En dicho archivo podemos encontrarnos con el registro de envío de un e-mail (h4ckIII@hotmail.com), esto lo confirmamos luego de analizar en detalle la información contenida en el fichero pagefile.sys, el archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora, conocida como Memoria RAM.

Así se amplia la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. (más información sobre el archivo pagefile.sys)

Aún no veremos en detalle el análisis a estos archivos, pues en futuras entregas veremos algunas herramientas que nos permitirán analizar de mejor manera esta información.

Descargar video tutorial de análisis de actividad del usuario sospechoso (Password: www.dragonjar.org)

Es el momento de comenzar a interactuar más con el sistema a analizar para recolectar toda la información necesaria y que muestre los resultados a los objetivos propuestos.

Para esta finalidad nada mejor que la información contenida en el registro de Windows, pero para poder entender de que va todo esto se hace necesario definir y tener muy claro este concepto.

Veamos:

El Registro de Windows

El Registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows.

Contiene información y configuraciones de todo el hardware, software, usuarios, y preferencias del PC. Si un usuario hace cambios en las configuraciones del “Panel de control”, en las asociaciones de ficheros, en las políticas del sistema o en el software instalado, los cambios son reflejados y almacenados en el registro.

El Registro se almacena en varios ficheros que, dependiendo de la versión de Windows, se ubican en diferentes lugares dentro del sistema local, excepto NTuser (o archivo de usuario), que puede ser ubicado en otra máquina para permitir perfiles móviles.

Windows NT, 2000, XP, Server 2003 y Vista

Los siguientes archivos del Registro se encuentran en %SystemRoot%\System32\Config\:

• Sam – HKEY_LOCAL_MACHINE\SAM
• Security – HKEY_LOCAL_MACHINE\SECURITY
• Software – HKEY_LOCAL_MACHINE\SOFTWARE
• System – HKEY_LOCAL_MACHINE\SYSTEM
• Default – HKEY_USERS\DEFAULT
• Userdiff

En la carpeta %SystemRoot%\repair se encuentra una copia de seguridad.

El siguiente archivo se encuentra en cada carpeta de usuario:

• NTUSER.dat

Una vez definido y teniendo clara la importancia de la información que puede almacenar el registro de windows, vamos a analizarlo para obtener la información que necesitamos para determinar los sucesos que afectaron al sistema objetivo.

Como ya tenemos montada nuestra nueva unidad con el sistema objetivo (Mount Image Pro) nos dirigimos al directorio WINDOWS/system32/config, extraemos el contenido y lo pasamos a la maquina desde la que estemos haciendo el análisis (para este caso Windows XP).

Para visualizar el registro extraído del sistema objetivo podemos hacerlo con varias soluciones software, entre las cuales se destacan las siguientes:

AccessData Registry Viewer
Alien Registry Viewer
Regedit

Estos son unos procesos sencillos (extracción y visualización del registro) para los cuales no se hace necesario un video demostrativo. Para las próximas sesiones en donde trataremos de identificar los usuarios, software instalado, nombre del equipo, dispositivos, zona horaria, Firewall, eventos del sistema, etc, si se hará necesario la publicación de video tutoriales para su fácil comprensión.

Referencias y enlaces de interés:

Registro de Windows en la Wikipedia

Introducción al registro de Windows