Análisis de las evidencias

[4.1] ¿Cómo estudiar este tema?

[4.2] Esquema de un análisis

[4.3] Archivos de interés en Windows

[4.4] Archivos de interés en Linux

[4.5] Archivos de interés en Mac OS

4
TEMA
 Análisis de las evidencias
Esquema

TEMA 4 – Esquema
Esquema de Archivos de interés Archivos de interés Archivos de interés
análisis en Windows en Linux en Mac OS

Pre-análisis
Registro de Partición de Paginación e
• Archivos y
volúmenes
Windows intercambio hibernación
cifrados
• Máquinas

2
virtuales
• Archivos Archivos de
Sudoers Logs
borrados eventos
• Hash
• Firmas

Paginación e Bash history / Archivos de

hibernación Logs contraseñas
Análisis
• Palabras clave
• Sistema
operativo
Tareas
• Componentes
de red programadas
Análisis Forense
 Análisis Forense

Ideas clave

4.1. ¿Cómo estudiar este tema?

En este último tema de la asignatura veremos cómo realizar el análisis forense completo
de un equipo informático.

Puesto que cada caso y sistema son únicos, en este tema se plantean las estrategias más
comunes que podemos utilizar en la mayoría de los escenarios con los que nos
encontraremos.

Junto con dichas estrategias, también conoceremos algunos de los elementos más
importantes de cada Sistema Operativo. Estos elementos contendrán información muy
valiosa de cara al análisis y resolución del caso en que nos encontremos.

Los objetivos de este primer tema son:

Conocer el esquema global de un análisis forense y saber qué buscamos en cada etapa
de este.
Conocer algunas de las herramientas necesarias para realizar las tareas de un análisis
forense.
Conocer los archivos y carpetas más importantes a la hora de realizar un análisis en
un sistema Windows, Linux y Mac OS.

Por supuesto, tanto el esquema como las herramientas presentadas en este tema son
orientativas, pudiendo variar en función del caso concreto en que nos encontremos.

Los archivos más importantes de cada Sistema Operativo son aquellos donde siempre
vamos a poder encontrar información de interés. Ahora bien, estos no son los únicos
archivos a analizar puesto que deberemos tener en cuenta también aquellos elementos
que se encuentren directamente relacionados con la pericial.

TEMA 4 – Ideas clave 3

 Análisis Forense

4.2. Esquema de un análisis

En el anterior tema hemos visto como recolectar las evidencias que vamos a analizar,
tanto las volátiles como las no volátiles. Ahora, lo que vamos a plantear es el esquema
típico de un análisis de dichas evidencias.

Ide ntificación de archivos

y volúme ne s cifrados
Por cada máquina virtual

¿Se NO
SI
¿Existe n? pue den Docume ntar
de scifrar?

NO SI

Ide ntificación de
De scrifrar
máquinas virtuale s

SI
¿Existe n?

NO
Re cupe ración de
archivos borrados

Hash a los archivos

(de scartar / se ñalar)

Ve rificación de firmas

Búsque da de
palabras clave

Análisis de l
siste ma ope rativo

Análisis de los
compone ntes de red

TEMA 4 – Ideas clave 4

 Análisis Forense

En el esquema anterior podemos diferenciar dos fases:

Fase preanálisis Fase análisis

Fase en la que identificamos los archivos

Fase en la que realizamos búsquedas de
y volúmenes cifrados, las máquinas
las palabras clave que nos interesan,
virtuales, recuperamos los archivos
analizamos el sistema operativo (con
borrados, obtenemos el hash de todos
todo lo que ello incluye) y analizamos los
los archivos y realizamos una
componentes de red.
verificación de firmas de los mismos.

La primera de las fases, la fase de pre-análisis se puede hacer de manera casi

automática, pues en prácticamente todos los casos que nos encontremos se van a
realizar dichos pasos, mientras que la fase de análisis es específica para cada caso
concreto, pudiendo alterar algunos de los pasos que la componen o incluso eliminarlos.

Fase de pre-análisis

1. Identificación de archivos y volúmenes cifrados

En este paso, nuestra labor como analistas forenses consiste en descubrir los
archivos y volúmenes que pudieran encontrarse cifrados en el equipo.

