Determinar el Primer y Último Registro de Ingreso de un Usuario en Windows XP

  • Posted on: 23 May 2014
  • By: ReYDeS

Para determinar la primera vez que un usuario registro su ingreso o hizo “Login” en el sistema, se debe visualizar la fecha de creación del directorio del usuario. La ubicación de directorio del usuario es dependiente de la versión del Sistema Operativo Windows en análisis.

Para la siguiente práctica se utilizará la imagen forense obtenida desde el disco duro de un Sistema Windows XP.

Se procede a montar la respectiva imagen forense en SIFT, para luego ejecutar el comando “stat” sobre la carpeta del usuario sujeto a investigación. El comando “stat” de GNU/Linux devuelve información sobre un archivo, de esta manera es factible obtener la fecha de creación de la carpeta del usuario.

Para determinar la última vez que un usuario registró su ingreso al sistema (login) se consulta la subllave “/SAM/Domains/Account/Users/Names” del registro de Windows para obtener información sobre los nombres de usuario en el sistema.

$ reglookup -p /SAM/Domains/Account/Users/Names /mnt/windows_mount3/WINDOWS/system32/config/SAM

En esta práctica se obtendrá la información del usuario “mario”. Su RID (Relative Identifier) o Identificador Relativo es “0x000003EB”. El RID es una porción del SID (Security Identifier) o Identificador de Seguridad que identifica un usuario o grupo en relación a la autoridad que entrega el SID.

Se consulta la subllave "/SAM/Domains/Account/Users/000003EB" con la herramienta reglookup, para extraer la información requerida.


$ reglookup -p /SAM/Domains/Account/Users/000003EB /mnt/windows_mount3/WINDOWS/system32/config/SAM

Estos valores obtenidos son tipos de datos binarios y deben ser interpretados adecuadamente para extraer toda la información requerida. Para este propósito se utiliza el script en Perl “sam_parse.pl”.

$ perl sam_parse.pl /mnt/windows_mount3/WINDOWS/system32/config/SAM

Herramientas como Access Data Registry Viewer permiten interpretar y visualizar de manera sencilla esta información sobre los usuarios y grupos.

La información expuesta no solo detalla la última vez que el usuario registró su ingreso (Last Logon Time) en el sistema, sino también el tiempo de la última escritura de la subllave (LASTWRITE), el número de veces que el usuario hizo “Login” (Logon Count), la última vez que el usuario cambió su contraseña (Last Password Change Time), entre otra información valiosa para el examinador forense.

Fuentes:

http://linux.die.net/man/2/stat
http://computer-forensics.sans.org/community/downloads
http://www.osforensics.com/tools/mount-disk-images.html
http://www.accessdata.com/support/product-downloads
http://what-when-how.com/windows-forensic-analysis/registry-analysis-win...
http://projects.sentinelchicken.org/reglookup/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete