2 Analisis de WINDOWS
2 Analisis de WINDOWS
FUENTES DE EVIDENCIA
El registro de Windows Archivo NTUSET.DAT. Memoria RAM Archivo pagefile Archivo INDEX.DAT Log de Eventos
El registro est formado por cinco claves maestras de las cuales slo HKLM y HKU son almacenadas fsicamente, el resto se crean a travs de referencias a stas: HKEY_CLASSES_ROOT (HKCR): Contiene informacin acerca de la asociacin por tipos de archivo y el registro de las clases que representan componentes COM a travs del CLSID (Class Identifier). Esta clave se deriva de la fusin de HKLM\SOFTWARE\Classes y HKCU\SOFTWARE\Classes lo que permite tener la asociacin de los archivos y el registro de COM por defecto y por usuario. HKEY_CURRENT_USER (HKCU): Almacena informacin acerca de la configuracin del usuario con una sesin activa.
HKEY_LOCAL_MACHINE (HKLM): Almacena informacin relativa a la configuracin del equipo que se aplicar por defecto a todos los usuarios del sistema. Se divide en cinco subclaves: SOFTWARE: Contiene informacin de configuracin acerca de las aplicaciones instaladas en el sistema bajo la estructura Fabricante\Aplicacin\Versin. 1 SECURITY: Almacena las polticas de seguridad para cada cuenta de usuario y la base de datos local de usuarios SAM (Security Account Manager) el nmero del Control- Set activo.
2 SAM: Contiene informacin acerca de los usuarios y grupos locales del sistema. Existen listas de control de acceso (ACLs) que evitan que el administrador explore est clave junto con la clave 3 SECURITY por lo que para ver su contenido es necesario ejecutar regedit bajo la cuenta Lo cal System Account. Para ello puede utilizarse el comando de consola at y programar la ejecucin del regedit para un instante cercano:"at 17:30 /interactive regedit". Otra opcin sera utilizar el comando psexec del conjunto de utilidades PsTools de SysInternals:"psexec -s -i regedit" 4 HARDWARE: Almacena informacin acerca de hardware que se ha detectado durante el arranque. Esta clave permanece siempre en memoria y no se almacena fsicamente en disco. 5 SYSTEM: Contiene los Control Sets que definen la configuracin de los servicios y controladores del sistema. Existen ControlSets alternativos con las ltimas configuraciones estables conocidas y slo habr un ControlSet activo en cada momento (HKLM\SYSTEM\CurrentControlSet). En la clave HKLM\SYSTEM\S
HKEY_USERS (HKU): Contiene subclaves para cada cuenta de usuario predefinida de windows y para cada usuario que haya iniciado una sesin primaria o secundaria en el sistema. Estas subclaves se identifican con el SID (Security Identifier) de la cuenta y almacenan la informacin relativa a la configuracin especfica de la misma.
Path digitados en internet explorer. HKEY_CURRENT_USER \ Software\Microsoft\Internet Explorer\TypedURLs Otra fuentes de MRU reflejados a programas y archivos abiertos HKEY_CURRENT_USER \ \Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
REGISTRO EN MRU
CD BURNING
%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning En visat y windows 7 %USERPROFILE%\AppData\Local\Microsoft\Windows\Burn\Burn
Conociendo la ubicacin del registro lo primero que debemos hacer es extraerlo para su posterior anlisis. Podemos utilizar la herramienta nativa reg.exe que nos permitir exportar el rbol entero del registro o una clave como lo vemos en el siguiente ejemplo.
Time Line
Otra forma de extraer claves del registro de Windows para su posterior anlisis es usando el mismo registro con su opcin extraer:
Ya cuando tengamos extrado el registro o parte de l, podemos indicar el anlisis offline utilizando el software Reg View.
NTUSER.DAT
Contiene las claves de registro correspondiente al usuario. Este archivo debe ser extrado utilizando un software autoarranque de Linux para su anlisis, caso contrario siempre estar en uso y no nos permitir el sistema hacer accin alguna sobre l.
EVENTOS DE WINDOWS
Un evento es cualquier evento significativo del sistema o de un programa que requiere que se notifique a los usuarios o que se agregue una entrada a un registro. El servicio Registro de eventos graba eventos de aplicacin, de seguridad y de sistema en el Visor de eventos.
GUARDAR EVENTOS
ABRIR EVENTOS
EVENTO IMPORTANTE
Acceso a un equipo mediante la red o con cuenta de usuario. o C$. En windows Xp el evento es 540 en vista, 7 y 2008 el ID es el 4624
ALGUNOS EVENTOS
UTILIZANDO REGRIPPER
Al ingresar el archivo a este contenedor cambiara su nombre tomando una nueva sintaxis propia de la papelera de reciclaje que procedemos a explicar. (Letra de la unidad desde donde se elimino) (La primera letra del nombre del archivo) (Extensin del archivo) ( un numero que es secuencial si coincide en los otros caracteres) Es decir si elimnanos el archivo persona.doc de la unidad c: al ingresar a INFO2 quedara como CP1.doc En windows vista y 7 los archivos se renombran com $R
EN WINDOWS VISTA Y 7
Pagefiles.sys en una fuente de evidencia voltil muy til la cual podr ser examinada usando un editor hexadecimal como Winhex, los resultados de visualiza con este software sern entre otras cosas, archivos abiertos, archivos ofimticos , navegaciones en internet, procesos en ejecucin, correos electrnicos enviados, mensajes Messenger, etc. Este archivo es dependiente del sistema lo que nonos permitir extraerlo o copiarlo para su anlisis por lo cual debemos utilizar un live cd para extraer el archivo as como lo realizamos con el NTUSER.DAT al abrirlo el pagefile.sys en el editor winhex podremos observar informacin como lo veremos en la siguiente imagen.
