Para ello, solo basta con explorar un poco algunos directorios del sistema, en los cuales se encuentran algunos logs interesantes y que revelan las actualizaciones del mismo.

Cabe aclarar que este no es el único método para determinar las actualizaciones del sistema, este es solo uno de ellos, pues en otras publicaciones veremos otros procedimientos para determinarlas (registro).

El siguiente video tutorial presenta un simple exploración por el sistema de archivos del objetivo, además de la ubicación y consulta correspondiente a cada log de actualización (ID de HotFix – Falla que corrige, Fecha y hora de actualización, etc).

Descargar video tutorial de identificación de actualizaciones instaladas en el sistema (password: www.dragonjar.org)

EnCase Enterprise/Forensic:

EnCase proporciona las herramientas más avanzadas para el Análisis Forense de Sistemas e Investigaciones Digitales. Con un entorno gráfico intuitivo, flexible y un rendimiento sin igual, EnCase proporciona a los investigadores todo lo necesario para realizar análisis a gran escala en investigaciones complejas con precisión y seguridad.

Una solución premiada que garantiza por completo la integridad de la información tratada permitiendo a los analistas gestionar con facilidad grandes volúmenes de pruebas digitales incluso en ficheros borrados, en áreas de slack, zonas de paginación y clusters sin asignar.

• Adquisición de imágenes forenses utilizando técnicas no invasivas con soporte para múltiples sistemas: Windows, MAC OS, Linux, Solaris, HP UX
• Soporte Unicode completo
• Capacidad para análisis concurrente de múltiples sistemas
• Herramientas de búsqueda avanzada
• Soporte para RAID 0,1 y 5
• Soporte para Sistemas de Fichero NTFS comprimidos
• Gestión de filtros compuestos
• Tiempos de respuesta únicos gracias a múltiples caches a nivel de sector y algoritmos de búsqueda optimizados

El video tutorial muestra entonces el proceso de creación de un caso en esta herramienta, además de una simple exploración por el sistema de archivos en la imágen implementada con Mount Image Pro.

Descargar video tutorial de creación de un caso con EnCase Enterprise/Forensics (password: www.dragonjar.org)

Más información sobre EnCase
Página Oficial de EnCase

Para este propósito bastará, con analizar los primeros bytes de la imágen con un editor hexadecimal.

El resultado de esta observación nos muestra que corresponde a un sistema de ficheros NTFS.

Veremos además el procedimiento para determinar el Sistema Operativo de la imágen a analizar.

Para ello veremos como crear un caso con la solución para Análisis Forense conocida como Autopsy (Interfaz gráfico para The Sleuth Kit).

The Sleuth Kit es un conjunto de herramientas en línea de comandos, desarrolladas en Perl y que permiten llevar a cabo Análisis Forenses a sistemas computacionales. Ambas herramientas (The Sleuth Kit y su interfaz web Autopsy) son de libre uso y libre distribución.
Al igual que para las tareas de Test de Penetración y Hacking Ético existe una distribución favorita conocida como Backtack, para las labores relacionadas con la Informática Forense existe otra favorita bajo el nombre de HeliX, la cual incluye un completo Set de utilidades que nos facilitan la vida para este tipo de trabajos (posteriormente publicaré en la sección de recursos un completo análisis a dicha distribución). Entre estas utilidades se incluye a este par de herramientas (The Sleuth Kit -  Autopsy).

Por ahora veamos entonces el videoutorial como crear un caso de Análisis Forense en Autopsy con la imágen para observar como podemos identificar el Sistema Operativo a analizar. Cabe aclarar que está no es la única manera de identificar el Sistema Operativo, pues en varias publicaciones veremos diferentes métodos.

Descargar Videotutorial de iniciación de un caso en Autopsy e identificación de la versión de Windows Instalada. (password: www.dragonjar.org)