Abril 24, 2018, 04:27:33 pm

Autor Tema: Informática Forense "Plataformas Windows" --> construcción  (Leído 33520 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #15 en: Marzo 10, 2008, 10:12:20 pm »
Tipos de Logon en un sistema
basado en Windows

Cita de: elhacker.net
Los sucesos de inicio de sesión en un sistema Windows se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva, los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.
La categoría de inicio de sesión en Windows registrará la entrada con un evento ID 528 que contendrá una serie de datos importantes, como son el tipo de entrada y el ID de inicio de sesión.
Dependiendo del inicio de sesión que hagamos en la máquina, ya sea a través de recursos compartidos, de forma remota o de forma física, Windows registrará ese inicio de sesión con una numeración u otra.
Algunos tipos de inicio de sesión son:

Tipo 2. Interactivo. Entrada a un sistema desde la consola (teclado)
Tipo 3. Red. Entrada al sistema a través de la red. Por ejemplo con el comando net use, recursos compartidos, impresoras, etc...
Tipo 4. Batch. Entrada a la red desde un proceso por lotes o script programado.
Tipo 5.  Servicio. Cuando un servicio arranca con su cuenta de usuario.
Tipo 7. Unlock. Entrada al sistema a través de un bloqueo de sesión.
Tipo 10. Remote Interactive. Cuando accedemos a través de Terminal Services, Escritorio Remoto o Asistencia Remota.



Ps. no sabia bien como responder esto, haci opté por hacer una cita a un documento que encontré el elhacker.net redactado por silverhack
SOLO LOS QUE DEJAN DE INTENTAR, FRACASARÁN...

Si no fuera por C, existiría Obol, Pasal, ++, #...

WinJaNet, abre sus puertas, para todos los programadores e interesados en programación!!


Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #16 en: Marzo 12, 2008, 01:10:05 pm »
La Papelera de Reciclaje

Cita de: WaesWaes
Bueno primero que nada hay que decir que la papelera de reciclaje no es ningún programa es una carpeta con un icono distinto, es una parte del disco que esta reservada solamente para almacenar archivos que eliminamos y si nos equivocamos lo queremos recuperar (yo había posteeado un tema para entre otras variar la capacidad que le queramos asignar a la papelera)

Bueno en la papelera cuando la abrimos tenemos todos lo archivos que eliminamos con sus datos y también la fecha en que eliminamos cada archivo... pero estos a su ves no ocupan el espacio que ocupa el archivo real

O sea la papelera de reciclaje no es más que una carpeta que cuando nosotros eliminamos un archivo este va a ahí por si queremos recuperarlo INTEGRAMENTE

Pero que pasa si eliminamos el archivo de la papelera de reciclaje

Bueno para empezar una ves que lo eliminamos de la papelera de reciclaje es posible que no recuperemos el 100% del archivo que eliminamos

Bien que pasa cuando nosotros ponemos “vaciar papelera de reciclaje” con los archivos que tenia adentro

Bien la forma de almacenamiento que poseen los discos duros hace que cuando eliminamos un archivo este no desaparezca del todo solamente son “marcados” como eliminados entonces esto nos da la posibilidad de poder recuperarlos porque el archivo queda físicamente en el disco duro pero lo que pasa es que el usuario de la PC no lo puede ver........... .......esta información que queda almacenada es la que nos tenemos que proponer a recuperar pero hay que recuperarla lo mas rápido posible porque a medida que nosotros estos ficheros sin querer los podemos reemplazar por otros...si tenemos la suerte del que el archivo eliminado conserva todos su ficheros lo recuperaremos al 100% pero esto solo puede pasar si nosotros eliminamos el archivo y nos proponemos a recuperarlo o sea sin hacer ninguna acción entre medio de le eliminación y la recuperación puesto que cuando mas cosas hagamos mas ficheros serán reemplazados y el archivo será recuperable pero una parte de sus ficheros no entonces no tendremos un archivo al 100%

Bueno lo mas indicado para recuperar un archivo es con un programa recuperador pero la pregunta dice que sin usar ningún software y si existe una forma de recuperación de un archivo sin ningún software pero es muy riesgosa

Bueno la manera de recuperar un archivo seria tener otro disco duro un segundo pero este configurado como maestro donde tendría que estar el s.o. y entonces poder acceder al otro disco duro sin afectar sus ficheros que este estaría configurado como esclavo
Como no siempre podemos acceder a un disco duro con el s.o. tendríamos que llevar el disco duro a otra computadora y configurarlo como esclavo y desde el s.o. acceder que esto es lo que pasa cuando la llevamos a lo del técnico

Bueno la otra opción mucho mas fácil es con un punto de restauración que se hay creado antes de eliminar los archivos pero estos o a veces no los creamos o a veces no andan

El método gutmann es el mas seguro para borrar un archivo o sea es el método que lo hace menos recuperable a un archivo. Este método es básicamente un algoritmo para eliminar de forma segura el contenido en un medio de almacenamiento

El funcionamiento del algoritmo consiste en escribir sobre los datos del archivo original 35 patrones distintos o sea se sobrescriben sobre las datos originales otros datos nuevos de esta manera se hace imposible poder recuperar el archivo ya que los ficheros ya fueron reemplazados en forma física

Este método si queremos saber el borrado de un archivo puede y no ser necesario saberlo si solamente nos interesa eliminar un archivo no y si lo que queremos saber es el borrado físico de un archivo si ya que este método es tan bueno solamente porque borra el archivo físicamente reemplazando los ficheros pero si nosotros queremos saber como se eliminan los archivos a fondo seria necesario saberlo ya que a pesar de que hay métodos similares no tan conocidos es el mejor método de borrado que existe

Cita de: ルグブ90
La papelera de reciclaje es una carpeta q se encuentra en el directorio raiz de cada particion del/los disco/s rigido/s con el nombre "recyled". cada vez q "eliminamos" un archivo windows lo mueve hacia esa carpeta.
segun lo q se, cuando una caropeta esta compartida y borras un archivo, pones propiedades, versiones previas, buscas el archivo o lo restauras; creo q era algo asi... si no es asi, creo q no se puede (hasta donde se)
si un archivo se elimina desde windows, generalmente lo elimina de la FAT y de la parte fisica del disco rigido (aunq no aplique muchas sobreescritura s en la parte fisica)
en cambio, si se elimina desde cmd, creo q la mayoria de las veces solo lo elimina de la FAT, dejandolo fisicamente, por lo q es muy facil de recuperar...

el metodo gutmann consiste en sobreescribir muchas veces, con complicados y aleatorios algoritmos de codificacion, los sectores del disco rigido en los q se encuentre el/los archivo/s a eliminar, de tal forma de que sea muy dificil (por no decir imposible) de recuperar.
Este metodo debe ser conocido para saber como se eliminan los archivos fisicamente(aunq hay otros metodos que casi ni se usan), pero no hace falta conocerlo para saber como se eliminan desde la FAT

INFO2

Para esta pequeña prueba he enviado un archivo, llamado Tesis.doc a la papelera, pero no se ha vasiado, ya que si se vacía se eliminaría la forma didáctica de resolver esta pregunta "Qué es INFO2 ???"

