ReYDeS's blog

Extraer Información del Registro de Windows con Registry Viewer

  • Posted on: 2 June 2014
  • By: ReYDeS

AccessData Registry Viewer permite visualizar el contenido de los registros de sistemas Windows. A diferencia del editor de registro de Windows, el cual muestra solo el registro del sistema actual, Registry Viewer permite visualizar los archivos de registro de cualquier sistema. Registry Viewer también permite acceder al almacenamiento protegido del registro, el cual contiene contraseñas, nombres de usuario, y otra información no factible de acceder con el editor de registro de Windows.

Forense a UserAssist en Windows

  • Posted on: 27 May 2014
  • By: ReYDeS

UserAssist es una característica en Windows, la cual permite rastrear el uso de las aplicaciones, accesos directos, y otros ítemes por su frecuencia de uso y último momento de uso. Captura las acciones del usuario hasta que algo o alguien elimine las entradas del registro o deshabilite los registros. Las entradas de UserAssist están cifradas con ROT13, el cual es muy sencillo de descifrar. Esta entradas se almacenan en el archivo de registtro NTUSER.DAT de cada uno de los usuarios del sistema.

Determinar el Primer y Último Registro de Ingreso de un Usuario en Windows XP

  • Posted on: 23 May 2014
  • By: ReYDeS

Para determinar la primera vez que un usuario registro su ingreso o hizo “Login” en el sistema, se debe visualizar la fecha de creación del directorio del usuario. La ubicación de directorio del usuario es dependiente de la versión del Sistema Operativo Windows en análisis.

Para la siguiente práctica se utilizará la imagen forense obtenida desde el disco duro de un Sistema Windows XP.

Determinar la Última vez en el cual un Sistema Windows fue Apagado

  • Posted on: 22 May 2014
  • By: ReYDeS

El descubrir la última vez en la cual se apagó un Sistema Windows puede ser importante para una investigación forense, pues proporciona información sobre el último momento de uso de la máquina en investigación. Esto podría indicar que el sistema no está relacionado a un incidente, o que el sistema estuvo en uso durante un periodo de tiempo determinado.

Para la siguiente práctica se utilizará la imagen forense obtenida de un disco duro de un Sistema Windows XP.

Identificar la Versión de Windows

  • Posted on: 21 May 2014
  • By: ReYDeS

En la mayoría de investigaciones forenses será necesario encontrar la versión exacta del Sistema Windows sujeto a investigación. Esto a razón de que muchas características y remanentes forenses son específicas de ciertas versiones de Windows, y por lo tanto solo pueden ser adecuadamente visualizadas conociendo la versión del Sistema Operativo. En caso no se conozca esta información se pueden llegar a conclusiones erróneas.

Forense al Archivo de Acceso Directo en Windows

  • Posted on: 19 May 2014
  • By: ReYDeS

Un acceso directo permite al usuario encontrar un archivo o recurso localizado en un directorio o carpeta diferente del lugar donde el acceso directo está localizado. Un archivo de Acceso Directo o de enlace contiene la ruta del archivo y el tipo de almacenamiento sobre el cual existe, como un disco curo, unidad de red, DVD, etc. También contiene los tiempos MAC del archivo como también los tiempos MAC propios que muestran la fecha de creación del archivo.

Forense Manual al Archivo de Paginación en Windows

  • Posted on: 16 May 2014
  • By: ReYDeS

La RAM (Random-Access Memory) o Memoria de Acceso Aleatorio es un recurso limitado, mientras que para propósitos prácticos, la memoria virtual es ilimitada. Pueden existir varios procesos, y cada proceso tener su propio espacio de 2GB en memoria virtual. Cuando la memoria que está siendo utilizada por todos los procesos existentes excede la RAM disponible, el sistema operativo mueve páginas (piezas de 4-KB) de uno o más espacios de direcciones virtuales al disco duro de la computadora. Esto libera la estructura de la RAM para otros usuarios.

Forense a la Papelera de Reciclaje en Windows XP

  • Posted on: 15 May 2014
  • By: ReYDeS

Cuando un usuario borra un archivo en el explorador de Windows o “My Computer”, el archivo aparece en la Papelera de Reciclaje. Este archivo permanece allí hasta vaciar la Papelera de Reciclaje o restaurar el archivo.

Los archivos antiguos también son eliminados de la Papelera de Reciclaje cuando se borran archivos más nuevos, y la Papelera de Reciclaje excede el tamaño máximo asignado en las propiedades de esta.

Para la siguiente práctica se utilizará la imagen forense obtenida desde un disco duro en un Sistema Windows XP.

Recuperar Archivos Manualmente con The Sleuth Kit - TSK

  • Posted on: 14 May 2014
  • By: ReYDeS

The Sleuth Kit o TSK es una librería y una colección de herramientas en línea de comandos, las cuales permiten investigar imágenes de discos. La funcionalidad vital de TSK permite analizar volúmenes y datos desde sistemas de archivos.

Para la siguiente práctica se utilizará SIFT y una unidad USB (Memory Stick) con un sistema de archivos NTFS, desde el cual se extraerá o recuperará un archivo borrado.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1