Enero 22, 2018, 10:54:47 am

Autor Tema: Informática Forense "Plataformas Windows" --> construcción  (Leído 32790 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Informática Forense "Plataformas Windows" --> construcción
« en: Marzo 03, 2008, 08:27:04 pm »
Informática Forense
"Plataformas Windows"

Primero que todo deseo hacer hincapié que este documento tiene la finalidad completa y exclusiva de ser educativo, cualquier uso indevido es exclusivo de quien utilice estas herramientas para uso.

vVegeta



Ps. Cualquier usuario que desee participar en este articulo bienvenido sea... se comunica por IM.
« Última modificación: Abril 03, 2008, 11:28:12 pm por vVegeta »
SOLO LOS QUE DEJAN DE INTENTAR, FRACASARÁN...

Si no fuera por C, existiría Obol, Pasal, ++, #...

WinJaNet, abre sus puertas, para todos los programadores e interesados en programación!!


Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #1 en: Marzo 03, 2008, 08:30:30 pm »
Antes de seguir debemos de saber ciertas cosas por obligación:


« Última modificación: Marzo 03, 2008, 09:19:03 pm por vVegeta »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #2 en: Marzo 03, 2008, 08:50:06 pm »
Análisis Forense

Qué es Análisis Forense ???

Desglocemos:

Análisis: Según la RAE; Distinción y separación de las partes de un todo hasta llegar a conocer sus principios o elementos

Forense: Según la RAE; Perteneciente al foro, a la justicia.

Podriamos definir Análisis Forense como "la separación de cada una de sus partes desde lo micro a lo macro ante la justicia"

Entonces que significará Análsis Forense Informático ???

Informático: Según la RAE; Perteneciente o relativo a la informática

Informática: Según la RAE; Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores.

Información: Según la RAE; Acción y efecto de informar

Informar: Según la RAE; Dicho de una persona o de un organismo: Completar un documento con un informe de su competencia.

Entonces, definimos Análisis Forense Informático, como "la separación completa de la información perteneciente a un delito" -- a grandes rasgos ---

Por ende, la separación completa a que se refiere, a una separación de bit por bit...

Les recuerdo que tan solo con hacer el ingreso a un O.S. se modifica un bit como mínimo.



Nota: Se intentará que en este documento quede todo claro.
« Última modificación: Marzo 03, 2008, 09:27:10 pm por vVegeta »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #3 en: Marzo 03, 2008, 08:56:58 pm »
RFC 3227
Directrices para la colección de archivo y Prueba

You are not allowed to view links. Register or Login

Qué es un RFC ???

Un documento Request For Comments (abreviado como RFC), que se traduce como "petición de comentarios", es un documento cuyo contenido es una propuesta oficial para un nuevo protocolo de la red Internet (originalmente de ARPANET), que se explica con todo detalle para que en caso de ser aceptado pueda ser implementado sin ambigüedades.

        Cada RFC tiene un título y un número asignado, que no puede repertirse ni eliminarse aunque el documento se quede obsoleto.

        Cada protocolo de los que hoy existen en Internet tiene asociado un RFC que lo define, y posiblemente otros RFCs adicionales que lo amplían.

       Existen varias categorías, pudiendo ser informativos (cuando se trata simplemente de valorar por ejemplo la implantación de un protocolo), propuestas de estándares nuevos, o históricos (cuando quedan obsoletos por versiones más modernas del protocolo que describen).

         Han de redactarse en inglés, según una estructura específica y en formato de texto ACSII.

        Antes de que un documento tenga la consideración de RFC, ha de seguir un proceso muy estricto para asegurar su calidad y coherencia. Cuando lo consigue, es prácticamente ya un protocolo formal al que probablemente se pondrán pocas objeciones, por lo que el sentido de petición de cometarios se ha quedado desfasado, ya que las críticas y sugerencias se hacen en las fases anteriores. El nombre de RFC se mantiene pues, por razones históricas.

* FUENTE: You are not allowed to view links. Register or Login


Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #4 en: Marzo 03, 2008, 09:02:42 pm »
Evidencia Digital

Es el paso más importante que debemos de tener en cuenta al momento de realizar un AFI, ya que en esta parte nos dedicaremos la gran parte del tiempo, en la recolección de la evidencia digital del sistema involucrado.

Se entiende como Evidencia Digital:

  • Cookies
  • HDD
  • Logs
  • temps
  • etc....

En otras palabras es todo lo que existe en el Pc, e incluso los dispositivos externos.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #5 en: Marzo 03, 2008, 09:17:48 pm »
Windows; Historia




Ps. Con esto, espero no volver a leer que Windows lo hace Bill Gates.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #6 en: Marzo 04, 2008, 10:54:56 am »
INDICE





Ps. el Indice se hirá creando durante el tiempo...
« Última modificación: Agosto 20, 2008, 11:22:55 pm por CHR0N05 »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #7 en: Marzo 04, 2008, 11:10:22 am »
TCP/IP

El modelo TCP/IP tiene cuatro capas:

  • Capa de aplicación
  • Capa de transporte
  • Capa de Internet
  • Capa de acceso a la red

Cabe resaltar que algunas de las capas del modelo TCP/IP poseen el mismo nombre que las capas del modelo OSI. Es importante hacer referencia al modelo cuando se mencionan las capas, puesto que la capa de aplicación tiene diferentes funciones en cada uno.

