Win-UFO o Windows Ultimate Forensics Outflow, es una herramienta diseñada para conocer lo suscitándose en una sistema de cómputo. Win-UFO está diseñado para dos ámbitos. La primera conteniendo un sistema de reporte, la cual está orientada para las fuerzas legales, incluyendo los detalles a mantenerse mientras se conduce una investigación. La segunda permite saltar el sistema de reporte, orientado a los padres quienes no necesitan detalles de un reporte. Ellos únicamente se preocupan de conocer aquello realizado en linea por sus hijos. De esta manera pueden fácilmente encontrar aquello suscitándose en la computadora de sus hijos.

La siguiente demostración está basada en un escenario en el cual, se ejecuta las más reciente versión de Win-UFO desde un DVD en un Sistema Windows 7.

Iniciar Win-UFO haciendo doble clic en el archivo de nombre “Win-UFO”. Luego de lo cual se presentará una ventana donde se solicita aceptar o no un acuerdo también conocido como EULA (End User License Agreement). Leer el acuerdo, seleccionar la opción “I accept the agreement” para luego hacer clic en el botón de nombre “Accept”.

Se presenta una nueva ventana consultado si se requiere generar un reporte. Para nuestro propósito es la acción requerida, por lo tanto hacer clic en el botón de nombre “Yes”.

La siguiente ventana versa sobre el hecho de ejecutar Win-UFO desde un medio de Sólo Lectura. Por lo cual se recomienda seleccionar una unidad de destino, donde se pueda almacenar un registro de acciones, recolectar datos, y realizar capturas de pantalla. Para este propósito se recomienda utilizar una unidad USB donde volcar toda esta información, pues el principal objetivo es no alterar ningún tipo de evidencia, de ser factible.

Al hacer clic en el botón de nombre “Yes”, se presenta una ventana en la cual se requiere completar cierta información sobre el caso y la agencia. Esta información será mostrada en la parte superior del reporte si es ingresada. Completada con la información pertinente, hacer clic en el botón de nombre “Next”.

El proceso para la creación del Reporte ha iniciado.

Esto puede demandar algunos minutos dependiendo del sistema sobre el cual está ejecutándose Win-UFO, y también de la velocidad de la unidad USB hacia la cual se está volcando el reporte.

Finalizado el proceso, se abrirá una ventana conteniendo el reporte.

El reporte obtenido incluye información general, como la fecha y hora del reporte, enlaces hacia los volcados de los reportes e información sobre el caso.

Cuando Win-UFO inicia, verifica su propio hash para constatar no haber sido dañado o comprometido. Se presenta también los hashes correspondiente a los archivos registros de eventos.

Hashes de los archivos de registro.

Hashes de los archivos Hosts y Setupapi.

Nombre de la computadora, información sobre el disco duro, número de monitores, información sobre las cuentas de los usuarios, nombre de la cuenta de usuario actualmente “logueada” y número de serie de la unidad USB de destino.

Información del Sistema.

Tiempo de funcionamiento de la PC desde el último inicio. Un listado de directorios de archivos de programas.

Información sobre discos cifrados, unidades físicas, y unidades lógicas.

Dirección IP de la computadora, información de la configuración IP, Configuración IP de Windows, Adaptador Ethernet de conexión de área local.

Información de la Red. Conexiones de red.

Nombre de los archivos en el portapapeles. Lista de tareas (Procesos actualmente en ejecución).

Todo el reporte generado y los archivos capturados se almacenan dentro de una carpeta en la carpeta de nombre “Reports”, en el medio de almacenamiento de destino definido al iniciar el procedimiento descrito.

Fuentes:

http://win-ufo.org/
http://win-ufo.org/downloads.shtml