Post on 12-Jan-2015
Arquitectura forenseEscenario y uso de
aplicaciones
Juan Garridojgarrido@informatica64.com
HOL-SEG04
Agenda
►Sistemas operativosArquitectura Cómo funcionan “algunas cosas”
►Knowledge Base applicationsPrefetchingInternet ExplorerPapelera de reciclaje
Sistemas operativos
Sistemas operativos
►Es necesario conocerlos►Es necesario saber cómo operan de forma interna►Si disponemos del código fuente, mejor►Y si no… ;-)
Saber cómo funciona el entorno
►Preguntando se llega a RomaHay que analizar todo el entornoDesde en qué segmento de la red estaba conectadoHasta quiénes pasaban por allí
►Pero como diría HouseTODO EL MUNDO MIENTE Al final hay que analizar la mayor parte posible
Knowledge Base applications
Internet Explorer
Internet Explorer
►Navegador por excelencia de Microsoft►A partir de XP integrado en el sistema
En un forense es de casi obligado análisis►Diferentes versiones (5,6,7,8)
Internet Explorer
►Archivos temporalesGuarda copias de las páginas que visitamosEl navegador primero mira en la caché antes de
salir a InternetEl usuario puede prescindir de esta opciónEl usuario tiene opción de eliminar estos archivos
Internet Explorer
►Index.datArchivo oculto y de sistemaÍndice de referencia de las páginas visitadasIncluye también “visitas” con Explorer.exeLista no sincronizada, luego no se borra con las
opciones de Internet ExplorerEl usuario no puede borrar este archivo en una
primera instancia
Internet Explorer
►Búsqueda de datosManual y con archivos de sistema
find /i "http://" index.dat | sort > C:\history.txtCon aplicaciones de terceros
Pasco (FoundStone)Lista tabulada (Mejor para la vista)
Papelera de reciclaje
Papelera de Reciclaje
►Almacén en donde Windows guarda archivos para su posterior borrado
►Permite que un usuario pueda recuperar sus archivos►Los archivos se guardan en zonas reservadas de disco►Los nombres de los archivos se guardan en un
expediente►Realmente estamos viendo la papelera desde el
expediente
Papelera de reciclaje
►Este expediente se guarda en la misma papeleraArchivo llamado INFO2En versiones NT/XP/2003 la papelera reside en C:\
Recycler\<USER SID>\INFO2Si se elimina un fichero, Windows lo guarda como
D <Unidad raíz del sistema> <número> .Extensión del archivo Ejemplo: Contabilidad.doc == DC1.doc
Lista numérica hasta 99Si existe algún archivo en la papelera, INFO2 existiráSi se elimina la papelera el archivo se genera de nuevo
Rebuscando en la papelera
►A través de comandos de sistemaCopiar el contenido del archivo INFO2 a una
ubicaciónAbrirlo con el Bloc de notas
►Herramientas de tercerosRifiuti (FoundStone)Posibilidad de tabular la salida (Mejor para la vista)
Prefetching
Prefetching
►Feature desarrollada para mejorar la capacidad de arranque de aplicaciones
►Se desarrolla para mitigar el desgaste del S.O en el tiempo
Durante un arranque sucedenPáginas de disco a memoriaBúsqueda del fichero, donde está?
►Sistema de precarga o PrefetchingGuarda datos sobre una aplicaciónArchivos cargados, posición, número de arranques,
etc..
Prefetching
►Se monitorizaPrimer minuto tras inicialización aplicaciones30 segundos tras carga gráfica (Explorer.exe)Entre 10 y 20 segundos de cada carga de cada
aplicación
Prefetching
►Cómo monitorizaAl iniciarse una aplicación
Windows busca un fichero de precarga en C:\Windows\PrefetchManda al administrador de memoria que analice las trazas que va dejando el ficheroGuarda esa base de conocimiento en el archivoAl iniciarse la aplicación de nuevo, Windows intentará iniciarla con los datos del Prefetch
oReduce el trabajo del disco duro (Movimientos de cabeza)Cada 72 horas realiza un inventario sobre las aplicaciones más utilizadas
oLayout.inioDesfragmenta sólo los archivos listados en ese fichero
Prefetching
►Búsqueda de informaciónA través de herramientas propias del S.O.
Abrirlo con el Notepad ;-)Herramientas de terceros
Prefetch InfoRealizada por Mark McKinnonRealizado en Perl con Port para sistemas Win32 (.exe)Mucha más información
Resumen
►Necesitamos conocer la arquitectura de cada aplicación
►Necesitamos conocer la arquitectura del S.O.►Cada aplicación puede guardar los datos de una
manera diferente a otra
http://Windowstips.wordpress.com
http://legalidadinformatica.blogspot.com
TechNews de Informática 64
►Suscripción gratuita en technews@informatica64.com
Contactos
►Informática 64http://www.informatica64.comi64@informatica64.com+34 91 665 99 98
►Profesorjgarrido@informatica64.com