  • Capa de aplicación: el modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en una sola capa y garantiza que estos datos estén correctamente empaquetados para la siguiente capa. Los diseñadores de TCP/IP sintieron que los protocolos de nivel superior debían incluir los detalles de las capas de sesión y presentación. Simplemente crearon una capa de aplicación que maneja protocolos de alto nivel, aspectos de representación, codificación y control de diálogo.
  • Capa de transporte: esta capa se refiere a los aspectos de calidad del servicio con respecto a la confiabilidad, el control de flujo y la corrección de errores. Uno de sus protocolos, el protocolo para el control de la transmisión (TCP), ofrece maneras flexibles y de alta calidad para crear comunicaciones de red confiables, sin problemas de flujo y con un nivel de error bajo. TCP es un protocolo orientado a la conexión que mantiene un diálogo entre el origen y el destino mientras empaqueta la información de la capa de aplicación en unidades denominadas segmentos. “Orientado a la conexión” significa que los segmentos de Capa 4 viajan de un lado a otro entre dos hosts para comprobar que la conexión exista lógicamente para un determinado período. Esto se conoce como conmutación de paquetes.
  • Capa de Internet: el objetivo de la capa de Internet es enviar paquetes origen desde cualquier red en la Internet y que estos paquetes lleguen a su destino independientemente de la ruta y de las redes que hayan recorrido para llegar hasta allí. El protocolo específico que rige esta capa se denomina Protocolo Internet (IP). En esta capa se produce la determinación de la mejor ruta y la conmutación de paquetes. Se podría decir que eficacia (llegar a destino) y eficiencia (del mejor modo posible) son el propósito que persigue.
  • Capa de acceso de red: también denominada “capa de host a red”. Es la capa que se ocupa de todos los aspectos que requiere un paquete IP para realizar los enlaces físicos. Esta capa incluye los detalles de tecnología LAN y WAN y todos los de la capa física y de enlace de datos del modelo OSI presentado anteriormente.

Cabe observar que en la capa de aplicación aparecen distintas tareas de red que pueden parecer desconocidas, pero que, sin embargo, el usuario de Internet usa todos los días:

  • FTP: File Transfer Protocol (protocolo de transferencia de archivos)
  • HTTP: Hypertext Transfer Protocol (protocolo de transferencia de hipertexto)
  • SMTP: Simple Mail Transfer Protocol (protocolo de transferencia de correo simple)
  • DNS: Domain Name System (sistema de nombres de dominio)
  • TFTP: Trivial File Transfer Protocol (protocolo de transferencia de archivo trivial)

El modelo TCP/IP provee la máxima flexibilidad en la capa de aplicación para los desarrolladores de software.

La capa de transporte contempla dos protocolos: el protocolo de control de transmisión (TCP) y el protocolo de data grama de usuario (UDP). 

La capa inferior, la de acceso de red, se relaciona con la tecnología específica de LAN o WAN que se utiliza.

En el modelo TCP/IP existe solamente un protocolo de red: el Protocolo Internet, o IP, como protocolo universal que permite que cualquier computadora, en cualquier lugar del mundo donde se encuentre, pueda comunicarse en cualquier momento.

TCP/IP (RFC)

TCP/IP es hoy el estándar en la práctica para las comunicaciones de internetwork y funciona como el protocolo de transporte para Internet, permitiendo que millones de computadores se comuniquen en y desde cualquier parte del mundo.

Originalmente, se desarrolló para suministrar comunicaciones a través de DARPA. Posteriormente, TCP/IP se incluyó en la Distribución del Software Berkeley de UNIX.

TCP/IP es un protocolo disponible a nivel mundial. Permite la comunicación entre cualquier conjunto de redes interconectadas y sirve tanto para las comunicaciones LAN como para las WAN. TCP/IP incluye no sólo las especificaciones de las Capas 3 y 4 (como, por ejemplo, IP y TCP), sino también especificaciones para aplicaciones de correo electrónico, conexión remota, etc.

El router lo utiliza como una herramienta de configuración. Su función es transferir información desde un dispositivo de red a otro. Al hacer esto, se asemeja al modelo de referencia OSI en las capas inferiores, y soporta todos los protocolos físicos y de enlace de datos.

Nota: Los RFC de TCP/IP son muchos y muy variados. Para obtener información sobre RFC, diríjase al siguente link: You are not allowed to view links. Register or Login


  • Dirección IP

En un entorno TCP/IP, las estaciones finales se comunican con servidores u otras estaciones finales. Esto puede ocurrir porque cada nodo que utiliza el conjunto de protocolos TCP/IP tiene una dirección lógica distinta de 32 bits. Esta dirección se denomina dirección IP y se especifica en formato decimal separado por puntos de 32 bits, esto es IPv4 definida por el estándar.

Las direcciones IP tienen una longitud de 32 bits y constan de dos partes:

  • La dirección de red.
  • La dirección de host.

Pero, a la vez, la dirección está dividida en cuatro octetos (grupos de ocho bits). El valor decimal máximo de cada octeto es 255 (el número binario de 8 bits más alto es 11111111, y esos bits, de izquierda a derecha, tienen valores decimales de 128, 64, 32, 16, 8, 4, 2 y 1).

A efectos de entender esta representación, se explicarán las conversiones de binario a decimal y viceversa:

  • Conversión de un número binario a su equivalente en decimal:

Para convertir un número binario a su equivalente en decimal, sume los números representados en las posiciones de los bits que estén a 1. En la tabla se muestra un número de 8 bits y el valor decimal de cada posición.

7   6   5   4   3   2   1   0

2^7   2^6   2^5   2^4   2^3   2^2   2^1   2^0

128    64    32    16    8    4   2   1

Por ejemplo, el número binario de 8 bits 01000011 es 67 (= 64 + 2 + 1). El mayor número que se puede expresar con un número de 8 bits (11111111) es 255 (=128+64+32+16+8+4+2+1).

  • Conversión de un número decimal a su equivalente en binario:

Para convertir de decimal a binario se analiza el número decimal para ver si contiene las cantidades representadas por las posiciones de los bits desde el bit de mayor orden hasta el bit de menor orden. Empezando desde el bit de mayor orden (128), si cada cantidad existe, se pone a 1 el bit de esa posición. Por ejemplo, el número decimal 211 contiene 128, 64, 16, 2 y 1. Por tanto, 211 es 1010011 en binario.

Por ejemplo, la dirección IP 140.179.220.200 en binario será:
      
140      .  179   .   220  .  200
10001100.10110011.11011100.11001000

  • Componentes de una dirección IP

El número de red de una dirección IP identifica la red a la cual se encuentra adherido un dispositivo. La porción host de una dirección IP identifica el dispositivo específico de esta red. Como las direcciones IP están formadas por cuatro octetos (grupos de ocho bits) separados por puntos, se pueden utilizar uno, dos o tres de estos octetos para identificar el número de red. De modo similar, se pueden utilizar hasta tres de estos octetos para identificar la parte de host de una dirección IP.

RED ----------|----------- HOST
<-------------|--------------->
172   .   16  .  124   .   201
-8bit- - 8bit-  -8bit-  -8bit-
1byte   1byte   1byte   1byte 




Mayor información:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login
« Última modificación: Marzo 04, 2008, 11:13:07 am por vVegeta »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #8 en: Marzo 04, 2008, 06:14:59 pm »
Protección de dispositivos Media

Para garantizar las pruebas digitales

Algunos medios de comunicación, traen consigo la opción de protección contra escritura, en el caso de lo contrario deberemos utilizar Hardware especializado en ello (Write Protection)

  • Pendrive
  • Reproductor MP3, MP4...
  • Disquettes (Floppy 5.25 - 3 1/2)
  • Flash Memory
  • IDE, SATA, SCSI
  • etc...

Veamos e identifiquemos algunos de estos dispositivos:

Floppy 5.25 --> Minifloppy



Floppy 3 1/2



MMC/SD --> Multimedia Cards / Secure Digital





Son solo algunos... es algo lógico que no pondré imagen de muchos...

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #9 en: Marzo 04, 2008, 06:25:58 pm »
Protección contra Escritura
Hardware/Software

Ultrablock

You are not allowed to view links. Register or Login

IDE:

Citar
PC Interface:  FireWire-A, FireWire-B, USB (1.X/2.0)
Drive Interface: Parallel IDE (48 Bit ATA-6 Compatible)
User Configurable: Read-Only or Read-Write

Price: $219.00


SATA

Citar
PC Interface: FireWire-A, FireWire-B, USB (1.X/2.0)
Drive Interface: Serial ATA
User Configurable: Read-Only or Read-Write

Price: $281.00


SCSI

Citar
PC Interface:FireWire-A, FireWire-B, USB (1.X/2.0)
Drive Interface:SCSI-3 (HPDB68 Interface)
User Configurable:Read-Only or Read-Write

Price:$429.00




Forensic Card Reader

You are not allowed to view links. Register or Login

Citar
UltraBlock Forensic Card Readers        $80.00

             Como dicen en la imagen una es para leer y Escribir y la otra es solo Lectura.

                La unidad de sólo lectura debe ser utilizada para la adquisición forense de información encontrada en multimedia y tarjetas de memoria. La unidad de Lee-Escribe es incluida para proporcionar la habilidad de escribir a tarjetas de memoria para probar o validar. Las Lectoras de tarjetas Forenses pueden ser conectadas directamente a un USB 2,0 (o USB 1. X) el puerto en su estación de trabajo o el ordenador portátil".



Forensic USB Bridge

You are not allowed to view links. Register or Login

                     "Forensic USB Bridge USB2.0 de alta velocidad (480 Mbit/S) USB 1.1 TODA VELOCIDAD (12 Mbit/S) y Bajo-Velocidad (1,2 Mbit/S) dispositivos que conforman al USB Almacenamiento Masivo" Bulto-Sólo" la especificación de la clase. El UltraBlock USB Write/block los trabajo con thumb USB driver, impulsores de discos externos de USB, cámaras aún USB-BASADOS con la capacidad de lectora de tarjetas".

Citar
Our Price: $299.00

Saludos....
« Última modificación: Julio 14, 2008, 12:11:19 am por CHR0N05 »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #10 en: Marzo 04, 2008, 06:28:33 pm »
Validación de la Protección contra escritura Hardware/Software

El paso #1 – Prepara los medios

A) Conecta los medios de almacenamiento que usted estará probando con  su estación de trabajo forense en el modo escribe-permitido.
B) Enjuga los medios - valida que esto ha sido exitoso.
C) Formatear los medios con un formato del archivo de su escoger.
D) Copia una cantidad de datos a los medios.
E) Borra una selección de estos datos de los medios.
F) En la sobremesa de su estación de trabajo forense crea 3 carpetas. Llame éstos Dan un paso-1, el Paso-2 y el Paso-5.
G) Imagina los medios en el Paso-1 carpeta y nota que el MD5 picar en trocitos.

El paso #2 – Probando los medios

A) Quita y entonces reemplaza los medios que prueban en su estación de trabajo forense.
B) Copia algunos datos a los medios.
C) Borró una selección de estos datos de los medios.
D) Imagina los medios en el Paso-2 carpeta y nota que el MD5 picar en trocitos.
E) Valida que esto picar en trocitos el valor es '' diferente'' a producido en el Paso #1.

El paso #3 – Activa el escribe bloqueando dispositivo

A) Quita los medios de su estación de trabajo forense.
B) Conecta y/o activa el escribe la protección dispositivo.
C) Sigue procedimientos específicos de la activación para el bloqueador específico.

El paso #4 – Prueba el escribe bloqueando dispositivo

A) Mete los medios en su estación de trabajo forense.
B) Intenta copiar los archivos en los medios.
C) Intenta borrar los archivos de los medios.
D) Intenta formatear los medios.

El paso #5 – Verifica para cualquier cambio a los medios

A) Imagina los medios en el Paso-3 carpeta y nota que el MD5 picar en trocitos.
B) Valida que este MD5 picar en trocitos es el '' mismo'' como el MD5 picar en trocitos del Paso #2.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #11 en: Marzo 04, 2008, 06:51:18 pm »
Información completa del sistema

En esta parte tenemos infinidad de Software para este trabajo... pero principalmente deseo hacer la implementación de Windows.

Lo veremos desde la cmd:

Windows+R --> cmd --> Enter

  • bootcfg - Configurador de arranque. Simplemente modfica el archivo boot.ini para indicar opciones de arranque
  • control userpasswords2 - Permite modificar las claves y los permisos de los diferentes usuarios, así como requerir la pulsación de control+alt+suprimir para poder iniciar sesión, haciendo el inicio de sesión más seguro
  • driverquery - Crea un informe sobre los dirvers instalados en el sistema. Muestra además información detallada de cada uno
  • dxdiag - Herramenta de diagnóstico de DirectX
  • gpresult - Información de las políticas de grupo aplicadas a un usuario
  • gpupdate - Actualizar las politicas de grupo
  • pagefileconfig - Configuración de la memoria virtual de Windows
  • prncnfg - Información sobre las impresoras instaladas
  • prnjobs - Información sobre los trabajos de impresión en cola
  • reg - Permite ver y modificar valores del registro de Windows.

Opciones posibles:

  • reg query: consulta en el registro
  • reg add: añadir entrada
  • reg delete: eliminar entrada
  • reg copy: copiar clave en otro lugar del registro
  • reg save: guardar parte del registro
  • reg restore: restaura el registro
  • reg load: cargar valor o clave desde un archivo .reg
  • reg unload: descargar valor o clave
  • reg compare: comparar valores de registro
  • reg export: exportar registro a un archivo
  • reg import: importar registro a un archivo

  • sc -Administrador de servicios, podemos detenerlos, ejecutarlos, etc
  • sfc - Este comando permite buscar archivos del sistema dañados y recuperarlos en caso de que estén defectuosos (es necesario el CD de instalación del sistema operativo para utilizarlo). Para realizar una comprobación inmediata, deberemos ejecutar la orden sfc /scannow
  • systeminfo - Muestra información sobre nuestro equipo y nuestro sistema operativo: número de procesadores, tipo de sistema, actualizaciones instaladas, etc
  • taskkill - Permite matar procesos conociendo su nombre o su numero de proceso (PID)
  • Tasklist - Informe sobre los procesos ejecutados en el sistema

C:\PerfLogs\System_Overview.blg
« Última modificación: Marzo 09, 2008, 03:01:16 pm por vVegeta »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #12 en: Marzo 09, 2008, 01:33:02 pm »
Usuarios

Qué es un Usuario ???

Primero que todo, debemos saber que luna cuenta de usuario es aquella que constituye los datos necesarios que tendrá el mismo para acceder a los recuersos de un dominio y/o computadora, por ello s se les pueden asignar permisos y derechos.

Todos los windows (si no me equivoco), contiene tres usuarios por defecto:

  • Administrador: Tiene control total sobre el computador, y puede asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. Sólo debe utilizar esta cuenta para aquellas tareas que requieran credenciales administrativas.
    La cuenta Administrador es un miembro predeterminado de los grupos Administradores, Administradores de dominio, Administradores de organización, Propietarios del creador de directivas de grupo y Administradores de esquema en Active Directory (Win2003). La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a usuarios malintencionados.
  • Invitado: Sólo la utilizan los usuarios que no poseen una cuenta real en el pc. Un usuario con su cuenta deshabilitada (pero no eliminada) también puede utilizar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.
    La cuenta Invitado, de la misma forma que para cualquier cuenta de usuario se pueden asignar derechos y permisos. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados del dominio, que permite a un usuario iniciar una sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada, y se recomienda que permanezca así.
  • Cuenta Asistente de ayuda (se instala con una sesión de Asistencia remota): Se trata de la cuenta principal que se utiliza para establecer una sesión de Asistencia remota. La cuenta se crea automáticamente al solicitar una sesión de Asistencia remota, y tiene limitado el acceso al equipo. El servicio Administrador de sesión de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda, que se eliminará automáticamente si no hay solicitudes de Asistencia remota pendientes.

Las cuentas de usuario y de equipo (así como los grupos) se denominan también principales de seguridad. Los principales de seguridad son objetos de directorio a los que se asigna automáticamente identificadores de seguridad (SID), que se utilizan para tener acceso a los recursos del dominio. Una cuenta de usuario o de equipo se usa para:

  • Autenticar la identidad de un usuario o equipo
  • Autorizar o denegar el acceso a los recursos
  • Auditar las acciones realizadas con la cuenta de usuario o de equipo

Protección de las cuentas de Usuario

Primero que todo, debemos cambiar absolutamente todo lo que viene por defecto, ya que si no lo hacemos tenemos el peligro inminente que entren de forma ilegal a nuestro ordenador. Como por ejemplo, cambiar los nombres o deshabilitarlos.

Cada cuenta de usuario, incluidas las cuentas Administrador e Invitado, puede agregarse a un grupo para controlar los derechos y permisos asignados a la cuenta.

Las contraseñas seguras reducen el riesgo de suposiciones inteligentes y ataques de diccionario contra las contraseñas.

Una directiva de bloqueo de cuentas reduce la posibilidad de que un intruso ponga en peligro el equipo mediante repetidos intentos de inicio de sesión. Para ello, la directiva de bloqueo de cuentas determina cuántos intentos de inicio de sesión incorrectos puede tener una cuenta de usuario antes de ser deshabilitada.

Nota: Los equipos que ejecutan Windows 95 y Windows 98 no tienen características de seguridad avanzadas ni cuentas de equipo asignadas.

¿Dónde se guardan las contraseñas de usuarios ???

c:/windows/system32/config/SAM

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #13 en: Marzo 09, 2008, 02:58:11 pm »
    Grupos

    Mas que todo un Grupo es una recopilación de usuarios de un equipo y/o dominio, que se administran como una Unidad Individual.

    La utilización de grupos permite simplificar las tareas de administración, ya que se asigna un conjunto común de permisos y derechos a varias cuentas, en vez de tener que asignarlos a cada cuenta de manera individual.

    Los grupos pueden estar basados en directorios o ser locales en un equipo concreto.

    Exiten los siguientes Grupos en WinXP:

    • Administradores: Los administradores tienen acceso completo y sin restricciones al equipo o dominio
    • Duplicadores: Pueden duplicar archivos en un dominio
    • Initados: Los Invitados tienen predeterminadamente el mismo acceso que los miembros del grupo Usuarios, excepto la cuenta Invitado que tiene más restricciones
    • Operadores de configuración de red: Los miembros en este equipo pueden tener algunos privilegios administrativos para administrar la configuración de las características de la red
    • Operadores de copia: Los operadores de copia pueden sobrescribir restricciones de seguridad con el único propósito de hacer copias de seguridad o restaurar archivos
    • Usuarios: Los usuarios no pueden hacer cambios accidentales o intencionados en el sistema. Pueden ejecutar aplic. certificadas pero no la mayoría de las heredadas
    • Usuarios Avanzados: Los usuarios avanzados tienen más derechos administrativos con algunas restricciones. De este modo, pueden ejecutar aplicaciones heredadas junto con aplicaciones certificadas
    • Usuarios de Escritorio Remoto: A los miembros de este grupo se les concede el derecho de iniciar sesión remotamente
    • HelpServicesGroup: Grupo para el Centro de ayuda y soporte técnico

    Y existen dos tipos de Grupos:

    • Distribución: Los grupos de distribución generalmente se pueden utilizar con aplicaciones de correo electrónico (como Exchange) para enviar correo electrónico a grupos de usuarios. Los grupos de distribución no son creados con el fin de manejar la seguridad, lo que significa que no se pueden incluir en las listas de control de acceso discrecional (DACL).
    • Seguridad: Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Los grupos de seguridad suponen un modo eficaz de asignar el acceso a los recursos de su red. Los derechos de usuario se asignan a los grupos de seguridad para determinar los miembros del grupo que están autorizados en el ámbito de un dominio (o bosque)
    [/list]
    « Última modificación: Marzo 09, 2008, 02:59:51 pm por vVegeta »

    Desconectado vVegeta

    • JavaManiaco!
    • Si te metes con CPH
      te metes conmigo
    • ****
    • Mensajes: 1791
    • Sexo: Masculino
    • I´m Unique!!... vVegeta...
      • Ver Perfil
    Re: Informática Forense "Plataformas Windows" --> construcción
    « Respuesta #14 en: Marzo 09, 2008, 04:51:38 pm »
    Drivers

    ¿Qué es un Driver?

    Controlador de dispositivos

    Más información You are not allowed to view links. Register or Login

    Para observar cuales son los controladores que tiene instalado el equipo basta tan solo abrir la consola y ejecutar driverquery
    Ejemplos:

    Código: You are not allowed to view links. Register or Login
    Nombre del m Nombre para mostrar    Tipo de contr Fecha de vínculo
    ============ ====================== ============= ===================
    ACPI         Controlador Microsoft  Ke            04/08/2004 8:07:35
    ACPIEC       ACPIEC                 Ke       
    aec          Eliminador de eco acús Ke   
    AFD          AFD                    Ke           
    AsyncMac     Controlador de medios  Ke     
    atapi        Controladora estándar  Ke         
    Atmarpc      Protocolo cliente ATM  Ke         
    audstub      Controlador auxiliar d Ke         
    Beep         Beep                   Ke           
    Cdaudio      Cdaudio                Ke       
    Cdfs         Cdfs                   File Sy     
    Cdrom        Controlador de CD-ROM  Ke 
    Disk         Controlador de disco   Ke       
    dmboot       dmboot                 Ke         
    dmio         Controlador del admini Ke     
    dmload       dmload                 Ke           
    DMusic       Sintetizador DLS Kerne Ke   
    drmkaud      Descodificador de audi Ke 
    Fastfat      Fastfat                File Sy       
    Fdc          Controlador de la unid Ke     
    FETNDIS      Controlador para NT de Ke
    Fips         Fips                   Ke           
    Flpydisk     Controlador de disquet Ke
    FltMgr       FltMgr                 File Sy       
    Ftdisk       Controlador del admini Ke   
    gagp30kx     Filtro AGPv3.0 genéric Ke
    Gpc          Clasificador de paquet Ke   
    hidusb       Controlador de clases  Ke
    HTTP         HTTP                   Ke           
    i8042prt     Teclado i8042 y contro Ke   
    Imapi        Controlador de filtro  Ke       
    Ip6Fw        Controlador de Firewal Ke   
    IpFilterDriv Controlador de filtro  Ke       
    IpInIp       Controlador de túnel I Ke     
    IpNat        Traductor de direccion Ke     
    IPSec        Controlador IPSEC      Ke       
    IRENUM       Servicio enumerador IR Ke 
    isapnp       Controlador de bus PnP Ke   
    Kbdclass     Controlador de clase d Ke   
    kbdhid       Controlador HID de tec Ke     
    kmixer       Mezclador de audio de  Ke     
    KSecDD       KSecDD                 Ke           
    mnmdd        mnmdd                  Ke           
    Modem        Modem                  Ke           
    Mouclass     Controlador de clase d Ke     
    MountMgr     MountMgr               Ke         
    MRxDAV       Redirector de cliente  File Sy
    MRxSmb       MRXSMB                 File Sy 
    Msfs         Msfs                   File Sy     
    MSKSSRV      Proxy de servicio de t Ke   
    MSPCLOCK     Proxy del reloj de tra Ke   
    MSPQM        Proxy del administrado Ke   
    mssmbios     Controlador BIOS de Mi Ke
    Mup          Mup                    File Sy       
    NDIS         Controlador de sistema Ke       
    NdisTapi     Controlador TAPI NDIS  Ke     
    Ndisuio      Protocolo E/S en modo  Ke       
    NdisWan      Controlador WAN NDIS d Ke 
    NDProxy      Proxy NDIS             Ke           
    NetBIOS      Interfaz de NetBIOS    File Sy
    NetBT        NetBios a través de Tc Ke   
    Npfs         Npfs                   File Sy 
    Ntfs         Ntfs                   File Sy   
    Null         Null                   Ke           
    nv           nv                     Ke           
    NwlnkFlt     Controlador de filtro  Ke     
    NwlnkFwd     Controlador retransmis Ke
    Parport      Controlador de puerto  Ke 
    PartMgr      PartMgr                Ke         
    ParVdm       ParVdm                 Ke       
    PCI          Controlador de bus PCI Ke   
    Pcmcia       Pcmcia                 Ke           
    PptpMiniport Minipuerto WAN (PPTP)  Ke
    Processor    Controlador de procesa Ke
    Ptilink      Controlador de vínculo Ke     
    RasAcd       Controlador de conexió Ke 
    Rasl2tp      Minipuerto WAN (L2TP)  Ke 
    RasPppoe     Controlador de acceso  Ke
    Raspti       Paralelo directo       Ke     
    Rdbss        Rdbss                  File Sy 
    RDPCDD       RDPCDD                 Ke   
    rdpdr        Controlador de redirec Ke
    RDPWD        RDPWD                  Ke   
    redbook      Controlador de filtro  Ke
    Secdrv       Secdrv                 Ke       
    serenum      Controlador de filtro  Ke
    Serial       Controlador de puerto  Ke
    Sfloppy      Sfloppy                Ke       
    splitter     Divisor de audio del n Ke 
    Srv          Srv                    File Sy       
    swenum       Controlador del bus de Ke
    swmidi       Sintetizador de tabla  Ke     
    sysaudio     Dispositivo de sonido  Ke   
    Tcpip        Controlador de protoco Ke   
    TDPIPE       TDPIPE                 Ke           
    TDTCP        TDTCP                  Ke           
    TermDD       Controlador de disposi Ke 
    Udfs         Udfs                   File Sy     
    Update       Dispositivo de actuali Ke         
    usbccgp      Controlador primario g Ke       
    usbehci      Controlador minipuerto Ke       
    usbhub       Concentrador habilitad Ke     
    usbstor      Dispositivo de almacen Ke     
    usbuhci      Controlador minipuerto Ke     
    VgaSave      VgaSave                Ke     
    ViaIde       ViaIde                 Ke           
    VIAudio      Vinyl AC'97 Audio Cont Ke     
    VolSnap      VolSnap                Ke           
    Wanarp       Controlador ARP IP de  Ke           
    wdmaud       Controlador de compati Ke         
    WS2IFSL      Entorno de compatibili Ke           

    Ejecutando el DRIVERQUERY

    Código: You are not allowed to view links. Register or Login
    Lista de parámetros:
          /S   sistema            Especifica el sistema remoto al que conectarse.

          /U   [dominio\]usuario Especifica el contexto de usuario
                                  bajo el que se ejecuta el comando.

          /P   contraseña         Especifica la contraseña para el
                                  contexto de usuario dado. Pide datos de entrada si
                                  se omiten.

          /FO  formato            Especifica el tipo de salida para mostrar.
                                  Los valores válidos para pasar con el
                                  modificador son TABLE, LIST, CSV.

          /NH                     Especifica que el "Encabezado de columna"
                                    no debe mostrarse en la salida
                                    en pantalla. Sólo válido para los
                                    formatos "TABLE" y "CSV".

          /V                       Muestra información detallada. No válido
                                    para controladores firmados.

         /SI                       Proporciona información de controladores firmados
    .

         /?                        Muestra esta ayuda/uso.


    DRIVERQUERY
    DRIVERQUERY /FO CSV /SI
    DRIVERQUERY /NH
    DRIVERQUERY /S direcciónIP /U usuario  /V
    DRIVERQUERY /S sistema /U dominio\usuario /P contraseña /FO LIST

    La Carpeta Driver Caché

    C:\WINDOWS\system32\drivers\

    Un ejemplo de Driver (fragmento)... visto por el Blog de notas:

    Código: You are not allowed to view links. Register or Login
    MZ       ÿÿ  ¸       @                       LÍ!This program cannot
    be run in DOS mode.