Código: You are not allowed to view links. Register or Login
C:\RECYCLER\S-1-5-21-1202660629-117609710-839522115-1004>dir /a
 El volumen de la unidad C no tiene etiqueta.
 El número de serie del volumen es: 5C1A-A03B

 Directorio de C:\RECYCLER\S-1-5-21-1202660629-117609710-839522115-1004

12/03/2008  15:54    <DIR>          .
12/03/2008  15:54    <DIR>          ..
13/11/2007  23:54         1.161.216 Dc1.doc
12/03/2008  02:39                65 desktop.ini
12/03/2008  15:54               820 INFO2
               3 archivos      1.162.101 bytes
               2 dirs   5.843.357.696 bytes libres

Primero veamos cada uno de los archivos que se ubican en este directorio:

  • Dc1.doc = Abrir --> Tesis.doc == podemos decir que Dc1.doc es un documento que ya hemos borrado pero cambiando el nombre original (Tesis)
  • desktop.ini = es la información dedicada al escritorio
  • INFO2 --> eliminarla... sirve para nada... :P

Analizando INFO2

rifiuti2

You are not allowed to view links. Register or Login

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #17 en: Marzo 22, 2008, 06:18:56 pm »
Licencia

Código: You are not allowed to view links. Register or Login
http://www.filefactory.com/file/7e274e">LicenciaWinXP.rar

http://www.megaupload.com/?d=I09M07J8

http://www.gigasize.com/get.php?d=680tyhdbv7c

La Pass... uff lo siento mucho, tendrán que sacarla por su cuenta... xD

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #18 en: Marzo 22, 2008, 06:29:25 pm »
Registro de Windows
duffman007 & chr0n05

¿Qué es el registro?

Según a Microsoft Computer Dictionary:

El registro es una base de datos jerárquica que se encuentra en las versiones de Windows  y es aquí donde se guarda información vital para el funcionamiento del sistema operativo como el hardware con el que contamos, la ubicación de las aplicaciones, nuestras personalizaciones, etc. Así que es muy importante no mover nada del registro si no sabemos como usarlo ya que podríamos dañar nuestro sistema.

Su ubicación es esta: /%systemroot%/regedt32, y podemos abrir el editor del registro haciendo doble clic sobre regedt32.exe o desde ejecutar escribiendo la palabra regedit para lanzar la aplicación.

La primera versión de Windows con GUI, denominada Windows 3.xx, el registro se guardaba en todas las extensiones *.ini, en Windows 9x Esta formado por dos archivos, system.dat y user.dat., Windows Me agrega el archivo Classes.dat, y en Windows XP y en Windows Vista el registro se basa en todos los archivos que se encuentran en %systemroot%/system32/config

Se forma  por una estructura de seis secciones llamadas llaves

HKEY_CLASSES_ROOT:
Aquí se guardan las ubicaciones de los programas y comúnmente es abreviado como HKCR, si modificamos, borramos o cambiamos alguna clave afectara a todos los usuarios.

HKEY_CURRENT_USER: Almacena el perfil de los usuarios como puede ser la resolución de la pantalla, las carpetas de los usuarios, la velocidad del doble clic del mouse , el volumen de los altavoces, en resumen almacena nuestras configuraciones personales.
Es abreviada como HKCU

HKEY_LOCAL_MACHINE: Al contrario de lo que seria HKCU aquí se guarda la configuración general del equipo como son los drivers que utiliza para su buen funcionamiento así como la información de los programas que instalamos . Se abrevia como HKLM

HKEY_USERS: Contiene los perfiles de los usuarios que se mantienen activos en el equipo así como el registro exacto de cada actividad que ocurre en el equipo . Se abrevia como HKU

HKEY_CURRENT_CONFIG: Aquí se almacena la información del hardware del equipo, en general mantiene la información actualizada

Los valores que podremos encontrar son los siguientes

Valor binario   

REG_BINARY   

Este es utilizado para guardar la información del hardware, se almacena en forma binaria y se muestra como hexadecimal

REG_RESOURCE_LIST   

Se muestra en formato binario y se almacena en hexadecimal. Se usa para almacenar los recursos utilizados por el hardware del equipo

REG_FULL_RESOURCE_DESCRIPTOR   

Almacena los recusrsos utilizados por los dispositivos de hardware, Se muestra en formato hexadecimal como valor binario

REG_RESOURCE_REQUIREMENTS_LIST   

Almacena una lista de recusos disponibles para los dispositivos de hardware. Se muestra en formato hexadecimal como valor binario


Valor DWORD

REG_DWORD   

Se representan por un número de 4 bytes de longitud. Almacena la mayoría de parámetros de los controladores y dispositivos. Se muestra en formato binario, decimal o haxadecimal

Valor QWORD   

REG_QWORD   

Se representan por un numero entero de 64 bytes y se muestra como un valor binario

Vinculo   

REG_LINK   

Es una cadena unicode que da nombre a un vinculo simbolico

Valor de cadena multiple   

REG_MULTI_SZ   

Las entradas de este tipo estan separadas por símbolos y contienen listas o valores multiples.

Valor alfanumérico expandible
   

REG_EXPAND_SZ   Es una cadena de datos de longitud variable, Incluye variables que solo pueden ser resueltas cuando un servicio o programa las utiliza

REG_NONE   

El sistema o programa escribe estos datos en el registro y se muestran como un valor binario en formato hexadecimal

Editar el registro

Para editar el registro utilizaremos el editor que viene en Windows (regedit.exe). Para abrirlo lo haremos de la manera antes mencionada. Una vez abierto tendremos una ventana como esta



A nuestra izquierda estarán los valores ya mencionados. Para expandir o contraer cualquier cadena bastara con que situemos nuestro cursor en el signo +,- dando un clic izquierdo o hacer doble click sobre el nombre o la carpeta.

Para buscar

Para Buscar una clave en el registro iremos a edición/buscar y/o buscar siguiente, o simplemente presionamos F3. Cuando lo hayamos echo nos quedara una ventana como esta



Ahí introduciremos el nombre que deseamos encontrar ya sea que se encuentre en una clave, algún valor o dato, además de que nos dará la opción buscar en cadenas completas

Agregar o eliminar claves y subclaves

Para agregar una subclaves nos situamos en la parte donde esta será agregada, damos click con el boton derecho del Mouse en nuestro panel derecho y a continuación se nos mostrara la palabra nueva con un subíndice con las opciones valor alfanumérico, valor binario, valor dword,  valor de cadena múltiple, valor de cadena expandible  y arriba de todas estas opciones se encuentra la palabra clave, si seleccionamos esta ultima nos agregara una clave en forma de carpeta de nuestro lado izquierdo, según dentro de que clave nos encontremos . También lo podemos hacer de esta forma, en la barra de herramientas nos situamos en edición, nuevo y a continuación nos dara las opciones ya mencionadas.  Según el valor que necesitemos escogeremos una de estas opciones. 

Eliminar claves y  subclaves

Para eliminarlas nos situaremos en la clave o subclave y presionaremos con el boton derecho de nuestro Mouse para que nos salga la opción de eliminar, igualmente lo podremos hacer seleccionando lo que vayamos a eliminar y presionado supr o de nueva cuenta desde edición.

Otras funciones de la opción editar

Las funciones que incluyen el menú edición son:

Modificar: Dependiendo de la subclave podremos cambiar el nombre del valor, la información del valor y  la base ya sea hexadecimal o decimal.

Cambiar datos binarios: Aquí remplazaremos o eliminaremos el byte o los bytes  que deseemos modificar

Nuevo: Agregaremos una clave o subclave ya sea alfanumerica, binaria, de cadena multiple, expandible o de tipo de dword.

Permisos: Aquí podremos otorgar los permisos a los diferentes usuarios para que puedan utilizar el editor del registro

Eliminar: Desde aquí  podremos eliminar las claves y subclaves ya previamente seleccionadas

Cambiar Nombre: Con esta opción cambiaremos el nombre a las diferentes claves y subclaves

Copiar nombre de clave: Copia la ubicación y nombre de la clave

Buscar: Aquí introduciremos el nombre de los datos, el valor o la claves que queramos encontrar
Buscar siguiente: La diferencia entre buscar y buscar siguiente radica en que si hemos introducido una ruta en buscar solo basta presionar f3 para buscar el valor antes introducido

Importar y exportar claves

Esta es una de las partes más útiles del editor del registro de Windows ya que además de importar y exportar claves podremos hacer una copia de seguridad

Para exportar o importar todo o una porción del registro seguiremos los siguientes pasos:

Nos situaremos en archivo, luego daremos click en exportar y solo nos queda asignar el nombre a nuestro archivo con extensión .reg y decidir si exportaremos todo o solo una parte asignándole la rama que deseemos.

Para importar de nueva cuentas nos ubicamos en archivo, le damos click izquierdo en importar y seleccionamos nuestro archivo.

Si lo queremos es un archivo en especifico ya sea que lo importemos o exportemos solo seleccionaremos la parte deseada y nos vamos a importar o exportar según corresponda. Una vez ahí solo bastara con que le asignemos un nombre, elegir archivos de subárbol de Registro y por ultimo seleccionar abrir o guardar.

Seguridad en nuestro Registro

La seguridad en nuestro Registro no hay que dejarla de lado, un fallo podría producir la destrucción de nuestro Sistema Operativo, llámese Windows XP, Win9x, entre otros. Por ello debemos complementar una política de seguridad fácil y factible a la hora de un ataque o una intrusión al Sistema.

Implementar la seguridad en nuestro registro es bastante sencilla y rápida de realizar, basta tan solo con hacer un click derecho sobre la llave deseada e ingresar a los permisos



Aquí podremos realizar los permisos de seguridad que deseamos que contenga el Registro, como por ejemplo que el registro solo sea modificado por un Administrador, o que este incluido dentro del grupo de Administradores, ahí es cosa de gustos.

Otra sencilla forma de hacer el eliminar de Sistema el Regedit, ya que es solo un editor del registro de Windows, no es el registro en sí, les recuerdo que el registro de Windows se divide dependiendo de la versión que se esté utilizando.

Solo recordemos que para editar el registro necesitamos acceder como administradores.
« Última modificación: Junio 19, 2008, 01:56:13 pm por CHR0N05 »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #19 en: Marzo 31, 2008, 02:53:28 pm »
Index.dat e Internet Explorer

Primero que todo debemos saber que es un Browser, para que sirve, algo de su funcionamiento...

Segundo deseo inmensamente hacerlos conocer que es lo que hace el Internet Explorer (Iexplore.exe), dentro de su Pc...

Comenzemos...

Dentro de la industria de Navegadores existían dos grandes competidores, que era Internet Explorer, difundado por Microsoft y  Netscape Navigator (comercializado y el primero)... Internet Explorer practicamente sacó a Netscape Navigator del mercado, por tan solo incorporar a IExplorer dentro de Windows (sin coste aparte), por esto Netscape se vio en la obligación de ser Gratuito...  Claro que en estos momentos existen más competidores...

Más información sobre Browser:

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login. xD... todos los googles!!

Internet Explorer

Como se mencionó anteriormente Internet Explorer o tambien llamado IE, actualmente esta en su versión 7.0

You are not allowed to view links. Register or Login

Mejorado enormemente en contra de su antecesor IE 6.0.xxxx

Index.dat

Seguramente se preguntarán que demonios es Index.dat, bueno es un archivo que deja almacenadas todas las páginas Web que son visitadas por el usuario...

Internet Explorer, primero busca en la caché, obviamente se puede borrar la caché, tanto con Programas externos o con el mismo IE, (Herramientas --> Opciones de Internet --> Eliminar archivos), pero he aquí la diferencia, esta opción solamente borra los archivos temporales o el mismo historial, pero no borra las páginas visitadas que se encuentran en este archivo.

Para poder ver este archivo debemos mostrar todos los archivos ocualtos y del sistema, ya que esta con esos permisos y no se puede acceder desde el mismo Windows...

Cuales son los problemas que nos puede traer este archivo ???... problemas de privacidad no creen ???...

Para solucionar este tipo de problemas, lo mejor, claro está, que es eliminar el contenido de Index.dat.

Para ello tenemos dos opciones:

  • spider
   You are not allowed to view links. Register or Login
  • Limpiar el archivo Index.dat

Para limpiar el archivo, debemos terminar con el proceso explorer.exe, vemos ingresamos en el modo consola de Windows, verificamos si esta siendo ocupado y luego procedemos a la eliminación del archivo...

Visualizar el Archivo Index.dat en Windows

Código: You are not allowed to view links. Register or Login
find /i "http://" index.dat | sort > C:\historial.txt
A ver si pueden hacer que se vea el Index.dat, acabo de dar la solución... :P

Código: (EJEMPLO) You are not allowed to view links. Register or Login

---------- INDEX.DAT

ð­ Visited: vVegeta@http://www.daemon-search.com/startpage
Visited: vVegeta@http://rad.msn.com/ADSAdClient31.dll?GetAd=&PG=IMSHPS&AP=1007
Visited: vVegeta@http://t.msn.com/es-us/home.aspx?ver=8.1.0178&did=1
Visited: vVegeta@http://t.msn.com/es-us/home.aspx?ver=8.1.0178&did=1&t=
9XwaDpPtnF33isvvIskDPIaQQwzrzJjgcgxS1jSiANMkxjjFFGUALvRncvbZd93OrzY
UaKgupSucsZ5BhibJffm8fGCnKILV8iQtRhgj!a7UFBIEiKgyjolXbTGXYBjDXl&p
=91RKyR2RICC7sNsLOvegkTbVg3HO8Q8!C9mAeIl8HMn**U0!NYWFxtne2E
cM9H4bJxtOGMXoATN3yvTdeR52u!eM4ew8794y9bCqv8Z5B7XqgG!
AF3QqLo*FZu6Al*U4r!2*5WE$
« Última modificación: Marzo 31, 2008, 08:19:17 pm por vVegeta »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #20 en: Abril 01, 2008, 10:46:44 am »
Service Pack, HotFix

Generalmente se tienden a confundir, pero un Serice Pack es distinto a un HotFix.