Para ello podemos hacer uso de programas como Encryption Analyzer, de la empresa
Passware, que realiza una búsqueda de los archivos y volúmenes cifrados existentes en
el equipo, aunque también podemos realizar una búsqueda de archivos cifrados
conocidos, por sus cabeceras o sus extensiones.

Una vez tengamos los elementos que se encuentran cifrados en el equipo, procederemos
a descifrar los mismos con herramientas como Passware Kit Forensics, de la misma
empresa Passware, u otros programas específicos en función del tipo de encriptación
que se pretenda «romper».

Hay que tener en cuenta que no se van a poder descifrar todos los tipos de
cifrado existentes, por lo que en caso de encontrar un archivo que no se pudiera
descifrar y, por lo tanto, no se pudiera leer su contenido, pasaríamos a anotar tal
información en nuestro informe pericial con el fin de que quede constancia de dicho
extremo.

TEMA 4 – Ideas clave 5

 Análisis Forense

2. Identificación de las máquinas virtuales

Para identificar las máquinas virtuales que pudieran existir en el equipo, lo ideal es
comenzar por las aplicaciones instaladas en el mismo. Si el equipo tiene instalado el
software VMware, es lógico pensar que puede tener máquinas virtuales en dicho
formato, aunque esto no excluye la búsqueda de otro tipo de máquinas virtuales.

Los formatos más comunes de discos duros de máquinas virtuales son:

Extensión de
Tipo de máquina virtual
archivo

*.VMDK Formato abierto utilizado por VMware (desarrollador) y VirtualBox

Formato abierto(Bajo la especificación Microsoft Open Specification

*.VHD
Promise) utilizado por MS Virtual PC y MS Hyper-V

*.XVA Formato abierto utilizado por Citrix XEN

En caso de encontrarnos con el disco duro de una máquina virtual, al consistir en una
máquina similar a una real, procederemos a analizarla como si de una máquina distinta
se tratara, siendo necesario aplicar sobre ella los mismos pasos que se aplican para
analizar cualquier otro equipo.

3. Recuperación de archivos borrados

El tercer paso a realizar durante el pre-análisis será la recuperación de los archivos

borrados. Cuando se elimina un archivo sigue siendo posible la recuperación del
mismo. Para ello, primeramente utilizaremos programas como AccessData FTK, que
muestran los archivos marcados como borrados en el índice del sistema de ficheros y
posteriormente realizaremos una búsqueda en bruto de archivos borrados mediante
programas como Photorec o R-Studio, que realizan la búsqueda sobre el espacio libre del
dispositivo.

TEMA 4 – Ideas clave 6

 Análisis Forense

4. Hash de los archivos (Descartar/Señalar)

Una técnica muy importante dentro del

análisis forense es el filtrado
mediante hash. Este tipo de filtrado
consiste en obtener el hash de todos los
archivos a estudiar y comparar sus
valores con una base de datos de
archivos «malos» o «buenos», de
manera que podamos descartar los
archivos considerados como «buenos»
(archivos del sistema operativo o de
programas fiables) y nos podamos centrar en los «malos» o desconocidos.

Para ello, podemos emplear programas como Sorter, incluido en la suite forense
Autopsy, que nos permite agrupar por categorías (en este caso «malos» y «buenos») los
archivos de un dispositivo, o el propio AccessData FTK que permite importar distintas
Bases de Datos de hashes conocidos.

Junto con estos programas podemos hacer uso de las bases de datos disponibles en la
National Software Reference Library (http://www.nsrl.nist.gov/) para filtrar de forma
rápida los archivos objeto del análisis o ir creándonos nuestra propia base de datos de
hash conforme vallamos realizando casos.

Hay que tener muy en cuenta el algoritmo hash utilizado, puesto que si estamos
realizando una comparativa entre algoritmos hash diferentes nos será imposible
encontrar concordancia. Un ejemplo sería el tener en nuestra Base de Datos de hashes,
los hashes MD5 de archivo de interés e intentar compararlos con hashes SHA1.

