SlideShare una empresa de Scribd logo

De cero a DFIR

Descargar como PPTX, PDF
RootedCON
RootedCON

El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?

Tecnología
1 de 70
De cero a DFIR Primeros pasos en el Análisis Informático Forense
De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
De cero a DFIR 20 Imagen de disco Precaución
De cero a DFIR 21 Imagen de disco Precaución
De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
De cero a DFIR 70 Lo hizo un mago

Recomendados

Road to NODES - Healthcare Analytics
Road to NODES - Healthcare AnalyticsRoad to NODES - Healthcare Analytics
Road to NODES - Healthcare AnalyticsNeo4j
 
Penetration Testing SAP Systems
Penetration Testing SAP SystemsPenetration Testing SAP Systems
Penetration Testing SAP SystemsOnapsis Inc.
 
Criptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaCriptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaecontinua
 
Introduction to Neo4j for the Emirates & Bahrain
Introduction to Neo4j for the Emirates & BahrainIntroduction to Neo4j for the Emirates & Bahrain
Introduction to Neo4j for the Emirates & BahrainNeo4j
 
The New Pentest? Rise of the Compromise Assessment
The New Pentest? Rise of the Compromise AssessmentThe New Pentest? Rise of the Compromise Assessment
The New Pentest? Rise of the Compromise AssessmentInfocyte
 
Encrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptx
Encrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptxEncrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptx
Encrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptxNeo4j
 
Fortimanager admin-40-mr3
Fortimanager admin-40-mr3Fortimanager admin-40-mr3
Fortimanager admin-40-mr3venkatesh_kmurthy
 
1 osint -v2.0
1 osint -v2.01 osint -v2.0
1 osint -v2.0enriquejsantiago
 

Recomendados

Road to NODES - Healthcare Analytics
Road to NODES - Healthcare AnalyticsRoad to NODES - Healthcare Analytics
Road to NODES - Healthcare AnalyticsNeo4j
 
Penetration Testing SAP Systems
Penetration Testing SAP SystemsPenetration Testing SAP Systems
Penetration Testing SAP SystemsOnapsis Inc.
 
Criptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaCriptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaecontinua
 
Introduction to Neo4j for the Emirates & Bahrain
Introduction to Neo4j for the Emirates & BahrainIntroduction to Neo4j for the Emirates & Bahrain
Introduction to Neo4j for the Emirates & BahrainNeo4j
 
The New Pentest? Rise of the Compromise Assessment
The New Pentest? Rise of the Compromise AssessmentThe New Pentest? Rise of the Compromise Assessment
The New Pentest? Rise of the Compromise AssessmentInfocyte
 
Encrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptx
Encrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptxEncrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptx
Encrypting and Protecting Your Data in Neo4j(Jeff_Tallman).pptxNeo4j
 
Fortimanager admin-40-mr3
Fortimanager admin-40-mr3Fortimanager admin-40-mr3
Fortimanager admin-40-mr3venkatesh_kmurthy
 
1 osint -v2.0
1 osint -v2.01 osint -v2.0
1 osint -v2.0enriquejsantiago
 
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation PlansEvolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation PlansChristopher Korban
 
The Dark web - Why the hidden part of the web is even more dangerous?
The Dark web - Why the hidden part of the web is even more dangerous?The Dark web - Why the hidden part of the web is even more dangerous?
The Dark web - Why the hidden part of the web is even more dangerous?Pierluigi Paganini
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
How Graph Data Science can turbocharge your Knowledge Graph
How Graph Data Science can turbocharge your Knowledge GraphHow Graph Data Science can turbocharge your Knowledge Graph
How Graph Data Science can turbocharge your Knowledge GraphNeo4j
 
Tiger graph 2021 corporate overview [read only]
Tiger graph 2021 corporate overview [read only]Tiger graph 2021 corporate overview [read only]
Tiger graph 2021 corporate overview [read only]ercan5
 
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE - ATT&CKcon
 
Slide rattrapage ESD Module Forensic
Slide rattrapage ESD Module ForensicSlide rattrapage ESD Module Forensic
Slide rattrapage ESD Module ForensicESD Cybersecurity Academy
 
Boost Your Neo4j with User-Defined Procedures
Boost Your Neo4j with User-Defined ProceduresBoost Your Neo4j with User-Defined Procedures
Boost Your Neo4j with User-Defined ProceduresNeo4j
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection PresentationMustafash79
 
A Universe of Knowledge Graphs
A Universe of Knowledge GraphsA Universe of Knowledge Graphs
A Universe of Knowledge GraphsNeo4j
 
Amanda Todd
Amanda ToddAmanda Todd
Amanda ToddFindorffschule BDB
 
Best Practices for Network Security Management
Best Practices for Network Security Management Best Practices for Network Security Management
Best Practices for Network Security Management Skybox Security
 
Cybersecurity Automation with OSCAL and Neo4J
Cybersecurity Automation with OSCAL and Neo4JCybersecurity Automation with OSCAL and Neo4J
Cybersecurity Automation with OSCAL and Neo4JNeo4j
 
Network Scanning Phases and Supporting Tools
Network Scanning Phases and Supporting ToolsNetwork Scanning Phases and Supporting Tools
Network Scanning Phases and Supporting ToolsJoseph Bugeja
 
Recommender Systems: Advances in Collaborative Filtering
Recommender Systems: Advances in Collaborative FilteringRecommender Systems: Advances in Collaborative Filtering
Recommender Systems: Advances in Collaborative FilteringChangsung Moon
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Covert government surveillance
Covert government surveillanceCovert government surveillance
Covert government surveillancemmicka
 
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)BAKOTECH
 
Unit 1 network management
Unit 1 network managementUnit 1 network management
Unit 1 network managementbhavikaorg
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 

Más contenido relacionado

La actualidad más candente

Evolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation PlansEvolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation PlansChristopher Korban
 
The Dark web - Why the hidden part of the web is even more dangerous?
The Dark web - Why the hidden part of the web is even more dangerous?The Dark web - Why the hidden part of the web is even more dangerous?
The Dark web - Why the hidden part of the web is even more dangerous?Pierluigi Paganini
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
How Graph Data Science can turbocharge your Knowledge Graph
How Graph Data Science can turbocharge your Knowledge GraphHow Graph Data Science can turbocharge your Knowledge Graph
How Graph Data Science can turbocharge your Knowledge GraphNeo4j
 
Tiger graph 2021 corporate overview [read only]
Tiger graph 2021 corporate overview [read only]Tiger graph 2021 corporate overview [read only]
Tiger graph 2021 corporate overview [read only]ercan5
 
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE - ATT&CKcon
 
Boost Your Neo4j with User-Defined Procedures
Boost Your Neo4j with User-Defined ProceduresBoost Your Neo4j with User-Defined Procedures
Boost Your Neo4j with User-Defined ProceduresNeo4j
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection PresentationMustafash79
 
A Universe of Knowledge Graphs
A Universe of Knowledge GraphsA Universe of Knowledge Graphs
A Universe of Knowledge GraphsNeo4j
 
Best Practices for Network Security Management
Best Practices for Network Security Management Best Practices for Network Security Management
Best Practices for Network Security Management Skybox Security
 
Cybersecurity Automation with OSCAL and Neo4J
Cybersecurity Automation with OSCAL and Neo4JCybersecurity Automation with OSCAL and Neo4J
Cybersecurity Automation with OSCAL and Neo4JNeo4j
 
Network Scanning Phases and Supporting Tools
Network Scanning Phases and Supporting ToolsNetwork Scanning Phases and Supporting Tools
Network Scanning Phases and Supporting ToolsJoseph Bugeja
 
Recommender Systems: Advances in Collaborative Filtering
Recommender Systems: Advances in Collaborative FilteringRecommender Systems: Advances in Collaborative Filtering
Recommender Systems: Advances in Collaborative FilteringChangsung Moon
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Covert government surveillance
Covert government surveillanceCovert government surveillance
Covert government surveillancemmicka
 
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)BAKOTECH
 
Unit 1 network management
Unit 1 network managementUnit 1 network management
Unit 1 network managementbhavikaorg
 

La actualidad más candente (20)

Evolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation PlansEvolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
Evolution of Offensive Testing - ATT&CK-based Adversary Emulation Plans
 
The Dark web - Why the hidden part of the web is even more dangerous?
The Dark web - Why the hidden part of the web is even more dangerous?The Dark web - Why the hidden part of the web is even more dangerous?
The Dark web - Why the hidden part of the web is even more dangerous?
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
How Graph Data Science can turbocharge your Knowledge Graph
How Graph Data Science can turbocharge your Knowledge GraphHow Graph Data Science can turbocharge your Knowledge Graph
How Graph Data Science can turbocharge your Knowledge Graph
 
Tiger graph 2021 corporate overview [read only]
Tiger graph 2021 corporate overview [read only]Tiger graph 2021 corporate overview [read only]
Tiger graph 2021 corporate overview [read only]
 
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
 
Slide rattrapage ESD Module Forensic
Slide rattrapage ESD Module ForensicSlide rattrapage ESD Module Forensic
Slide rattrapage ESD Module Forensic
 
Boost Your Neo4j with User-Defined Procedures
Boost Your Neo4j with User-Defined ProceduresBoost Your Neo4j with User-Defined Procedures
Boost Your Neo4j with User-Defined Procedures
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection Presentation
 
A Universe of Knowledge Graphs
A Universe of Knowledge GraphsA Universe of Knowledge Graphs
A Universe of Knowledge Graphs
 
Amanda Todd
Amanda ToddAmanda Todd
Amanda Todd
 
Best Practices for Network Security Management
Best Practices for Network Security Management Best Practices for Network Security Management
Best Practices for Network Security Management
 
Cybersecurity Automation with OSCAL and Neo4J
Cybersecurity Automation with OSCAL and Neo4JCybersecurity Automation with OSCAL and Neo4J
Cybersecurity Automation with OSCAL and Neo4J
 
Network Scanning Phases and Supporting Tools
Network Scanning Phases and Supporting ToolsNetwork Scanning Phases and Supporting Tools
Network Scanning Phases and Supporting Tools
 
Recommender Systems: Advances in Collaborative Filtering
Recommender Systems: Advances in Collaborative FilteringRecommender Systems: Advances in Collaborative Filtering
Recommender Systems: Advances in Collaborative Filtering
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Covert government surveillance
Covert government surveillanceCovert government surveillance
Covert government surveillance
 
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
End-to-Eend security with Palo Alto Networks (Onur Kasap, Palo Alto Networks)
 
Unit 1 network management
Unit 1 network managementUnit 1 network management
Unit 1 network management
 

Similar a De cero a DFIR

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redEventos Creativos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdfCsarVera14
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 

Similar a De cero a DFIR (20)

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la red
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
La dura vida del Pentester
La dura vida del PentesterLa dura vida del Pentester
La dura vida del Pentester
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1
 

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 

Último

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Luis Olivera
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 

Último (20)

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 

De cero a DFIR

  • 1. De cero a DFIR Primeros pasos en el Análisis Informático Forense
  • 2. De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  • 3. De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
  • 4. De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
  • 5. De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
  • 6. De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
  • 7. De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
  • 8. De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
  • 9. De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
  • 10. De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
  • 11. De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
  • 12. De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
  • 13. De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
  • 14. De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
  • 15. De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
  • 16. De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
  • 17. De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
  • 18. De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
  • 19. De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
  • 20. De cero a DFIR 20 Imagen de disco Precaución
  • 21. De cero a DFIR 21 Imagen de disco Precaución
  • 22. De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
  • 23. De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
  • 24. De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
  • 25. De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
  • 26. De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  • 27. De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  • 28. De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
  • 29. De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
  • 30. De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
  • 31. De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
  • 32. De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  • 33. De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  • 34. De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
  • 35. De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
  • 36. De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
  • 37. De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
  • 38. De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
  • 39. De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
  • 40. De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
  • 41. De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
  • 42. De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
  • 43. De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
  • 44. De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 45. De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 46. De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
  • 47. De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
  • 48. De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
  • 49. De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 50. De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
  • 51. De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
  • 52. De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
  • 53. De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
  • 54. De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
  • 55. De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
  • 56. De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
  • 57. De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
  • 58. De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
  • 59. De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
  • 60. De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  • 61. De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  • 62. De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 63. De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 64. De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 65. De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  • 66. De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  • 67. De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
  • 68. De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
  • 69. De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
  • 70. De cero a DFIR 70 Lo hizo un mago