Arquitectura forense Escenario y uso de aplicaciones

1
Arquitectura forenseEscenario y uso de
aplicaciones

• Juan Garrido
• jgarrido_at_informatica64.com

2
Agenda

• Sistemas operativos
• Arquitectura
• Cómo funcionan algunas cosas
• Knowledge Base applications
• Prefetching
• Internet Explorer
• Papelera de reciclaje

3
Sistemas operativos
4
Sistemas operativos

• Es necesario conocerlos
• Es necesario saber cómo operan de forma interna
• Si disponemos del código fuente, mejor
• Y si no -)

5
Saber cómo funciona el entorno

• Preguntando se llega a Roma
• Hay que analizar todo el entorno
• Desde en qué segmento de la red estaba conectado
• Hasta quiénes pasaban por allí
• Pero como diría House
• TODO EL MUNDO MIENTE
• Al final hay que analizar la mayor parte posible

6
Knowledge Base applications
7
Internet Explorer
8
Internet Explorer

• Navegador por excelencia de Microsoft
• A partir de XP integrado en el sistema
• En un forense es de casi obligado análisis
• Diferentes versiones (5,6,7,8)

9
Internet Explorer

• Archivos temporales
• Guarda copias de las páginas que visitamos
• El navegador primero mira en la caché antes de
  salir a Internet
• El usuario puede prescindir de esta opción
• El usuario tiene opción de eliminar estos archivos

10
Internet Explorer

• Index.dat
• Archivo oculto y de sistema
• Índice de referencia de las páginas visitadas
• Incluye también visitas con Explorer.exe
• Lista no sincronizada, luego no se borra con las
  opciones de Internet Explorer
• El usuario no puede borrar este archivo en una
  primera instancia

11
Internet Explorer

• Búsqueda de datos
• Manual y con archivos de sistema
• find /i "http//" index.dat sort gt
  C\history.txt
• Con aplicaciones de terceros
• Pasco (FoundStone)
• Lista tabulada (Mejor para la vista)

12
Papelera de reciclaje
13
Papelera de Reciclaje

• Almacén en donde Windows guarda archivos para su
  posterior borrado
• Permite que un usuario pueda recuperar sus
  archivos
• Los archivos se guardan en zonas reservadas de
  disco
• Los nombres de los archivos se guardan en un
  expediente
• Realmente estamos viendo la papelera desde el
  expediente

14
Papelera de reciclaje

• Este expediente se guarda en la misma papelera
• Archivo llamado INFO2
• En versiones NT/XP/2003 la papelera reside en
  C\Recycler\ltUSER SIDgt\INFO2
• Si se elimina un fichero, Windows lo guarda como
• D ltUnidad raíz del sistemagt ltnúmerogt .Extensión
  del archivo
• Ejemplo Contabilidad.doc DC1.doc
• Lista numérica hasta 99
• Si existe algún archivo en la papelera, INFO2
  existirá
• Si se elimina la papelera el archivo se genera de
  nuevo

15
Rebuscando en la papelera

• A través de comandos de sistema
• Copiar el contenido del archivo INFO2 a una
  ubicación
• Abrirlo con el Bloc de notas
• Herramientas de terceros
• Rifiuti (FoundStone)
• Posibilidad de tabular la salida (Mejor para la
  vista)

16
Prefetching
17
Prefetching

• Feature desarrollada para mejorar la capacidad de
  arranque de aplicaciones
• Se desarrolla para mitigar el desgaste del S.O en
  el tiempo
• Durante un arranque suceden
• Páginas de disco a memoria
• Búsqueda del fichero, donde está?
• Sistema de precarga o Prefetching
• Guarda datos sobre una aplicación
• Archivos cargados, posición, número de arranques,
  etc..

18
Prefetching

• Se monitoriza
• Primer minuto tras inicialización aplicaciones
• 30 segundos tras carga gráfica (Explorer.exe)
• Entre 10 y 20 segundos de cada carga de cada
  aplicación

19
Prefetching

• Cómo monitoriza
• Al iniciarse una aplicación
• Windows busca un fichero de precarga en
  C\Windows\Prefetch
• Manda al administrador de memoria que analice las
  trazas que va dejando el fichero
• Guarda esa base de conocimiento en el archivo
• Al iniciarse la aplicación de nuevo, Windows
  intentará iniciarla con los datos del Prefetch
• Reduce el trabajo del disco duro (Movimientos de
  cabeza)
• Cada 72 horas realiza un inventario sobre las
  aplicaciones más utilizadas
• Layout.ini
• Desfragmenta sólo los archivos listados en ese
  fichero

20
Prefetching

• Búsqueda de información
• A través de herramientas propias del S.O.
• Abrirlo con el Notepad -)
• Herramientas de terceros
• Prefetch Info
• Realizada por Mark McKinnon
• Realizado en Perl con Port para sistemas Win32
  (.exe)
• Mucha más información

21
Resumen

• Necesitamos conocer la arquitectura de cada
  aplicación
• Necesitamos conocer la arquitectura del S.O.
• Cada aplicación puede guardar los datos de una
  manera diferente a otra

22
http//Windowstips.wordpress.com
23
http//legalidadinformatica.blogspot.com
24
TechNews de Informática 64

• Suscripción gratuita en technews_at_informatica64.com