    $       H4d™ U
    Ê U
    Ê U
    Ê U Ê…U
    ÊÏZWÊ U
    ÊÏZTÊ
    U
    ÊÏZUÊ\U
    ÊÏZPÊ
    U
    ÊRich U
    Ê        PE  L '}A        à  
    €a  ~      Y     ²    €   €             €â    í² 
    ² (                          .t   
               h.rdata  ™
       ²     ²             @  H.data   °*   ½  +   ½             @  ÈPAGE
                `PAGE      €‡ €  €‡             @  ÀINIT    „   Œ     Œ
     ˜   Ÿ     Ÿ             @  B.reloc  %   ½ €%   ½             @  B
    h[   j è­ VhÊ6 h[*  j è› Vh8ð Vj è Vhd Vjè ƒÄ@Vh„œ Vjèn VhºÈ Vj
    è` VhZÊ VjèR ƒÄ0EüPVhÚÓ jjVèÏ[ ^ÉÃÌÌÌÌÌÌ ÌÌÌÌÌ‹ÿU‹ìƒ} t ÿuèiª
    …Àu3Àë‹€,  ] Ì%02X%02X ÌÌÌÌÌ‹ÿU‹ì€} ‹EtÆ
    *@‹M ‹ÑÁê€â€Â@ˆSŠÑ€â€ÂÀâ‹ÙÁë
    €ãÓ@ˆ‹ÑÁê€âÁé€Â@·É@ˆ‹ÑÁêRáÿ   Q@hÊ Pÿœ³ ƒÄ[] Ì% 0 2 X % 0 2 X
     ÌÌÌÌÌÌ‹ÿU‹ì€} ‹EtfÇ * @@‹M ‹ÑÁêƒâƒÂ@f‰3ÒŠÑV‹ñ@Áî
    @ƒæƒâTÖ@f‰‹ÑÁêƒâÁé@ƒÂ@·É@f‰‹ÑÁêRáÿ   QƒÀhJ Pÿ˜³ ƒÄ^]Â
    ÌÌÌÌÌ‹ÿU‹ì‹E‹M j j P‰Hÿ”³ ]ÃÌÌÌÌÌ‹ÿU‹ì‹E‹@ ë‹M ;Ht‹H…Ét‹@9A u3À…Àuã]Â
    ÌÌÌÌÌÌ‹ÿU‹ìQSVW‹}‹G3Û3ö;Éuüt ‹@F;Ãuø‰uü4¶hAcpSFPSÿ ´ ;Ãu¸š
    ÀëBðˆ‹O;Ët(‹Ö‹ƒê‰:3ÿ8:uÆ:*GƒÿrñÆB.‹ù‹I;ËuÚ9]ütˆ^ÿ‹M ‰3À_^[ÉÂ
    ÌÌÌÌÌÌ‹ÿU‹ì‹U ‹MSVjÿ³ ¾øä ‹Îÿ0² ŠØ3À8þä Æüä u
    PPh ä ÿ³ ŠÓ‹Îÿ4² ^[] ÌÌÌÌÌÌ‹ÿU‹ì‹U …Ò‹E‹H}‰P Ç@
     QƒÀPè‚ÿÿÿ]ÃÌÌÌÌÌÌ‹ÿU‹ì‹M …É‹E‹P}!‹U…Ò‰H t‹Bë3ÀPQRjh¥   ÿ´ Ç@
     RƒÀPè6ÿÿÿ]ÃÌÌÌÌÌÌ‹ÿU‹ìƒì ‹E‹@SV3ÉW‹};ù‰Mø‹‰MôujX;ØsSÿu ÿujéV
    +؉Eô;Ù„(  hAcpP‹ÃÁàPQÿ ´ ‹ð…öu
    ¸š  Àé  ¹\â ÿ´³ ‹Eƒeü …Û‰´¸    †Ú   ‹Uô’Áâ‰Uôë‹UôjY3À‹þó«‹E‹@ƒeø |j
    EøPÿu ÿwè2  ƒÄ…ÀŒª   ‹Eø…À„¬   fƒx …¡
     ‹@0‹M…ɉF‹@‰F‹E‰F‰N uÆFƒùu ‹ %  @ 3É Át‹FQQh   ƒÀPèð§
    ‹F‹P$ƒÀ N‰‰V‰


    Nota
    Driver que permite agregar el soporte de lectura para Ext2 y Ext3 en Windows.

    EXT2IFS You are not allowed to view links. Register or Login



    Ps. Agregar algo más, contactar por IM...
    « Última modificación: Julio 14, 2008, 12:17:05 am por CHR0N05 »


    exclamation
    Lanzan una herramienta "forense" que rompe el cifrado de iPhone y BlackBerry

    Iniciado por cemasmas

    0 Respuestas
    752 Vistas
    Último mensaje Mayo 26, 2011, 06:28:14 pm
    por cemasmas
    xx
    Elimina "Mis Documentos" y "Archivos de programa" Con cada inicio de Windows

    Iniciado por Sthefano02

    1 Respuestas
    1511 Vistas
    Último mensaje Abril 11, 2010, 01:30:40 am
    por LauBuru
    xx
    """EJEMPLO VISUAL BASIC PARA ENVIAR MAILS""""

    Iniciado por angelsk

    2 Respuestas
    3474 Vistas
    Último mensaje Abril 15, 2006, 10:39:16 am
    por NetClass
    thumbup
    Curso de Seguridad Informatica "En Linea" tecnolinks

    Iniciado por rolly21102

    2 Respuestas
    1294 Vistas
    Último mensaje ſeptiembre 12, 2007, 08:09:16 pm
    por ÄìmBòt
    thumbup
    matar msn y apagar ordena """VIRUS""" para novatos

    Iniciado por Spiff

    15 Respuestas
    8549 Vistas
    Último mensaje Junio 03, 2007, 08:45:41 pm
    por doggfather
    xx
    Ayuda con lineas usando "IF" "&" y "FINDSTR" (codigo propio)

    Iniciado por hack-ad

    0 Respuestas
    1381 Vistas
    Último mensaje Mayo 21, 2013, 02:58:10 pm
    por hack-ad
    question
    comodo firewall bloquea "windows operating system" y "system"

    Iniciado por pela.CR

    9 Respuestas
    2529 Vistas
    Último mensaje Junio 04, 2011, 03:54:45 pm
    por pela.CR
    exclamation
    Zuckerberg: Google "gran empresa" pero Facebook tiene "mejores herramientas"

    Iniciado por cemasmas

    1 Respuestas
    1021 Vistas
    Último mensaje Diciembre 06, 2011, 02:34:35 am
    por .:.IlcOn14.:.
    xx
    Instalar Windows 7 en partición de Asus con Windows 8 "sin borrarlo"

    Iniciado por david asus f550c

    3 Respuestas
    4150 Vistas
    Último mensaje Enero 18, 2014, 05:28:34 am
    por Jose1960
    question
    ""Problemas al Crear un punto de acceso falso con Kali Linux""

    Iniciado por corostica

    0 Respuestas
    660 Vistas
    Último mensaje ſeptiembre 10, 2015, 03:09:18 pm
    por corostica