Importante
Como en toda investigacin, la informacin que podamos recopilar depende de muchos factores, tales como el sistema operativo, el TimeLime de la mquina y lgicamente, el tamao de la memoria RAM. Pongamos como ejemplo a Windows Vista y Windows XP. Windows Vista maneja de forma diferente los datos en memoria RAM. Utiliza mucho el acceso a RAM, para no cargar tanto al disco duro, ya que el acceso a memoria RAM es mucho ms rpido que el acceso a disco. Windows XP no carga tanto la RAM, y en cambio utiliza mucho ms el archivo de paginacin.
Para iniciar una anlisis forense de la memoria RAM debemos iniciar con la captura de la informacin en memoria o realizando un volcado de la misma manera esto podemos usar la herramienta dd.exe vista anteriormente o el comando Mantech Memory DD que explicaremos a continuacin. Para usar este comando lo ejecutamos en nuestro cmd de Windows con la siguiente sintaxis: mdd.exe -o nombredelvolcado
Usando NIGILANT32 y HELIX. Este es un software auto ejecutable que no requiere instalacin, veamos los pasos para la extraccin de la imagen de una memoria RAM.
Posteriormente cogemos el archivo .rar que contiene el framework volality y lo descomprimimos en el directorio C:\Python26. Vamos a copiar el archivo RAM que habamos creado con la aplicacin en el directorio Python26 (esto no es necesario simplemente habra que indicar la ruta de donde se encuentra pero por comodidad procederemos a copiarlo
Mostrar la fecha en la que nuestra imagen fue volcada. C:\Python26>python volatility datetime -f ram
Ejecutaremos un comando que nos liste la relacin de los procesos con sus libreras. C:\Python26>python volatility dlllist -f ram . Ahora listaremos los ficheros que mantienen abiertos los procesos que haba en ejecucin. C:\Python26>python volatility files -f ram ... Procederemos a mostrar propiedades de la imagen. C:\Python26>python volatility ident -f ram ... Con el comando modscan listaremos los mdulos de memoria que ocupan los procesos en ejecucin. C:\Python26>python volatility modscan -f RAM
Con la siguiente sintaxis revelaremos que directorios del registro estn en relacin directa con los procesos que se encontraban en ejecucin. C:\Python26>python volatility regobjkeys -f RAM
Sysinternals Suite
HTTP://TECHNET.MICROSOFT.COM/ESES/SYSINTERNALS/DEFAULT.ASPX
CONJUNTO DE HERRAMIENTAS
EJECUTANDO, EL COMANDO AUTORUNS PODREMOS VISUALIZAR UN SEGMENTO DE COMANDOS EJECUTADO DENTRO DE UNA SOLA VENTANA
SYSINTERNALS SUITE
Logon: Escanea y visualiza las aplicaciones que se inician con Windows. Pudiendo ver sus ubicaciones. Explorer: Explorador de extensiones shell, objetos de ayuda de navegador, barras de herramientas del explorador, activa configuracin de las ejecuciones. Internet Explorer. Muestra las entradas del Browse de Windows, como barra de herramientas. Scheduled Tasked. Muestra los procesos programados del sistemas. Services. Muestra los servicios que se inician automticamente cuando se arranca el sistema. Drivers: Muestra en modo kernel los drivers registrados en el sistema menos los inactivos o inhabilitados
SYSINTERNALS SUITE
Boot Execute. Muestra las ejecuciones que se producen antes del arranque de Windows Image Hijacks. Muestra las opciones y comandos que se ejecutan del autorun. Known DLLs. Informa la ubicacin de DLLs que Windows carga y las solicitudes que hagan referencia a ellas. AppInit DLLs. Muestra los DLL registrados de aplicaciones de auto inicializacin. Winlogon. Muesra las notificaciones DLL registrados para el winlogon y notificaciones de inicio de sesin. Winsock Providers. Visualiza el registrado de Winsock, protocolos, proveedores de servicios de Winsock. El Malware a menudo se instala como un proveedor de servicios Winsock porque hay pocos instrumentos que pueden eliminarlos.
SYSINTERNALS SUITE
LSA. Muestra los registros de Seguridad Local (LSA) de autenticacin,
notificacin y paquetes de seguridad. Print Monitor. Muestra los DLLs que carga en el servicio de impresin spooling. El Malware ha utilizado este apoyo para iniciarse automticamente.