COM/ESES/SYSINTERNALS/DEFAULT.ASPX

CONJUNTO DE HERRAMIENTAS

EJECUTANDO, EL COMANDO AUTORUNS PODREMOS VISUALIZAR UN SEGMENTO DE COMANDOS EJECUTADO DENTRO DE UNA SOLA VENTANA

SYSINTERNALS SUITE
Logon: Escanea y visualiza las aplicaciones que se inician con Windows. Pudiendo ver sus ubicaciones. Explorer: Explorador de extensiones shell, objetos de ayuda de navegador, barras de herramientas del explorador, activa configuracin de las ejecuciones. Internet Explorer. Muestra las entradas del Browse de Windows, como barra de herramientas. Scheduled Tasked. Muestra los procesos programados del sistemas. Services. Muestra los servicios que se inician automticamente cuando se arranca el sistema. Drivers: Muestra en modo kernel los drivers registrados en el sistema menos los inactivos o inhabilitados

SYSINTERNALS SUITE
Boot Execute. Muestra las ejecuciones que se producen antes del arranque de Windows Image Hijacks. Muestra las opciones y comandos que se ejecutan del autorun. Known DLLs. Informa la ubicacin de DLLs que Windows carga y las solicitudes que hagan referencia a ellas. AppInit DLLs. Muestra los DLL registrados de aplicaciones de auto inicializacin. Winlogon. Muesra las notificaciones DLL registrados para el winlogon y notificaciones de inicio de sesin. Winsock Providers. Visualiza el registrado de Winsock, protocolos, proveedores de servicios de Winsock. El Malware a menudo se instala como un proveedor de servicios Winsock porque hay pocos instrumentos que pueden eliminarlos.

SYSINTERNALS SUITE
LSA. Muestra los registros de Seguridad Local (LSA) de autenticacin,
notificacin y paquetes de seguridad. Print Monitor. Muestra los DLLs que carga en el servicio de impresin spooling. El Malware ha utilizado este apoyo para iniciarse automticamente.