5. Verificación de firmas

Lo que realmente indica de qué tipo es un fichero es su cabecera o firma, puesto que
la extensión puede ser fácilmente cambiada. Para comprobar si en los archivos que
vamos a analizar coincide lo que la extensión indica con el contenido del archivo es por
lo que se realiza la verificación de firmas.

TEMA 4 – Ideas clave 7

 Análisis Forense

Para la verificación de firmas podemos utilizar el ya mencionado AccessData FTK, el

cual, a partir de una base de datos de firmas de archivo, indica si en los archivos
analizados se corresponde o no la firma y la extensión.

La modificación de la extensión y/o la ruta con el objetivo de ocultar el verdadero

contenido de un archivo es una técnica muy rudimentaria de ocultación de información,
pero todavía bastante utilizada.

Fase de análisis

1. Búsqueda de palabras clave

En ocasiones nos podemos encontrar con análisis en los que es necesario obtener
documentos relacionados con determinadas palabras, por ejemplo, que
tengamos que obtener los documentos en los que se menciona a una determinada
persona. Para estos casos, realizaremos una búsqueda de palabras clave en las evidencias
recolectadas.

Este tipo de búsquedas es muy similar a la que podemos realizar con nuestro propio
sistema operativo, con la diferencia de que también se busca sobre los espacios libres de
la evidencia y en el interior de los archivos.

Para realizar la búsqueda podemos utilizar el mismo AccessData FTK, que permite
realizar búsquedas mediante palabras clave o mediante expresiones regulares las cuales
nos permiten definir patrones de búsqueda mucho más complejos que una simple
búsqueda literal.

Un ejemplo de expresión regular sería: «v[i!1][a@]gr[a@]» Esta expresión encontraría

los siguientes términos: «viagra», «vi@gra» y «v1agra» (entre otros), que son términos
muy comúnmente utilizados para el envío de SPAM.

TEMA 4 – Ideas clave 8

 Análisis Forense

2. Análisis del sistema operativo

Durante el análisis del sistema operativo tenemos que seguir una serie de pasos, durante
los cuales tenemos que intentar responder a las siguientes preguntas:

1. Nombre y versión del sistema operativo instalado, así como las

actualizaciones.
a. ¿Es una versión no oficial, o hay alguna actualización que no lo sea?

2. Usuarios del sistema y sus privilegios.

a. ¿Hay algún usuario anormal?
b. ¿Hay cuentas anónimas activas?
c. ¿Alguno de los usuarios es el propietario de algún archivo sospechoso?

3. Programas instalados.
a. ¿ Hay programas que permitan realizar el hecho investigado?
Ejemplo: Si estamos investigando la clonación de tarjetas, ¿hay algún programa
que permita su copia?

4. Antivirus instalados y análisis de seguridad

a. ¿Tiene instalado algún antivirus?
b. ¿Existe algún antivirus fake?
c. ¿Está infectado con algún virus el equipo? En tal caso, ¿dicho virus se encuentra
activo?

5. Análisis de los archivos de registro del sistema operativo.

a. ¿Sobre qué sucesos se guardan registros?
b. ¿Los archivos de registro han sido modificados?

6. Hardware configurado en el sistema.

a. ¿Qué hardware se encuentra configurado en el sistema?
b. ¿Qué dispositivos han sido conectados al mismo?
c. ¿Con el hardware configurado se ha podido realizar el incidente investigado?

TEMA 4 – Ideas clave 9

 Análisis Forense

Con el análisis de estos seis apartados tendremos una idea general de lo que se puede
o no hacer con el equipo. Además de que gracias a los archivos de registro analizados
(posteriormente se especifican los archivos interesantes al respecto) podremos obtener
información sobre las acciones realizadas sobre el equipo.

3. Análisis de los componentes de red

Al igual que durante el análisis del sistema operativo, durante el análisis de los
componentes de red tendremos que seguir una serie de pasos e intentar responder a
las siguientes preguntas:

1. Programas Peer to Peer (P2P), FTP u otros de compartición de ficheros.

a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Alguno de ellos tenía una configuración «extraña»?
c. ¿Qué archivos se han compartidos o descargado?

2. Correos electrónicos y mensajería instantánea

a. ¿Qué programas de este tipo tenía instalados y configurados?
b. Listado de contactos.
c. ¿Qué archivos han sido enviados o recibidos mediante estos programas?
d. Listado de mensajes de correo, mensajería y llamadas VoIP.

3. Exploradores de Internet
a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación

4. Otros programas con acceso a Internet

a. Dropbox, Google Drive, etc.

Cuando analicemos los correos electrónicos, los programas de mensajería instantánea o

cualquier otro programa que pueda albergar comunicaciones privadas entre personas,
debemos de tener cuidado de no incurrir en un delito contra el secreto de las
comunicaciones.

TEMA 4 – Ideas clave 10

 Análisis Forense

4.3. Archivos de interés en Windows

Como todos los sistemas operativos, Windows tiene una serie de archivos que nos van a
proporcionar una valiosa información a la hora de realizar un análisis del mismo.
Estos archivos son:

1 El registro de Windows

2 Los archivos de eventos

3 Los archivos de paginación e hibernación

Registro de Windows
Es una gran base de datos donde se almacena información sobre el propio
sistema operativo y los programas instalados. De él podemos obtener
información como: el histórico de dispositivos USB conectados, el hardware
configurado en el equipo, las redes Wifi a las que el equipo ha estado conectado, los
programas instalados, contraseñas de los usuarios, etc.

El registro de Windows está compuesto por varios archivos, los cuales, en Windows 7 y
8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM», ubicados en la ruta
«[WINDOWS INSTALL DIR]\System32\config\». Además del archivo «NTUSER.DAT»
ubicado en la carpeta personal de cada usuario. Estos archivos pueden ser analizados
fácilmente con la herramienta Windows Registry Recóvery de MiTeC.

Archivos de eventos
Son archivos que almacenan los eventos ocurridos en el sistema operativo. En ellos
podemos encontrar eventos sobre los accesos de los usuarios al equipo, las
conexiones a la red, errores en la impresión de archivos, la creación de usuarios, etc.

Los archivos de eventos de Windows 7 y 8 se encuentran en la ruta «[WINDOWS

INSTALL DIR]\System32\winevt\» y tienen extensión *.EVTX (en versiones anteriores
de Windows la extensión es *.EVT). Estos archivos pueden ser analizados desde el propio
sistema operativo o con la herramienta Event Log Explorer de FSPro Labs.

TEMA 4 – Ideas clave 11

 Análisis Forense

Archivos de paginación e hibernación de Windows

Son archivos que contienen información que se encontraba previamente en la
memoria RAM, pero que por falta de espacio (archivo de paginación) o por entrar
el equipo en suspensión (archivo de hibernación), se han copiado al disco duro.

Estos archivos suelen estar ubicados en la raíz del dispositivo y en Windows 7 (y en

prácticamente todas las versiones de Windows) son los archivos «pagefile.sys» e
«hiberfile.sys», aunque no tienen por qué encontrarse en el dispositivo.

Sobre estos archivos podemos realizar el mismo tipo de análisis que sobre la memoria
RAM. Podemos realizar búsquedas de cadenas, recuperación de archivos, etc.

Además, también una serie de artefactos que también pueden resultar de mucho interés,
en función del caso objeto de análisis como son los relacionados con los archivos
descargados, programas ejecutados, los archivos abiertos y creados, etc.

En 2012, el Instituto SANS publicó un poster con la ubicación y forma de proceder ante
todos estos artefactos.

Este poster está disponible para su descarga en la siguiente dirección:

https://blogs.sans.org/computer-forensics/files/2012/06/SANS-Digital-Forensics-
and-Incident-Response-Poster-2012.pdf

4.4. Archivos de interés en Linux

Dentro de un sistema operativo tipo Linux, los archivos y carpetas de los que más
información podremos extraer son:

La partición de intercambio «swap», o archivos de intercambio añadidos al sistema

(archivos con extensión «.swap»). Similar al archivo de paginación en sistemas
Windows.
El archivo «/etc/sudoers», indica qué usuarios pueden ejecutar comandos como
administrador (mediante los comandos «su» o «sudo»).
El archivo «/etc/ passwd», contiene el listado de usuarios del sistema, el grupo a que
dichos usuarios pertenecen y su contraseña cifrada.

