aFaT8eiSSDg15UZo - qok6vIqiidlrkzFn Lectura 20 Fundamental 205
aFaT8eiSSDg15UZo - qok6vIqiidlrkzFn Lectura 20 Fundamental 205
aFaT8eiSSDg15UZo - qok6vIqiidlrkzFn Lectura 20 Fundamental 205
1 //Escenario
Escenario25
Lectura fundamental
Fundamental
Artefactos
Etapas de unforenses
plan deen
comunicación
Windows
estratégica
Contenido
1 El registro de Windows
2 Recycle Bin
3 Logs de eventos
4 Prefetch
Palabras clave:
Registro, sistema, software, aplicaciones, SAM, logs, eventos.
Introducción
Durante este escenario se estudian diversos elementos del sistema operativo Windows, que podrán
ser utilizados por el analista forense durante un proceso de investigación. Estas fuentes de evidencia
son generadas por el sistema operativo o por las aplicaciones.
El registro de Windows permitirá investigar acciones realizadas en este sistema operativo, como
cambios de hardware y software.
Además de lo anterior, a lo largo de este escenario también se analizarán otros aspectos como: el
funcionamiento de la papelera de reciclaje y su importancia para la recuperación de archivos, y los
diferentes tipos de logs de Windows para el análisis de incidentes de seguridad.
1. El registro de Windows
El registro de Windows juega un papel fundamental en el funcionamiento de los sistemas operativos
de Microsoft. En términos generales, el registro se define como una base de datos jerárquica y simple,
compuesta por archivos de configuración. También se le conoce como el sistema nervioso del sistema
operativo (Sammons, 2014).
El registro de Windows rastrea las actividades, configuraciones y preferencias del sistema y los usuarios.
Desde el punto de vista forense, el registro es una fuente de evidencia esencial a la hora de desarrollar
una investigación, ya que provee información como: programas instalados, sitios web visitados, archivos
consultados, preferencias de red, hardware conectado o desconectado, entre otros datos.
El registro está compuesto por dos elementos clave: llaves y valores. Las llaves (keys) son similares
a una carpeta, pueden ser fácilmente identificables y están compuestas por subllaves (subkeys). Los
valores son pares de nombres y datos almacenados dentro de las claves.
POLITÉCNICO GRANCOLOMBIANO 2
Figura 1. Estructura del registro de Windows
Fuente: Elaboración propia
El registro está organizado mediante un número de elementos del sistema y de usuario, estos
elementos se conocen como hives (colmenas o subárboles). Los hives son indicadores almacenados
en el sistema de archivos, no son legibles a simple vista, pero pueden ser convertidos a un formato
comprensible mediante el uso de diferentes herramientas (parsers).
POLITÉCNICO GRANCOLOMBIANO 3
Los registros de usuarios específicos son almacenados en cada perfil de usuario, dependiendo de la
versión del sistema operativo (Mandia, Pepe, & Luttgens, 2014).
Para el caso de Windows Vista, 7, Server 2008, Server 2012, Server 2016:
• \Users\<user>\NTUSER.DAT
• \Users\<user>\AppData\Local\Microsoft\Windows\USRCLASS.DAT
Para examinar el registro, se requiere software especializado. En Windows el registro se puede explorar
con la herramienta Regedit (Registry Editor), la cual se ejecuta haciendo clic en el menú Inicio y
escribiendo la palabra Regedit.
POLITÉCNICO GRANCOLOMBIANO 4
Al abrir la herramienta, es posible observar la estructura del registro. La información está distribuida
en cinco claves raíz (root keys), como se muestra en la Figura 5.
• HKEY_CURRENT_CONFIG: contiene la información del perfil del hardware que se encuentra en uso.
• RegRipper
POLITÉCNICO GRANCOLOMBIANO 5
• Magnet Axion
• OSForensics
• AutoRuns
• Redline
El uso de estas herramientas debe realizarse únicamente en la estación forense. Recuerde que sobre
la máquina de la víctima no deben ejecutarse este tipo de procesos.
En esta sección se estudiarán algunas llaves de registro que facilitan el proceso de investigación forense.
»» Llave: HKEY_LOCAL_MACHINE\System\Current\ControlSet\Control\Computername\
POLITÉCNICO GRANCOLOMBIANO 6
Información de la zona horaria
»» Llave: HKEY_LOCAL_MACHINE\System\Current\ControlSet\Control\
TimeZoneInformation\
»» Valor: TimeZoneKeyname
Software instalado
»» Llave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Uninstall\
»» Valor: Múltiples
POLITÉCNICO GRANCOLOMBIANO 7
Información de red
»» Llave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
Interfaces\{interfaz}\
URL digitadas
»» Valor: url#
Figura 10. Visualización del registro que almacena las URL digitadas por el usuario
POLITÉCNICO GRANCOLOMBIANO 8
2. Recycle Bin
Recycle Bin o la papelera de reciclaje es un almacenamiento temporal para archivos que han sido
borrados por el usuario a través del explorador de Windows. Esta funcionalidad permite a las personas
cambiar de parecer antes de que determinen eliminar el archivo de forma “definitiva” del disco
duro (Luttgens, Pepe, & Mandia, 2014). Sin embargo, los usuarios pueden borrar archivos desde el
explorador de Windows, sin que estos pasen por la papelera de reciclaje, presionando las teclas SHIFT
+ Supr. Debido a que la papelera de reciclaje es simplemente un conjunto de carpetas con unos
permisos específicos, se vuelve relativamente fácil recuperar y reconstruir el contenido.
