Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 3 vistas

    Mod V Windows Forense

    Cargado por

    Anthony Yeittzon Hidalgo Esten

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd

    Mod V Windows Forense

    Cargado por

    Anthony Yeittzon Hidalgo Esten
    3 vistas20 páginas

    Título original

    MOD V WINDOWS FORENSE

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    3 vistas20 páginas

    Mod V Windows Forense

    Cargado por

    Anthony Yeittzon Hidalgo Esten

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    Está en la página 1de 20

    MOD V: WINDOWS

    FORENSE

    Presentación - 2024

    +58 04241966327 www.uneti.edu.ve

    diplomadoeninformaticaforenseuneti@gmail.com
    OBJETIVOS
    Al finalizar éste módulo el participante estará en la
    capacidad de:
     Distinguir las herramientas forenses para la adquisición y
    él análisis forense.

     Comprender el orden de colección volátil y no volátil de la


    información.

     Analizar la memoria de Windows y del Editor de Registro.

     Analizar diferentes archivos Cache, Cookie, Historiales y


    buscadores Web.

     Analizar archivos de Windows y Metadata.


    Tabla de Contenido
    01 Adquisición de información volátil y no volátiles.

    02 Anàlisis de la Memoria. 06

    Análisis de Windows Registro


    03

    Examinar Cache, Cookie, and History


    04 registro y buscadores Web

    05 09
    Anàlsiis de Metadata de archivos

    10
    Procesos de la Informática Forense

    INFORMÁTICA
    FORENSE
    BÁSICA
    Análisis Forense
    Herramientas De Análisis Post Mortem

    Programa forenses comerciales


    EnCase forensic

    FTK: Forensic Tool


    Kit (FTK)

    X-Ways forense.
    Análisis Forense
    Programas Forenses

    Deft 8.2: Digital Evidence and Forensic Toolkit (DEFT)


    DEFT (Digital Evidence & Forensic Toolkit)
    es una distribución Live CD (booteable
    desde el CD) basada en Lubuntu, muy fácil
    de usar, con un grandísimo listado de
    herramientas forenses y con una excelente
    detección del hardware.

    3 distribuciones gratuitas recomendadas para el análisis forense (welivesecurity.com)


    Análisis forense
    Programa forense

    PALADIN FORENSIC MODE


    Basado en Linux – Ubuntu.
    Paladin tiene una. serie de herramientas que
    ayudan en tareas forenses digitales como el
    análisis de malware, hash e imágenes. El
    conjunto de herramientas forenses incluye una
    serie de paquetes que se pueden utilizar para
    una amplia gama de sistemas operativos
    diferentes.
    Análisis Forense
    Programa Forense

    SANS INVESTIGATE FORENSIC TOOLKIT


    SANS SIFT: SANS Investigate Forensic Toolkit
    conjunto de herramientas
    . basado en la
    plataforma Ubuntu 14.04. Se incluyen
    herramientas para la obtención de imágenes,
    análisis de memoria, creación de líneas de
    tiempo y una serie de otras tareas de análisis
    forense digital.

    El SIFT es proporcionado de forma gratuita por


    SANS como una máquina virtual independiente
    proporcionadaen https://digital-
    forensics.sans.org/community/downloads.
    Análisis forense
    Programa forense

    CAINE

    CAINE: es una distribución forense . CAINE es


    un GNU/ Plataforma Linux que incluye una serie
    de herramientas que ayudan al análisis forense
    digital.
    Adquisición de información
    volátil y no volátiles.
    Colectando o adquiriendo Información volátil
     Información volátil: Puede ser fácilmente modificada o perdida una vez que el sistema es
    apagado.
     Con la información volátil puede ayudar a determinar una lógica línea de tiempo
    (Timeline) de la seguridad de un sistema y los usuarios responsables.
     Los datos volátiles residen en: Registros, Cache y RAM
    Hora del sistema (system time).

    Colectando o adquiriendo Información volátil


     Adquirir la information de un Sistema es el punto de partida de un proceso de
    adquisiciòn de datos, es un dato referencial en relación a la hora universal UTC
     Refiere a la fecha y hora exactas del día en que ocurrió un incidente, según
     hora universal (UTC).

