SlideShare una empresa de Scribd logo

Forensic Artifacts from Windows Depths

Descargar como PPTX, PDF
RootedCON
RootedCON

RecentApps  Almacena información sobre las aplicaciones ejecutadas recientemente por el usuario.  Cada subclave corresponde a una aplicación ejecutada.  Contiene información como: - Nombre de la aplicación - Timestamp de ejecución - Path de la aplicación - Parámetros de ejecución - Estado de la aplicación (abierta, cerrada)  Permite determinar el orden de ejecución de aplicaciones.  No se elimina al vaciar la papelera de reciclaje

Tecnología
1 de 60
Extrayendo artefactos forenses de las profundidades del sistema
Ponente
Tipos de investigaciones forenses  El sistema a analizar es la víctima  El sistema a analizar es el arma del crimen
Entorno de la investigación  Corporativo  Recogida de evidencias bajo mandato judicial  El ordenador es “de un amigo que me lo ha prestado”
Nivel estimado del usuario del sistema  Usuario nivel nativo digital  Usuario nivel cuñado (AKA Juanker)  Usuario nivel leyenda (¿De verdad usa Windows?)
¿Cómo me encuentro el sistema?  Encendido y sin bloquear  Encendido y bloqueado (Windows Hello?)  Apagado y no cifrado  Apagado y cifrado
¿Snorkel o inmersión?  Análisis de emails, documentos, multimedia…  Análisis de artefactos a bajo nivel (Registro, MFT, SQLite)
Herramientas necesarias  Hw • Clonadora/USB • HDD destino • TAP? • Dongle Wifi? • WS forense  Sw • Microsoft Sysinternals • NirSoft • Comunidad (H. Carvey’s RegRipper, E. Zimmerman’s KAPE, D. Stevens, Brian Carrier’s Autopsy, Wireshark, Volatility) • Distros (REMnux, Flare VM, SANS SIFT, CAINE, Paladin, HELK) • Comercial (Virtualización, ofimática, suites forenses)  San Google  Dinero para formación (o tiempo infinito para leer por tu cuenta)
El tamaño importa Windows 10, 40.30% Windows 8.1, 4.37% Windows 8, 0.99% Windows 7, 38.41% Windows Vista, 0.25% Windows XP, 3.91% macOS, 9.69% Linux, 2.11% Cuota de mercado FEB 19 Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP macOS Linux
Grandes novedades cada 6 meses Versión Nombre en clave Nombre comercial Lanzamiento 1507 Threshold 1 Julio 2015 1511 Threshold 2 November update Noviembre 2015 1607 Redstone 1 Anniversary update Agosto 2016 1703 Redstone 2 Creators update Abril 2017 1709 Redstone 3 Falls Creators update Octubre 2017 1803 Redstone 4 April 2018 update Abril 2018 1809 Redstone 5 October 2018 update Noviembre 2018
Versiones de Windows 10  Windows S (desaparece en 03/19, pasa a Modo S)  Windows Education  Windows Home  Windows 10 Pro for Workstations  Windows 10 Pro  Windows 10 Enterprise  Windows Insider?  Versiones de 32 y 64 bits  Windows To Go
Problemas a los que se enfrenta el DFI  Windows funciona como una caja negra  Nuevos artefactos cada 6 meses  Cada major update, elimina todos los EVTX • Y la fecha de instalación del sistema!!!  Lenta aparición de herramientas de parseo de nuevos artefactos en la comunidad.
Problemas a los que se enfrenta el DFI  Antiforense • Destrucción física de evidencias • Eliminación/borrado de ficheros/volúmenes • Modificación de ficheros de log • Cifrado/codificación de ficheros • Esteganografía • Cifrado/codificación de comunicaciones • Canal lateral de comunicaciones • Protección por contraseña/biometría • Ataques contra las herramientas forenses • Ocultación de evidencias • Saturación de evidencias y falta de tiempo
Sistema de ficheros  NTFS: • Asignación y utilización del espacio en el volumen • Creación y eliminación de ficheros • Modo en el que metadatos asociados son almacenados y actualizados.  Principal fuente: MFT. Contiene o referencia de manera indirecta toda la información posible de un fichero: timestamps, tamaño en bytes, atributos, directorio padre y su contenido.  Necesario acceso en crudo al volumen para poder interactuar o adquirir los contenidos del fichero $MFT.
Sistema de ficheros  Elementos fundamentales de entrada MFT: • Tipo de registro • Número de registro • Número de registro de padre • Banderas activas/inactivas • Atributos: $STANDARD_INFORMATION, $FILENAME y $DATA • Unidad de disco estándar sectores de 512 bytes-> MFT estructurada como conjunto de registros de 1024 bytes denominados entradas. • Unidad de disco con AF (Advanced Format) sectores de 4 KB-> Registros MFT tamaño de 4096 bytes.
Sistema de ficheros  NTFS capaz de almacenar ficheros de pequeño tamaño en un registro de la MFT. • Cuidado con scripts maliciosos!!!  Análisis de MFT • Identificación ficheros y directorios eliminados. • Análisis de timestamps • Datos residentes • ADS
Sistema de ficheros  VSC (Volume Shadow Copy) proporciona un mecanismo para establecer puntos de restauración de los ficheros de todo un volumen. • Buena fuente anti antiforense.  SO de 64 bits incluye subsistema de compatibilidad WoW64 (Windows 32-bit on Windows 64-bit) para el correcto funcionamiento de aplicaciones 32 bits • ¿Problema? al analizar muestras 32 bits en entorno 64 bits.
El Registro  Compleja BBDD en la que el SO almacena todos los detalles relativos a su funcionamiento y configuración.  Análisis del Registro: • Conexión de memoria USB? • Si se eliminó alguna aplicación como medida antiforense • Últimos ficheros abiertos por el usuario • Persistencia de malware en el sistema  Shim Cache permite realizar seguimiento de ficheros ejecutables y scripts que requieran configuraciones especiales de compatibilidad para poder ejecutarse correctamente. • Last Modified de ShimCache origen en el atributo del fichero $SI. • Cuidado con timestomping! • En Windows 10 la cabecera pasó a ser de 48 bytes de longitud.
El Registro. Autoejecución.  Servicios • Sistema local • Servicio de red • Servicio local • Cada ImagePath de un servicio corresponde con nombre de proceso en ejecución. PPID services.exe.  Claves Run y RunOnce • Persistencia de malware  Active Setup
El Registro. Autoejecución.  AppInit_DLLs contiene librerías que se cargan automáticamente siempre que sea lanzada una aplicación en modo usuario enlazada a user32.dll  Paquetes LSA (Local Security Authority)  Internet Explorer 7 y las versiones posteriores incluyen una opción en el menú para gestionar de manera individual los BHO (Browser Helper Objects). • No funcionan en Edge!  Extensiones de la shell. Equivale a BHO para el Explorador de ficheros
El Registro. Autoejecución  Shell de Winlogon. Personalizar la shell cargada cuando el usuario se loguea en el sistema.  Winlogon Userinit. userinit.exe carga logon y scripts de GPO, algunos auto ejecutables y shell de Explorer.  AppCompatFlags • Subclaves Custom e InstalledSDB aportan información de autoarranque para aplicaciones heredadas.
El Registro. Claves de usuario  Evidencias específicas de configuraciones y comportamiento de cuentas de usuario. • NTUSER.DAT y USRCLASS.DAT  Shellbags: preferencias de usuario sobre visualización de carpetas del sistema de ficheros con Explorador de Archivos.  UserAssist: seguimiento de aplicaciones GUI lanzadas por el usuario a través de la shell del Explorador de Windows.
El Registro. Claves de usuario  MUICache: aplicaciones ejecutadas por el usuario.  MRU (Most Recently Used): seguimiento de objetos abiertos recientemente.  RunMRU: Listado de aplicaciones ejecutadas a través del diálogo Ejecutar (Run) del Menú Inicio (Start Menu).  RecentDocs: listado de carpetas y ficheros abiertos recientemente.  Recent Files: seguimiento de ficheros abiertos con aplicaciones de Microsoft Office.
El Registro. Claves de usuario  Versión 16.0 (Office 2016) ficheros almacenados localmente:  HKCUSoftwareMicrosoftOffice16.0<APP>User MRULiveId_####File MRU  Versión 16.0 (Office 2016) ficheros almacenados en OneDrive  HKCUSoftwareMicrosoftOffice16.0<APP>SecurityTrusted DocumentsTrustRecords  Cada aplicación de Office tiene su propia subclave.
El Registro. Claves de usuario  Internet Explorer TypedURLs y TypedPaths: listado de las URL accedidas recientemente.  Remote Desktop MRU: histórico de conexiones establecidas recientemente.  WordWheelQuery: palabras clave buscadas desde el Menú Inicio.
Mecanismos alternativos de persistencia  Carpetas de Inicio  Tareas recurrentes (at y schtasks)  Modificación de binarios del sistema  DLL Load-order hijacking
Otras evidencias de gran interés  Prefetch: Permite determinar las aplicaciones que se ejecutaron al menos una vez. <= 1024 elementos.  Dispositivos USB conectados al sistema y timestamp de conexión (hive SYSTEM).  Logs transaccionales del Registro
Otras evidencias de gran interés  Ficheros LNK: Punteros a otros ficheros o carpetas en un sistema.  Thumbnails: Miniaturas de imágenes, documentos ofimáticos y carpetas en BBDD thumbcache.  Papelera de Reciclaje  BitLocker?  Jump Lists de la Barra de tareas  AppLocker medida de seguridad basada en whitelisting
Otras evidencias de gran interés  Microsoft Store • C:Program FilesWindowsApps • C:ProgramDataMicrosoftWindowsAppRepositoryStateRepository-Machine.srd  AmCache (Amcache.hve): Fichero con estructura de fichero del Registro, pero no forma parte de él. • Creado por la tarea ProgramDataUpdater, del Application Experience Service. Almacena información relacionada con ejecución de programas.  SRUM (System Resource Usage Monitor): Componente del servicio de política de diagnóstico.
Artefactos forenses novedosos en W10. Portapapeles  Historial del Portapapeles • v1809 de Windows 10 • Almacena lista de elementos copiados (texto, hipervínculos y gráficos). • Anclar elementos-> • Perduran entre reinicios del sistema, pero se almacenan cifrados. • Desanclar un objeto lo elimina del sistema de ficheros. • En memoria, están asociados a svchost.exe y se encuentran en claro… • Sincronizar historial entre dispositivos-> canal lateral? • Eliminar manualmente datos del Portapapeles. • Al reiniciar el sistema, se eliminan automáticamente los no anclados. • %AppData%LocalMicrosoftWindowsClipboard • Subcarpetas: HistoryData y Pinned • En Pinned se crea fichero JSON con metadatos de las subcarpetas (GUID, timestamp, source, cloud_id)
Artefactos forenses novedosos en W10. Portapapeles
Artefactos forenses novedosos en W10. Portapapeles  Carpetas asociadas a objetos tipo texto contienen 3 ficheros: • metadata.json • TG9jYWxl (locale) • VGV4dA== (Text) {"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None ","isEncrypted":true},"Text":{"dataType":"String","collectionType":"None","i sEncrypted":true}},"sourceAppId":"","property":{}}
Artefactos forenses novedosos en W10. Portapapeles  Carpetas de objetos tipo imagen, 2 ficheros: • metadata.json • Qml0bWFw (Bitmap)  Carpetas de objetos tipo hipervínculo, 4 ficheros. 3 idénticos a objetos tipo texto + 1 nuevo fichero: • SFRNTCBGb3JtYXQ= (HTML Format) {"formatMetadata":{"Bitmap":{"dataType":"StreamReferenceFile","collection Type":"None","isEncrypted":true}},"sourceAppId":"","property":{}} {"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None","isEncrypted":true},"Text":{"dataType":"String"," collectionType":"None","isEncrypted":true},"HTML Format":{"dataType":"String","collectionType":"None","isEncrypted":true}},"sourceAppId":"","property":{}}
Artefactos forenses novedosos de W10. BAM  Background Activity Moderator: servicio que controla actividad en segundo plano de apps en ejecución en SO. • Introducido en v1709 de Windows 10. • Alternativa a Prefetch.  2 ficheros asociados: • %SystemRoot%system32driversdam.sys • %SystemRoot%system32driversbam.sys  2 claves de Registro asociadas • HKLMSYSTEMCurrentControlSetServicesdam • HKLMSYSTEMCurrentControlSetServicesbam
Artefactos forenses novedosos en W10. BAM  Ej. de contenido de subclave UserSettings de la clave bam  Diferencias con respecto a Prefetch cercanas al min. • Volcar los logs transaccionales del Registro lo reduce a 1 seg.
Artefactos forenses novedosos en W10. Timeline  Timeline. Similar a historial de navegador web.  Almacena cronología de actividades realizadas con el SO (Ej. Sitios web visitados, documentos editados, imágenes visualizas o creadas, juegos ejecutados). • Introducido en v1803 de Windows 10  Acceso a través de Vista de Tareas o Windows+Tab
Artefactos forenses novedosos en W10. Timeline
Artefactos forenses novedosos en W10. Timeline
Artefactos forenses novedosos en W10. Timeline  Actividad clasificada por días • Granular por horas.  No todas las aplicaciones reportan su actividad a Timeline. • Microsoft Edge, Microsoft Office 2016, Microsoft Paint, Microsoft Paint 3D, Adobe Reader DC y Xbox.  Forense “en muerto”, tabla Activity de: • %AppData%LocalConnectedDevicesPlatformActivitiesCache.db • Parsear Activity y Activity_PackageId con WxTCmd (Zimmerman).  Limpiar el Historial de actividad desde el panel del sistema no elimina el contenido almacenado en el fichero ActivitiesCache.db
Artefactos forenses novedosos de W10. Timeline
Artefactos forenses novedosos en W10. Timeline  Por defecto, Tiempo de expiración= 30 días • Siempre que se acceda a enviar a Microsoft el historial de actividades, incluyendo información de sitios web.  Pese a que el sistema elimine de la tabla automáticamente la información relacionada con esa actividad • CCL-Forensics Epilog puede recuperar registros eliminados. • recoversqlite, desarrollada por Alejandro Ramos.
Artefactos forenses novedosos de W10. RecentApps  RecentApps: clave del Registro del fichero NTUSER.DAT introducida en Windows 10.  HKU{SID}SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps  Estructura jerárquica en subclaves formato GUID, correspondientes con aplicación accedida por el sistema.  En la clave se almacenan los valores: AppId, AppPath, LastAccessedTime, LaunchCount.  No se puede concluir que los diez GUID presentes determinen los diez últimos ficheros abiertos con esa aplicación.
Artefactos forenses novedosos de W10. Histórico de PowerShell  Histórico de PowerShell: • Primeras versiones: solo almacenaban histórico de comandos ejecutados en sesión actual. • En Windows 10 con >v5 de PowerShell pueden recuperarse últimos comandos ejecutados en PowerShell, incluso tras reiniciar SO. • >v3 PowerShell se almacenan 4096 comandos. %AppData%RoamingMicrosoftWindowsPowerShellPSReadlineConsoleHost_history.txt  Historial de comandos de sesión de las consolas PowerShell y PowerShell ISE se almacena de manera independiente.
Artefactos forenses novedosos de W10. PowerShell
Artefactos forenses novedosos en W10. AMSI  AMSI (Antimalware Scan Interface): Integra aplicaciones y servicios con cualquier producto antimalware presente en el sistema operativo. • Integra con UAC, PowerShell, Windows Script Host, JavaScript, VBScript, Macros VBA.  Diseñada para ofrecer protección de datos y aplicaciones en los endpoints.  Permite escanear ficheros, memoria o streams y comprobación reputacional de URL/IP.
Artefactos forenses novedosos en W10. Centro de Notificaciones  Centro de Notificaciones. Servicio que proporciona información visual en forma de notificaciones o toast notifications.  La mayoría: notificaciones de recepción de email, recordatorios de Tareas y eventos del Calendario, mensajes de Windows Defender, etc.
Artefactos forenses novedosos en W10. Centro de notificaciones
Artefactos forenses novedosos de W10. Centro de notificaciones  Configuración del Centro de Notificaciones:  HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotifications  Ruta de almacenamiento de imágenes relacionadas con Centro de Notificaciones:  HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotificationswpnidm  Timestamp última notificación del Centro de Notificaciones queda almacenada en el valor TimestampWhenSeen de la clave:  HKCUSoftwareMicrosoftWindowsCurrentVersionNotifications
Artefactos forenses novedosos de W10. Centro de notificaciones  El SO almacena por defecto las notificaciones de cada cuenta de usuario en la ruta:  %AppData%LocalMicrosoftWindowsNotifications  Nombre BBDD depende de la versión de Windows 10. • Primeras versiones: fichero binario appdb.dat. • >v1607 de Windows 10: fichero SQLite wpndatabase.db.  Tipos de notificaciones: Toasts, Titles, Badges, Raw.
Artefactos forenses novedosos de W10. Cortana  Cortana: Asistente personal digital. • Establece recordatorios, buscar ficheros locales, búsquedas en la web o contesta preguntas sencillas. • Remite correos electrónicos dictados.  Se integra con los contactos asociados a la cuenta Microsoft del usuario. • Si se asociaron otras cuentas de redes sociales o microblogging (Ej. LinkedIn, Twitter, Facebook), sus contactos también estarán disponibles.  Bajo ningún concepto, todos estos datos acabarán en manos de terceros, están ahí solo para Cortana (y el forense).
Artefactos forenses novedosos de W10. Cortana  El usuario puede interactuar con Cortana: • Escribiendo en el cuadro de búsqueda. • Dictando a través de un micrófono (de que este se encuentre disponible).  Cortana puede recopilar datos cuando el sistema se encuentra con la pantalla apagada debido a un periodo de inactividad o se estableció la pantalla de bloqueo, dependiendo de la configuración que establezca el usuario.
Artefactos forenses novedosos de W10. Cortana  Artefactos forenses de interés asociados con este servicio (en el principio de los tiempos de W10): • 2 BBDD ESE (Extensible Storage Engine)  %AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy AppDataIndexed DBIndexedDB.edb  %AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy LocalStateESEDatabase_CortanaCoreInstanceCortanaCoreDb.dat • CortanaCoreDb.dat-> Ubicaciones del dispositivo, citas y dónde y cuándo se activaron y marcaron como completadas. • Tablas: Geofences, LocationTriggers, Reminders, Triggers.
Artefactos forenses novedosos de W10. Cortana  A partir de v1607, la mayoría de la información que recopila Cortana se almacena en la nube de Microsoft, y esta se solicita conforme es necesitada por el sistema.  Microsoft: Almacena esta información en sus servidores para “aumentar la privacidad del usuario” y “facilitarle la transición entre sus diferentes dispositivos”.  IndexedDB.edb sigue existiendo en v1809, y en v1806 seguía existiendo CortanaCoreDb.dat (v1809??). • No se almacenan en ellas datos del usuario. • Cortana almacena localmente información en JSON para conectar con sus servidores.
Artefactos forenses novedosos de W10. Cortana  La configuración de privacidad de Cortana limita la información que podrá recopilar el DFI. • Si el usuario utiliza el micro conectado al sistema, se generan un conjunto de ficheros temporales WAV de 0 KB bajo la carpeta LocalState • Eliminados cíclicamente por el propio sistema. • Se almacena en un fichero dentro de esta carpeta el SSID de la WiFi a la que se encontraba conectado el sistema.
Artefactos forenses novedosos de W10. OneDrive  OneDrive: servicio cloud de Microsoft. Acceso utilizando cuenta Microsoft.  Integrado con Explorador de Archivos y Microsoft Office.  Acceso: macOS, iOS, Android, navegador web, Microsoft Xbox…  Copia local, descarga primera apertura o abrirlo en cloud.  De interés cuando no se puede acceder a un dispositivo pero sí a otro que tiene acceso a OneDrive utilizando a la misma cuenta Microsoft.
Artefactos forenses novedosos de W10. OneDrive  C:Users<usuario>AppDataLocalMicrosoftOneDrivelogs • Subcarpetas Common, Personal y Setup  Subcarpeta Personal: ficheros SyncEngine, telemetryCache y TraceArchive. • En un sistema con un uso frecuente, estos ficheros se actualizan periódicamente. • Relevancia: Demostrar mediante timestamps fecha aproximada última conexión del usuario al sistema.  C:Users<usuario>OneDrive  NOTA: OneDrive for Business modifica ligeramente la cabecera de los ficheros almacenados en el lado del servidor (no coinciden hashes).
Artefactos forenses novedosos en W10. Mail  Mail almacena los emails como HTML o TXT.  Permite establecer simultáneamente múltiples cuentas de correo y acceder a sus buzones.  %AppData%LocalComms • Subcarpetas Unistore, UnistoreDB y Volatile • Dentro de .Unistoredata (Importantes 3 y 7) Carpeta Contenido 0 Datos Windows Phone 2 Datos de contactos 3 Correos electrónicos 5 Calendario 7 Anexos de correos electrónicos
Artefactos forenses novedosos W10. Mail  Dentro de 3 y 7 más subcarpetas • Nombre con un carácter en el rango [a-z] • Artefactos: Ficheros-> string rango [0-9] y extensión .dat. • Ficheros .dat de 3 son ficheros HTML. • Ficheros .dat de 7 son anexos de los emails.  Correlación emails/anexos mediante BBDD ESE: • %AppData%LocalCommsUnistoreDBstore.vol  Store.vol contiene hasta 63 BBDD. • Cada BBDD contiene tablas HTML. • BBDD: Message, Contact, Appointment, Attachment y Recipient
Muchas gracias por su asistencia

