Scribd Logo
Upload

Welcome to Scribd!

  • Tema 4 - PRACTICA

    Uploaded by

    Fernando Rous
    38 views10 pages
    forensic practices

    Original Title

    Tema+4+-+PRACTICA

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    forensic practices

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    38 views10 pages

    Tema 4 - PRACTICA

    Uploaded by

    Fernando Rous
    forensic practices

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 10

    Análisis Forense

    Juan José Delgado

    Tema 3 – Clase Práctica


    Tema 4. Actividad

    El primer paso para realizar la actividad de este tema, va a ser el


    descargar los programas necesarios. Estos son:

    • Event Log Explorer (http://www.eventlogxp.com/esp/)


    • Un visor de Bases de Datos SQLite (Historial Firefox), como por
    ejemplo DB Browser for SQLite (http://sqlitebrowser.org/)
    • Windows Registry Recovery (http://www.mitec.cz/wrr.html)

    Todos estos programas son gratuitos (Al menos en la parte que


    necesitamos). Estos programas están diseñados para sistemas operativos
    Windows, por lo que si realizais la actividad desde otro sistema operativo
    tendreis que buscar otro software diferente o utilizar emuladores.

    Análisis forense – Juan José Delgado


    Tema 4. Actividad, parte I

    En la primera parte de la actividad, se nos pide responder a las


    preguntas:

    • ¿Qué usuario ha sido creado recientemente?


    • ¿Quién ha creado dicho usuario?
    • ¿Ha intentado acceder dicho usuario al sistema?
    • ¿Cuántas veces y de qué manera lo ha intentado?
    • ¿Ha conseguido acceder al equipo?

    Para responder a dichas preguntas, vamos a analizar los eventos del


    sistema operativo haciendo uso del software Event Log Explorer.

    Análisis forense – Juan José Delgado


    Tema 4. Actividad, parte I

    Ejecutamos Event Log Explorer, vamos al menú File > Open Log File >
    Direct y abrimos los tres archivos de eventos de la actividad.

    Puesto que no sabemos el ID (identificador) del evento de creación de


    un nuevo usuario, un primer paso puede ser buscar la cadena User Account
    Created (Cuenta de usuario creada) en la web de Event ID
    (http://eventid.net/).
    Tras la búsqueda, vemos que tenemos un evento con ID = 624 que
    indica la creación de un nuevo usuario.

    En la misma web podemos ver la descripción y estructura del evento,


    con lo que podremos contestar a las dos primeras preguntas ¿Qué usuario
    ha sido creado recientemente? y ¿Quién ha creado dicho usuario?

    Análisis forense – Juan José Delgado


    Tema 4. Actividad, parte I

    Para contestar a las demás podemos realizar una búsqueda del nombre
    del usuario creado, y ver así los eventos relacionados con dicho usuario.
    Veremos que hay eventos de intento de inicio de sesión (ID = 534).

    Para contestar a la pregunta ¿De qué manera ha intentado acceder al


    equipo?, es necesario hacer uso de la información contenida en la página:
    http://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx,
    en la cual aparecen los códigos de inicio de sesión y su significado.

    Análisis forense – Juan José Delgado


    Tema 4. Actividad, parte II

    En la segunda parte de la actividad, vamos a hacer uso del programa


    DB Browser for SQLite para responder a las preguntas:

    • ¿En qué página web solicitó el usuario del sistema la cena?


    • ¿A qué hora?

    El primer paso para contestar a estas preguntas, sería abrir el historial


    de navegación de Firefox (En WinXP: \Documents and
    Settings\[USUARIO]\Datos de programa\Mozilla\Firefox\Profiles\XX.default\).
    Archivo “places.sqlite”.

    En Windows 7 la ruta del archivo sería:


    \Users\[USUARIO]\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE].

    Análisis forense – Juan José Delgado


    Tema 4. Actividad, parte II

    Puesto que no tenemos más información referente al caso, nuestra


    labor consistiría en ir buscando entre las direcciones del historial
    encontradas, aquellas que se correspondan con un servicio de petición de
    comida a través de Internet.

    Para facilitaros la labor, decir que la comida se solicitó a Telepizza y


    que además debéis encontrar una dirección del tipo:

    http://www.telepizza.es/InicioPedidoAnonimo.aspx

    Y obtener la hora en la que dicha dirección fue accedida; pues coincidirá


    con la hora en la que el “malo” hizo la petición.

    Nota: La hora la encontraremos en formato UNIX Time, por lo que


    debemos convertirla.

    Análisis forense – Juan José Delgado


    Tema 4. Actividad, parte III

    La última parte de la práctica consiste en el análisis de los archivos del


    registro de Windows facilitados, de manera que podamos obtener los
    programas que se ejecutaban al inicio del sistema.

    Para ello, haciendo uso del programa Windows Registry Recovery,


    abriremos los archivos “NTUSER.DAT” de los usuarios “Administrador” y
    “pirata”. Esto se hace desde el menú File > Open del mencionado
    programa.

    Una vez abiertos dichos archivos, vemos que en la parte izquierda de la


    pantalla nos aparecen una serie de opciones entra las que encontraremos
    Startup Applications. Es en dicha pestaña donde obtendremos los
    programas que se ejecutaban al inicio del sistema en función del usuario con
    el cual se arranque.

    Análisis forense – Juan José Delgado


    ¿Alguna pregunta?
    Análisis forense – Juan José Delgado
    www.unir.net

    You might also like