Introduccin a la informtica forense en entornos Windows 2 parte

Page 1 of 9

Este documento no pretende ni tiene la finalidad de convertirse en manual de referencia. Este documento relata los aspectos bsicos relacionados en el campo de la informtica forense, explicando de una forma simple y concisa las herramientas utilizadas para la captura de evidencias. Tambin explicar los aspectos tcnicos relativos a la arquitectura de un sistema Windows. Probablemente esto ayudar al lector a comprender mejor cmo un sistema Windows recopila y almacena la informacin, ayudando tambin a entender la arquitectura del sistema. Prohibida la reproduccin total o parcial de este texto sin poner la fuente (http://www.elhacker.net/) Prohibida la modificacin o eliminacin de enlaces e imgenes en este documento. Redactado por Silverhack el 06 de Septiembre de 2006 Versin 0.1

General Recogida de archivos Log del sistema Rebuscando en la Papelera de Reciclaje Sacando informacin del archivo Index.dat NtUser.dat y archivos de registro de Windows Cookies. Estructura, funcionamiento y metodologa de acceso a la informacin El archivo de paginacin de Windows. El archivo pagefile.sys

Recogida de archivos Log del sistema Los ficheros Log de una mquina, sea la que sea, son una fuente de informacin importantsima en un anlisis forense. Empezaremos con estos ficheros. Los sistemas Windows basados en NT tienen

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 2 of 9

su principal fuente de Log en los archivos de sistema siguientes: SysEvent.Evt. Registra los sucesos relativos al sistema SecEvent.Evt. Registra los sucesos relativos a la seguridad AppEvent.Evt. Registra los sucesos relativos a aplicaciones

Estos ficheros se encuentran en el directorio %systemroot%\system32\config. Si estn auditadas las opciones de inicio de sesin, cambio de directivas y permisos, nos centraremos con especial atencin en el archivo Log SecEvent.Evt. Para visualizar este fichero podremos utilizar la herramienta de Windows eventvwr.msc, comnmente llamada Visor de Sucesos. Abriremos con esta herramienta el archivo SecEvent.Evt, que es el encargado de almacenar los sucesos relativos a la seguridad, tales como ingresos en la mquina, cambio de directivas, etc... Por ejemplo, podramos buscar todo acceso fsico a la mquina, cambio de directivas y creacin de cuentas de usuario. Eso nos podra dar una idea de quin toca el sistema. Por ejemplo, el evento 624 es el referido por Windows para un suceso de creacin de cuenta de usuario. En la siguiente imagen podris ver como lo registra Windows:

Otro ejemplo de suceso, sera el relativo al inicio de sesin. Windows almacena este suceso con el identificador 528.

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 3 of 9

Como podris comprobar, Windows almacena informacin sobre el usuario que ha iniciado sesin, ID de sesin, tipo de inicio de sesin, nombre de estacin de trabajo, etc... Windows tiene distintos archivos Log para auditar los posibles sucesos y/o errores que puedan surgir en la vida til del sistema operativo. Algunos de ellos son: WindowsUpdate.log (Log de Windows Update) memory.dump (Archivos de volcado de memoria) Archivos de registro de Windows (Software, System, etc...)

En internet disponemos de muchos sitios en donde buscar informacin y/o solucin a un evento determinado. Algunos de ellos son: EventID Knowledge base Microsoft

Rebuscando en la Papelera de Reciclaje Sabiendo ms o menos como funciona la estructura de la papelera de reciclaje y de cmo Windows indexa sus archivos, entenderemos mejor la informacin que podamos sacar de la papelera. Para recomponer un archivo INFO2 utilizaremos la herramienta llamada Rifiuti, palabra italiana que se utiliza para llamar a la basura. La estructura de comandos de Rifiuti es tan simple como este comando:

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 4 of 9

Rifiuti.exe INFO2 >INFO2 En una ventana de MS-DOS teclearemos lo siguiente: Rifiuti c:\recycler\S-1-5-21-27800051451-1340124367-2516573698-1128\INFO2 > C:\INFO2.TXT** Podremos redirigir la salida del comando a un archivo .txt para poder visualizarlo con el notepad o con cualquier editor de texto. ** El UserID es diferente para cada mquina y para cada usuario. Este nmero es creado por Windows y diferencia de forma unvoca a cada usuario.

Sacando informacin del archivo Index.dat Sabiendo ms o menos como Internet Explorer indexa sus pginas, y sabiendo la ruta en donde se encuentran, vamos a ver el contenido de lo que hay en los archivos Index.dat. Hay bastantes soluciones para hacerlo. Aqu explicaremos dos formas: Desde lnea de comandos (MS-DOS) y sin aplicacin de terceros Desde lnea de comandos con aplicacin de terceros

Son dos tcnicas muy sencillas y que cualquier persona sin amplios conocimientos sobre informtica puede realizar. Desde lnea de comandos Si quisisemos visualizar que tenemos en nuestro Index.dat desde lnea de comandos y sin aplicacin de terceros podramos utilizar este comando: C:\Documents and Settings\tu_user_name\Configuracin local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\history.txt Explicacin: Nos situaremos en el directorio en donde se encuentra el archivo Index.dat de nuestra carpeta Historial, y una vez dentro utilizaremos el comando find para buscar cadenas dentro del archivo que empiecen por http://. La opcin /i indica que no distinga entre maysculas y minsculas y el comando sort lo utilizaremos para ordenar la salida. Desde lnea de comandos con Herramientas de terceros La segunda opcin que podemos utilizar para visualizar este archivo sera con aplicaciones de terceros. Por ejemplo Pasco. Esta aplicacin reporta la salida en un fichero con texto delimitado. Nuestra vista lo agradecer, ya que podremos visualizar este archivo en cualquier hoja de clculo como Excel, y nos facilitar mucho la tarea a la hora de husmear. Otra cosa interesante que nos brinda este programa es la opcin undelete. El modo undelete hace caso omiso a la informacin que hay en la tabla HASH y reconstruye cualquier dato vlido de actividad. Gracias a esto podremos recuperar informacin que con otra aplicacin no podramos. La lnea de comandos que utiliza Pasco es muy sencilla:

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 5 of 9

Tan solo tendramos que poner este sencillo comando: Pasco d t index.dat >index.csv Una vez creado index.csv, podremos importar este texto a cualquier hoja de clculo, como Microsoft Excel por ejemplo. Un ejemplo de salida con este comando podemos verlo en el siguiente prrafo: URLindex.datVisited: Silverhack@http://170.110.240.150:8080/AccountUser.wmf index.datSun Feb 9 22:51:10 2006

Ntuser.dat y archivos de Registro de Windows Dado que Windows utiliza como referencia toda la informacin que se encuentra en el registro, un analista forense puede utilizar como referencia esta gran base de datos para recabar informacin sobre la mquina. En la base de datos de registro que se encuentra en el sistema Windows, podremos averiguar: Versin del Sistema Operativo Ruta de instalacin Clave de Producto Tipo de Procesador de la mquina Aplicaciones Instaladas HotFix y parches instalados Servicios corriendo en la mquina Configuracin y enumeracin de los adaptadores de red Podemos utilizar varias herramientas para analizar el registro. Algunas de ellas son: WRR (Windows Registry Recovery de MiTec) Comando nativo XP FC (Compara ficheros) Access Data Registry Viewer Windows Registry File Viewer Windiff (Herramienta para comparar ficheros)

Una vez abierto estos archivos de sistema que referencian al registro de Windows (SECURITY, SYSTEM, SOFTWARE, SAM, DEFAULT) con alguna de estas aplicaciones, podremos movernos por sus distintas ramas, y poder as analizar los datos que contienen estos ficheros. Ejemplo prctico: Por ejemplo podramos averiguar los criterios de bsqueda de un usuario en particular, buscando en el registro del perfil de usuario (ntuser.dat) la clave del historial de

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 6 of 9

navegacin de la barra de bsqueda de Google (si la tuviese instalada) HKCU\Software\Google\NavClient\1.1\History Ejemplo prctico2: Podramos tambin investigar si un usuario determinado utiliz alguna cuenta de mensajero (Messenger) sin autorizacin en un sistema comprometido. La clave que nos mostrara esta informacin (cuenta de correo utilizada) se encontrara en la parte del registro perteneciente al usuario (ntuser.dat), y en la clave siguiente: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 7 of 9

Cookies. Estructura, funcionamiento y metodologa de acceso a la informacin Una cookie no es ms que un fichero de texto. El funcionamiento es bastante sencillo. Algunos servidores piden a nuestro navegador que escriba en nuestro disco duro, y nuestro navegador escribe en un fichero de texto informacin acerca de lo que hemos estado haciendo por sus pginas. Una de las mayores ventajas de las cookies es que se almacenan en el equipo del usuario. Con esto conseguimos liberar al servidor de una sobrecarga en su espacio de disco. Cuando el servidor solicite esa informacin, nuestro navegador se la enviar en forma de cookie. Las cookies poseen una fecha de caducidad, que puede oscilar desde el tiempo que dure la sesin hasta una fecha especificada, a partir de la cual dejan de ser operativas. En un sistema Windows 2K/XP/2K3, las cookies se encuentran en la ruta: C:\Documents and Settings\Nombre_Usuario\Cookies En Internet Explorer existe una cookie por cada direccin de Internet que visitamos, con la nomenclatura siguiente: Identificador_Usuario@dominio.txt Para ver el contenido de una cookie, slo tenemos que editarla con un editor de texto. Las cookies se almacenan en memoria hasta que salimos del navegador, momento en el que se escriben en el disco. Para ver las cookies que nos pide un determinado sitio Web cuando estamos conectados, podremos escribir en la barra de direcciones este simple comando: JavaScript:alert(document.cookie);

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 8 of 9

Acto seguido nos saldr un cuadro de alerta, con el contenido de la cookie que nos pide el servidor. Limitaciones de las Cookies Trescientas cookies en total en el archivo de cookies. Si llega la nmero 301, se borra la ms antigua Veinte cookies por servidor o dominio 4 Kb por cookie, para la suma del nombre y valor de la cookie Ninguna mquina fuera del dominio de la cookie puede leerla Riesgos reales de una cookie Visualizar los datos contenidos en las cookies Utilizar los servicios a los que permiten acceder los username y passwords almacenados en una cookie Conocer las preferencias del usuario (posibilidad de envo de propaganda personalizada)

Galleta (Aplicacin para visualizar Cookies) Galleta es una herramienta diseada por FoundStone que analiza todas los cookies y genera un reporte con el detalle de cada una en formato *.csv (Se puede visualizar en Excel). El funcionamiento de esta herramienta es bastante sencillo. Usage: galleta [options] <filename> -t Field Delimiter (TAB by default) Ejemplo: galleta silverhack@dominio.txt >CookieSilverhack.txt

El archivo de paginacin de Windows. Pagefile.sys El archivo de paginacin (Pagefile.sys) es un archivo que Windows utiliza como si fuera memoria RAM (Memoria de acceso aleatorio). Este archivo est situado en la raz del disco duro y por defecto lo marca como oculto. El archivo de paginacin y la memoria fsica conforman la memoria virtual. De manera predeterminada, Windows almacena el archivo de paginacin en la particin de inicio, que es la particin que contiene el sistema operativo y sus archivos auxiliares. El tamao predeterminado o recomendado del archivo de paginacin es igual a 1,5 veces la cantidad total de memoria RAM. Para visualizar el contenido del archivo de paginacin, podemos utilizar una herramienta de SysInternals, llamada Strings.exe. Esta herramienta busca cadenas de texto (ASCII o Unicode) en archivos. Podemos conjugar esta herramienta con la herramienta nativa de Windows findstr. Esta herramienta busca patrones de texto en archivos utilizando expresiones regulares. Por ejemplo, podramos buscar informacin relativa a conversaciones de Messenger, buscando cadenas de texto que contengan las palabras MSNMSGR o MSNSLP. El comando resultante:

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007

Introduccin a la informtica forense en entornos Windows 2 parte

Page 9 of 9

strings C:\pagefile.sys | findstr /i MSNMSGR El resultado que podramos sacar sera algo similar a esto: MSNMSGR:silverhack@elhacker.net MSNSLP/1.0 To: <msnmsgr:silverhack@elhacker.net> From: <msnmsgr:silverhacker@hotmail.com> Via: MSNSLP/1.0/TLP; branch= {5B3DFCC7-7BB5-4C2E-9351-5B8033C6A0CF} CSeq: 0 Call-ID: {43C326E3-6109-4B3D-9E4D-F9AB0C5FF0C} Max-Forwards: 0 Content-Type: application/x-msnmsgr-sessionreqbody Content-Length: 219 Introduccin a la informtica forense en entornos Windows 1 parte Introduccin a la informtica forense en entornos Windows 3 parte

mhtml:file://L:\Mis Documentos\Introduccin a la informtica forense en entornos Wi... 19/03/2007