Artefactos forenses (I)

Descripción general

Son muchas las ocasiones que cuando uno hace un análisis forense y no encuentra 'pistas' o evidencias tiene que pelear con los rastros que dejan las aplicaciones o el propio sistema operativo. Con objeto de revisar las nuevas características desde el punto de vista forense que nos ofrece Windows 7 y Windows 8 voy a escribir unos cuantos post sobre este tema.

Ver aqui el documento original ARTEFACTOS DEL SISTEMA

Hola lectores,

Son muchas las ocasiones que cuando uno hace un análisis forense y no encuentra 'pistas' o evidencias tiene que pelear con los rastros que dejan las aplicaciones o el propio sistema operativo.

Con objeto de revisar las nuevas características desde el punto de vista forense que nos ofrece Windows 7 y Windows 8 voy a escribir unos cuantos post sobre este tema.

¿Os habéis preguntado alguna vez que es un artefacto en Windows?

Al igual que las versiones anteriores de Windows, la versión 7 y 8 dispone de mecanismos que dejan rastro de la actividad de los usuarios, de los programas que se utilizan, los accesos, conexiones y aplicaciones, si han navegado, descargado o ejecutado algún programa.

Estos elementos son comúnmente llamado "artefactos". Veamos en esta primera parte algunos interesantes.

Lista de artefactos:

• Logs o ficheros de sistema
• Tabla maestra de archivos MFT 
• El registro de Windows
• El visor de Eventos
• Los ficheros Prefetch
• Los accesos directos
• La papelera
• Metadatos en imágenes y documentos
• Ficheros de hibernación y memoria
• Copias de seguridad 
• Volume Shadow

Empezamos con los artefactos de sistema, espero que os sea de ayuda.

ARTEFACTOS DE SISTEMA

En la siguiente tabla podemos ver una serie de ficheros propios del sistema operativo y la función que desempeñan.

REGISTROS VARIOS SOBRE LA INSTALACIÓN
%WINDIR%\setupact.log	Contiene información acerca de las acciones de instalación durante la misma. EVIDENCIAS: Podemos ver fechas de instalación, propiedades de programas instalados, rutas de acceso, copias legales, discos de instalación...
%WINDIR%\setuperr.log	Contiene información acerca de los errores de instalación durante la misma. EVIDENCIAS: Fallos de programas, rutas de red inaccesibles, rutas a volcados de memoria...
%WINDIR%\WindowsUpdate.log	Registra toda la información de transacción sobre la actualización del sistema y aplicaciones. EVIDENCIAS: Tipos de hotfix instalados, fechas de instalación, elementos por actualizar...
%WINDIR%\Debug\mrt.log	Resultados del programa de eliminación de software malintencionado de Windows. EVIDENCIAS: Fechas, Versión del motor, firmas y resumen de actividad.
%WINDIR%\security\logs\scecomp.old	Componentes de Windows que no han podido ser instalados. EVIDENCIAS: DLL's no registradas, fechas, intentos de escritura,rutas de acceso...
%WINDIR%\SoftwareDistribution\ReportingEvents.log	Contiene eventos relacionados con la actualización. EVIDENCIAS: Agentes de instalación, descargas incompletas o finalizadas, fechas, tipos de paquetes, rutas...

%WINDIR%\Logs\CBS\CBS.log	Ficheros pertenecientes a ‘Windows Resource Protection’ y que no se han podido restaurar. EVIDENCIAS: Proveedor de almacenamiento, PID de procesos, fechas, rutas...
%AppData%\Local\Microsoft\Websetup (Windows 8)	Contiene detalles de la fase de instalación web de Windows 8 EVIDENCIAS: URLs de acceso, fases de instalación, fechas de creación, paquetes de programas...
%AppData%\setupapi.log	Contiene información de unidades, services pack y hotfixes. EVIDENCIAS: Unidades locales y extraibles, programas de instalación, programas instalados, actualizaciones de seguridad, reconocimiento de dispositivos conectados...
%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml %WINDIR%\PANTHER\*.log,xml	Contiene información de acciones, errores y estructuras de SID cuando se actualiza desde una versión anterior de windows. EVIDENCIAS: Fechas, rutas, errores , medio de instalación, dispositivos, versiones, reinicio, dispositivos PnP...
%WINDIR%\INF\setupapi.dev.log	Contiene información de unidades Plug and Play y la instalación de drivers. EVIDENCIAS: Versión de SO, Kernel, Service Pack, arquitectura, modo de inicio, fechas, rutas, lista de drivers, dispositivos conectados, dispositivos iniciados o parados...
%WINDIR%\INF\setupapi.app.log	Contiene información del registro de instalación de las aplicaciones. EVIDENCIAS: Fechas, rutas, sistema operativo, versiones, ficheros, firma digital, dispositivos...
%WINDIR%\Performance\Winsat\winsat.log	Contiene trazas de utilización de la   aplicación WINSAT que miden el rendimiento del sistema. EVIDENCIA: Fechas, valores sobre la tarjeta gráfica, CPU, velocidades, puertos USB...
	Contiene configuraciones de programas EVIDENCIA: Rutas, secciones, parámetros de usuarios...
	Contiene información sobre los volcados de memoria. EVIDENCIA: Rutas, programas, accesos, direcciones de memoria, listado de usuarios, contraseñas, conexiones...
EL.CFG Pid.txt	Estos archivos se usan para automatizar la página de entrada de la clave de producto en el programa de instalación de Windows. EVIDENCIA:Contiene el código de producto y la versión instalada

LOG DE EVENTOS DE WINDOWS
%WINDIR%\System32\config %WINDIR%\System32\winevt\Logs	Contiene los logs de Windows accesibles desde el visor de eventos. EVIDENCIAS: Casi todas. Entradas, fechas, accesos, permisos, programas, usuario, etc...
MICROSOFT SECURITY ESSENTIALS
%PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support		Logs del motor de antimalware EVIDENCIAS: Fechas, versión del motor, programas analizados, actividad del malware...

---

↑↑↑

A.2.Enlaces

[Para saber mas]

[Grupo de documentos]

[Documento Index]

[Documento Start]

[Imprimir el Documento]

© 1997 - - La Güeb de Joaquín

Joaquín Medina Serrano

Ésta página es española