Hola lectores,
Son muchas las ocasiones que cuando uno hace un análisis forense y no encuentra 'pistas' o evidencias tiene que pelear con los rastros que dejan las aplicaciones o el propio sistema operativo.
Con objeto de revisar las nuevas características desde el punto de vista forense que nos ofrece Windows 7 y Windows 8 voy a escribir unos cuantos post sobre este tema.
¿Os habéis preguntado alguna vez que es un artefacto en Windows?
Al igual que las versiones anteriores de Windows, la versión 7 y 8 dispone de mecanismos que dejan rastro de la actividad de los usuarios, de los programas que se utilizan, los accesos, conexiones y aplicaciones, si han navegado, descargado o ejecutado algún programa.
Estos elementos son comúnmente llamado "artefactos". Veamos en esta primera parte algunos interesantes.
Lista de artefactos:
- Logs o ficheros de sistema
- Tabla maestra de archivos MFT
- El registro de Windows
- El visor de Eventos
- Los ficheros Prefetch
- Los accesos directos
- La papelera
- Metadatos en imágenes y documentos
- Ficheros de hibernación y memoria
- Copias de seguridad
- Volume Shadow
ARTEFACTOS DE SISTEMA
En la siguiente tabla podemos ver una serie de ficheros propios del sistema operativo y la función que desempeñan.
REGISTROS VARIOS SOBRE LA INSTALACIÓN
|
|
%WINDIR%\setupact.log
|
Contiene información acerca de las
acciones de instalación durante la misma.
EVIDENCIAS: Podemos ver fechas de instalación, propiedades de programas instalados, rutas de acceso, copias legales, discos de instalación... |
%WINDIR%\setuperr.log
|
Contiene información acerca de los
errores de instalación durante la misma.
EVIDENCIAS: Fallos de programas, rutas de red inaccesibles, rutas a volcados de memoria... |
%WINDIR%\WindowsUpdate.log
|
Registra toda la
información de transacción sobre la actualización del sistema y aplicaciones.
EVIDENCIAS: Tipos de hotfix instalados, fechas de instalación, elementos por actualizar... |
%WINDIR%\Debug\mrt.log
|
Resultados del programa de
eliminación de software malintencionado de Windows.
EVIDENCIAS: Fechas, Versión del motor, firmas y resumen de actividad.
|
%WINDIR%\security\logs\scecomp.old
|
Componentes de Windows que no han
podido ser instalados.
EVIDENCIAS: DLL's no registradas, fechas, intentos de escritura,rutas de acceso... |
%WINDIR%\SoftwareDistribution\ReportingEvents.log
|
Contiene eventos relacionados con la
actualización.
EVIDENCIAS: Agentes de instalación, descargas incompletas o finalizadas, fechas, tipos de paquetes, rutas... |
%WINDIR%\Logs\CBS\CBS.log
|
Ficheros pertenecientes a ‘Windows
Resource Protection’ y que no se han podido restaurar.
EVIDENCIAS: Proveedor de almacenamiento, PID de procesos, fechas, rutas... |
%AppData%\Local\Microsoft\Websetup (Windows 8)
|
Contiene detalles de la fase de
instalación web de Windows 8
EVIDENCIAS: URLs de acceso, fases de instalación, fechas de creación, paquetes de programas... |
%AppData%\setupapi.log
|
Contiene información de unidades,
services pack y hotfixes.
EVIDENCIAS: Unidades locales y extraibles, programas de instalación, programas instalados, actualizaciones de seguridad, reconocimiento de dispositivos conectados... |
%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
%WINDIR%\PANTHER\*.log,xml
|
Contiene información de acciones,
errores y estructuras de SID cuando se actualiza desde una versión anterior de windows.
EVIDENCIAS: Fechas, rutas, errores , medio de instalación, dispositivos, versiones, reinicio, dispositivos PnP... |
%WINDIR%\INF\setupapi.dev.log
|
Contiene información de unidades
Plug and Play y la instalación de drivers.
EVIDENCIAS: Versión de SO, Kernel, Service Pack, arquitectura, modo de inicio, fechas, rutas, lista de drivers, dispositivos conectados, dispositivos iniciados o parados... |
%WINDIR%\INF\setupapi.app.log
|
Contiene información del registro de instalación de las
aplicaciones.
EVIDENCIAS: Fechas, rutas, sistema operativo, versiones, ficheros, firma digital, dispositivos... |
%WINDIR%\Performance\Winsat\winsat.log
|
Contiene trazas de utilización de la aplicación WINSAT que miden el rendimiento del sistema.
EVIDENCIA: Fechas, valores sobre la tarjeta gráfica, CPU, velocidades, puertos USB... |
*.INI | Contiene configuraciones de programas EVIDENCIA: Rutas, secciones, parámetros de usuarios... |
%WINDIR%\Memory.dmp
|
Contiene
información sobre los volcados de memoria.
EVIDENCIA: Rutas, programas, accesos, direcciones de memoria, listado de usuarios, contraseñas, conexiones... |
EL.CFG
Pid.txt |
Estos archivos se usan para automatizar la página de entrada de la clave de producto en el programa de instalación de Windows.
EVIDENCIA:Contiene el código de producto y la versión instalada |
LOG DE EVENTOS DE WINDOWS
|
||
%WINDIR%\System32\config
%WINDIR%\System32\winevt\Logs
|
Contiene los logs de Windows
accesibles desde el visor de eventos.
EVIDENCIAS: Casi todas. Entradas, fechas, accesos, permisos, programas, usuario, etc... |
|
MICROSOFT
SECURITY ESSENTIALS
|
||
%PROGRAMDATA%\Microsoft\Microsoft
Antimalware\Support
%PROGRAMDATA%\Microsoft\Microsoft
Security Client\Support
|
EVIDENCIAS: Fechas, versión del motor, programas analizados, actividad del malware... |
No hay comentarios:
Publicar un comentario