Upload File

análisis forense a sistemas windows · information security incident handling, digital forensics,...

  • Home
  • Documents
  • Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security
13
Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected] Martes 19 de Febrero del 2019 Análisis Forense a Sistemas Windows

Upload: others

Post on 30-May-2020

10 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected]

Martes 19 de Febrero del 2019

Análisis Forense a Sistemas Windows

http://www.ReYDeS.com/
mailto:[email protected]
Page 2: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Presentación

Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals y Phishing Countermeasures.

Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux.

https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero

https://www.facebook.com/alonsoreydes/ http://www.reydes.com

https://www.linkedin.com/in/alonsocaballeroquezada/ [email protected]

https://twitter.com/Alonso_ReYDeS
https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/
http://www.reydes.com/
https://www.linkedin.com/in/alonsocaballeroquezada/
mailto:[email protected]
Page 3: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Forense Digital

Es una rama de la ciencia forense, abarcando la recuperación e investigación de material encontrado en dispositivos digitales, frecuentemente relacionados con crímenes cometidos por computadoras.

El Forense de computadoras es una rama de la ciencia forense digital, pertinente a la evidencia encontrada en computadoras y medios digitales de almacenamiento.

Su objetivo es examinar medios digitales de una manera “forense”, con el propósito de identificar, preservar, recuperar, analizar, y presentar hechos sobre la información digital.

El análisis forense es la etapa donde se realiza una investigación profunda, cuyo propósito es identificar objetivamente y documentar los culpables, razones, ruta y consecuencias de un incidente de seguridad, violación de las leyes, etc.

Page 4: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Sistemas de Archivos en Windows

Windows tiene principalmente dos generaciones de sistemas de archivos disponibles para los usuarios.

El primer sistema de archivos, FAT (File Allocation Table), fue utilizado en versiones anteriores de los sistemas Windows / MS-DOS, y creció desde sistemas de archivos de 12 bits denominado FAT12, hasta sistemas de archivos de 32 bits denominado FAT32. El segundo sistema de archivos, NTFS (New Technology File System) fue introducido con Windows NT, y es utilizado hasta las versiones más recientes de Windows.

● Master Boot Record● Sistema de Archivos FAT● Recuperar Particiones FAT● Recuperar Particiones NTFS* https://technet.microsoft.com/en-us/library/cc938438.aspx* https://technet.microsoft.com/en-us/library/cc776720(v=ws.10).aspx* https://technet.microsoft.com/en-us/library/cc778410(v=ws.10).aspx* https://technet.microsoft.com/en-us/library/cc781134(v=ws.10).aspx

Page 5: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Recuperar Archivos Borrados

Tarea común en cualquier investigación forense. Implica encontrar y recuperar archivos, los cuales han sido borrados desde el sistema.

Si existen borrados masivos antes de realizada la imagen forense, esto es un indicador de el sospechoso a intentando ocultar algo.

Recuperar archivos borrados con las herramientas forenses, no es una tarea compleja, dependiendo del lapso de tiempo entre cuando los archivos fueron borrados, y cuando estos empezaron a ser recuperados. Muchas herramientas permiten visualizar, examinar, y recuperar archivos borrados desde un sistema.

● Recuperar archivos borrados● Espacio sin asignar● Recuperar datos del espacio sin asignar

* https://www.cgsecurity.org/wiki/PhotoRec* http://www.forensicswiki.org/wiki/Tools:Data_Recovery

Page 6: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Artefactos en Windows

Al utilizar Windows, se crean, borran, modificación y acceden a muchos archivos. Algunos de estos patrones o tipos específicos de cambios, son lo suficientemente únicos para permitir exponer con certeza la comisión de una acción.

Si se fallase en determinar si existen o no, se podría llegar a conclusiones incorrectas, o no sustentar los argumentos correctos.

Los artefactos de Windows se convierten en puntos clave para una investigación, y conducen hacia la investigación de evidencia clave.

● Papelera de reciclaje● Archivos LNK ● Dispositivos USB extraíbles● Metadatos en documentos Office.● UserAssist, etc.

* https://blogs.sans.org/computer-forensics/files/2012/06/SANS-Digital-Forensics-and-Incident-Response-Poster-2012.pdf

Page 7: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

SIFT Workstation

La estación de trabajo SIFT está constituida de un grupo de herramientas open source libres para respuesta de incidentes y forense, siendo diseñado para realizar exámenes forenses digitales detallados en una diversidad de escenarios.

SIFT puede ser utilizado como cualquier suite de herramientas para respuesta de incidentes y forense. Demuestra las capacidades avanzadas para respuesta de incidentes, y las técnicas forenses digitales profundas, las cuales pueden realizarse utilizando herramientas open source de última generación, las cuales está disponibles libremente y se actualizan frecuentemente.

* SIFT Workstation: https://digital-forensics.sans.org/community/downloads* Ubuntu: https://www.ubuntu.com/

Page 8: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Características de SIFT

SIFT es exitosamente utilizado en respuesta de incidentes y forense digital, y está disponible libremente como servicio público. Continúa siendo la herramienta open source más popular de este tipo

● Base Ubuntu LTS 16.04● Sistema base de 64 bits● Mejor utilización de memoria● Actualización automática de paquetes DFIR y personalizaciones● Las últimas herramientas y técnicas forenses● Disponible un Appliance VM listo para trabajar en forense● Compatibilidad cruzada entre Linux y Windows● Opción para instalar un sistema autónomo mediante un

instalador “SIFT-CLI”● Documentación del proyecto● Soporte ampliado para sistemas de archivos

* SIFT Documentation: http://sift.readthedocs.io/en/latest/

Page 9: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Herramientas

Paquetes

Afterglow, binplist, bulk_extractor, dumppig, flowgrep, libbde, libdata-heify-perl, libesedb, libevt, libetvx, libewf, liblnk, libfile-mork-perl, libfvde, libfwsi, liblightgrep, liblnk, libmac-popertylist-perl, libmsiecf, libolecf, libpff, libqcow, libregf, libsmdev, libmsraw, libvhdi, libvmdk, libvshadow, libxml-entities-perl, log2timeline-perl, mac-robber, maltegoce, mantaray, ntdsxtract, ntopng, pdf-tools, pyelftools, python-bencode, python-construct, python-dfvfs, python-pdkt, python-plaso, python-pyparsing, pytsk, re2, regripper, sleuthkit, volatility, windows-perl, xmount, etc.

Scripts

Denisityscout, extract_mft_record_slack,py, ga_parser.py, java_idx_parser, jobparser.py, page_brute, pe_carver, pescanner.py, shellbags.py, shimchacheparser.py, sqlparser.py, etc.

* SIFT Tools, Commands and Scripts: http://sift.readthedocs.io/en/latest/tools/index.html

Page 10: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Demostraciones

Page 11: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Cursos Virtuales

Curso Virtual de Hacking Éticohttp://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forensehttp://www.reydes.com/d/?q=Curso_de_Informatica_Forense

Curso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux

Curso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q=Curso_de_OSINT

Curso Virtual Forense de Redeshttp://www.reydes.com/d/?q=Curso_Forense_de_Redes

Y todos los cursos virtuales:

http://www.reydes.com/d/?q=cursos

http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
http://www.reydes.com/d/?q=Curso_de_OSINT
http://www.reydes.com/d/?q=Curso_Forense_de_Redes
http://www.reydes.com/d/?q=cursos
Page 12: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]

Más Contenidos

Videos de 44 webinars gratuitos

http://www.reydes.com/d/?q=videos

Diapositivas de los webinars gratuitos

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1

http://www.reydes.com/d/?q=videos
http://www.reydes.com/d/?q=node/3
http://www.reydes.com/d/?q=node/2
http://www.reydes.com/d/?q=blog/1
Page 13: Análisis Forense a Sistemas Windows · Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security

Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected]

Martes 19 de Febrero del 2019

Análisis Forense a Sistemas Windows

¡Mu

chas

Gra

cias

!

http://www.ReYDeS.com/
mailto:[email protected]

Computer Forensics – Tracking the Cyber vandals Forensics

Cyber Forensics in the Cloud - CSIAC | Cyber Security and … · 2018-05-22 · Cyber Forensics in the Cloud According to research firm Gartner, cloud computing services revenue should

Cyber Security (CS) Program (P183)Cyber Security Forensics for Industrial Control Systems Issue: A comprehensive cyber security program not only implements defensive measures, but

Research SeriesTM Services Brochure · cyber security, enterprise information security, risk management, mitigating emerging cyber- ... Digital Forensics analysis chain of custody

Syllabus M.Tech (Cyber Forensics & Information Security)

Master of Science(Cyber Security) (MSCS) …...Master of Science(Cyber Security) (MSCS) Computer Forensics (CSP-18) Block 1 Introduction to Computer Forensics Unit – 1: INTRODUCTION

Cyber Security Consulting - Law and Forensics · Cyber Security Consulting lawandforensics.com | [email protected] | 1 (855) 529 - 2466 | @lawa4n6 Law secrets,& Forensics protects

Cyber Security Versus Digital Forensics Presentation for the E-Commerce Network’s Cyber Security Seminar at University of Massachusetts Dartmouth Suzanne

Computer Forensics – Mobile Forensics –Cyber … SESSION 1...4/7/16 1 Computer Forensics – Mobile Forensics –Cyber Security – Lit Support Training Module Objectives • User

CS6004 CYBER FORENSICS

FORECASTING EMERGING CHALLENGES AND CYBER SECURITY … · FORECASTING EMERGING CHALLENGES AND CYBER SECURITY THREATS Started as data forensics analyst for the financial sector during

REQUIREMENTS FOR THE DIGITAL FORENSICS AND CYBER SECURITY MINOR DIGITAL FORENSICS · 2018-10-01 · DIGITAL FORENSICS AND CYBER SECURITY PROGRAM REQUIREMENTS FOR THE DIGITAL FORENSICS

National Seminar On CYBER SECURITY AND DIGITAL FORENSICS ... · National Seminar On CYBER SECURITY AND DIGITAL FORENSICS - 2019 Kannur University, Manga˜uparamba Campus, Kannur University

CHFI Candidate Handbook V3 - EC-Councilforensics focuses on the digital domain including computer forensics, network forensics, and mobile forensics. As the cyber security profession

Cyber Forensics

CYBER SECURITY | REGULATORY COMPLIANCE | DIGITAL FORENSICS Investigation... · CYBER SECURITY | REGULATORY COMPLIANCE | DIGITAL FORENSICS Agenda • Overview of Breaches – Current

MSc / PGDip CYBER SECURITY, THREAT INTELLIGENCE AND FORENSICS PG... · MSC CYBER SECURITY, THREAT INTELLIGENCE AND FORENSICS Start Date: September, January Duration: One year full-time,

CYBER SECURITY / FORENSICS - TulsaTech.edu...CYBER SECURITY / FORENSICS COURSES, SCHEDULING INFORMATION & ESTIMATED TUITION » Courses (First Year) Fundamentals of Technology Principles

Digital Forensics or Cyber Forensics My Contribution

Cyber Security and Networks Case Study: Biometrics and … · 2019-01-30 · Cyber Security and Networks Case Study: Biometrics and forensics for new security solutions Research commissioned

Cyber Forensics and Information Security

CS6004 CYBER FORENSICSCS6004 – CYBER FORENSICS CS6004 CYBER FORENSICS L T P C 3 0 0 3 OBJECTIVES: The student should be made to: Learn the security issues network layer and transport

NIIT UniversitySharma, a 3rd year B.Tech student in Cyber Security and Forensics at Uni- versity of Petroleum & Energy Studies. What is cyber security and Digital forensics? Cyber

Information Systems Bachelor of Science · 2013-06-21 · > Cyber Forensics, Information Security & Management and Business Information Systems Bachelor of Science > Cyber Forensics,

Digital Evidence & Cyber Forensics...Digital Evidence & Cyber Forensics Dr. Harold D’costa CEO –Intelligent Quotient Security System & President –Cyber Security Corporation Advisor

Cyber Forensics Seminar

Developing Cyber Forensics for SCADA Industrial Control ...d.researchbib.com/f/5nZwD5ZQVhpTEz.pdf · SCADA, ICS, Cyber Forensics, Cyber Security 1. INTRODUCTION . Industrial Control

An introduction to cyber forensics and open source tools in cyber forensics

CYBER SECURITY / FORENSICS - TulsaTech.edu...Digital Cyber Forensics Cyber Security Capstone II » Scheduling Information H.S. / 2 school years: August–May H.S. Sessions: 8–10:50

CS6004-CYBER FORENSICS1 CS6004-CYBER FORENSICS UNIT 1 NETWORK LAYER SECURITY & TRANSPORT LAYER SECURITY SYLLABUS IPSec Protocol - IP Authentication Header - IP ESP - …

Cyber Security and Digital Forensics Training Platform/media/worktribe/output-171838/montpdf.… · Cyber Security and Digital Forensics Training Platform Adrian Smales and Prof Bill

MobileCheck - Cyber Forensics

Internet of Things (IoT), Big Data, Cyber Security, Digital Forensics | Training

Cyber ID Sleuth Data Security Forensics

Deploying Forensics Science & Technology for Resolving National Cyber-security Challenges