Dec 1, 20081

Laboratorio: Informática Forense - Análisis de actividad del usuario sospechoso, NTUSER.DAT, pagefile.sys

Categoría: Informática Forense

El siguiente video tutorial muestra entonces una exploración básica por la información contenida en los directorios del usuario sospechoso de la intrusión (ver0k), además muestra un primer acercamiento al fichero NTUSER.DAT, fichero que almacena las claves del registro correspondientes a ese usuario. En dicho archivo podemos encontrarnos con el registro de envío de un e-mail (h4ckIII@hotmail.com), esto lo confirmamos luego de analizar en detalle la información contenida en el fichero pagefile.sys, el archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente ... Leer más

Nov 24, 20080

Laboratorio: Informática Forense - Eventos de Seguridad en el visor de sucesos

Categoría: Informática Forense

Continuemos entonces con el análisis de los eventos registrados por Windows. Para ello seguiremos haciendo uso del visor de sucesos. En esta sesión observaremos en detalle los sucesos registrados bajo la sección de seguridad, veamos a que se refieren estos tipos de eventos: El registro de seguridad graba eventos como intentos válidos y no válidos de inicio de sesión, así como eventos relacionados con el uso de recursos como crear, abrir o eliminar archivos. Por ejemplo, cuando la auditoría del inicio de sesión está ... Leer más

Nov 21, 20081

Laboratorio: Informática Forense - Análisis de los eventos del sistema con el visor de sucesos

Categoría: Informática Forense

Pasemos ahora a la etapa más crucial de este primer caso práctico de Análisis Forense a un Sistema Windows 2003 Server previamente comprometido. Una vez que me hemos recolectado toda la información posible sobre aplicaciones, usuarios, Sistema Operativo, Dispositivos, etc, se hace necesario identificar con total claridad las distintas interacciones entre cada una de ellas. Dicho de otra manera comenzaremos con un ciclo de análisis que implica mucho tiempo y mucha concentración, pues este conlleva a realizar un análisis concienzudo de cada uno de ... Leer más

Nov 19, 20081

Laboratorio: Informática Forense - Análisis de Apache y WebERP

Categoría: Informática Forense

Pasemos ahora a analizar los archivos contenidos en los directorios de instalación de Apache y el WebERP que fue comprometido. (por la información que suministraron los administradores del sistema este aplicativo fue el que permitió identificar la intrusión. Veamos algunas definiciones de interés: Apache: El servidor HTTP Apache es un software (libre) servidor HTTP de código abierto para plataformas Unix (BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que implementa el protocolo HTTP/1.1 y la noción de sitio virtual. Cuando comenzó su desarrollo en 1995 se ... Leer más

Nov 19, 20080

Laboratorio: Informática Forense - Organización de cuentas de usuarios e identificación de la cuenta sospechosa en el sistema

Categoría: Informática Forense

Veamos ahora como podemos obtener toda la información relacionada a una cuenta de usuario (SID, Estructura de datos de longitud variable que identifica cuentas de usuario, de grupo y de equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos internos de Windows hacen referencia al SID de las cuentas en vez de al nombre del usuario o grupo de las cuentas.) Todas las cuentas de usuarios Windows están identificadas con un ... Leer más