INFORMÁTICA FORENSE EN

SISTEMAS OPERATIVOS WINDOWS

 Hora del sistema.
Puede ser fácilmente perdido Usuarios con sesión abierta.
o modificado. Archivos abiertos.
Ayuda a determinar la línea de Información de la Red
tiempo del incidente y usuarios Conexiones de Red.
que podrían ser responsables Información de los procesos.
Reside en registro, cache y Mapeo del proceso a un puerto.
Procesos en memoria
RAM
Estado de la Red
Contenido del Clipboard
Información de lo servicios y
Drivers
Historial de los comando
Particiones mapeadas.
Nos da información valiosa para la
investigación.

Nos ayuda a determinar el tiempo

en el que ocurrió el incidente.
 Recolecta información acerca de los usuarios logueados en el sistema tanto
localmente como remotamente.

Además de tener el contexto de los procesos que se están ejecutando, los

propietarios de un archivo, o el última vez que fueron accedidos.
Nos da información acerca del usuario y IP utilizada para acceder
al sistema de manera remota.
.
Recolecta la información acerca de los archivos abiertos por el intruso usando un logueo remoto

Las herramientas y comando para recolectar esta información son:

Despliega los nombres de todos los archivos compartidos en el servidor y el
número de file locks de cada archivo.

El sintaxis del comando net file es: net file [ID [/close]].
Lista de archivos de un sistema que se abren de forma remota; asimismo, permite cerrar los
archivos abiertos tanto por nombre como por un identificador del archivo.
Sintaxis: psfile [\\EquipoRemoto[-u Nombredeusuario [-p Contraseña]]] [[Id. | ruta
de acceso] [-c]]
Para ver y/o desconectar
las conexiones a los
archivos y carpetas que se
encuentran abiertas
remotamente mediante
Carpetas compartidas.
Cuando atacantes ganan acceso remoto a un
sistema, en la mayoría de los casos intentan
escalar a otros sistemas a través de la red.

Para las conexiones que son hechas a otros

sistemas, se usa Comunicaciones NetBIOS.

Al ver el contenido de la tabla de nombres de

caché, es posible determinar sí otros sistemas han
visto afectados.
La tabla de nombres de caché
NetBIOS mantiene una lista de
conexiones hechas a otros
sistemas
Contiene los nombres remotos
de los sistemas y las
direcciones IP
En Windows el comando para
ver la tabla de nombres
NetBIOS es nbtstat.
Específicamente Nbtstat con c
muestra esta tabla.
 Netstat es una herramienta que permite
Recoger la información sobre las
recolectar información de la conexiones de la
conexiones de red desde y hacia
red. Provee una vista de conexiones TCP/UDP,
el sistema afectado, esto permite
su estado y su estadística del tráfico de red.
localizar:
Logueo del atacante.
1. Netstat con la opción noa, permite
IRCbot Communication
desplegar conexiones TCP/UDP, puertos
Malware.
y los identificadores.
Tabla
2. Netstatdecon la
Nombres
opción r,NetBIOS
despliega la tabla de ruteo que se encuentran habilitadas
mantiene una
en el sistema . lista de conexiones
hechas a otros sistemas
Se debe Investigar los procesos ejecutados en el sistema potencialmente
comprometido y recopilar la información a través administrador de tareas

No toda la información es visible en el administrador de tareas como ser:

La ruta completa de los ejecutables. (archivo

exe)

La línea de comandos usados para cargar el

proceso.

La cantidad de tiempo que el proceso se esta

ejecutando.

El contexto de seguridad/Usuario para que el

proceso se ejecute.

Cuales módulos del procesos fueron

cargados

El contenido en memoria del proceso.

Herramientas y
comandos usados para
recolectar información
detallada de los
procesos.

Tasklist es una utilidad nativa

de Windows.

Provee opciones para extraer

esta información, CSV, tabla o
listas formateadas
Tasklist con la opción /v:
Provee información acerca de
la lista de procesos incluyendo
el nombre de la imagen, PID,
nombre y el número de sesión.
Despliega información
básica acerca de los
procesos que están
corriendo en el sistema.

Con la opción x, muestra

los procesos, información
de la memoria y
subprocesos.
Muestra los módulos o
DLLs que están en uso por
proceso.

Estas DLLs son importantes

por que provee el código
actual que esta en uso.
Diseñado para buscar referencias de archivos abiertos, de modo que si no especifica ningún
parámetro de línea de comandos, mostrará una lista con los valores de todos los identificadores del
sistema que hacen referencia a archivos abiertos y los nombres de los archivos..
Muestra información acerca de archivos abiertos, puertos, llaves de registro y subprocesos.
Esta información es muy útil para determinar los recursos accedidos por un proceso mientras se
ejecuta.
 El mapeo de un proceso a un puerto traza que proceso esta usando
que puerto, y que protocolo esta conectado a que IP.

Se puede utilizar las siguiente herramientas y comandos:

Netstat con la opción -o:

muestra el ID del proceso
responsable para la
conexión de red.
Fport reporta todo puerto TCP/IP y UDP abierto y lo mapea a las aplicaciones
relacionadas.
Es necesario que se ejecute como administrador para obtener la información
Fport reporta todo puerto TCP/IP y UDP abierto y lo mapea a las aplicaciones
relacionadas.
Es necesario que se ejecute como administrador para obtener la información
Procesos que podrían ser sospechosos o
maliciosos en naturaleza
Verificar sí hay procesos sospechosos/
maliciosos usando programas como Process
Explorer que entrega mas información

Process Explorer añade una descripción

detallada de los procesos en ejecución en el
sistema.
Reunir más información del proceso
sospechoso mediante el volcado de la
memoria.
La herramientas adecuadas para esto son:
Pmdump, Process Dumper, Userdump.
Verificar sí hay procesos sospechosos/maliciosos usando programas
como Process Explorer que entrega mas información

Herramientas para detección del estado de la red:

Ipconfig.exe es una utilidad

nativa de Windows que entrega
información del estado de la
red.
La opción /all despliega la
configuración de la red de la
NIC en el sistema

Esta información incluye el

estado de la NIC, si el DHCP
esta habilitado o no, la IP, etc.
La herramienta PromiscDetect
detecta sí la NIC se encuentra en
modo promiscuo.

La herramienta Promqry detecta

los sistemas que tienen tarjetas
de red funcionando en modo
promiscuo.
Comando History Recursos compartidos
Usa el comando doskey /history Se debe extraer información de
para ver los comando que fueron los recursos compartidos.
utilizados en la consola cmd.
Drives mapeados Esta información esta
almacenada en la siguiente ruta:
Drives pueden ser mapeados con
intentos maliciosos.
KEY_LOCAL_MACHINE\System\C
Drives mappings puede ser
urrentControlSet\Services\lanman
correlacional a conexión de red.
server\Shares Key