Service Pack

Un Service Pack, es aquel que contiene la Versión de Windows y aplicaciones actualizadas. En el Service Pack se puede encontrar, actualizaciones, drivers y herramientas, además de las mejoras del Sistema Operativo en cuestión.

Los Service Pack son especificos para cada versión de Windows, hay que tener en cuenta que no se utiliza el Service Pack 1 de Windows XP Home, en un Windows XP Professional, son sistemas distintos, no confundir.

HotFix

De forma sencilla, son las revisiones que contiene el producto en evaluación. HotFix se utiliza con el fin de subsanar errores (bugs), específicos.

HotFix no se somete a pruebas totalmente rigurosas con respecto a un Service Pack, ya que solamente es para sanar un bugs.

QFE (Quick Fix Engianner)

Desconectado WaesWaes

  • Actualmente es
  • Colaborador
  • ****
  • Mensajes: 4402
  • You are not prepared!
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #21 en: Abril 01, 2008, 05:38:02 pm »
con respecto al index.dat quero aclarar que vienen programas para explorarlo y tambien que programas como el ccleaner eliminan su contenido asi que avese no hay todo lo que uno espera en ese archivo.....

uff no tengo tiempo para aportar nada.......esta escuela me consume todo el tiempo :/

saludos

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #22 en: Abril 23, 2008, 02:06:07 pm »
Shell

Aquí más que todo, deseo hablar de la famosa, PowerShell de Windows.

Asi que primero debemos saber que cambiar los permisos desde la PowerShell, es practicamente muy complicado, esto es porque los permisos de Windows son por naturaleza complicados y complejos. Simplemente porque Windows y sus permisos están variados en distintas partes, ya sea ActiveDirectory, Registro y/o archivos varios.

Tenemos que saber que existe un ACL (Access Control List), que se adjunta bajo al tipo de recurso a utilizar. tambien se basa en los objetos ACE (un usuario o grupo, que es otro objeto), debemos saber que son cinco objetos:

  • El recurso
  • la ACL
  • la ACE
  • la entidad de seguridad
  • un permiso

En el caso de auditorias todo se duplica, y tenemos que tener en cuenta:

  • DACL (Discretional ACL)
  • SACL (Security ACL)

MORE: You are not allowed to view links. Register or Login

Administracion de recursos ActiveRoles para Active Directory de Quest Software: You are not allowed to view links. Register or Login

¿Eficaz con los permisos?

Cita de:  Don Jones
He oído que Windows PowerShell no cumple las expectativas en lo que respecta a permisos porque no proporciona un cmdlet nativo que ofrezca administración de permisos simplificada y universal. No estoy de acuerdo. En primer lugar, este argumento normalmente proviene de administradores con mucha experiencia en UNIX, y el sistema de permisos de Windows es mucho más complicado que el de UNIX. Al exponer este sistema, Windows PowerShell también se complica. Sin embargo, esto no es un problema de Windows PowerShell.

Además, Windows PowerShell le permite usar herramientas simplificadas como las tradicionales utilidades de línea de comandos, tal y como ya se ha demostrado aquí. Es cierto que .NET Framework necesita una expansión para cubrir mejor la administración de permisos en toda la plataforma de Windows. En general, Windows PowerShell le ofrece ambas opciones: la administración simplificada de permisos y el acceso a herramientas de administración granulares y precisas.

Desconectado WaesWaes

  • Actualmente es
  • Colaborador
  • ****
  • Mensajes: 4402
  • You are not prepared!
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #23 en: Abril 23, 2008, 07:56:51 pm »
quizas esto aporte un poquitin mas

You are not allowed to view links. Register or Login

0% de intencion de spam

saludos

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #24 en: Mayo 10, 2008, 02:02:43 pm »
Kernel

El Kernel o Núcleo, es esencial para cualquier O.S. sea Windows o Unix... en rasgos generales el Kernel, es el encargado de gestionar todos los recursos de la computadora.

Más info de las definiciones del Kernel:

You are not allowed to view links. Register or Login)

Linux vs Tannenbaum (Muy recomendable --> Inglés)

You are not allowed to view links. Register or Login

Cita de: WaesWaes
bien el kernel o nucleo es la pieza mas importante de un sistema operativo sea cual sea este. vendria a ser como el corazon de nuestro sistema operativo

el kernel es un sofware que se puede dividir en dos grandes rasgos

manejo de prosesos

manejo de dispositivos

como podemos observar el kernel esta en contacto con las dos partes de una computadora el software y el hardware. bien esto es porque el kernel es el encargado de traducir las señales que emiten los dispositivos(hardware) para que puedan ser leidas por los prosesos (software) cabe destacar que el software y el hardware  se nesesitan mutuamente para el funcionamiento de la computadora pero sim embargo estos dos campos de la computacion no se entienden entre si  entonces para que podamos conectarlos o hacerlos entender nesesitamos un traductor bien este traductor es el kernel

dicho de una manera mas corta y facil es el encargado de traducir y enviar a los software del sistema las ordenes que el hardware manda

pero el kernel no solo se encarga de eso. piensen que nosotros en una computadora "tipo" con windows como s.o. tenemos mucho mas sofware que hardware (dicho en otras palabras tenemos muchos programas y no disponemos de mucho hardware) entonces el nucleo aparte va a ser el encargado de que programa va a poder usar y durante cuanto tiempo lo va a poder usar al hardware esto se llama multiplexado (para que quede claro vendria a ser como un regulador automatico)

windows xp y vista usan "nucleos hibridos" que son nucleos usados por una amplia gama de s.o.