    Comando a utilizar:

    date /t & time /t

    date /t > FechaYHoraDeInicio.txt &time /t >> FechaYHoraDeInicio.txt


    Usuarios Logeados
    (Logged on user).
    Colectando o adquiriendo Información volátil
     Durante una investigación, se debe recopilar detalles de todos los usuarios que
    han iniciado sesión en el sistema de Interés criminalístico. Esto no solo incluye
    información sobre los usuarios que han iniciado sesión localmente (a través de la
     consola o teclado), sino también aquellos que tenían acceso remoto al sistema
    (por ejemplo, a través del uso de la red, o a través de un recurso compartido
    asignado). Para ellos utilizaremos el comando PS
     PsLoggedOn
     Source: https://docs.microsoft.com

    D:\Herramientas> PsloggedOn.exe t >d:\recogida\“UsuariosLogeados“

    Net user
    Informacion de las redes
    (Network Information).
    Colectando o adquiriendo Información volátil
     El perito debe recopilar múltiples tipos de información de la red para encontrar
    artefactos o elementos de interés criminalístico, incluye obtener lo siguiente:
     Contenido de los datos, como información de encabezado, texto, etc.
     Datos de registro de IDS/IPS, firewall, servidor y aplicaciones
     Otra información de red, como transferencias seguras de archivos
     Paquetes de red
     Resultados del escaneo de puertos

    Comando a utilizar:
    Ipconfig / all >d:\recogida\datosIp.txt
    Informacion de las redes
    (Network Information).
    Colectando o adquiriendo Información volátil
    Redes conectadas.
    Comando a utilizar:
    Netstat –ano
    A : UDP : Protocolo de Datagrama del Usuario y TCP: Protocolo de Control de
    Transmisiòn.
    N: Protocolos activos de TCPI
    O: Id de los Procesos. Netstat -r
    Informacion de las redes
    (Network Information).
    Procesos mappeados
    Cuando hay una conexión de red abierta en un sistema, algunos procesos deben usarla
    conexión, lo que significa que cada conexión de red y puerto abierto está asociado a un
    Proceso.
    Procesos activos

    Comando : Netstat -o
    Listados de procesos en ejecución
    (process information).
    Colectando o adquiriendo Información volátil

    Comando a utilizar:

    tasklist > "ProcesosEnEjecución.txt“

    D:\Herramientas> Tasklist >d:\recogida\"listaProcesosEjecución.txt“


    Tasklist –v

    PsList

    pslist.exe muestra información básica sobre los procesos que ya se están ejecutando en un
    sistema, incluyendo la cantidad de tiempo que cada proceso ha estado ejecutándose (tanto en
    el kernel como en el usuario)
    modos).
    Herramienta PsTool.
    PsTools - Sysinternals | Microsoft Learn

    Colectando o adquiriendo Información volátil


    Comando a utilizar:

    •PsGetSid - Muestra el identificador de seguridad (SID )de una computadora


    o de un Usuario

    •PsInfo - Lista la Información del sistema

    •PsList - lista la información acerca de los proocesos

    •PsLoggedOn - Muestra quién se encuentra logeado localmente.

    •PsLogList - dump event log records


    •PsPasswd - changes account passwords
    •PsService - view and control services
    •PsShutdown - shuts down and optionally reboots a computer
    •PsSuspend - suspends processes
    •PsUptime - shows you how long a system has been running since its last
    reboot (PsUptime's functionality has been incorporated into PsInfo
    Herramienta PsTool.
    PsTools - Sysinternals | Microsoft Learn

    live.sysinternals.com - /
    Herramienta PsTool.
    PsTools - Sysinternals | Microsoft Learn

    live.sysinternals.com - /

    ProcDump es una utilidad de línea de


    comandos. Su objetivo principal es supervisar
    las aplicaciones de picos de CPU y la generación
    de volcados de memoria durante un pico, de
    modo que un administrador o El desarrollador
    puede determinar la causa del pico. ProcDump
    también incluye una ventana colgada
    supervisión, supervisión de excepciones no
    controladas y generación de volcados basados
    en los valores de los contadores de rendimiento
    del sistema
    Gracias
    por tu atención

    +58 04241966327 www.uneti.edu.ve

    diplomadoeninformaticaforenseuneti@gmail.com

    También podría gustarte

    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy