En dicho archivo podemos encontrarnos con el registro de envío de un e-mail (h4ckIII@hotmail.com), esto lo confirmamos luego de analizar en detalle la información contenida en el fichero pagefile.sys, el archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora, conocida como Memoria RAM.

Así se amplia la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. (más información sobre el archivo pagefile.sys)

Aún no veremos en detalle el análisis a estos archivos, pues en futuras entregas veremos algunas herramientas que nos permitirán analizar de mejor manera esta información.

Descargar video tutorial de análisis de actividad del usuario sospechoso (Password: www.dragonjar.org)

Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad – Security Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina.

En el siguiente video tutorial podemos observar como por medio de la herramienta SAMDUMP aplicada a los archivos SAM y System podemos obtener los SID, nombres completos y descripción de cada uno de los usuarios.

Descargar video tutorial de extracción e identificación del SID de usuarios con SAMDUMP (Password: www.dragonjar.org)

En el siguiente video tutorial muestra como podemos organizar los datos obtenidos con SAMDUMP y como podemos identificar el usuario sospechoso de la intrusión (Se hace sospechosa la cuenta pues esta no tiene una descripción como la que tienen las demás cuentas). Esto con la finalidad de analizar e identificar más facilmente los diferentes eventos que se hayan registrado en el registro de eventos de sistema.

Descargar video tutorial de organización e identificación del usuario sospechoso (Password: www.dragonjar.org)

Firewall de Windows:
Firewall de Windows, llamado hasta ahora Servidor de seguridad de conexión a Internet o ICF, es un límite de protección que supervisa y restringe la información que viaja entre el equipo y la red o Internet. De ese modo, se proporciona una línea de defensa contra quienes pudieran intentar tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.
(Más información sobre el Firewall de Windows)

En el siguiente video tutorial se observa el análisis de como podemos establecer si estaba o no habilitado el cortafuegos, excepción de aplicaciones, notificaciones y puertos habilitados.

HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – Services – SharedAccess – Parameters – FirewallPolicy

Descargar video tutorial de identificación de la configuración del Firewall de Windows (Password: www.dragonjar.org)

Para ello seguiré haciendo uso de la herramienta Alien Registry Viewer. Veamos:

Así como vimos en la práctica anterior y pudimos determinar el software instalado en el sistema obejtivo, veremos como podemos determinar todos los usuarios, el sistema operativo y services pack, zona horaria, procesador, interfaces de red, entre muchos otros datos de interés.

En el video tutorial se muestra el proceso mediante el cual es posible extraer la carpeta Config del sistema objetivo. Carpeta que contiene el registro de Windows y otra información que será objeto de estudio en estas prácticas.

Descargar Video tutorial de extracción de datos del sistema (usuarios, zona horaria, procesador, interfaces de red. S.O)(password: www.dragonjar.org

Apuntes de interés:

Usuarios en el sistema:
HKEY_LOCAL_MACHINE – SAM – Domains – Account – Users – Names

Software Instalado en el sistema:
HKEY_LOCAL_MACHINE – SOFTWARE

Nombre del producto (S.O), Versión actual, Registrante, ServicePack:
HKEY_LOCAL_MACHINE – SOFTWARE – Microsoft – Windows NT – CurrentVersion

Nombre del Equipo:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – Control – ComputerName

Nombre del Equipo, Zona Horaria:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – TimeZoneInformation

Procesador:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 -Enum – GenuineIntel_-_x86_Family_6_Model_8

Interfaces de Red:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 -Services – Tcpip – Parameters – Interfaces

En mi caso lo haré con la solución software Alien Registry Viewer, veamos:

Abrimos el archivo de registro que almacena la información  SOFTWARE con la herramienta Alien Registry Viewer, luego nos dirigimos a los respectivos directorios:

HKEY_LOCAL_MACHINE – SOFTWARE, allí nos encontramos con algunas aplicaciones como:
Apache Group en su versión 1.3.34, MySQL, PostgreSQL, Mozilla entre otros.

Dejo a continuación el video tutorial para facilitar el seguimiento de este proceso.

Descargar video tutorial de identificación del software instalado en el sistema objetivo (Password: www.dragonjar.org)

Es el momento de comenzar a interactuar más con el sistema a analizar para recolectar toda la información necesaria y que muestre los resultados a los objetivos propuestos.

Para esta finalidad nada mejor que la información contenida en el registro de Windows, pero para poder entender de que va todo esto se hace necesario definir y tener muy claro este concepto.

Veamos:

El Registro de Windows

El Registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows.

Contiene información y configuraciones de todo el hardware, software, usuarios, y preferencias del PC. Si un usuario hace cambios en las configuraciones del “Panel de control”, en las asociaciones de ficheros, en las políticas del sistema o en el software instalado, los cambios son reflejados y almacenados en el registro.

El Registro se almacena en varios ficheros que, dependiendo de la versión de Windows, se ubican en diferentes lugares dentro del sistema local, excepto NTuser (o archivo de usuario), que puede ser ubicado en otra máquina para permitir perfiles móviles.

Windows NT, 2000, XP, Server 2003 y Vista

Los siguientes archivos del Registro se encuentran en %SystemRoot%\System32\Config\:

• Sam – HKEY_LOCAL_MACHINE\SAM
• Security – HKEY_LOCAL_MACHINE\SECURITY
• Software – HKEY_LOCAL_MACHINE\SOFTWARE
• System – HKEY_LOCAL_MACHINE\SYSTEM
• Default – HKEY_USERS\DEFAULT
• Userdiff

En la carpeta %SystemRoot%\repair se encuentra una copia de seguridad.

El siguiente archivo se encuentra en cada carpeta de usuario:

• NTUSER.dat

Una vez definido y teniendo clara la importancia de la información que puede almacenar el registro de windows, vamos a analizarlo para obtener la información que necesitamos para determinar los sucesos que afectaron al sistema objetivo.

Como ya tenemos montada nuestra nueva unidad con el sistema objetivo (Mount Image Pro) nos dirigimos al directorio WINDOWS/system32/config, extraemos el contenido y lo pasamos a la maquina desde la que estemos haciendo el análisis (para este caso Windows XP).

Para visualizar el registro extraído del sistema objetivo podemos hacerlo con varias soluciones software, entre las cuales se destacan las siguientes:

AccessData Registry Viewer
Alien Registry Viewer
Regedit

Estos son unos procesos sencillos (extracción y visualización del registro) para los cuales no se hace necesario un video demostrativo. Para las próximas sesiones en donde trataremos de identificar los usuarios, software instalado, nombre del equipo, dispositivos, zona horaria, Firewall, eventos del sistema, etc, si se hará necesario la publicación de video tutoriales para su fácil comprensión.

Referencias y enlaces de interés:

Registro de Windows en la Wikipedia

Introducción al registro de Windows