Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción Al Análisis Forense
Introducción Al Análisis Forense
1
INDICE
¿Qué es el análisis forense? Nuevos Artifacts en Windows 10
Sistema operativo ▪ Asistente personal CORTANA
▪ Diferencias entre Windows 7, Windows 8 y Windows 10 ▪ Introducción
▪ Arquitectura de Linux ▪ Integración Windows 10
▪ Captura y análisis de la información
Kits de Respuesta a Incidentes
▪ Integración de aplicaciones
▪ Basados en Agente ▪ Centro de Notificaciones
▪ Sin Agente ▪ Geolocalización en Windows 10
Dr.House Dra.Brennan
¿Qué es el análisis forense?
Computer Forensics:
Disciplina que se ocupa de IDENTIFICAR, ASEGURAR, ANALIZAR,
EXTRAER y PRESENTAR pruebas generadas electrónicamente y
guardadas en medios electrónicos con el objetivo de que sean
aceptadas en un proceso legal.
¿Qué es el análisis forense?
Importante:
Del mismo modo que el principio de Locard a la hora de realizar
el análisis forense, por lo que ser especialmente cuidadoso para
que el sistema se vea afectado en la menor medida posible y
que las evidencias adquiridas no se vean alteradas.
¿Qué es el análisis forense?
Consultoría
▪ Entender cuál es el problema.
▪ Determinar dónde puede haber información relevante.
▪ Fijar los objetivos de la investigación.
¿Qué es el análisis forense?
Adquisición
▪ Asegurar los medios en los que haya información relevante
▪ Obtener una copia bit a bit de estos medios para poder trabajar con ella
Extracción
Extraer la información relevante de la información obtenida en la etapa
anterior:
▪ Filtrar la información obtenida en base a: palabras clave, marco
temporal, dirección IP, usuario.
▪ Obtener los ficheros relevantes de los medios adquiridos: sacar el
buzón de correo del usuario para estudiar la base de datos de
mensajes de un servidor de correo.
¿Qué es el análisis forense?
Análisis
Analizar la información extraída de los medios adquiridos.
▪ Garantías de legalidad:
• No violar derechos fundamentales
• Principios de proporcionalidad, idoneidad y necesidad
• Investigar únicamente aquello que estamos autorizados a investigar
¿Qué es el análisis forense?
Cadena de custodia
¿Qué es el análisis forense?
Cadena de custodia
¿Qué es el análisis forense?
Cadena de custodia
¿Qué es el análisis forense?
Cadena de custodia
¿Qué es el análisis forense?
Adquisición de Evidencias
Equipo Encendido:
• Obtención de datos volátiles
• Verificación de sistemas de cifrado (Veracrypt, Bitlocker, Luks, Filevault)
• Documentar todos los pasos realizados para minimizar el impacto
Equipo Apagado:
• Si está encendido nunca apagar de formada ordenada -> tirar del cable
• Clonado Exacto
¿Qué es el análisis forense?
Hiberfil.sys
Diferencias entre Windows 7, Windows 8 y Windows 10
Windows 7 : Volume Shadow Copies
▪ Puntos de Restauración nuevos: Volume Shadow Copies -> no
Hiberfil.sys
▪ Por defecto vienen activadas
▪ Basado en UNIX
▪ Kernel por Linus Torvalds
▪ Diferentes distribuciones: Debian, Ubuntu, RedHat/CentOS/Scientific
Linux, Suse, Arch, Gentoo…
▪ Sistema operativo monolítico
▪ ¿Mayor seguridad?
Arquitectura Linux
Formato EPOCH
▪ Usado por Linux para timestamps
▪ Número de segundos que han pasado desde 1/1/1970
http://www.epochconverter.com/
Arquitectura Linux
Sistemas de Archivos
▪ Extended File System (Ext*)
▪ Basados en UFS (Unix File System)
▪ Bloques= la unidad mínima de información (FAT/NTFS clusters)
Arquitectura Linux
Sistemas de Archivos: EXT2
▪ Tablas de inodos -> Punteros a los inodos (del grupo)
▪ Inodos -> Cada inodo de un fichero/directorio: metadatos de cada fichero
(tamaño, propietario, permisos, MAC y Deletion). Normalmente 128
bytes/inodo (todos del mismo tamaño en el FS)
Inodos reservados:
• El primer inodo guarda info de Bad blocks
• El segundo inodo -> Directorio raíz
• El inodo 11 -> Primer inodo de usuario (“lost+found”))
Arquitectura Linux
Estructura de un Inodo
Arquitectura Linux
Rotación de Logs
▪ Los ficheros en /var/log pueden crecer indefinidamente
hasta llenar el disco y bloquear el sistema.
▪ Es necesario hacer una limpieza de los ficheros a
intervalos regulares, encargada de comprimir.
▪ Actualmente existe la herramienta logrotate, que es capaz
de comprimir y rotar automáticamente los logs.
Arquitectura Linux
Syslog
▪ Linux(Unix) tiene un sistema de registro muy flexible y
potente que permite:
• Registrar casi cualquier cosa que se imagine
• Manipular los logs para obtener la información requerida
Syslog: Mensajes
▪ Los mensajes Syslog incluyen información básica que identifica
desde dónde, cuando y porqué se envio el log.
• Dirección IP, Marca de tiempo, mensaje de log
https://github.com/google/grr
Kit de Respuesta a Incidentes: Basados en Agente
Arquitectura:
• Cliente (Agentes desplegados)
• Servidor Frontend
• Data Store
• Admin UI
• Worker
• API
Kit de Respuesta a Incidentes: Basados en Agente
Rekall Forensics
▪ Viene de la mano de GRR (antes era un modulo de GRR)
▪ Misma funcionalidad que GRR pero está especializado en
memoria
▪ El servidor se puede desplegar en la nube de Google
▪ Cross-platform
http://www.rekall-forensic.com/
Kit de Respuesta a Incidentes: Basados en Agente
Cybertriage
• De pago (versión community)
• Sólo para Windows
• Identificación del registro: programar de arranque, drivers, servicios,
programas que fueron ejecutados.
• Identificación de tareas programadas
• Análisis de los eventos del sistema en cuanto a login y accesos por escritorio
remoto.
• Información Volatil: procesos, puertos abiertos, unarios logados, conexiones
de red, dns.
• Admite evidencias enteras: imágenes RAW y E01
Kit de Respuesta a Incidentes: Sin Agente
Cybertriage
PSHUNT
Power Shell Threat Hunting
▪ Está diseñado par escanear remotamente
endpoints para indicadores de compromiso
(procesos, autoarranque,configuraciones y logs)
▪ Fue el inició del Threat Hunter Infocyte
https://github.com/Infocyte/PSHunt
Kit de Respuesta a Incidentes: Sin Agente
BrimorLabs
▪ Live Response Collection: Herramienta automatizadas que
recolecta información volátil para Windows, OSX y Unix.
https://www.brimorlabs.com/tools/
Kansa
▪ Solo Windows
▪ Framework de incident response modular basado en Powershell.
▪ Actualizado recientemente
https://github.com/davehull/Kansa
Kit de Respuesta a Incidentes: Sin Agente
PowerForensics
▪ Solo Windows
▪ Proporciona todas las herramientas necesarias para
realizar una investigación mediante poweshell sobre
un sistema Live.
https://github.com/Invoke-IR/PowerForensics
Kit de Respuesta a Incidentes: Sin Agente
PSRECON
▪ Solo Windows
▪ Obtiene toda la información de un host de Windows, la organiza
en carpetas, hashea toda la información extraída y puede enviarla
mediante:
• Email
• Carpetas compartidas
Kit de Respuesta a Incidentes: Sin Agente
▪ Solo Windows
▪ Basado en Powershell para ayudar a los incident responders a
obtener un gran número de artifacts sin tener que instalar nada.
Kit de Respuesta a Incidentes: Sin Agente
CimSweep
• Windows y esta basado en la Windows Management Interface.
• Soporta últimas versiones: Windows 10 y Windows Server 2016
• Registry keys, values, value types, and value content with optional recursion
• Directory and file listing with optional recursion
• Event log entries
• Services
• Processes
Práctica_3
Kit de Respuesta a Incidentes: Sin Agente
IR Analyst:CyLR CCF-VM:CDQR
3) Perform analysis
CyLR
▪ Recolecta forensic artifacts de un host con sistema de archivos
NTFS, de manera rápida y segura. Minimizando el impacto al host.
▪ Artifacts almacenados en memoria
▪ La API de Windows no es usada para este proceso.
▪ Puedes enviar los resultados a través se SFTP a un servidor de
análisis
https://github.com/rough007/CyLR
Kit de Respuesta a Incidentes: Sin Agente
GPT
GUID Partition Table
• Tras una MBR de mentira que solo incluye una entrada de tipo EE que cubre
todo el disco
• 128 bytes de información por cada partición
• Hasta 128 particiones en total
• Copia al final del disco
Sistemas de Archivos
GPT
• Siempre empieza por el string “EFI PART”
• 45 46 49 20 50 41 52 54 -> Little endian
Sistemas de Archivos
NTFS Características
• Seguridad: Cada fichero o directorio mantiene un descriptor de
seguridad mediante ACLs
• Cifrado: EFS -> Encrypting File System permite cifrar ficheros o
directorios
• Bitlocker: permite cifrar el volumen entero
• Fechas y Horas en formato GMT
Sistemas de Archivos
Sistemas de Archivos
NTFS:MFT
▪ Cada registro ocupa 1 Kb, aunque un fichero puede ocupar varios registros.
Sistemas de Archivos
Registro de Windows
• Valiosa fuente de artefactos forenses
• El registro contiene configuraciones para Windows
• Es una base de datos binarios, jerárquica y algunos de sus contenidos
incluyen los valores de configuración y datos para el sistema
operativo y para distintas aplicaciones que dependen de ella.
• Supervisa y registra los datos específicos del usuario para estructurar
y mejorar la experiencia del usuario.
Extracción de evidencias o artifacts
Registro de Windows
Registro de Windows
Localización de Hives:
• \Users\<usuario>\NTUSER.DAT -> (>Win7)
• \Documents and Settings\<$user>\NTUSER.DAT (< WinXP)
• \Windows\System32\config\DEFAULT
• \Windows\System32\config\SAM
• \Windows\System32\config\SECURITY
• \Windows\System32\config\SOFTWARE
• \Windows\System32\config\SYSTEM
Extracción de evidencias o artifacts
Registro de Windows
Extracción de evidencias o artifacts
Registro de Windows
Herramientas:
▪ WRR: Windows Registry Recovery
http://www.mitec.cz/wrr.html
Extracción de evidencias o artifacts
Registro de Windows
Herramientas:
▪ RegRipper
▪ Proyecto Open Source
▪ Scripts en Perl
▪ Command line e interfaz gráfica
https://github.com/keydet89/RegRipper2.8
Extracción de evidencias o artifacts
Autoruns
Permite identificar que programas
son ejecutados en el arranque:
▪ Entradas registro
▪ Tareas
▪ Servicios
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
Extracción de evidencias o artifacts
Bulk Extractor
Herramienta para búsquedas de strings dentro de
una imagen forense, también permite buscar en los
siguientes:
https://github.com/4n6ist/bulk_extractor-rec
Extracción de evidencias o artifacts
https://eventlogxp.com/
Extracción de evidencias o artifacts
http://www.orionforensics.com/w_en_page/USB_forensic_tracker.php
Extracción de evidencias o artifacts
Artifact: Prefetch
Permite mejorar la capacidad de arranque de aplicaciones. Sólo existe en
Windows para Cliente. En versiones server no hay prefetching ni en discos SSD.
Durante un arranque suceden
• Páginas de disco a memoria
• Búsqueda del fichero ¿dónde está?
Sistema de precarga o Prefetching
• Guarda datos sobre una aplicación
• Archivos cargados, posición, número de arranques, etc..
No permite identificar qué usuario abrió un fichero, pero sí que permite concluir
que un determinado fichero se abrió con un programa
Extracción de evidencias o artifacts
Artifact: Prefetch
Cada vez que el equipo arranca, Windows monitoriza los programas que se abren
habitualmente.
• Windows guarda esta información, archivos de la carpeta %WINDIR%\Prefetch
(Solo guarda las 8 primeras veces).
• La siguiente vez que arranque, mirará en estos archivos cacheados para acelerar
el proceso de inicio
• La carpeta Prefetch no requiere mantenimiento. Si se vacía, Windows tardará
más en cargar los programas, vuelva a analizar los hábitos de carga y genere de
nuevo la caché.
• Es el servicio Superfetch
Extracción de evidencias o artifacts
Artifact: Prefetch
El arranque de Windows:
▪ Tras el tercer arranque sucesivo de Windows, monitoriza los archivos cargados
durante el inicio y su posición en el disco.
▪ Las posiciones (offset) las obtiene de la MFT (Master File Table) del sistema de
ficheros NTFS.
La sección metadata (los 15 primeros registros de la MFT, estando del 12 al 15
reservados para usos futuros) contiene todos estos datos: árbol de directorios,
posición, clústers inválidos, descriptores de seguridad, etc.
Tras ello, Windows crea un fichero denominado "NTOSBOOT-B00DFAAD.pf" que
aloja en el directorio \Windows\Prefetch
Extracción de evidencias o artifacts
Artifact: Prefetch
Durante el arranque de servicios y aplicaciones:
▪ Windows monitoriza, o el primer minuto tras la inicialización de los servicios, o
bien los 30 primeros segundos tras la carga de la interfaz gráfica(explorer.exe);lo
que ocurra primero
▪ Monitoriza también entre los 10 y 20 primeros segundos de arranque de cualquier
aplicación
▪ El responsable de todo esto es la aplicación Cache Manager (Administrador de
caché) de Windows que, una vez ha recabado toda esta información, invoca al
Programador de tareas para que registre en la carpeta \Windows\Prefetch un
archivo .pf de la forma APLICACION.EXE-HASH.pf
Extracción de evidencias o artifacts
Artifact: Prefetch
Al iniciarse una aplicación:
▪ Windows busca un fichero de precarga en C:\Windows\Prefetch
▪ Manda al administrador de memoria que analice las trazas que va dejando el fichero
▪ Guarda esa base de conocimiento en el archivo
▪ Al iniciarse la aplicación de nuevo, Windows intentará iniciarla con los datos del Prefetch
▪ Reduce el trabajo del disco duro (Movimientos de cabeza)
▪ Cada 3 días, Windows crea un listado de aplicaciones más usadas y las guarda en
%WINDIR%\Prefetch\Layout.ini
▪ En tiempos de inactividad de sistema, Windows defragmenta en segundo plano los ficheros que están en ese
listado
▪ Al estar ese espacio optimizado, la carga de información es mucho más rápida
Extracción de evidencias o artifacts
http://www.nirsoft.net/utils/win_prefetch_view.html
Extracción de evidencias o artifacts
Archivos LNK
Enlazan con una aplicación o archivo comúnmente encontrados en el
escritorio de un usuario y terminan con una extensión LNK
▪ Pueden ser creados por el usuario, o automáticamente por el sistema
operativo Windows
▪ Cada uno tiene su propio valor y significado. Los metadatos se crean en
los archivos LNK y se generan cuando un usuario abre un archivo o
documento local o remoto
Extracción de evidencias o artifacts
Archivos LNK
Pueden servir para encontrar archivos que ya no puedan existir en el
sistema que están examinando
▪ Los archivos podrían haber sido borrados o eliminados, almacenados en
un recurso compartido de red o USB, por lo que aunque el archivo podría
ya no estar allí, seguirá existiendo los archivos LNK asociados con el
archivo original
▪ La ruta por defecto de ficheros “Recientes” es:
\Users\<$user>\AppData\Roaming\Microsoft\Windows\Recent
Extracción de evidencias o artifacts
Archivos LNK
Contienen:
▪ Tiempos MAC (Modificación, Acceso y Creación) del archivo original
▪ Nombre del volumen, Número de serie, El nombre NetBIOS y la dirección MAC
de la máquina donde está almacenado el archivo vinculado
▪ Detalles de la red si el archivo se almacenó en un recurso compartido de red o
equipo remoto
▪ Tamaño de archivo del archivo vinculado
Extracción de evidencias o artifacts
http://www.4discovery.com/our-tools/
Extracción de evidencias o artifacts
Artifact: thumbs.db
Cuando se visualizan archivos como imágenes en miniatura en el Explorador de
Windows, se creará un archivo de sistema oculto llamado Thumbs.DB en ese
directorio y almacenará un gráfico-miniatura de tamaño y en formato JPG de cada
uno de los archivos, manteniendo el original.
En términos forenses, si encontramos un archivo Thumbs.DB en una carpeta que
se corresponda con imágenes, se puede analizar aunque las fotos ya no estén
Anti-forensics: Cualquier alteración que un usuario pueda haber hecho, como
copiar un Thumbs.DB desde una carpeta distinta a la que está.
Extracción de evidencias o artifacts
https://thumbcacheviewer.github.io/
Extracción de evidencias o artifacts
Herramienta Tareas
Programadas
TaskSchedulerView
▪ Herramienta de Nirsoft
▪ Windows Vista/7/8/10
▪ Permite exportar a CSV
▪ No funciona en
postmortem
https://www.nirsoft.net/utils/task_scheduler_view.html
Extracción de evidencias o artifacts
Rifiuti
▪ Gratis
▪ Analiza el fichero INFO2
https://abelcheung.github.io/rifiuti2
Extracción de evidencias o artifacts
SRUM
El Prefetch indica el arranque de un proceso pero no la duración:
Extracción de evidencias o artifacts
SRUM
Ejemplo de explorer. exe
Extracción de evidencias o artifacts
SRUM
Herramienta para analizar SRUM.
▪ Permite exportar a Excel.
https://github.com/MarkBaggett/srum-dump
Extracción de evidencias o artifacts
Internet Explorer
Archivos temporales
▪ Guarda copias de las páginas que visitamos
▪ El navegador primero mira en la caché antes de salir a Internet
▪ El usuario puede prescindir de esta opción
▪ El usuario tiene opción de eliminar estos archivos
Extracción de evidencias o artifacts
Internet Explorer
Index.dat
▪ Archivo oculto y de sistema
▪ Índice de referencia de las páginas visitadas
▪ Incluye también “visitas” con Explorer.exe
▪ Lista no sincronizada, luego no se borra con las opciones de Internet
Explorer
▪ El usuario no puede borrar este archivo en una primera instancia
Extracción de evidencias o artifacts
Internet Explorer
Rutas por defecto de de IE en Win8
Navegador de escritorio
▪ C:\Users\<$user>\AppData\Local\Microsoft\Windows\Temporary Internet Files
▪ C:\Users\<$user>\AppData\Local\Microsoft\Windows\Webcache
Metro App
▪ C:\Users\<$user>\AppData\Local\Packages\windows_ie_ac_001\AC
Extracción de evidencias o artifacts
Internet Explorer
Este proceso no borra toda la información, se almacenan rastros en
el perfil de usuario:
▪ IE Metadata
• Listado de URL introducidas por perfil de usuario
▪ Webcache
• Funcionamiento similar a Index.dat
▪ No más Index.dat analyzer…
Extracción de evidencias o artifacts
https://www.nirsoft.net/utils/ese_database_view.html
Extracción de evidencias o artifacts
http://www.nirsoft.net/utils/ie_cache_viewer.html
Extracción de evidencias o artifacts
https://www.nirsoft.net/utils/iecookies.html
Extracción de evidencias o artifacts
Mozilla Firefox
Rutas de Instalación en Windows:
▪ C:\Documents and Settings\<$user>\Datos de
programa\Mozilla\Firefox\Profiles
▪ C:\Users\<$user>\AppData\Roaming\Mozilla\Firefox
Extracción de evidencias o artifacts
Mozilla Firefox
Información en BBDD
▪ Tipo SQLITE
▪ Visores específicos: SQLiteStudio
Extracción de evidencias o artifacts
Mozilla Firefox
Histórico de sitios
▪ Places.sqlite
Autocompletar
▪ FormHistory.sqlite
Cookies
▪ Cookies.sqlite
Passwords
▪ signons.sqlite
Extracción de evidencias o artifacts
MzHistoryView
▪ Herramienta de Nirsoft
▪ C:\Users\<user>\AppData\
Roaming\Mozilla\Firefox\P
https://www.nirsoft.net/utils/mozilla_history_view.html rofiles
Extracción de evidencias o artifacts
https://www.nirsoft.net/utils/mzcv.html
Extracción de evidencias o artifacts
http://www.nirsoft.net/utils/mozilla_cache_viewer.html
Extracción de evidencias o artifacts
Chrome
Ruta de instalación en Windows
▪ C:\Documents and Settings\<$user\Configuración local\Datos de
programa\Google\Chrome
▪ C:\Users\<$user>\AppData\Local\Google\Chrome\User
Data\Default
Extracción de evidencias o artifacts
Chrome
Información en BBDD
▪ Tipo SQLite
▪ Visores específicos : SQLiteStudio
Extracción de evidencias o artifacts
Chrome
Histórico de sitios
▪ History
Cookies
▪ Cookies
Passwords
▪ Login.Data
Extracción de evidencias o artifacts
https://www.nirsoft.net/utils/chrome_cache_view.html
Extracción de evidencias o artifacts
https://www.nirsoft.net/utils/chrome_cookies_view.html
INDICE
Sistema operativo Nuevos Artifacts en Windows 10
▪ Diferencias entre Windows 7, Windows 8 y Windows 10 ▪ Asistente personal CORTANA
▪ Arquitectura de Linux ▪ Introducción
▪ Integración Windows 10
Kits de Respuesta a Incidentes ▪ Captura y análisis de la información
▪ Basados en Agente ▪ Integración de aplicaciones
▪ Sin Agente ▪ Centro de Notificaciones
Extracción de Evidencias ▪ Geolocalización en Windows 10
Cortana
La característica de Windows 10 Cortana, un asistente persona, el cual
expande la búsqueda que había sido introducida en Windows 8.
Cortana puede:
▪ Buscar ficheros locales, en el Windows Store
▪ Puede establecer recordatorios
▪ Puede iniciar contactos para escribir un email
Nuevos Artifacts Windows 10
Cortana
Las bases de datos de Cortana (EDBs):
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Windows.C
ortana_xxxx\AppData\Indexed DB\IndexedDB.edb
▪ \Users\user_name\AppData\Local\Packages\Microsoft.Windows.C
ortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance\Cortan
aCireDb.dat
Nuevos Artifacts Windows 10
Cortana
Tablas interesantes :
▪ Location triggers
• Latitude/Longitude and y nombre del lugar de búsqueda
▪ Geofences
• Latitud/Longitud para de los reminders
▪ Reminders
• Creación y finalización en formato UNIX time.
Nuevos Artifacts Windows 10
Cortana
Las siguientes bases de datos contienen una lista de contactos
sincronizados desde las cuentas de email:
\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cort
ana_xxxx\LocalState\Contacts_xxxxx.cfg
\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cort
ana_xxxx\LocalState\Contacts_xxxxx.cfg.txt
Nuevos Artifacts Windows 10
Centro de Notificaciones
Las siguientes bases de datos contienen una lista de notificaciones
▪ \Users\user_name\AppData\Local\Microsoft\Windows\Notificatio
ns\appdb.dat
Almacenados en XML
Nuevos Artifacts Windows 10
Centro de Notificaciones
Nuevos Artifacts Windows 10
Picture Password
Picture Password es método de login alternativo donde los gestos del
top de la imagen son usados como un Password.
Esta entrada de registro se encuentra:
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Authentication\LogonUI\PicturePassword\user_GUID
Directorio de donde se encuentra localizado el picture password file
▪ C:\ProgramData\Microsoft\Windows\SystemData\user_GUID\Re
adOnly\PicturePassword\background.png
Nuevos Artifacts Windows 10
Picture Password
Nuevos Artifacts Windows 10
Picture Password
Picture Password es método de login alternativo donde los gestos del top
de la imagen son usados como un password:
Esta entrada de registro se encuentra:
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Authentication\LogonUI\PicturePassword\user_GUID
Directorio de donde se encuentra localizado el picture password file
▪ C:\ProgramData\Microsoft\Windows\SystemData\user_GUID\Re
adOnly\PicturePassword\background.png
Nuevos Artifacts Windows 10
Windows Store
Nuevos Artifacts Windows 10
Windows Store
Aplicaciones compradas/instaladas gracias al Windows Store
Esta entrada de registro se encuentra:
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer
sion\Appx\AppxAllUserStore\Applications\
Lista de aplicaciones borradas
▪ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer
sion\Appx\AppxAllUserStore\Deleted\
Nuevos Artifacts Windows 10
Email
El cuerpo de los correos es almacenado en TXT o en formato HTML
▪ \Users\user_name\AppData\Local\Comms\Unistore\data\
Los metadatos de los emails son almacenados en la siguiente base
de datos (EDB)
▪ \Users\user_name\AppData\Local\Comms\UnistoreDB\store.vol
• Ficheros adjuntos
• Cabecera del correo electrónico
• Información de contacto
Nuevos Artifacts en Windows 10
Microsoft Edge
Nuevo navegador web y motor de rendering. Se guarda en formato de base de datos EDB
▪ Los settings en:
\Users\<$user>\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\Us
er\Default\DaaStore\Data\nouser1\xxxxx\DBStore\spartan.edb
▪ Cache en:
\Users\<$user>\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\#!001\MicrosoftE
dge\Cache\
Microsoft Edge
Edge (y IE) guarda los registros en la siguiente base de datos:
▪ \Users\user_name\AppData\Local\Microsoft\Windows\WebCache\
WebCacheV01.dat
• Actualmente es un fichero .EDB
• Puede ser interpretado por el EseDBViewer or ESEDatabaseView
• Podría ser un desmontaje complicado, esentutl.exe
• La base de datos también almacena cookies
Utilizar Browsing History view para analizar
Nuevos Artifacts en Windows 10
Comunicaciones unificadas
UC (Unified Communication) es un aplicación construida por Microsoft
que trae todas las plataformas sociales por defecto.
La configuración de UC está almacenada en la siguiente base de datos:
\Users\user_name\AppData\Local\Packages\microsoft.windowscommu
nicationsapps…\LocalState\livecomm.edb
Nuevos Artifacts en Windows 10
Comunicaciones unificadas
Tablas interesantes:
▪ Account: lista de cuentas (Windows Live, Skype, twitter)
▪ Contact: lista de los contactos sincronizados de las plataformas)
▪ Event: entradas en el calendario
▪ MeContact: más detalles sobre el propietario de la cuenta
▪ Person and PersonLink: más detalles sobre cada contacto,
incluyendo de que cuenta es
Nuevos Artifacts en Windows 10
Comunicaciones unificadas
Las entradas de los contactos se encuentran unificadas en el siguiente
directorio:
▪ \Users\user_name\AppData\Local\Packages\microsoft.windowscom
municationsapps_xxxxx\LocalState\Indexed\LiveComm\xxxxx\xxxxx\
People\AddressBook\
Las fotografías de los contactos están almacenadas en este directorio:
▪ \Users\user_name\AppData\Local\Packages\microsoft.windowscommu
nicationsapps_xxxx\LocalState\LiveComm\xxxx\xxxx\UserTiles\
Nuevos Artifacts en Windows 10
Twitter App
Base de datos con el Historial almacenado en el siguiente archivo:
▪ \Users\user_name\AppData\Local\Packages\xxxx.Twitter_xxxxxxx\LocalState\
twitter_user_id\twitter.sqlite
Base de datos en SQLite, tablas interesantes:
▪ Messages : Contiene los tweets y mensajes privamos
▪ Search_queries: Almacena las búsquedas a través de Twitter
▪ Statuses: Listado de los últimos tweets de las cuentas seguidas
▪ Users: Listado de cuentas que son seguidas por el usuario
Nuevos Artifacts en Windows 10
OneDrive
Esta aplicación viene por defecto.
Lista de los ficheros sincronizados:
▪ \Users\user_name\AppData\Local\Microsoft\Windows\OneDrive\
settings\xxxxxxxx.dat
Ficheros locales:
▪ \Users\user_name\OneDrive\
Nuevos Artifacts en Windows 10
Maps App
Lugares recientes almacenados en este
fichero (XML):
\Users\user_name\AppData\Local\Package
s\Microsoft.WindowsMaps_xxxx\LocalState
\Graph\xxxx\Me\00000000.ttl
• Latitud/Longitud
• Fechas modificadas ( de la búsqueda)
Nuevos Artifacts en Windows 10
https://github.com/log2timeline/plaso/releases
Análisis de la línea temporal
Plaso
Plaso nos ofrece multitud de salidas para que nos facilite una
investigación.
• Mysql
• Sqlite
• ElasticSearch
• Jsonl2tcsv
• L2ttln
• Timesketch
INDICE
Nuevos Artifacts en Windows 10
Sistema operativo
▪ Asistente personal CORTANA
▪ Diferencias entre Windows 7, Windows 8 y Windows 10
▪ Introducción
▪ Arquitectura de Linux
▪ Integración Windows 10
Kits de Respuesta a Incidentes ▪ Captura y análisis de la información
▪ Basados en Agente ▪ Integración de aplicaciones
▪ Sin Agente ▪ Centro de Notificaciones
▪ Geolocalización en Windows 10
Extracción de Evidencias
▪ Navegación Análisis de la línea temporal
▪ Conexiones de Red ▪ Cuando un sistema ha sido actualizado,
arrancado, parado
▪ Aplicaciones ▪ Análisis de creación/modificación de ficheros
▪ Sistemas de Ficheros ▪ Ocultación y ex-filtración de datos
▪ Módulos ▪ Relación de procesos, puertos y conexiones
realizadas
Cuando un sistema ha sido actualizado, parado y arrancado
MFT
En este caso, como sabemos que la tabla MFT en un sistema NTFS es
la que tiene toda la información, vamos analizarla también en busca
de ficheros borrados.
Para ello se podría utilizar la herramienta MFT2CSV
https://github.com/jschicht/Mft2Csv/wiki/Mft2Csv
Análisis de Creación y modificación de ficheros
MFT2CSV
Esta herramienta nos va permitir analizar:
• Desde una imagen forense (MBR´o GPT)
• Directamente el $MFT
• De un sistema en vivo o de las shadowcopies
Como salida de la herramienta:
• CSV
• L2t_csv
• Bodyfile
Análisis de Creación y modificación de ficheros
$Extend/$UsnJrnl/$J
Este artifact contiene un log de transacciones de lo que ha ocurrido
con los ficheros, por lo que se puede obtener información muy
valiosa.
Herramienta: NTFS Log Tracker
https://sites.google.com/site/forensicnote/ntfs-log-tracker
Análisis de Creación y modificación de ficheros
Timeline
Podemos crear un timeline a partir fichero CSV como salida de los
programas anteriores y ordenarlo mediante Excel.
Otra opción sería utilizar Autopsy de Windows y ver el timeline
generado.
INDICE
Nuevos Artifacts en Windows 10
Sistema operativo
▪ Asistente personal CORTANA
▪ Diferencias entre Windows 7, Windows 8 y Windows 10
▪ Introducción
▪ Arquitectura de Linux
▪ Integración Windows 10
Kits de Respuesta a Incidentes ▪ Captura y análisis de la información
▪ Basados en Agente ▪ Integración de aplicaciones
▪ Sin Agente ▪ Centro de Notificaciones
▪ Geolocalización en Windows 10
Extracción de Evidencias
▪ Navegación Análisis de la línea temporal
▪ Cuando un sistema ha sido actualizado, arrancado,
▪ Conexiones de Red parado
▪ Aplicaciones ▪ Análisis de creación/modificación de ficheros
▪ Sistemas de Ficheros ▪ Relación de procesos, puertos y conexiones
▪ Módulos realizadas
Relación de procesos, puertos y conexiones realizadas
Timeline
Sin entrar en artifacts de memoria podríamos identificar:
▪ SRUM -> monitor de recursos y procesos
▪ Prefetch -> ejecución de binarios
▪ AppCompatCache -> Dentro del registro SYSTEM (RegRipper)
▪ UserAssist -> Dentro del Registro NTUSER.DAT(RegRipper)
▪ Amcache.hve -> C:\Windows\AppCompat\Programs\Amcache.hve
(RegRipper)
Relación de procesos, puertos y conexiones realizadas
Timeline
De los anteriores artifacts habría que ir uno por uno obteniendo todos
los datos. Sin embargo con la herramienta plazo podríamos hacerlo.
Otra manera de realizar este timeline sería utilizando artifacts de
memoria:
https://volatility-labs.blogspot.com.es/2013/05/movp-ii-23-creating-
timelines-with.html
Copyright
IHACKLABS LTD.
HM Revenue & Customs
Registrar of Companies for England and Wales
Company Number 10246354
All rights reserved. No part of this publication may be reproduced, distributed, or transmitted in any form or by any means, including photocopying, recording, or other
electronic or mechanical methods, without the prior written permission of the publisher, except in the case of brief quotations embodied in critical reviews and certain
other noncommercial uses permitted by copyright law.
255