bien los nucleos hibridos son similares a los micronucleos (que no voy a explicar en este post que son) pero tienen algunos codigos que no son muy reelevantes en espacio de nucleo en ves de em espacio de usuario.que logramos con esto bueno que se ejecute mas rapido. vendrian a ser como una hibridacion (es el proceso de mezclar diferentes variedades de cosas para crear un hibrido.)entre los micronucleos y el monolitico

pero los nucleos a pesra de ser los dos hibridos no son iguales

en xp el planificador de tareas mencionado arriva utiliza el reloj para medir el tiempo de ejecucion de cada hilo. que pasa parece que esta todo bien pero no, no esta todo bien porque el inconveniente que nos trae esto es que en el tiempo que se ejecuta cada hilo puede que se haya dedicado tambien a otras tareas y esto es algo que no se tiene en cuenta

una cosa que se cambio en el nuevo kernel hibrido es que se agrego un planificador para aplicaciones multimedia(MMCSS).que se encarga de cambiar la prioridad de los hilos que estan registrados en el, para que tengan la cantidad de CPU que han solicitado.(cpu nombre cientifico no nombre cotidiano o ordinario)(lo de cpu lo aprendi hace poco de rgb90...bueno sigamos)

otra cosa y una de las mas importantes es que se reemplazo el reloj que dije arriva para medir el tiempo de ejecucion de cada hilo. en el nuevo kernel hibrido de windows vista en ves de usar el reloj se usa un contador de ciclos entonces de esa manera se puede planificar las tareas y entonces vamos a poder ver cuanto tiempo hemos  usado un hilo determinado, y saber si se tiene que cambiar de hilo o no.

otra modificacion es que se ha añadido un planificador de entrada/salida para poder priorizar las peticiones de las aplicaciones en base al uso de "completion ports" que se usa para sicronizar las entradas y salidas "asincronas"(creo que se escribe asi) de windows para entonces poder evitar un cambio de contextos innesesarios

tambien una de las cosas nuevas es que si windows encuentra un error que no se puede recuperar en el kernel (generalmente causado por problemas con el hardware) rata de evitar que se dañen los datos del disco   para hacer esto primero que nada detiene el sistema (famosa pantalla azul) y tambien mediante la escritura del contenido de la memori fisica en un archivo de volcado(en las versiones anteriores aperecian las pantallas azules pero no los archivos de volcado

tambien en el nuevo kernel se mejoro el bloqueo de las aplicaciones en versiones anteriores a vista cuando se bloqueaba una aplicacion El controlador iniciaba el proceso Informe de errores de aplicaciones (AER)
este es el famoso cartelito que dice enviar informes de errores o no enviar 8que en un post antiguo postee como hacer para sacarlo) pero si el subproceso principal del proceso se dañaba durante el bloqueo el controlador se bloqueaba al ejecutarse y el kernel es el encargado de finalizar el proseso

ahora en windows vista se saco el manejo de errores fuera de los prosesos
del bloqueo y se lleva a un servicio nuevo que se a implementado (WER) que es un dll. Cuándo se bloquea una aplicación (en el nuevo kernel estamos hablando no) se sigue ejecutando un controlador de excepción no controlado, pero el controlador envía un mensaje al servicio WER y este manda un mensaje de error y en el nuevo kernel si se daña la pila el controlador se ejecuta y bloquea hasta que se consuma toda la pila del sub proseso y despues ahi interviene el kernel

che que pregunta larga que hicieron.....

tambien en el nuevo kernel se implemento algo que si mal no recuerdo se llama volumenes instantaneos

esto sirve para crear "intantaneas" de los volumenes de un disco que para hacer un poco mas corta la respuesta sirven para visualizar de forma rapida que hay dentro de cada volumen. tambien sirven para crear automaticament e copias de seguridad antes de que nosotros metamos mano a la compu (cosa que para novatos les viene al pelo)

EL Kernel de Windows Vista:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Nadie dijo que se hiba a entregar todo en bandeja de plata... :D :toma:, siempre he dicho, yo entrego las herramientas, ustedes verán lo que hacen con ellas... pero siempre se les puede dar una mano... siempre y cuando esten estudiando... ;)

 :cura:

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #25 en: Mayo 10, 2008, 02:08:59 pm »
Recuperación de Información

Sectores Defectuosos
Bad Cluster

Generalmente cuando se habla de Bad Clúster o Sectores defectuosos, da miedo y lo primero que dicen es: ”cómprate uno nuevo”.

Los Sectores Defectuosos (Bad Clúster), son nada más que daños físicos en los discos magnéticos, fallos en la superficie de grabación, que generalmente aparecen a los picos de tensión en el uso normal o al simple envejecimiento del dispositivo.

En el primer caso no hay de que preocuparse. Pero si cuando el cabezal de lectura del HDD está leyendo un sector se corta de pronto el suministro de energía, el sector podría llegar a estropearse. En este caso solo basta pasar un Scandisk, por el HDD para seguir utilizándolo normalmente.

You are not allowed to view links. Register or Login

En los casos que existan muchos Bad clústers, es recomendable reparticionar el HDD, aislando los bad clústers, por ejemplo si observas que la mayoria de los Bad Clúster se encuentran en el último 25% del Disco, reparticionaremos el Disco quedando solo el 75% para utilizarlo, claro es mejor que botarlo o no ???

Tengamos en cuenta que los HDD´s modernos tienen una zona reservada para estos casos, los clústers se sustituyen por otros que el mismo disco tenia reservados de esta forma se puede utilizar la mayoria de los clusters en buen estado.

Formateo del Fabricante

El número de sectores guardados depende totalmente del fabricante del disco, pero en total hay sólo unas cuantas decenas de ellos.

Las direcciones de los principales fabricantes son:

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login


La mayor parte de estos programas han sido desarrollados por Ontrack y licenciados luego para sus respectivos fabricantes. Pero Ontrack comercializa un programa llamado Ontrack Disk Manager (Disk Go!), que funciona para cualquier HDD

You are not allowed to view links. Register or Login

Recuperación de Archivos

La clave de la Informática Forense, es el análisis correspondiente de los Discos Duros, discos extraíbles, Cd´s, Discos SCSI, entre otros muchos otros medios de almacenamiento. Este análisis no solo busca pruebas incriminatorias, sino que también contraseñas, nombres de usuario entre otros mas que se pueden utilizar para tener pruebas correspondientes para un juicio.
Por esto quiero comenzar con el asunto de:

Los archivos son creados en varios tamaños dependiendo de lo que contengan. Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de los archivos coinciden perfectamente con el tamaño de uno o muchos clusters. 
 
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del  cluster se llama ”file slack". Los tamaños de los  clusters varían en longitud dependiendo del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la partición lógica implicada.
 
Un tamaño más grande en los clusters significan más file slack y también mayor pérdida de espacio de almacenamiento. Sin embargo, esta debilidad de la seguridad del computador crea ventajas para el investigador forense, porque el file slack es una fuente significativa de evidencia y pistas.

El  file slack, potencialmente contiene octetos de datos aleatoriamente seleccionados de la memoria del computador. Esto sucede porque DOS/Windows escribe normalmente en bloques de 512 bytes llamados sectores. Los clusters están compuestos por bloques de sectores, si no hay suficientes datos en el archivo para llenar el ultimo sector del archivo, DOS/Windows diferencia hacia arriba(los datos) completando el espacio restante con datos que se encuentran en ese momento en la memoria del sistema.