TEMA 4 – Ideas clave 12

 Análisis Forense

El archivo «.bash_history», el cual se encuentra en la carpeta del usuario y almacena

el historial de comandos ejecutados en la consola del equipo.
La carpeta «/var/log/», contiene toda la lista de archivos logs del sistema operativo.
Podemos ver que se escribe en cada uno de estos archivos leyendo el fichero de
configuración «/etc/rsyslog.conf».
La carpeta «/var/spool/cron/crontabs» en la cual se almacenan las tareas
programadas de cada uno de los usuarios del sistema.

El archivo «/etc/sudoers» es un archivo de gran interés ya que, si el sistema ha sufrido

algún tipo de ataque, suele alterarse este archivo para permitir que el usuario
comprometido pueda ejecutar comandos como si fuera un usuario root.

Por su parte, el archivo «/etc/ passwd» también es muy relevante en casos en los que el
sistema se haya visto comprometido, ya que de su análisis podremos obtener
información sobre posibles usuarios creados o usuarios que han cambiado de un grupo
sin privilegios a otro con mayores privilegios de acceso.

La estructura de las entradas del archivo «/etc/ passwd» es la que se puede observar en
la imagen anterior.

Como vemos, dicho archivo almacena el nombre de usuario, la contraseña cifrada, los
identificadores del usuario, una descripción del usuario, la ruta de su carpeta home y la
Shell del usuario.

TEMA 4 – Ideas clave 13

 Análisis Forense

4.5. Archivos de interés en Mac OS

Cuando tengamos que analizar un sistema operativo Mac OS (nos referimos al sistema
operativo de Mac para ordenadores portátiles o de sobremesa, no estamos hablando de
iOS, que es el sistema operativo del iPhone y del iPad) hay una serie de archivos y
carpetas con especial interés. Estos son:

Carpeta «/private/var/vm». Contiene los archivos «sleepimage» y «swapfile», similares

a los archivos de paginación e hibernación en sistemas Windows.
Carpeta «/private/var/log». Contiene los logs del sistema operativo. También es posible
encontrar ficheros de log (archivos con extensión *.log) en otras rutas, como la carpeta
«/Users/[username]/Library/Logs» que contiene los logs correspondientes al usuario.
Carpetas «/Library/», «/Users/[username]/Library/» y «/System/Library/».
Archivos con extension «*.plist». Son archivos en formato XML que almacenan
información similar a la contenida en el registro de un sistema Windows.
Carpetas «/private/var/db/shadow», «/Library/Keychains/» y
«/Network/Library/Keychains/». Contiene las contraseñas de acceso al equipo y las
guardadas por el usuario (redes Wifi, exploradores, etc.).

Los archivos plist, o archivos de lista de propiedades, son archivos que almacenan multitud
de información de interés sobre programas utilizados por el usuario y la configuración de los
mismos.

Este tipo de archivos está presente tanto en los equipos con sistemas operativos MacOS,
como en los terminales móviles con sistemas operativos iOS y pueden ser visualizados
directamente desde el propio sistema operativo del equipo, o bien haciendo uso de
herramientas de terceros como Plist Explorer o Plist Editor, ambos para sistemas operativos
Windows.

TEMA 4 – Ideas clave 14

 Análisis Forense

Lo + recomendado

Lecciones magistrales

Archivos de eventos en Windows

En esta lección magistral vamos a realizar el análisis de los archivos de eventos de los
sistemas operativos Windows.

La clase magistral está disponible en el aula virtual.

TEMA 4 – Lo + recomendado 15
 Análisis Forense

No dejes de leer…

Computer Forensics Procedures and Methods

Craiger, P. (2006). Computer Forensics Procedures and Methods. En H. Bigdoli (Ed.),

Handbook of Information Security. (S. l.): John Wiley & Sons.

Este documento realiza un repaso general de los procedimientos y métodos utilizados

durante un análisis forense. Desde la captura de la evidencia, hasta los análisis más
concretos, como la búsqueda de palabras clave o las colas de impresión.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://studylib.net/doc/8132623/computer-forensics-methods-and-procedures

First Responders Guide to Computer Forensics

Nolan, R., O’Sullivan, C., Branson, J. y Waits, C. (2005). First Responders Guide to
Computer Forensics. Pittsburgh: CERT.

First Responders Guide To Computer Forensics, publicado por el CERT (Computer

Emergency Response Team) de la universidad de Carnegie Mellon, es un completo
manual explicativo de cómo afrontar un análisis forense en primera instancia.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

https://resources.sei.cmu.edu/asset_files/Handbook/2005_002_001_14429.pdf

Windows Forensic Analysis

Póster publicado por SANS sobre elementos de interés en Sistemas Operativos Windows.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

https://digital-forensics.sans.org/media/Poster_Windows_Forensics_2017_WEB.pdf

TEMA 4 – Lo + recomendado 16
 Análisis Forense

Sistemas Operativos Mac OS e iOS

Ibrahim, N. (2017). Mac OS X and iOS Forensics [PowerPoint].

Presentación Nicole Ibrahim para el SANS DFIR 2017 sobre eventos en Sistemas
Operativos Mac OS e iOS.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.sans.org/summit-archives/file/summit-archive-1498158287.pdf

Basic Mac Forensics

Peelman, N. (S. f.). Basic Mac Forensics. Indiana: Purdue University.

Este documento tiene el objetivo de proporcionar a aquellos investigadores cómodos con

los entornos Windows un conocimiento básico para el análisis forense en entornos de
Mac.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://files.peelman.us/BasicMacForensics.pdf

Linux forensics (for non-Linux folks)

Pomeranz, H. (S. f.). Linux forensics (for non-Linux folks) [PowerPoint]

El documento, publicado por Deer Run Associates, es una compilación de herramientas

de análisis forense útiles e importantes para verificar al analizar un sistema Linux.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://www.deer-run.com/~hal/LinuxForensicsForNon-LinuxFolks.pdf

TEMA 4 – Lo + recomendado 17
 Análisis Forense

The Law Enforcement and Forensic Examiner’s Introduction to Linux

Grundy, B. J. (2017). The Law Enforcement and Forensic Examiner’s Introduction to

Linux: A Comprehensive Beginner’s Guide to Linux as a Digital Forensic Platform.
[eBook].

Tal y como dice su título, se trata de una guía muy útil sobre el análisis forense de equipos
Linux. Está actualizada a la versión 4.31 en octubre de 2017.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://linuxleo.com/Docs/linuxintro-LEFE-4.31.pdf

SANS Investigative Forensics Toolkit (SIFT)

Conjunto de herramientas recopiladas por SANS para la realización de análisis forenses.

Accede a la documentación a través del aula virtual o desde la siguiente dirección web:
https://digital-forensics.sans.org/community/downloads

TEMA 4 – Lo + recomendado 18
 Análisis Forense

No dejes de ver

La práctica de la Informática Forense

Como peritos informáticos debemos saber utilizar una amplia variedad de

herramientas que nos permitan obtener la mayor cantidad de información posible de
un sistema. En esta OpenClass, se hace un recorrido por algunas de las más
importantes y conocidas, centrándose especialmente en las herramientas libres que nos
permitirán desarrollarnos como peritos desde el primer día.

Accede a la OpenClass a través del siguiente enlace:

https://www.youtube.com/watch?v=VKVu3_SLqwM

TEMA 4 – Lo + recomendado 19
 Análisis Forense

+ Información

Webgrafía

Análisis de las evidencias

Las siguientes direcciones web te servirán para profundizar más en el tema:

SANS: Whitepapers (http://computer-forensics.sans.org/community/whitepapers)

National Institute of Justice. Topical Collection: Digital Forensics
(http://nij.ncjrs.gov/App/publications/Pub_search.aspx?searchtype=basic&categor
y=99&location=top&PSID=31)
The United States Department of Justice. Computer Crime & Intellectual Property
(http://www.justice.gov/criminal/cybercrime/)
Computer Forensics Tool Testing (http://www.cftt.nist.gov/)
Digital Forensic Research Workshop, DFRWS (http://www.dfrws.org/)

Bibliografía

Altheide, C. y Carvey, H. (2011). Computer forensics with Open Source tools. Syngress.

