Scribd
Cargar
82 vistas2 páginas

Datos Volatiles

Este documento describe los pasos para preservar datos volátiles importantes de un sistema comprometido sin modificarlo. Estos incluyen la fecha y hora del sistema, listas de procesos activos, sockets abiertos, usuarios activos y conexiones de red recientes. También recomienda asegurar el contenido de la memoria caché, memoria principal y estado de las conexiones de red. Para sistemas Windows, proporciona una lista de comandos para extraer esta información de manera forensemente segura.

Cargado por

camilo gomez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
82 vistas2 páginas

Datos Volatiles

Este documento describe los pasos para preservar datos volátiles importantes de un sistema comprometido sin modificarlo. Estos incluyen la fecha y hora del sistema, listas de procesos activos, sockets abiertos, usuarios activos y conexiones de red recientes. También recomienda asegurar el contenido de la memoria caché, memoria principal y estado de las conexiones de red. Para sistemas Windows, proporciona una lista de comandos para extraer esta información de manera forensemente segura.

Cargado por

camilo gomez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 2

1

- Seguridad Informática - Análisis forense - Preservación de datos volátiles -

Al ser llamado a un sistema que presumiblemente haya sido atacado, lo primero es, en el
menor tiempo posible, salvar la mayor cantidad de datos que se pueda, sin modificar
nada, o modificando lo menos posible.
Se trata de datos, los cuales al bajar el sistema (Shutdown) o desconectarlo, se pierden.
Al recolectar estos datos debe tenerse en cuenta no utilizar comandos del sistema. Por
una parte, estos comandos pueden ser programas troyanizados, los cuales encubren
informaciones o activan funciones dañinas. La utilización de comandos locales modificaría
la marca de tiempo de la última llamada. Por esta razón debe trabajarse con archivos
propios seguros.
Los datos a salvar son los siguientes:
- Fecha y hora del sistema
Para poder organizar los comandos ejecutados respecto al punto de partida de la
investigación, debe determinarse la fecha y hora del sistema. A partir de este momento,
todas las acciones que se ejecuten, pueden ser asociadas a la investigación.
- Lista de los procesos activos
Junto con el listado de los procesos activos, deben reunirse otras informaciones como
variables de entorno, parámetros de entrega, las bibliotecas cargadas, entre otros.
- Lista de los sockets abiertos
- Lista de las aplicaciones que utilizan dichos sockets
- Lista de los usuarios activos
- Lista de los sistema con los que tienen una conexión de red o tuvieron una conexión
hace poco
Una vez asegurados estos datos pueden buscarse otros rastros, como son
- Timestamps del sistema comprometido
- programas del sistema troyanizados
- archivos y carpetas ocultas
- sockets y archivos sospechosos
- procesos sospechosos

Contenidos del cache


El contenido de los archivos cache y de paginación son de interés para el análisis de los
programas activos y los comandos ejecutados. Así como se tenga acceso a un sistema
activo y sea posible, debe asegurarse.

Contenido de de la memoria principal


El contenido de la memoria principal debe ser asegurada en el contexto de los procesos
activos. Para una valoración simple, el contenido de la memoria principal debe ser
salvada separadamente por los espacios correspondiente a cada proceso ID.

Estado de las conexiones de red


Información sobre posibles programas utilizados como "puertas traseras" activos pueden
encontrarse en el listado de los puertos de red abiertos. Además, es posible reconocer si
las conexiones se encuentran en fase de establecimiento o finalizado. De encontrarse,
por ejemplo, muchos procesos de establecimiento de conexión, puede inferirse que el
sistema sufre un ataque de tipo "Distributed Denial of Service" o un escaneo de puertos.
Algunos sistemas operativos llevan estadísticas sobre los intentos de establecimiento de
conexiones exitosas y/o fallidas. Resulta interesante conocer que aplicación o servicio
abrió el puerto.

Análisis forense en Windows


Salvar datos volátiles
La situación del sistema comprometido es de interés para la investigación forense, entre
otros debe buscarse información sobre los procesos activos, el estado de las conexiones
de red, el usuario activo registrado, así como los archivos que están siendo utilizados.
Todas estas informaciones se perderían de reiniciar el sistema y en el disco no quedaría
rastro alguno.
2

Para salvar los datos volátiles, deben ejecutarse un grupo de comandos de Windows,
después de lo cual, debe determinarse la fecha y hora del sistema, compararse con una
referencia de confianza y documentarse para posteriores análisis.

Comando Acción
hostname Muestra el nombre del sistema
psinfo Muestra las informaciones fundamentales de
un sistema Windows
net accounts Muestra los lineamientos para claves
net file Muestra los archivos abiertos desde la red
net sessions Muestra la sesión de red activa
net share Muestra los recursos compartidos sobre la
red
net start Muestra los servicios activos
net use Muestra los recursos conectados desde la red
net user Muestra el usuario local
net view Muestra informaciones sobre la sesión NBT
existente
arp –a Muestra la Tabla Arp
netstat –an Muestra los puertos de red abiertos
netstat –n Muestra todas las conexiones de red
netstat –r Muestra las informaciones del ruteador
psloggedon Muestra las sesiones de registro activas
listdlls Muestra los DLLs abiertos por un proceso
sport /p Muestra los programas que mantienen
abierto un puerto
pslist –x Muestra detalladamente el estado de los
procesos y su espacio de memoria
nbtstat –c Muestra el contenido del NBT Remote Cache
rausers Mustra los usuarios que en el sistema, tienen
derechos RAS (NTRK -Net Tools Resource
Kit)

Aquí pueden incluirse otras herramientas, pero debe tenerse en cuenta, si estas
informaciones preferiblemente, se pueden obtener de una imagen del sistema de archivo,
ya que destruirían el MAC.Time del sistema.

Comando Acción
dir /s /a:h /t:a Muestra los archivos ocultos
c:
sfind c: Muestra los ADS (Alternate Data Streams)
cipher.exe Busca los archivos EFS (Encrypting File
System)

También podría gustarte

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy