Bueno hoy vamos a empezar con los laboratorios de informatica forense y que mas facil que empezar algo basico sobre recoleccion de logs e informacion del sistema
LABORATORIO 1-ANÁLISIS A SISTEMAS VIVOS CONDICIÓN NORMAL
1.
En el disco local donde tiene instalado el OS descomprima el contenido de la herramienta EVIDENCE COLLECTOR.
2.
Ejecute EVIDENCE COLLECTOR, haga captura de pantalla de éste paso.
3.
Espere a que se efectúe el análisis.
4.
Cuando el sistema le informe que ha culminado el análisis, abra la carpeta de logs y visualice cada uno de los registros de logs. Observe detalladamente las condiciones de un sistema normal.
5.
En el archivo del informe del lab, copie y pegue el registro de cada uno de los logs, así como la captura de pantalla.
6.
Escriba 3 conclusiones que se pueden obtener del análisis.
Estos documentos deben postearlos en el foro , preferiblemente adjunto en archivo comprimido
LABORATORIO 2-ANÁLISIS A SISTEMAS VIVOS CONDICIÓN VULNERABLE
1.
Utilizando mínimo 2 equipos conectados en LAN, seleccione pcattack y pcvictim.
2.
Desde pcattack efectúe ping a pcvictim.Captura de pantalla.
3.
Ejecute EVIDENCE COLLECTOR en pcvictim.
4.
Visualice logs de registro, observe detalles de modificación.
5.
Copie y pegue los registros de logs en el informe.
6.
Saque su propia conclusión del análisis.
7.
Desde pcattack efectúe telnet a pcvictim.Captura de pantalla.
8.
Ejecute EVIDENCE COLLECTOR en pcvictim.
9.
Visualice logs de registro, observe detalles de modificación.
10.
Copie y pegue los registros de logs en el informe.
11.
Saque su propia conclusión del análisis.
LABORATORIO 3-ANÁLISIS A SISTEMAS VIVOS OPENPORTS
1.
En el pcvictim abra usted mismo varios puertos.
2.
Ejecute EVIDENCE COLLECTOR. Captura de pantalla.
3.
Visualice los logs de registro y observe detalladamente las modificaciones hechas.
4.
Copie y pegue los registros en el informe.
5.
Desde el pcattack ejecute cualquier herramienta portscan y scanee los puertos que tiene abiertos pcvictim.
6.
Ejecute EVIDENCE COLLECTOR. Captura de pantalla.
7.
Visualice los logs de registro y observe detalladamente las modificaciones hechas.
8.
Copie y pegue los registros en el informe.
9.
Escriba una conclusión del análisis.
NOTA: DESPUÉS QUE HAYA VISUALIZADO LOS LOGS DE REGISTRO, DEBE ELIMINARLOS ANTES DE EFECTUAR UN NUEVO ANÁLISIS EN CALIENTE.
Los informes deben postearlos en el foro , si creen que algunos logs tienen informacion valiosa de su sistema y no lo quieren compartir no hay problema el todo es que se saquen conclusiones del laboratorio
PD: la herramienta la deben ejecutar como administrador
Link de descarga de la herramienta
http://www.security-database.com/evidence.php
Descripcion del programa
Con esta herramienta podemos extraer las siguientes evidencias:
* Información de sistema: Usuarios, IP y MAC .
* Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
* Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
* Software instalados: Listado del software instalado en la maquina.
* Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
* Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
* Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
* Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
* Seguimiento de proceso: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
* Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
* Módulos sospechosos: Explora módulos en busca rootkit.
* Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
* Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.
Para utilizar esta herramienta se necesitan permisos de administrador. Les recomiendo que para usar la herramienta copien la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.
Cabe decir que con respecto a como respondan con este primer laboratorio se seguiran realizando mas y cada vez mas complejos
saludos a todos
No hay comentarios:
Publicar un comentario