Recolección de información volátil y no volátil

[pic 1]

Recolección de información volátil y no volátil

Edwin Esteban Acosta García – eacosta39@estudiantes.areandina.edu.co

Fundación Universitaria del Área Andina

Informática Forense ll – 202350 – IS - 11 - 501

Camilo Augusto Cardona Patiño

Julio, 2023

Contenido

Introducción        3

Objetivos de Aprendizaje:        3

Procedimiento:        4

Conclusiones        15

Referencias        15

Introducción

     En el proceso de la investigación forense, una de las fases de gran importancia es la recolección de información que podamos tomar, y de esa manera ir tomando evidencias acerca de los sucesos que se ven durante algún suceso reportado, en este informe veremos que comandos, y herramientas son de vital importancia conocer y como emplearlas para poder recopilar la mayor información que nos sea de utilidad.

A su vez, conoceremos herramientas, registros, conexiones, y que procesos son sospechosos y con que herramientas podemos revisarlos para determinar si son malignos o benignos.

Objetivos de Aprendizaje:

• Conocer la metodología de una investigación forense.[pic 2]
• Conocer los comandos que nos permiten recolectar información volátil y no volátil.
• Conocer cuales y como usar herramientas en la informática forense.
• Conocer las llaves de registro que son vital para la investigación forense.
• Familiarizarse para enfrentar casos reales.

Procedimiento:

     Teniendo en cuenta el referente de pensamiento, es importante que una investigación forense se base en una metodología, así que utilizaremos la que es recomendada para una investigación en sistemas operativos Windows, así que comencemos con la fase de recolección de información volátil y no volatil.

• Comando date/time: Debemos comenzar con este comando que nos ayuda a identificar si la hora esta ajustada en tiempo real, esto nos favorece a que podemos confiar con exactitud las horas de las conexiones o comandos que fueron utilizados.

[pic 3]

• Comando net: Utilice net user, este comando nos muestra las cuentas de usuario para el equipo que estamos usando. Es muy útil para poder identificar que cuentas de usuarios tenemos activas y cuales no deberían estarlo, a su vez poder identificar desde que cuenta se realiza alguna acción.

[pic 4]

El siguiente comando es net statistics workstation con esta herramienta podemos ver el resgitro de las estadísticas para los servicios locales, también se puede observar datos importantes como las conexiones establecidas, (en un escenario empresarial es muy útil cuando las conexiones van por segundo plano), también se puede ver sesiones con errores, para poder revisar los archivos del sistema .dll y a su vez poder ver la cantidad de información que el equipo esta interactuando.

[pic 5]

El siguiente comando que utilice fue net accounts en el podemos encontrar información como los parámetros de configuración de la cuenta de usuario, podemos afirmar como ciertas directivas de cuenta como lo es el umbral de bloqueo, el rol que tiene si es server o estación de trabajo, la duración del cambio de la contraseña y mucho más.

[pic 6]

El siguiente comando es net view para este caso nos arroja un error ya que este comando se utiliza para listar los recursos compartidos, equipos en la red. Por otra parte, podemos usar este comando net view /domain.prueba nos muestra los equipos que están en el dominio especificado, nosotros como administradores conocemos que equipos tenemos en el dominio y normalmente tenemos una nomenclatura para poder identificarlos así que este comando es de gran utilidad en la parte empresarial.

[pic 7]

• Comando psloggedon: Con este comando podemos recolectar la información de las sesiones que se encuentren activas en el equipo ya sea de manera local o remota, para este caso solo ha sido mi usuario con el nombre de Familia AcostaGarcia, sin embargo, esta herramienta es de gran utilidad cuando estamos en un entorno empresarial ya que me mostrara datos de gran utilidad.

[pic 8]

• Comando psloglist: Con este comando podemos ver todos los eventos del sistema de una manera mas representativa es de gran utilidad cuando el equipo tiene problemas de rendimiento o cualquier tipo de anomalía.

[pic 9]

• Comando Logonsessions: Este comando nos muestra todas las conexiones que se tienen activas, inclusive los procesos que están corriendo, esto nos ayuda a poder detectas que servicios o conexiones no deben estar establecidas. Esta herramienta es de gran utilidad ya que por temas de auditoria y seguridad nos brinda información vital.

[pic 10]

[pic 11]

• Comando nbtstat: Con este comando lo que podemos ver son las conexiones en red con otros equipos, podemos ver si existe alguna conexión establecida con algún equipo en red. Para este caso no tenemos ninguna conexión de red ya que mi equipo se encuentra alojado en una estación de trabajo.

[pic 12]

• Comando psfile: En este apartado utilice tres comandos net file, Open files y la herramienta psfile de Pstools. Todas ellas con el fin de conocer los archivos que han sido abiertos de manera remota y en todos nos arroja información mostrando que ningún archivo ha sido abierto de manera remota, es un comando de gran utilidad.

[pic 13]

• Comando Tasklist: Comando que se nos muestra las tareas activas actualmente, e inclusive muestra la capacidad de uso de máquina, tiempo de uso, el PID es de gran utilidad para el investigador ya que podemos observar y ratificar los servicios que están activos y cuales no debería estarlo.

[pic 14]

• Comando Pslist: Podemos ver un detallado de los procesos que están en memoria como su prioridad de ejecución, el número de subprocesos, tiempo de ejecución, la capacidad que esta ocupando con cada proceso. Y todo esto nos ayuda a conocer y poder identificar que procesos son malignos a medida de la práctica.

[pic 15]

• Comando Listdlls: Este comando nos muestra los archivos del sistema categorizados por procesos, nos muestra el numero del PID y muestra que ejecutables y archivos dll están activos o toma en cuenta para hacer ejercer la función.

[pic 16]

[pic 17]

• Herramienta Process Explorer: Esta herramienta nos da una visual de los procesos que están activos en el computador, adicionalmente esta herramienta tiene una opción de escanear los procesos desde virus total así que dentro de todos los procesos que se están ejecutando en mi equipo no existe algún proceso sospechoso.

[pic 18]

Sin embargo, si en el equipo cambia este valor 0/75 es decir si el 0 va aumentando quiere decir que alguna pagina del antivirus lo catalogo como sospechoso. Esta herramienta es muy útil para saber que tan seguros estamos y deberíamos realizar escaneos periódicamente.

• Comando Doskey: Este comando nos permite visualizar el historial de los comandos utilizados en la consola CMD, nos ayuda para tener presente que se ha utilizado y si el atacante realizo algún movimiento que debamos saber. Comando utilizado fue doskey /history

[pic 19] 

• Revisión de directorio: Utilizando los comandos básicos para movernos entre los directorios, archivos, adicionalmente, podemos copiar, crear e incluir textos, etc.

[pic 20]

• Revisión de llaves de registros usadas por investigador para poder encontrar información: Este punto es demasiado importante ya que veremos dos llaves que contienen información muy valiosa. Comencemos con DisableLastAccess en el se almacenan los tiempos en que han estado los accesos de lectura y de escritura, es claro que el atacante es primordial cambiar estos registros con el fin de no ser hallado.

[pic 21]

La otra llave es ClearPageFileAtShutdown este es para mi lo mas importante ya que esta llave lo que hace es almacenar la información no volátil, es decir después de que el equipo sea reiniciado o apagado, cuando este equipo sea iniciado nuevamente el sistema crea un archivo de paginación que lo que nos ayuda a nosotros a tener información de los registros. Si bien el atacante modifica esta llave perderemos el rastro de lo que el pudo haber hecho en el sistema.

...