Cada usuario que ingresa al sistema de archivos tiene una subcarpeta en Recycle Bin, compuesta por
el identificador de seguridad (SID). Los archivos que el usuario envía a Recycle Bin son almacenados
en esta carpeta (Arnes, 2017). El sistema operativo crea dos archivos cada vez que una información
es ubicada en Recycle Bin.
$R hace referencia a una copia renombrada del archivo “borrado”, $I es la fuente de metadatos y
contiene el nombre original, la ruta y la fecha y hora de borrado.
Durante un incidente de seguridad, un analista forense debe examinar las rutas asociadas a la papelera
de reciclaje, ya que un atacante puede alojar malware, herramientas o utilidades persistentes.
3. Logs de eventos
Los logs de eventos son generados por el sistema operativo como mecanismo de auditoría y
monitoreo. Estos artefactos permiten desarrollar las siguientes tareas:
POLITÉCNICO GRANCOLOMBIANO 9
• Identificar alteraciones de políticas de auditoría.
• Monitorear eventos generados por aplicaciones como bases de datos, servidores web y
herramientas de seguridad, entre otras.
Todas las versiones de Microsoft Windows mantienen tres logs de eventos principales: aplicación,
sistema y seguridad. Windows almacena los logs de eventos en un conjunto de archivos XML
comprimidos en la ruta \Windows\System32\Winevt\Logs.
• Aplicación: %SYSTEMROOT%\System32\Winevt\Logs\Application.evtx
• Sistema: %SYSTEMROOT%\System32\Winevt\Logs\System.evtx
• Seguridad: %SYSTEMROOT%\System32\Winevt\Logs\Security.evtx
¿Sabía qué...?
En versiones antiguas de Windows, Windows XP, Windows 2003 y
versiones previas, los logs de eventos se almacenaban en otra ruta
(\Windows\System32\Config\) y formato (Evt). Desde Windows Vista
el formato pasó a utilizar una compresión en XML y ahora son archivos
formato Evtx.
POLITÉCNICO GRANCOLOMBIANO 10
Microsoft agregó una segunda categoría que registra eventos de aplicaciones y servicios (Applications
and Services Logs). La herramienta EventViewer (nativa de Microsoft) permite visualizar, analizar y
exportar los logs de eventos.
Cada tipo de evento registrado en Windows tiene un identificador asociado, Event ID, el cual será el
código utilizado por el analista forense para filtrar eventos específicos.
A continuación, se presenta un listado de los recursos oficiales de Microsoft relacionados con los
Event ID de cada sistema operativo.
POLITÉCNICO GRANCOLOMBIANO 11
Los logs de eventos tienen una duración limitada, la cual puede ser establecida desde el visor de
eventos (EventViewer). Generalmente viene configurada para que los eventos sean sobrescritos cada
50 MB o menos.
4. Prefetch
Los archivos prefetch fueron introducidos desde Windows XP, con el fin de acelerar la carga de
aplicaciones comunes y componentes de Windows. Los archivos prefetch (.pf) se alojan en la carpeta
C:\Windows\Prefetch\ y contienen (Arnes, 2017):
• Número de ejecuciones.
POLITÉCNICO GRANCOLOMBIANO 12
El análisis de los archivos prefetch permitirá al investigador forense asegurar que los ejecutables o
binarios comunes de Windows sean ejecutados desde los directorios correspondientes, lo cual brinda
la posibilidad de identificar la ejecución de archivos maliciosos.
La mayoría de navegadores almacenan el historial de búsqueda en una base de datos SQlite. Algunas
de las rutas más comunes en Windows son:
Internet Explorer
• C:\Users\IEUser\AppData\Local\Microsoft\Internet Explorer
Google Chrome
• C:\Users\{UsuarioX}\AppData\Local\Google\Chrome\User Data\Default/
Firefox
• C:\Users\{UsuarioX}\AppData\Roaming\Mozilla\Firefox\Profiles\
La información generada por los navegadores web será de gran ayuda para investigar crímenes
referentes a robo de propiedad intelectual, acosos en línea, pornografía infantil e incidentes
relacionados con software malicioso.
POLITÉCNICO GRANCOLOMBIANO 13
Referencias bibliográficas
Arnes, A. (2017). Digital Forensics. John Wiley & Sons.
Luttgens, J., Pepe, M., & Mandia, K. (2014). Incident Response & Computer Forensics, Third Edition.
McGraw Hill Professional.
Mandia, K., Pepe, M., & Luttgens, J. (2014). Incident Response & Computer Forensics, Third Edition.
McGraw-Hill Education.
Sammons, J. (2014). The Basics of Digital Forensics: The Primer for Getting Started in Digital
Forensics. Syngress.
POLITÉCNICO GRANCOLOMBIANO 14
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 15