Recomendados

Unix
UnixUnix
UnixErm78
 
Disk and File System Management in Linux
Disk and File System Management in LinuxDisk and File System Management in Linux
Disk and File System Management in LinuxHenry Osborne
 
Bootcamp linux commands
Bootcamp linux commandsBootcamp linux commands
Bootcamp linux commandsNexThoughts Technologies
 
Unix/Linux Basic Commands and Shell Script
Unix/Linux Basic Commands and Shell ScriptUnix/Linux Basic Commands and Shell Script
Unix/Linux Basic Commands and Shell Scriptsbmguys
 
Linux basic commands
Linux basic commandsLinux basic commands
Linux basic commandsMohanKumar Palanichamy
 
Linux basics part 1
Linux basics part 1Linux basics part 1
Linux basics part 1Lilesh Pathe
 
Linux v/s Windows
Linux v/s WindowsLinux v/s Windows
Linux v/s WindowsSukhdeep Singh
 
Manejo de Archivos en Ubuntu
Manejo de Archivos en UbuntuManejo de Archivos en Ubuntu
Manejo de Archivos en Ubuntuedisonballadaresbj
 

Recomendados

Unix
UnixUnix
UnixErm78
 
Disk and File System Management in Linux
Disk and File System Management in LinuxDisk and File System Management in Linux
Disk and File System Management in LinuxHenry Osborne
 
Bootcamp linux commands
Bootcamp linux commandsBootcamp linux commands
Bootcamp linux commandsNexThoughts Technologies
 
Unix/Linux Basic Commands and Shell Script
Unix/Linux Basic Commands and Shell ScriptUnix/Linux Basic Commands and Shell Script
Unix/Linux Basic Commands and Shell Scriptsbmguys
 
Linux basic commands
Linux basic commandsLinux basic commands
Linux basic commandsMohanKumar Palanichamy
 
Linux basics part 1
Linux basics part 1Linux basics part 1
Linux basics part 1Lilesh Pathe
 
Linux v/s Windows
Linux v/s WindowsLinux v/s Windows
Linux v/s WindowsSukhdeep Singh
 
Manejo de Archivos en Ubuntu
Manejo de Archivos en UbuntuManejo de Archivos en Ubuntu
Manejo de Archivos en Ubuntuedisonballadaresbj
 
Users and groups
Users and groupsUsers and groups
Users and groupsVarnnit Jain
 
Linux commands
Linux commandsLinux commands
Linux commandsBalakumaran Arunachalam
 
Introduction to linux at Introductory Bioinformatics Workshop
Introduction to linux at Introductory Bioinformatics WorkshopIntroduction to linux at Introductory Bioinformatics Workshop
Introduction to linux at Introductory Bioinformatics WorkshopSetor Amuzu
 
Basic commands of linux
Basic commands of linuxBasic commands of linux
Basic commands of linuxshravan saini
 
Nfs protocol sequence_diagram
Nfs protocol sequence_diagramNfs protocol sequence_diagram
Nfs protocol sequence_diagramRoberto Castro
 
Linux introduction
Linux introductionLinux introduction
Linux introductionMd. Zahid Hossain Shoeb
 
Linux operating system
Linux operating systemLinux operating system
Linux operating systemITz_1
 
Linux
LinuxLinux
LinuxRittikaBaksi
 
Linux Troubleshooting
Linux TroubleshootingLinux Troubleshooting
Linux TroubleshootingKeith Wright
 
Comandos ms dos
Comandos ms dosComandos ms dos
Comandos ms dosIlsee Von Monroe
 
Data Backup (IT) Lecture Slide # 5
Data Backup (IT) Lecture Slide # 5Data Backup (IT) Lecture Slide # 5
Data Backup (IT) Lecture Slide # 5Muhammad Talha Zaroon
 
Linux file system nevigation
Linux file system nevigationLinux file system nevigation
Linux file system nevigationhetaldobariya
 
Introduction 2 linux
Introduction 2 linuxIntroduction 2 linux
Introduction 2 linuxPapu Kumar
 
Linux commands
Linux commandsLinux commands
Linux commandspenetration Tester
 
SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER BenjaminAnilema
 
Linux
LinuxLinux
LinuxInternational Islamic University
 
Quick Guide with Linux Command Line
Quick Guide with Linux Command LineQuick Guide with Linux Command Line
Quick Guide with Linux Command LineAnuchit Chalothorn
 
Linux command ppt
Linux command pptLinux command ppt
Linux command pptkalyanineve
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoSSecpro - Security Professionals
 
Operating Systems: Linux in Detail
Operating Systems: Linux in DetailOperating Systems: Linux in Detail
Operating Systems: Linux in DetailDamian T. Gordon
 
NFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfNFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfMarioWilsonCastro1
 
Artefactos linux
Artefactos linuxArtefactos linux
Artefactos linuxJosé Moreno
 

Más contenido relacionado

La actualidad más candente

Introduction to linux at Introductory Bioinformatics Workshop
Introduction to linux at Introductory Bioinformatics WorkshopIntroduction to linux at Introductory Bioinformatics Workshop
Introduction to linux at Introductory Bioinformatics WorkshopSetor Amuzu
 
Basic commands of linux
Basic commands of linuxBasic commands of linux
Basic commands of linuxshravan saini
 
Nfs protocol sequence_diagram
Nfs protocol sequence_diagramNfs protocol sequence_diagram
Nfs protocol sequence_diagramRoberto Castro
 
Linux operating system
Linux operating systemLinux operating system
Linux operating systemITz_1
 
Linux Troubleshooting
Linux TroubleshootingLinux Troubleshooting
Linux TroubleshootingKeith Wright
 
Linux file system nevigation
Linux file system nevigationLinux file system nevigation
Linux file system nevigationhetaldobariya
 
Introduction 2 linux
Introduction 2 linuxIntroduction 2 linux
Introduction 2 linuxPapu Kumar
 
SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER BenjaminAnilema
 
Quick Guide with Linux Command Line
Quick Guide with Linux Command LineQuick Guide with Linux Command Line
Quick Guide with Linux Command LineAnuchit Chalothorn
 
Linux command ppt
Linux command pptLinux command ppt
Linux command pptkalyanineve
 
Operating Systems: Linux in Detail
Operating Systems: Linux in DetailOperating Systems: Linux in Detail
Operating Systems: Linux in DetailDamian T. Gordon
 

La actualidad más candente (20)

Users and groups
Users and groupsUsers and groups
Users and groups
 
Linux commands
Linux commandsLinux commands
Linux commands
 
Introduction to linux at Introductory Bioinformatics Workshop
Introduction to linux at Introductory Bioinformatics WorkshopIntroduction to linux at Introductory Bioinformatics Workshop
Introduction to linux at Introductory Bioinformatics Workshop
 
Basic commands of linux
Basic commands of linuxBasic commands of linux
Basic commands of linux
 
Nfs protocol sequence_diagram
Nfs protocol sequence_diagramNfs protocol sequence_diagram
Nfs protocol sequence_diagram
 
Linux introduction
Linux introductionLinux introduction
Linux introduction
 
Linux operating system
Linux operating systemLinux operating system
Linux operating system
 
Linux
LinuxLinux
Linux
 
Linux Troubleshooting
Linux TroubleshootingLinux Troubleshooting
Linux Troubleshooting
 
Comandos ms dos
Comandos ms dosComandos ms dos
Comandos ms dos
 
Data Backup (IT) Lecture Slide # 5
Data Backup (IT) Lecture Slide # 5Data Backup (IT) Lecture Slide # 5
Data Backup (IT) Lecture Slide # 5
 
Linux file system nevigation
Linux file system nevigationLinux file system nevigation
Linux file system nevigation
 
Introduction 2 linux
Introduction 2 linuxIntroduction 2 linux
Introduction 2 linux
 
Linux commands
Linux commandsLinux commands
Linux commands
 
SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER
 
Linux
LinuxLinux
Linux
 
Quick Guide with Linux Command Line
Quick Guide with Linux Command LineQuick Guide with Linux Command Line
Quick Guide with Linux Command Line
 
Linux command ppt
Linux command pptLinux command ppt
Linux command ppt
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
 
Operating Systems: Linux in Detail
Operating Systems: Linux in DetailOperating Systems: Linux in Detail
Operating Systems: Linux in Detail
 

Similar a Forensic Artifacts from Windows Depths

Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals SuiteRosariio92
 
Sistemas operativos 180604 duque
Sistemas operativos 180604 duqueSistemas operativos 180604 duque
Sistemas operativos 180604 duqueSPDUQUE
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)ivan1951
 
UNIDAD VI
UNIDAD VIUNIDAD VI
UNIDAD VImartin
 
Sistemas
SistemasSistemas
Sistemasmartin
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Unidad 6 Yb 7 Sistemas Operativos
Unidad 6 Yb 7 Sistemas OperativosUnidad 6 Yb 7 Sistemas Operativos
Unidad 6 Yb 7 Sistemas OperativosChulinneitor
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Controladora de perifericos
Controladora de perifericos Controladora de perifericos
Controladora de perifericos Mario Masqui
 
Controladora de perifericos indice
Controladora de perifericos indiceControladora de perifericos indice
Controladora de perifericos indiceDavidd Bsc
 
Controladora de perifericos
Controladora de perifericos Controladora de perifericos
Controladora de perifericos Byron Vicuña
 
Forensic iOS
Forensic iOSForensic iOS
Forensic iOSGissim
 

Similar a Forensic Artifacts from Windows Depths (20)

NFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfNFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdf
 
Artefactos linux
Artefactos linuxArtefactos linux
Artefactos linux
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals Suite
 
Sistemas operativos 180604 duque
Sistemas operativos 180604 duqueSistemas operativos 180604 duque
Sistemas operativos 180604 duque
 
Utilidades de diagnostico
Utilidades de diagnosticoUtilidades de diagnostico
Utilidades de diagnostico
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)
 
UNIDAD VI
UNIDAD VIUNIDAD VI
UNIDAD VI
 
Sistemas
SistemasSistemas
Sistemas
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case Forensics
 
Unidad 6 Yb 7 Sistemas Operativos
Unidad 6 Yb 7 Sistemas OperativosUnidad 6 Yb 7 Sistemas Operativos
Unidad 6 Yb 7 Sistemas Operativos
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Controladora de perifericos
Controladora de perifericos Controladora de perifericos
Controladora de perifericos
 
Controladora de perifericos indice
Controladora de perifericos indiceControladora de perifericos indice
Controladora de perifericos indice
 
Opensolaris flisol
Opensolaris flisolOpensolaris flisol
Opensolaris flisol
 
Controladora de perifericos
Controladora de perifericos Controladora de perifericos
Controladora de perifericos
 
Instalaciones
InstalacionesInstalaciones
Instalaciones
 
Forensic iOS
Forensic iOSForensic iOS
Forensic iOS
 
Linux administracion.pptx
Linux administracion.pptxLinux administracion.pptx
Linux administracion.pptx
 

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (20)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