Brown, C. L. T. (2010). Computer evidence. Collection and preservation. Boston: Course

Technology PTR.

Jones, K., Bejtlich, R. y Rose, C. (2005). Real Digital Forensics: Computer Security and
Incident Response. Addison-Wesley Educational Publishers Inc.

TEMA 4 – + Información 20
 Análisis Forense

Actividades

Trabajo: Análisis Forense de un equipo Windows 10

Descripción y pautas de la actividad

El objetivo de esta actividad es realizar la adquisición y el análisis forense de los

elementos más importantes de un sistema operativo Windows. Para ello deberá
conectarse a la plataforma de UNIR en iHackLabs, donde tendrá disponible la máquina
virtual a analizar y las credenciales de acceso a la misma.

La empresa Fake S.A. le contrata como perito para realizar la adquisición y el análisis
forense del equipo informático de uno de sus empleados, el señor Joaquín López.

Puesto que el equipo se encuentra encendido, lo primero que debe hacer es realizar la
adquisición de la memoria RAM de este (al ser un proceso largo y, puesto que no vamos
a analizar su contenido, basta con que inicie el proceso y luego lo cancele). Seguidamente,
haciendo uso de las herramientas que considere oportunas, adquiera y analice los
archivos necesarios para responder a las preguntas que se le plantean.

Notas

• Por favor, responda en la plantilla que se adjunta en la siguiente página.

• Simplemente debe contestar a lo que se le pregunta; si quiere hacer algún
comentario, utilice el apartado correspondiente a la hora de entregar la actividad
en el campus virtual.
• Cualquier hora que indique debe ir acompañada de la zona horaria en la que se
encuentra.
• Si tiene alguna duda sobre cómo acceder a la plataforma de iHackLabs o sobre su
funcionamiento, tiene disponible un videotutorial en el campus virtual.

TEMA 4 – Actividades 21
 Análisis Forense

¿Qué herramienta ha utilizado (usted) para realizar el volcado de la memoria RAM?

¿En qué fecha y hora se instaló el sistema operativo Windows 10?

¿Qué usuarios han iniciado sesión en el equipo? ¿Cuál ha sido la fecha y hora de último
acceso de estos usuarios?
• Nombre del usuario: xx
• Fecha y hora de inicio de sesión: xx

• Nombre del usuario: xx

• Fecha y hora de inicio de sesión: xx

Se sospecha que uno de los usuarios del sistema modificó su cuenta para obtener
privilegios de administración. Analizando los registros de eventos indique qué usuario
fue y en qué fecha y hora realizó dicha modificación.
• Nombre del usuario: xx
• Fecha y hora de la modificación: xx

Analizando los registros de eventos, indique los encendidos y apagados del sistema y
los inicios y cierres de sesión de los usuarios.
• Fecha y hora: xx/xx/xxxx xx:xx
• Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
• Usuario: Que ha iniciado o cerrado la sesión

• Fecha y hora: xx/xx/xxxx xx:xx

• Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
• Usuario: Que ha iniciado o cerrado la sesión

• Fecha y hora: xx/xx/xxxx xx:xx

• Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
• Usuario: Que ha iniciado o cerrado la sesión

TEMA 4 – Actividades 22
 Análisis Forense

Analizando los registros de eventos, responda a las siguientes preguntas sobre los
posibles cambios en la fecha y hora del sistema.
• Se ha realizado algún cambio en la fecha y hora del sistema:
• ¿Qué usuario ha realizado dicho cambio?:
• ¿Qué fecha y hora era originalmente?:
• ¿Qué nueva fecha y hora se indicó?:
• ¿Se revirtió el sistema a la fecha y hora real?:

Se sospecha que en el sistema se descargó e instaló un software para el registro de las

teclas pulsadas (keylogger). Analizando las evidencias facilitadas, indique qué usuario
descargó e instaló el software, en qué fecha y hora descargó e instaló el mismo y si llegó
dicho software a ejecutarse y a registrar algún tipo de información.
• Nombre del usuario:
• Fecha y hora de la descarga:
• Fecha y hora de la instalación:
• ¿Llegó dicho software a registrar algún tipo de información?:
• ¿Qué información registró?:

El sistema disponía de los navegadores Internet Explorer y Microsoft Edge. Aun así, se
sospecha que uno de los usuarios instaló un navegador web alternativo. ¿Qué navegador
se instaló?, ¿qué usuario instaló dicho navegador?
• Navegador instalado:
• Ruta de instalación:
• Nombre del usuario que lo instaló:

Analizando el historial de navegación de los navegadores instalados en el equipo, ¿hay

alguna URL que pudiera ser relevante para la investigación?, ¿por qué?
• URL relevante:
• Motivo:

¿Qué archivos ha considerado de interés (y por lo tanto ha adquirido) para responder a

las preguntas planteadas?

¿Qué herramientas ha utilizado para adquirir y analizar los archivos de interés?

TEMA 4 – Actividades 23
 Análisis Forense

Test

1. La identificación de volúmenes cifrados, ¿a qué fase del análisis pertenece?

A. Durante el análisis no se identifican los volúmenes cifrados.
B. Al post-análisis.
C. A la fase de análisis.
D. A la fase de pre-análisis.

2. ¿Cuál es el objetivo de realizar un hash a los archivos contenidos en la evidencia?

A. Comprobar si en los archivos que vamos a analizar coincide lo que la extensión
indica con el contenido del archivo.
B. Filtrar los archivos a analizar, pudiendo categorizarlos en «malos» y «buenos».
C. Es contraproducente la realización de un hash a los archivos contenidos en la
evidencia.
D. Ninguna de las anteriores es correcta.

3. Respecto a la búsqueda de palabras clave:

A. En ocasiones nos podemos encontrar con análisis en los que es necesario
obtener documentos relacionados con determinadas palabras.
B. Es una tarea perteneciente a la fase de pre-análisis.
C. No se usa para buscar documentos en los que se mencione a personas.
D. Es una tarea perteneciente a la fase de post-análisis.

4. Respecto de la identificación de las máquinas virtuales:

A. Si nos encontramos con un disco duro virtual, procederemos a analizarlo como
si de una máquina distinta se tratara.
B. No es necesario identificar las máquinas virtuales.
C. Es una tarea perteneciente a la etapa de «análisis».
D. Ninguna de las anteriores son correctas.

TEMA 4 – Test 24
 Análisis Forense

5. Durante el análisis del sistema operativo:

A. Tenemos que responder a preguntas como: ¿es una versión no oficial o hay
alguna actualización que no lo sea?
B. Se realiza un análisis de seguridad para determinar si el equipo se encuentra
infectado por algún virus.
C. Obtenemos los dispositivos que han sido conectados al equipo.
D. Todas las respuestas son correctas.

6. Durante el análisis de los componentes de red:

A. Obtenemos la lista de programas que permitan realizar el hecho que se está
investigando.
B. Los componentes de red no se analizan.
C. Obtenemos la lista de páginas web visitadas por el usuario.
D. Ninguna de las anteriores es correcta.

7. Referido a los archivos de interés en Windows:

A. Son los mismos que en Linux y MacOS.
B. Los más importantes son «el registro de Windows», «los archivos de eventos»
y «los archivos de paginación e hibernación».
C. No proporcionan apenas información de interés.
D. Son los mismos que en MacOS.

8. El registro de Windows:
A. Es uno de los archivos de interés del sitema operativo Windows.
B. Es una gran base de datos donde se almacena información.
C. Las respuestas A y B son correctas.
D. Windows no dispone de registro.

9. Los archivos de interés en Linux:

A. Son los mismos que los de Windows.
B. Son los mismos que los de Windows y MacOS.
C. La partición de intercambio «swap» no es uno de ellos.
D. Ninguna de las anteriores es correcta.

TEMA 4 – Test 25
 Análisis Forense

10. Los archivos de interés en MacOS:

A. La carpeta «/private/var/vm» contiene los archivos «sleepimage» y «swapfile»,
similares a los archivos de paginación e hibernación en sistemas Windows.
B. Son los mismos que los de Windows.
C. MacOS no almacena archivos de logs.
D. No contienen información sobre las contraseñas almacenadas por los usuarios.

TEMA 4 – Test 26