Recolección de información Volátil y no Volátil

Fundación Universitaria del área Andina

Facultad de Ingeniería de Sistemas

Informática Forense II

2021

1
 Contenido

Introducción............................................................................................................................. 4

Objetivos.................................................................................................................................. 5

1. Pasos Preliminares..........................................................................................................6

 Instalación de unidad virtual (Windows 10).........................................................................6

 Reloj Del Sistema.............................................................................................................7

 Comando NET................................................................................................................. 8

 Net Config....................................................................................................................... 9

 Net Start........................................................................................................................ 10

 Net user......................................................................................................................... 11

2. Inicio de Sesión de usuarios.............................................................................................11

 PSLoggedon................................................................................................................ 12

 LogonSessions............................................................................................................. 13

3. Información de Red......................................................................................................14

 Comando NBTSTAT....................................................................................................14

 NetStat......................................................................................................................... 15

4. Archivos abiertos............................................................................................................ 15

2
 PSFile.......................................................................................................................... 16

5. Información de procesos..................................................................................................16

 TaskList........................................................................................................................ 16

 Pslist............................................................................................................................ 17

 OpenFiles..................................................................................................................... 18

6. Proceso en memoria........................................................................................................18

 Process Explorer.......................................................................................................... 19

7. Herramienta DevCon......................................................................................................19

Conclusiones...................................................................................................................... 20

3
 Introducción

Computación forense que entendemos por disciplina, que procura descubrir e interpretar la

información de los medios informáticos para establecer los hechos y formular las hipótesis

relacionadas con el caso. Para simplificar podríamos decir que la informática forense busca

establecer que sucedió, como sucedió y quien estuvo involucrado; la toma de información de un

equipo sospecho antes de apagarlo es importante. Existen mucha cantidad de información de

datos volátiles que pueden perderse una vez que la computadora se apaga.

Objetivos

En este eje veremos la importancia de recolectar información volátil esencial para cualquier

investigación informática, en este eje colocaremos en práctica lo aprendido a lo largo de la

contener muchos elementos de información importantes como contraseñas, claves criptográficas,

imágenes y otros datos que pueden servir de evidencia para inculpar o absolver algún grupo o

persona de algún delito.

Hacer uso de los comandos:

 DATE

 TIME

 NET

 PSLOGGEDON

 LOGONSESSIONS

 NBTSTAT

 PSFILE

 TASKLIST

 PSLIST

 LISTDLLS

1. Pasos Preliminares

 Instalación de unidad virtual (Windows 10)

5
 Se recomienda Para realizar estas pruebas, hacerlo desde sistemas virtualizados.

A continuación, vamos a trabajar con los diferentes comandos esenciales para realizar una

recolección de información volátil.

 Reloj Del Sistema

En este punto podemos analizar la hora y la fecha exacta en la que las diferentes aplicaciones

pudieron haber ingresado en el sistema para de esta forma recrear una línea de tiempo esencial

para la investigación.

6
 De esta forma obtenemos la hora y la fecha exacta, para obtener esta información usamos los

comandos DATE y TIME. De esta forma comparamos la hora que muestra el sistema con la hora

de otros dispositivos, verificamos si las horas concuerdan.

 Comando NET

7
Al ejecutar Net Accounts Nos muestra la configuración actual de contraseñas, así como la

información de dominio.

 Net Config

8
Nos muestra la información detallada de la estación de trabajo.

 Net Start

9
 Con este comando podremos ver todos los servicios que se ejecutan, de esta forma podemos

revisar que servicios son los sospechosos de que se este presentando fallas, hacemos un filtro.

 Net user

10
 Con este comando podemos ver los usuarios del equipo local, así como también si fueron

creados usuarios nuevos al momento de ingresar fraudulentamente en el pc.

2. Inicio de Sesión de usuarios

En este punto podemos investigar e identificar a los usuarios que se han podido loguear en la

estación de trabajo, sea que lo hagan de forma remota o local, para lo siguiente vamos a utilizar

las herramientas que a continuación se detallan.

 PSLoggedon

11
Instalamos la herramienta PSTools, luego iniciamos el comando psloggedon.

12
 Nos muestra la cantidad de usuarios conectados y el tiempo que ha a estado en actividad.

Como se ve en la imagen solo un usuario ha iniciado sesión en el pc.

 LogonSessions

Como podemos ver en la imagen, este comando nos sirve para revisar sesiones activas en el pc.

Acá nos muestra la información relevante de cuando inicie sesión en este equipo.

3. Información de Red

En este punto podemos conocer que otras estaciones de trabajo se han podido comprometer en

las siguientes imágenes se demostrara que herramientas usamos para realizar esta labor.

13
  Comando NBTSTAT

En este punto utilizamos el comando nbtstat -n donde nos muestra los nombres que fueron

registrados de forma local en el equipo. En este caso observamos que solo se han registrado un

nombre en la estación.

 NetStat

14
 Acá nos muestra todas las conexiones que se han tenido y que de donde se haya podido filtrar

información, en este caso no vemos algún server o ip que se concrete como sospechosa.

4. Archivos abiertos

Veremos que archivos han sido abiertos de forma remota, a pesar de que en la anterior

revisión no nos mostró alguna conexión remota establecida lo haremos a manera de prueba local.

 PSFile

15
 No encontró ningún archivo como era de esperarse.

5. Información de procesos

En este punto vamos a revisar que procesos se han abierto en el sistema, para esto vamos a

utilizar una serie de herramientas que detallaremos más delante.

 TaskList

Nos muestra todos los procesos que se están ejecutando en el sistema, en este caso no vemos

ningún proceso que pueda estar interfiriendo con el rendimiento de la estación de trabajo.

 Pslist

16
 Este comando es también muy buena herramienta ya que además de mostrarnos la lista de

procesos en ejecución, nos muestra el tiempo en el que ha estado ejecutándose dicho servicio, en

este caso solo vemos los procesos normales que ejecuta Windows. Hasta el momento no henos

encontrado evidencia que nos diga si el pc fue de alguna manera objeto de alguna manipulación

remota o loca.

 OpenFiles

17
 Como vemos en la imagen corroboramos que no hay o hubo ningún archivo compartido, esto

confirma lo hecho anteriormente con los comandos de red.

6. Proceso en memoria

Es muy importante poder recuperar la información de procesos contenida en la memoria

RAM, de esta manera podemos resolver si hay algún tipo de proceso malicioso, el cual

podríamos hacerle seguimiento con las diferentes herramientas para este fin, a continuación,

detallaremos una de estas.

 Process Explorer

18
 Con esta potente herramienta (la interfaz grafica un poco mas amigable con el usuario final)

podemos realizar seguimiento a los procesos que se ejecutan en el sistema. Verifican los

procesos que estén afectando el rendimiento del pc. Es una herramienta intuitiva que nos ayudara

a resolver diferentes problemas de la máquina.

7. Herramienta DevCon

Es una herramienta de línea de comandos que muestra información detallada sobre los

dispositivos en las computadoras que ejecutan Windows. Pueden usar DevCon para habilitar,

deshabilitar, instalar, configurar y eliminar dispositivos.

Conclusiones

19
 Existen diferentes técnicas para la recolección de las evidencias, los investigadores forenses

realizan el análisis de la evidencia con las diferentes herramientas vistas en este taller, el cual nos

facilitan la tarea, así como también definimos la importancia del porque la capacidad de realizar

análisis forenses sobre la información volátil. En este taller revisamos la situación propuesta por

el docente en el cual planteaba que su equipo presentaba algún comportamiento extraño (lentitud,

equipo bloqueado en algunos aspectos), después de una minucioso análisis como se observa en

este documento, concluimos que no se encontraban trazas o procesos o sub procesos que estén

poniendo en riesgo la integridad del pc y su información ahí resguardada, y que si pude ser más

bien algún proceso normal del SO como puede ser que se esté degradando o que haya alguna

falla de hardware, sin embargo se realizó dicha actividad para que el usuario quedara tranquilo

de que no hubo ninguna clase de vulnerabilidad externa. En este taller aprendimos sobre los

diferentes usos que se le puede dar a las herramientas de seguridad. No hay que olvidar que hay

que seguir ampliando nuestros conocimientos de cada una de estas para así ser mejores

profesionales.

20