Determinar la Última vez en el cual un Sistema Windows fue Apagado

  • Posted on: 22 May 2014
  • By: ReYDeS

El descubrir la última vez en la cual se apagó un Sistema Windows puede ser importante para una investigación forense, pues proporciona información sobre el último momento de uso de la máquina en investigación. Esto podría indicar que el sistema no está relacionado a un incidente, o que el sistema estuvo en uso durante un periodo de tiempo determinado.

Para la siguiente práctica se utilizará la imagen forense obtenida de un disco duro de un Sistema Windows XP.

Se procede a montar la imagen forense y a ejecutar la herramienta “reglookup” para consultar la llave HKLM\SYSTEM\ControlSet001\Control\Windows. Pues la información requerida se ubica en el valor de nombre “ShutdownTime“.

La opción “-p” de reglookup restringe la salida a los elementos a continuación de esta ruta.


$ reglookup -p /ControlSet001/Control/Windows /mnt/windows_mount2/WINDOWS/system32/config/system

Esta información también se puede obtener utilizando una herramienta como "RegRipper". La opción “-p” define el uso de un módulo (plugin) en particular. Para listar todos los plugins disponibles en RegRipper utilizar la opción “-l”. La opción -”-r” define el archivo de registro “hive” o colmena a interpretar.


$ sudo rip.pl -p shutdown -r /mnt/windows_mount2/WINDOWS/system32/config/system

Para la siguiente práctica se realizará el mismo procedimiento, pero aplicado a una imagen forense obtenida desde un disco duro de un Sistema Windows 7.

Se ejecuta la herramienta “reglookup” para consultar la llave de registro pertinente.

A continuación se ejecuta la herramienta RegRipper.

Anotar que se detallan los tiempos LASTWRITE de la llave y del valor "ShutdownTime", los cuales coinciden.

Para convertir el valor en hexadecimal contenido en “ShutdownTime”, utilizar la herramienta “Dcode”. Solo se debe copiar y pegar el valor hexadecimal en el campo de nombre “Value to Decode:” o Valor a Decodificar, seleccionar “Decode Format” o Formato a Decodificar en “Windows: 64 bit Hex Value – Little Endian”, para luego hacer clic en el botón Decode.

Fuentes:

http://projects.sentinelchicken.org/reglookup/
https://code.google.com/p/regripper/wiki/RegRipper
http://www.digital-detective.net/digital-forensic-software/free-tools/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete