Unidad 24 Forensics LO2: Procesamiento Forense II - Registro Artefactos de Registro - Hives El registro de Windows se divide en 4 hives de sistema y 2 hives de usuario de los que podemos extraer mucha información forense. Los hives de sistema son: • SYSTEM: Datos generales del sistema operativo • SAM: Datos de usuarios • SECURITY: Datos de seguridad del sistema • SOFTWARE: Datos de aplicaciones del sistema Los hives de sistema en Windows suelen estar ubicados en la misma carpeta: C/Windows/System32/config/ Los hives de usuario son: • NTUSER.DAT: Configuraciones de usuario • USRCLASS.DAT: Su importancia radica sobre todo en las ShellBags Los hives de usuario suelen estar ubicados en: %UserProfile%\NTUSER.DAT %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat LO2: Procesamiento Forense II - Registro Artefactos de Registro - Datos SISTEMA: De los hive de sistema se pueden extraer datos como: • Nombre del PC • Ips • Zona Horaria • Hora de arranque y de apagado • Dispositivos conectados (Perifericos, discos, pendrives…) • Servicios • Versión de Windows • Carpetas compartidas • …. USUARIO: • • • • Shellbags (Carpetas accedidas) Ultimas aplicaciones ejecutadas Últimos documentos abiertos …. LO2: Procesamiento Forense II - Registro Artefactos de Registro - RegRipper Para la extracción de artefactos de registro usaremos la herramienta RegRipper. RegRipper consta de mas de 200 plugins para la extracción de información de registro. Cada plugin esta destinado a un hive (o varios) en concreto. Para ver el listado de plugins y a los hives para los que están diseñados podemos usar el comando: rip.pl -l Para ejecutar Regripper simplemente debemos de pasarle el path del hive y el plugin a ejecutar: rip.pl -r <path del hive> -p <plugin> Por ejemplo: rip.pl -r WINDOWS/system32/config/system -p compname LO2: Procesamiento Forense II - Eventos Artefactos de Eventos- EVT/EVTX Los eventos de Windows muestran un registro de mensajes de aplicaciones y del sistema, incluidos errores, mensajes de información y advertencias. Es una herramienta útil para solucionar todo tipo de problemas de Windows y aporta mucha información a la informática forense. Estos eventos se almacenan en unos ficheros EVT, en el caso de Windows XP/2003, o EVTX en sistemas posteriores a Windows Vista/7/2008. Estos archivos suelen encontrarse en la carpeta: C:\Windows\System32\winevt\Logs LO2: Procesamiento Forense II - Navegacion Artefactos de Navegación En el mercado podemos encontrar distintos tipos de navegadores de internet tales como Internet Explorer, Microsoft Edge, Firefox, Chrome, Opera… Todos ellos utilizan herramientas de mejora de experiencia de usuario como: • Historial: Para poder recordar fácilmente las ultimas paginas visitadas • Cache: Para acelerar el acceso a tus paginas mas visitadas • Estadísticas: Para conocer tus paginas mas visitadas y mejorar la experiencia de acceso • Búsquedas: Los navegadores habitualmente recuerdan tus búsquedas mas habituales • Bookmarks: Para tener acceso rápido a las paginas mas usadas Todas estas herramientas dan una información de mucho valor a la informática forense, ya que extrayendo la información de estos artefactos podemos saber mucho de los usuarios de un dispositivo. LO2: Procesamiento Forense II - Plaso Supertimeline - Plaso En el pasado hemos visto las ventajas del timeline de disco que nos permite hacer fls + mactime. El supertimeline es un paso mas allá de este concepto, imaginemos que no solo podemos ordenar temporalmente los eventos de ficheros de un sistema de archivo sino que a este timeline le añadimos múltiples eventos extra como por ejemplo, eventos de Windows, de registro o de navegación. Esto es exactamente lo que hace Plaso. Plaso con todas sus herramientas asociadas se puede considerar una navaja suiza del forense por la gran cantidad de artefactos que puede parsear, ordenarlos temporalmente y convertirlos al formato que mas cómodo sea para el investigador para su posterior análisis. LO2: Procesamiento Forense II - Plaso Supertimeline – Plaso – log2timeline La primera herramienta que usaremos será “log2timeline.py”. Esta herramienta nos permite parsear artefactos de muchos tipos y almacenar su información en una base de datos propia de plaso. Hay varios conceptos básicos que debemos de conocer de plaso para trabajar con el: • Parsers: Los parsers son aquellos elementos de plaso que se encargan de extraer información de artefactos completos. Plaso puede crear agrupaciones de parsers llamados plugins o presets. Los parsers se puede ver con el comando: log2timeline.py --parsers list • Filters: Plaso por defecto intenta extraer información de cada elemento del disco independientemente si el elemento esta relacionado con el parser o no. Esto en grandes evidencias puede generar un retraso en la ejecución enorme. La función de los filters es dar la información a plaso de donde debe de ejecutar los parsers para si ir mucho mas rápido. Los filtros se pueden encontrar en la carpeta: /usr/share/artifacts LO2: Procesamiento Forense II - Plaso Supertimeline – Plaso – log2timeline Para ejecutar log2timeline usaremos el siguiente comando: log2timeline --parsers <parsers> --artifact_filters <filter> --storage_file <db file> <evidence> Por ejemplo, para procesar la navegación de una evidencia podemos usar: log2timeline --parsers webhist --artifact_filters BrowserCache,BrowserHistory -storage_file webhist.db evidence.e01 O para eventos de Windows: log2timeline --parsers winevtx,winevt--artifact_filters WindowsEventLogs --storage_file events.db evidence.e01 LO2: Procesamiento Forense II - Plaso Supertimeline – Plaso – log2timeline Para ejecutar log2timeline usaremos el siguiente comando: log2timeline --parsers <parsers> --artifact_filters <filter> --storage_file <db file> <evidence> Por ejemplo, para procesar la navegación de una evidencia podemos usar: log2timeline --parsers webhist --artifact_filters BrowserCache,BrowserHistory -storage_file webhist.db evidence.e01 O para eventos de Windows: log2timeline --parsers winevtx,winevt--artifact_filters WindowsEventLogs --storage_file events.db evidence.e01 LO2: Procesamiento Forense II - Challenge Challenge I – Data Leakage Procesa la evidencia de Data Leakage e intenta contestar a las siguientes preguntas: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Nombre del equipo Zona horaria Datos del sistema operativo Lista todas las cuentas de usuario en el sistema ¿Cuando se apago el equipo por ultima vez? ¿Quién fue el ultimo usuario en logarse en la maquina? ¿Cuando? ¿Qué IP tenia la maquina? ¿Qué navegadores son los mas usados por el sospechoso? ¿Qué paginas visitaba el sospechoso? ¿Qué tipo de búsquedas hacia en internet? LO2: Procesamiento Forense II - Challenge Challenge II – Data Leakage Instala la ultima versión de Autopsy (https://www.autopsy.com/) e intenta contestar a todas las preguntas del Challenge I que puedas ¡Muchas gracias! MIGUEL QUERO miguel.quero.rodriguez@gmail.com