Archivo Swap de Windows

Los sistemas operativos  Microsoft Windows utilizan un archivo especial como un "cuaderno de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional. En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos Swap de Windows. En Windows NT/2000 se conocen como directorios de página de Windows pero tiene esencialmente las mismas características que los de Win9x.
 
Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de PC son inconscientes de su existencia. El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrónicos, la actividad en Internet (cookies, etc), logs de entradas a bases de datos y de casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo esto genera un problema de seguridad, porque el usuario del computador nunca es informado de este almacenamiento transparente.
 
Los Archivos Swap de Windows actualmente proporcionan a los especialistas en computación forense pistas con las cuales investigar, y que no se podrían conseguir de otra manera.

Unallocated File Space

Cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el contenido de los archivos no es verdaderamente borrado. A menos que se utilice algún software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado (Unallocated File Space). Igual sucede con el file slack asociado al archivo antes de que éste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados mediante herramientas de software para el análisis de la computación forense.

Eliminación por la papelera de Reciclaje

   Windows no elimina totalmente el archivo aunque hubiesemos ordenado vaciar la papelera, simplemente sustituye la primera letra del nombre de cada archivo en el sistema de archivos del disco, para no volver a reconocerlo y seguidamente marca todo el espacio ocupado por el archivo como segmentos disponibles, y designa al archivo como susceptible de escribírsele encima.
Si trabajamos con Windows XP podemos restaurar estos archivos manualmente:

1. Desde Inicio, Ejecutar, escribir MSCONFIG y pulsar Enter.
2. En la pestaña “General”, se oprime el botón “Expandir archivo”
3. En “Archivo para restaurar” escribir el nombre del archivo a restaurar. Ej.: NOMBRE.XXX
4. En “Restaurar desde” escribir el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:I386, si la unidad de CD fuera la D:, de lo contrario, buscar su ubicación en el disco rígido, donde se suelen copiar antes de una instalación).
5. En “Guardar archivo en” asegurarse de tener C:WINDOWSSYSTEM32, o la carpeta donde Windows guarda el archivo a recuperar (System32 es la ubicación por defecto para los archivos del sistema en Windows XP)
6. Hacer clic en “Aceptar”.
7. Repetir los pasos 2 a 6 para extraer los archivos que sean necesarios

GetDataBack.

   GetDataBack for NTFS es un software de recuperación de datos para sistemas de archivos NTFS. El programa va a recuperar tus datos incluso en situaciones extremas, con la tabla de particiones, el boot record o el directorio root destruídos.
Además de todo esto se pueden recuperar archivos en particiones borradas y formateadas, que el sistema operativo no reconoce, o donde toda la información de directorios está perdida.
Funciona con algoritmos avanzados que aseguran que todos los directorios y subdirectorios se recompongan tal y como eran, y que los nombres de archivos largos se reconstruyan correctamente. Y lo cierto, según hemos podido comprobar algún compañero del foro y yo misma, es así, lo que recupera está tan correcto en sus datos que se puede usar inmediatamente.

Se trata de un programa que aunque no es free, su precio lo hace muy asequible, la versión que nos bajamos sólo nos permite ver que es lo que se puede recuperar, y tan sólo cuando adquirimos la licencia, nos permite recuperarlo.

   
You are not allowed to view links. Register or Login

Recover My Files

Recover My Files es una utilidad para cuando parece que es demasiado tarde, que todo está perdido, y cuando el dicho más vale prevenir que curar ya no es válido y toca irremediablemente curar.

Con esta aplicación podrás recuperar la mayoría de archivos que creías perdidos por obra y gracia de un virus, una equivocación, o cualquier otro problema que te haya hecho perder tus archivos. Incluso si has formateado aún hay posibilidad de recuperar los datos.

Recover My Files ordena los archivos a recuperar por tipo, de forma que si has perdido todos los datos de un disco duro y sólo te interesa recuperar un determinado formato puedes hacerlo fácilmente.

El programa ordena todos los archivos por extensión, como ya hemos comentado, puedes verlos todos o ir directamente a las extensiones que te interesen. Obviamente puedes realizar múltiples selecciones, recuperando por ejemplo los documentos DOC y XLS, y los archivos  MP3 (así hasta más de cien tipos de archivos).
El resto de formatos también puede recuperarlos, simplemente que no los clasifica individualmente.

Recuerda que para poder recuperar el máximo de archivos posible lo mejor es que no uses el disco duro dañado para nada en absoluto, o podrías sobrescribir los datos a recuperar.

Es compatible con los sistemas de archivos FAT 12, FAT 16, FAT 32 y NTFS.

Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños.

El algoritmo MD5 es una funcion de cifrado tipo hash que acepta una cadena de texto como entrada, y devuelve un numero de 128 bits.

You are not allowed to view links. Register or Login

Recuperación On-Line

You are not allowed to view links. Register or Login




“CONSEJOS PARA LA RECUPERACIÓN DE DATOS”

Defragmentar regularmente la unidad: cuanto más repartida esté la info más difícil de recuperar
Estas herramientas recomiendan su instalación en un segundo disco o partición, de tal manera de enviar a otro lado los archivos recuperados.

Ya sea con programas u online, antes de trabajar sobre el rígido o una tarjeta Flash, lo mejor es hacer la prueba con un disquete. Si esta muy usado (con sucesivas “capas” de grabaciones), mejor.

Además, los responsables de PC Inspector recomiendan, para asegurar mayor eficacia en la recuperación de archivos, lo siguiente:

No guardar archivos importantes en el directorio raíz: Los archivos que se guardan en el directorio raíz son sensibles a perderse por formateo rápido, porque las entradas de archivo se encuentran en ese lugar. Evite guardar archivos directamente en la raíz ya que el archivo desaparece si se daña la entrada del directorio. En una emergencia puede recuperar datos muy rápidamente si está en un subdirectorio.

No guardar datos importantes en unidades de pequeña capacidad: La probabilidad de recuperación es menor cuanto más pequeña sea la capacidad del disco.

Una parte esencial para el examinador de evidencias es tener el cuidado necesario para que las pruebas no sean modificadas, para no decir destruidas. Un solo cambio de código puede ocasionar la destrucción de la evidencia, y esta claro esta que queda totalmente inutilizable.

   Para poder realizar esta maniobra debemos realizar un Hash al S.O.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #26 en: Junio 19, 2008, 02:53:15 pm »
Recogida de archivos
Log del sistema

En esta sección netamente veremos los Eventos de Windows, que en su defecto nos permitirán observar si:

  • Código de Acceso --> Seguridad
  • Fallos de Servicios --> Software
  • Reincios (Inexplicables)--> Hardware

Estos tres los podemos visualizar a grandes rasgos.

Ahora veamos donde se encuentran ubicados los Eventos, nos dirigiremos e Herramientas Administrativas y visualizaremos Visor de sucesos... Uff, que trabajo... xD

La versión:


Visor de sucesos
Microsoft Corporation
Versión: 5.1.2600.2180

Muestra los registros de sucesos


Estando dentro podemos ver tres opciones:

  • Aplicación --> C:\WINDOWS\system32\config\AppEvent.Evt --> El registro de aplicación contiene los sucesos registrados por aplicaciones o programas. Por ejemplo, un programa de base de datos podría registrar un error de archivo en el registro de aplicación. Los programadores deciden qué sucesos se deben supervisar.
  • Seguridad --> C:\WINDOWS\System32\config\SecEvent.Evt --> El registro de seguridad guarda sucesos como intentos de inicio de sesión válidos y no válidos, además de sucesos relacionados con el uso de recursos, como la creación, apertura o eliminación de archivos u otros objetos. Un administrador puede especificar los sucesos que se registrarán en el registro de seguridad. Por ejemplo, si habilitó la auditoría de inicio de sesión, se registrarán en el registro de seguridad los intentos de inicio de sesión en el sistema.
  • Sistema --> C:\WINDOWS\system32\config\SysEvent.Evt --> El registro del sistema contiene sucesos registrados por componentes del sistema Windows XP. Por ejemplo, el error de la carga de un controlador u otro componente del sistema durante el inicio queda registrado en el registro del sistema. Los tipos de sucesos registrados por los componentes del sistema están predeterminados por Windows XP.

Tambien depende del Servicio en específico del Server que tengamos montado en nuestra computadora.

Se encuentran ubicados en la misma carpeta que el Registro que nuestro amado Windows nos facilita la vida...

Cuando veamos un Suceso nos deberia de mostrar:

  • Nombre
  • Hora
  • Tipo
  • Usuario
  • Equipo
  • Origen
  • Categoría
  • ID del suceso
  • Descripción
  • Nombre de Compañía
  • Nombre del producto
  • Tipo
  • Versión del archivo

Cómo podeis ver nos entrega una gran cantidad de datos que podemos utilizar para nuestro beneficio

Un pequeño ejemplo de lo que deberían ver:

Tipo de suceso:   Información
Origen del suceso:   SecurityCenter
Categoría del suceso:   Ninguno
Id. suceso:   1800
Fecha:      18/06/2008
Hora:      22:35:42
Usuario:      No disponible
Equipo:   CHR0N05
Descripción:
Se inició el Servicio de Centro de seguridad de Windows.

Para obtener más información, vea el Centro de ayuda y soporte técnico en You are not allowed to view links. Register or Login.


Chequeemos cada uno de ellos...

Origen del Suceso: SecurityCenter...

SecurityCenter es el centro de Seguridad de Windows no es así ???... que podemos visualizar aquí ??? Podemos ver si está activida una configuración AntiVirus, un Firewall y Actualizaciones Automáticas...

Categoría del suceso: Ninguno...

No exite Categoría alguna para el Suceso que ha realizado Una Aplicació de Windows...

Id. suceso:   1800

Cómo podemos saber que pasa con qué dicha ID ???, podemos hacer lo siguiente:

You are not allowed to view links. Register or Login
Security Center ID XXX

Ahí podemos encontrar la solución... Qué pasa si no existe ???... podriamos chequear y recordar que estubo pasando dicho día.

Fecha:      18/06/2008
Hora:      22:35:42

Claro, active el AntiVirus... KAV... por ello se realizó un Registro del Evento de SecurityCenter, gracias a la activación del KAV

Todos los sucesos los podremos archivar, tanto cómo formato *.txt, *.evt o en *.csv

Todos estos formatos almacenan la misma información:

  • Date
  • Hora
  • Origen
  • Tipo
  • Categoría
  • Suceso
  • Usuario
  • Equipo
  • Descripción

Cada archivo de registro tiene un tamaño inicial máximo de 512 KB. Puede aumentar el tamaño máximo de registro a la capacidad de disco y memoria, o disminuirlo. Antes de reducir el tamaño de un registro, debe borrarlo.


Cuando un registro está lleno y no se pueden registrar más sucesos, puede liberarlo borrándolo. Al reducir el tiempo que conserva un suceso, también liberará el registro si permite que se sobrescriba el registro siguiente.




Solo eso puedo deciros sobre los Logs, lo demás tendreis que buscarlo por cuenta de uno... ;)

Saludos

Ps. No hable de mmc
« Última modificación: Junio 19, 2008, 02:58:03 pm por CHR0N05 »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #27 en: Junio 19, 2008, 03:18:45 pm »
Chequeando Run

Algo sencillo y muy potente cuando tenemos que chequear cuando nuestra amada computadora se encuentra en peligro, como es el caso de Virus, Trojan, Worms.. etc...

Deberemos de chequear todos estas rutas:
  • C:\Documents and Settings\%username%\Menú Inicio\Programas\Inicio
  • C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
  • HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs
  • HKLM\System\ControlSet001\Control\Session Manager\KnownDLLs
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
  • HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows

Además de todo esto, debemos saber que Los Trojan o Backdoors trabajan bajo un modo silencioso, quiere decir que se esconden en otros programas para ser indectetables, o en otro modo incian junto con el sistema.

Para detectar todo ello podremos jugar un poco con los dedos... ;D

Código: You are not allowed to view links. Register or Login
wmic /output:C:\services.htm service get /format:hform
WMIc = facilitar administración de tareas automáticas y de script.

Además tenemos que visualizar win.ini, Autoexec.nt, config.sys, system.ini y Autoexec.bat.

Para ello utilizaremos You are not allowed to view links. Register or Login
« Última modificación: Junio 19, 2008, 03:20:26 pm por CHR0N05 »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #28 en: Junio 20, 2008, 11:57:00 pm »
NtUser.dat y archivos del registro
elhacker.net

Dado que Windows utiliza como referencia toda la información que se encuentra en el registro, un analista forense puede utilizar como referencia esta gran base de datos para recabar información sobre la máquina. En la base de datos de registro que se encuentra en el sistema Windows, podremos averiguar:

  • Versión del Sistema Operativo
  • Ruta de instalación
  • Clave de Producto
  • Tipo de Procesador de la máquina
  • Aplicaciones Instaladas
  • HotFix y parches instalados
  • Servicios corriendo en la máquina
  • Configuración y enumeración de los adaptadores de red

Podemos utilizar varias herramientas para analizar el registro. Algunas de ellas son:

  • WRR (Windows Registry Recovery de MiTec)
  • Comando nativo XP FC (Compara ficheros)
  • Access Data Registry Viewer
  • Windows Registry File Viewer
  • Windiff (Herramienta para comparar ficheros)

Una vez abierto estos archivos de sistema que referencian al registro de Windows (SECURITY, SYSTEM, SOFTWARE, SAM, DEFAULT) con alguna de estas aplicaciones, podremos movernos por sus distintas ramas, y poder así analizar los datos que contienen estos ficheros.

Ejemplo práctico: Por ejemplo podríamos averiguar los criterios de búsqueda de un usuario en particular, buscando en el registro del perfil de usuario (ntuser.dat) la clave del historial de navegación de la barra de búsqueda de Google (si la tuviese instalada)

Código: You are not allowed to view links. Register or Login
HKCU\Software\Google\NavClient\1.1\History
Ejemplo práctico2: Podríamos también investigar si un usuario determinado utilizó alguna cuenta de mensajero (Messenger) sin autorización en un sistema comprometido. La clave que nos mostraría esta información (cuenta de correo utilizada) se encontraría en la parte del registro perteneciente al usuario (ntuser.dat), y en la clave siguiente:

Código: You are not allowed to view links. Register or Login
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail



Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Informática Forense "Plataformas Windows" --> construcción
« Respuesta #29 en: Julio 13, 2008, 11:42:28 pm »
Cookies

Qué son las Cookies ?

Básicamente las Cookies son los archivos que guarda una determinada Página Web para poder tener un mejor acceso hacia ella o los que determine. Hacen que la navegación sea mejor, más rápida y conveniente... aunque esto nos puede dar un cierto modo de inseguridad... ya veremos el por qué...

Un mejor entendimiento de ello... imaginemos lo siguiente:

Somos cliente de la empresa QWERTY (que original no ???.... xD), y tenemos a nuestro vendedor Chronos (xD)...

Como somos conocidos por nuestro tan amistoso, amigable, bondadoso, talentoso vendedor, él ya sabe a lo que vamos, entonces la venta se producirá más rápido para el Cliente y para nuestro amado vendedor, ya que sabe nuestros datos personales y los datos que necesitamos (productos)...

Luego de saber que es una Cookie, veremos que es lo que hace...

Misterio, es una de las palabras que utilizaremos en este aspecto.... por qué ???... sencillamente porque no tenemos ni la más remota idea que esta cookie entra en nuestro apreciado ordenador... Sin embargo, dependiendo del Cliente Web que tengamos (explorador), podremos visualizar las cookies...

Netscape Navigator:

C:\\Archivos de Programas\Netscape\Navigator Files

Netscape Communicator:

C:\\Archivos de Programas\Netscape\Users\(Usuario)

Internet Explorer:

C:\Documents and Settings\Usuario\Cookies

Mozilla Firefox

C:\Documents and Settings\Usuario\Datos de programa\Mozilla\Firefox\Profiles\Subcarpeta

Ahora tenemos algunos directorios donde se guardan las Cookies...

Nota: Para hacer lo siguiente, necesitaremos de tener nuestra carpeta de Cookies limpia... pueden usar CCleaner para su conveniencia


Veamos que sale al ingresar con IE7 al sitio Web You are not allowed to view links. Register or Login

Veremos cinco nuevos documentos (exceptuando Index.dat, y desktop.ini [ocultos])...

You are not allowed to view links. Register or Login[1].txt
NombreUsuario@live[1].txt
You are not allowed to view links. Register or Login[2].txt
You are not allowed to view links. Register or Login[2].txt
NombreUsuario@msn[2].txt


Por qué tantas Cookies siendo que ingresé solo a una Página ???... la respuesta es simple... Banners...

Tenemos que tener en cuenta que en las Cookies pueden existir datos tales como el ordenador donde se encuentra, ya sea nombre, modelo, etc... todo depende la cookie...

Ahora todos se encontrarán con la siguiente pregunta:

Son seguras ???

Debemos saber que las cookies no guardan datos personales especificos de un usuario, ya sea nombre, domicilio, fax, telefono, etc.. A menos claro que sean ingresadas en un formulario de la página Web. Sin embargo, podemos saber que existen las Tracking Cookie, son las Cookies maliciosas  con ellas debemos tener cuidado ya que estan pueden ser utilizadas por nuestros grandes enemigos los famosos Spywares que nos pueden sustraer grandes bancos de información de la cookie...

Datos a tener en cuenta:

  • Cookies no pueden tener acceso a datos personales o a archivos de su disco duro
  • Cookies solamente pueden ser leídos por el sitio web que los creó

Manteniendo las Cookies:

  • Cookie Monster
  • Cookie Cutter
  • Cookie Crusher

Estos tres programas nos serán utililes para mantener un control total de nuestras Cookies.

Tambien pueden ser limpiadas si os gustais... CCleaner les puede ayudar para eliminar las Cookies de IE...



Saludos... Si faltó o quereis que modifique algo, no dudeis en contactarme...


exclamation
Lanzan una herramienta "forense" que rompe el cifrado de iPhone y BlackBerry

Iniciado por cemasmas

0 Respuestas
806 Vistas
Último mensaje Mayo 26, 2011, 06:28:14 pm
por cemasmas
xx
Elimina "Mis Documentos" y "Archivos de programa" Con cada inicio de Windows

Iniciado por Sthefano02

1 Respuestas
1546 Vistas
Último mensaje Abril 11, 2010, 01:30:40 am
por LauBuru
xx
"""EJEMPLO VISUAL BASIC PARA ENVIAR MAILS""""

Iniciado por angelsk

2 Respuestas
3554 Vistas
Último mensaje Abril 15, 2006, 10:39:16 am
por NetClass
thumbup
Curso de Seguridad Informatica "En Linea" tecnolinks

Iniciado por rolly21102

2 Respuestas
1324 Vistas
Último mensaje ſeptiembre 12, 2007, 08:09:16 pm
por ÄìmBòt
xx
Ayuda con lineas usando "IF" "&" y "FINDSTR" (codigo propio)

Iniciado por hack-ad

0 Respuestas
1431 Vistas
Último mensaje Mayo 21, 2013, 02:58:10 pm
por hack-ad
thumbup
matar msn y apagar ordena """VIRUS""" para novatos

Iniciado por Spiff

15 Respuestas
8966 Vistas
Último mensaje Junio 03, 2007, 08:45:41 pm
por doggfather
question
comodo firewall bloquea "windows operating system" y "system"

Iniciado por pela.CR

9 Respuestas
2594 Vistas
Último mensaje Junio 04, 2011, 03:54:45 pm
por pela.CR
exclamation
Zuckerberg: Google "gran empresa" pero Facebook tiene "mejores herramientas"

Iniciado por cemasmas

1 Respuestas
1076 Vistas
Último mensaje Diciembre 06, 2011, 02:34:35 am
por .:.IlcOn14.:.
xx
Instalar Windows 7 en partición de Asus con Windows 8 "sin borrarlo"

Iniciado por david asus f550c

3 Respuestas
4215 Vistas
Último mensaje Enero 18, 2014, 05:28:34 am
por Jose1960
exclamation
Australia veta el nuevo "Mortal Kombat" por "demasiada violencia"

Iniciado por cemasmas

4 Respuestas
1120 Vistas
Último mensaje Febrero 26, 2011, 03:07:55 pm
por the dark-angel