• No se han encontrado resultados

Análisis Básico de Computador, Parte V

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Análisis Básico de Computador, Parte V"

Copied!
31
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 31 página )

Texto completo

(1)

Análisis Básico de

Computador, Parte V

Colocando al Criminal en el

Teclado

(2)

Colocando al Criminal en el

Teclado

El Registro

Usando un archivo SAM para determinar el

tiempo de registro

Usando el archivo SOFTWARE para

determinar la configuración de la Versión

Actual

Procesando Información de Volumen del

Sistema

(3)

El Registro

Qué es el Registro

Registro 9X “Files” y “Hives”

(Archivos – Hives)

Registro XP

Navegación de Registro

Valores de Registro

(4)

El Registro

• Un depósito central para:

- Información del Usuario (actualmente registrado)

- Información del Sistema (actualmente detectado)

• Almacenado en archivos de registro:

- Información de aplicación

- Preferencias específicas del usuario

(5)

Archivos de Registro

SYSTEM.DAT (C:\%Windows%\)

Basado en detección, se selecciona un perfil de componentes - Laptop “Acoplado” ?

- Laptop “Portátil” ?

USER.DAT (C:\%Windows%\Profiles\%User%\)

Basado en el registro, se selecciona un perfil de usuario

- Por Defecto ?

- Registro del Usuario ?

(6)

“Hives” de Registro

Únanse para crear:

HKEY_CLASSES_ROOT (HKCR) HKEY_CURRENT_USER (HKCU) HKEY_LOCAL_MACHINE * (HKLM) HKEY_USERS * (HKU) HKEY_CURRENT_CONFIG (HKCC) HKEY_DYN_DATA (HKDD)

(7)

“Hives” de Registro

Estas claves:

HKEY_CLASSES_ROOT (HKCR) HKEY_CURRENT_USER (HKCU) HKEY_CURRENT_CONFIG (HKCC)

Se derivan de estas claves:

HKEY_LOCAL_MACHINE (HKLM) HKEY_USERS (HKU)

Esta clave se deriva de la memoria:

(8)

Navegación de Registro

Note la estructura del “árbol”

similar a Windows Explorer.

Note también:

Hive

Clave

Valores

(9)

Valores de Registro

Note los Valores REG_SZ

(Secuencia)

Note los Valores REG_BINARY

(?)

Estos tipos de valores tendrán influencia

en nuestros métodos de procesamiento y

(10)

Asuntos de Perfil Múltiple

Cada usuario creado tendrá un USER.DAT

(El USER.DAT in C:\%Windows% por Defecto también se incluye)

Sea cuidadoso: en el ambiente 9X, cuando

se crea un usuario nuevo, el contenido de su

USER.DAT reflejará el contenido del archivo USER.DAT por defecto actual.

(11)

Archivos de Registro 2K + XP

SAM

SYSTEM

SECURITY

SOFTWARE

Y no olvide para cada usuario  NTUSER.DAT

(12)

Archivos de Registro 2K + XP

SAM (Base de Datos de las Cuentas de Usuarios)

– HKLM \ SAM

– Información de cuenta para usuarios y grupos en el sistema

(13)

Archivos de Registro 2K + XP

SYSTEM (Sistema)

– HKLM \ SYSTEM

– Controladores de Dispositivo

– Nombre del Computador

(14)

Archivos de Registro 2K + XP

SECURITY (Seguridad)

– HKLM \ SECURITY

– Póliza de seguridad local, derechos del usuario, grupos

(15)

Archivos de Registro 2K + XP

SOFTWARE

– HKLM \ SOFTWARE

– Configuración del Programa

(16)

Archivos de Registro 2K + XP

NTUSER

– HKU \ SID

– Preferencias del Usuario

– Distribución del Escritorio

– Fondo de Pantalla \ Protectores de Pantalla

(17)

Asuntos de Perfil Múltiple

Cada usuario tiene un archivo

NTuser.dat

(18)

Asuntos de Perfil Múltiple

Cada usuario tiene también algo nuevo en este ambiente: Un “SID” o Identificación de Seguridad

(19)

Asuntos de Perfil Múltiple

Las preocupaciones pueden ser:

Resolver Nombres de Usuarios en

fólderes SID (Papelera de Reciclaje y

Control de Acceso)

Procesar Información de Usuario SAM

(por ejemplo últimos registros)

(20)

Diferencias Notables de

Seguimiento

Información MRU:

● Seguimiento:

o Abrir / Ejecutar / Guardar Listas

o Impresoras / Encontrar Archivos / Encontrar

Computadores

o Tipos de Archivos Individuales (números

grandes)

Dispositivos Instalados:

Indicación de dispositivos recientemente

instalados y asignados y letras respectivas a las unidades – (puede ser una clave)

(21)

Diferencias Notables de

Seguimiento

Revise el archivo del SISTEMA

Dispositivos Instalados

(22)

Como idea …

Alguna Información Disponible

Listas Recientes de Documentos Contactos IM

Listas Recientes de Ejecución Info. de Archivos

de Archivo Compartidos

Info. Registrada Info. de Sala de

del Propietario Charla

Direcciones URL Tipo Internet Explorer Info. de ID Alias Listas de Historia del Reproductor Info. de Historia Multimedia

Dispositivos / Unidades Instaladas Info. de Perfil

Proveedor del Sistema Protegido Info. de Versión OS de Almacenamiento

(23)

Evidencia de Recopilación

Teniendo acceso a un valor clave nulo terminado “hidden” (escondido)

Utilice una

herramienta que omita

(24)

Evidencia de Recopilación

Teniendo acceso al Área Protegida de Almacenamiento

(Clave del Proveedor del Sistema Protegido de Almacenamiento) Utilice una herramienta que omita Windows API Y descifre los valores !

?

(25)

Evidencia de Recopilación

Usando un archivo SAM para determinar los valores del usuario:

Ultimo registroID SID Único Asegúrese de tener un interprete hex práctico para esto !

(26)

Evidencia de Recopilación

Usando un archivo SOFTWARE para determinar la configuración

Quién

Qué

Cuándo

Dónde ??

Por Qué ????

(27)

Información de Volumen del

Sistema

Información de Volumen del

Sistema (SVI)

Fólder Protegido del Sistema %Root% Información de Punto de

(28)

• ME, XP, (2K)

• “Define Punto de Restauración” cada 24 Horas

• Registro y Otros Archivos del Sistema

• Mínimo 200MB (hasta 12% del Disco)

• Copias de Seguridad permanecen hasta por 90 días

SVI – Puntos de Restauración

(29)

Puntos de Restauración

Copias de Seguridad del Registro

(Entre otras cosas)

Casos

• Defensa Trojan Visitada de Nuevo

• Ellos Visitaron o No Ese Lugar?

• Sospechoso usó software de limpieza

Reproductor de Imágenes & SVI

(30)

Conclusión

Entrevista del Sujeto

• Acceso al Computador

• Quién tiene contraseña?

• Computador Público

Correo Electrónico en la memoria de

acceso rápido

Sitios Web en la memoria de acceso rápido

Correo Electrónico Internet

Fuentes Externas

• Cámaras de vigilancia

• Registro – Computadores de Biblioteca y Públicos

(31)

??

Preguntas?

SSA Michael S. Morris

[email protected]

Referencias

Descargar ahora ( PDF - 31 página - 0.91 MB )

Documento similar

¿Por qué?

Presentaciones conjuntas, trabajos en común Historias encadenadas. Show

1. ¿Para qué sirve la historia?

Al comienzo de su obra, Marc Bloch sitúa una anécdota que creo necesario re- producir porque alude al propósito fundamental de este texto, que asocia, por una parte, a historia

Por qué un Currículo en Emergencia?

Los aportes de la CECC a la región para contribuir a desarrollar un Currículo en Emergencia. Elaboración de los tres

PRINCIPIOS BIOÉTICOS COMO LINEAMIENTOS DE LA REPRODUCCIÓN MÉDICAMENTE ASISTIDA EN ECUADOR

11 La CIPD define estos dos derechos reproductivos. 1) Libertad reproductiva: de decidir, cuándo, cómo, dónde, con quién y por qué medios reproducirse. Este derecho implica el acceso

1920-2015: un siglo de Visión por Computador

(diapositiva)  Para  ilustrar  esta  última  afirmación  imaginen  ustedes  que  alguien  les  propusiera  crear  un  sistema  que  usando  sólo 

Alimentación complementaria: qué, cuándo y cómo

Sin embargo, una revisión Cochrane publicada en 2014 no encuentra beneficios ni des- ventajas en la introducción de alimentos distintos de la leche materna en este periodo,

1. Qué es Thyrofix y para qué se utiliza

Informe a su médico o farmacéutico si está tomando, ha tomado recientemente o pudiera tener que tomar algunos de los siguientes medicamentos porque estos pueden reducir el efecto

LA DAMA DE ELCHE Dónde, cuándo y por qué

Empezó siendo un hallazgo inesperado tanto para quienes seguían los trabajos agrícolas de la finca de La Al- cudia de Elche, sede de la antigua Ilici, como para el arqueólogo