Forensic Artifacts from Windows Depths

  • 1. Extrayendo artefactos forenses de las profundidades del sistema
  • 3. Tipos de investigaciones forenses  El sistema a analizar es la víctima  El sistema a analizar es el arma del crimen
  • 4. Entorno de la investigación  Corporativo  Recogida de evidencias bajo mandato judicial  El ordenador es “de un amigo que me lo ha prestado”
  • 5. Nivel estimado del usuario del sistema  Usuario nivel nativo digital  Usuario nivel cuñado (AKA Juanker)  Usuario nivel leyenda (¿De verdad usa Windows?)
  • 6. ¿Cómo me encuentro el sistema?  Encendido y sin bloquear  Encendido y bloqueado (Windows Hello?)  Apagado y no cifrado  Apagado y cifrado
  • 7. ¿Snorkel o inmersión?  Análisis de emails, documentos, multimedia…  Análisis de artefactos a bajo nivel (Registro, MFT, SQLite)
  • 8. Herramientas necesarias  Hw • Clonadora/USB • HDD destino • TAP? • Dongle Wifi? • WS forense  Sw • Microsoft Sysinternals • NirSoft • Comunidad (H. Carvey’s RegRipper, E. Zimmerman’s KAPE, D. Stevens, Brian Carrier’s Autopsy, Wireshark, Volatility) • Distros (REMnux, Flare VM, SANS SIFT, CAINE, Paladin, HELK) • Comercial (Virtualización, ofimática, suites forenses)  San Google  Dinero para formación (o tiempo infinito para leer por tu cuenta)
  • 9. El tamaño importa Windows 10, 40.30% Windows 8.1, 4.37% Windows 8, 0.99% Windows 7, 38.41% Windows Vista, 0.25% Windows XP, 3.91% macOS, 9.69% Linux, 2.11% Cuota de mercado FEB 19 Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP macOS Linux
  • 10. Grandes novedades cada 6 meses Versión Nombre en clave Nombre comercial Lanzamiento 1507 Threshold 1 Julio 2015 1511 Threshold 2 November update Noviembre 2015 1607 Redstone 1 Anniversary update Agosto 2016 1703 Redstone 2 Creators update Abril 2017 1709 Redstone 3 Falls Creators update Octubre 2017 1803 Redstone 4 April 2018 update Abril 2018 1809 Redstone 5 October 2018 update Noviembre 2018
  • 11. Versiones de Windows 10  Windows S (desaparece en 03/19, pasa a Modo S)  Windows Education  Windows Home  Windows 10 Pro for Workstations  Windows 10 Pro  Windows 10 Enterprise  Windows Insider?  Versiones de 32 y 64 bits  Windows To Go
  • 12. Problemas a los que se enfrenta el DFI  Windows funciona como una caja negra  Nuevos artefactos cada 6 meses  Cada major update, elimina todos los EVTX • Y la fecha de instalación del sistema!!!  Lenta aparición de herramientas de parseo de nuevos artefactos en la comunidad.
  • 13. Problemas a los que se enfrenta el DFI  Antiforense • Destrucción física de evidencias • Eliminación/borrado de ficheros/volúmenes • Modificación de ficheros de log • Cifrado/codificación de ficheros • Esteganografía • Cifrado/codificación de comunicaciones • Canal lateral de comunicaciones • Protección por contraseña/biometría • Ataques contra las herramientas forenses • Ocultación de evidencias • Saturación de evidencias y falta de tiempo
  • 14. Sistema de ficheros  NTFS: • Asignación y utilización del espacio en el volumen • Creación y eliminación de ficheros • Modo en el que metadatos asociados son almacenados y actualizados.  Principal fuente: MFT. Contiene o referencia de manera indirecta toda la información posible de un fichero: timestamps, tamaño en bytes, atributos, directorio padre y su contenido.  Necesario acceso en crudo al volumen para poder interactuar o adquirir los contenidos del fichero $MFT.
  • 15. Sistema de ficheros  Elementos fundamentales de entrada MFT: • Tipo de registro • Número de registro • Número de registro de padre • Banderas activas/inactivas • Atributos: $STANDARD_INFORMATION, $FILENAME y $DATA • Unidad de disco estándar sectores de 512 bytes-> MFT estructurada como conjunto de registros de 1024 bytes denominados entradas. • Unidad de disco con AF (Advanced Format) sectores de 4 KB-> Registros MFT tamaño de 4096 bytes.
  • 16. Sistema de ficheros  NTFS capaz de almacenar ficheros de pequeño tamaño en un registro de la MFT. • Cuidado con scripts maliciosos!!!  Análisis de MFT • Identificación ficheros y directorios eliminados. • Análisis de timestamps • Datos residentes • ADS
  • 17. Sistema de ficheros  VSC (Volume Shadow Copy) proporciona un mecanismo para establecer puntos de restauración de los ficheros de todo un volumen. • Buena fuente anti antiforense.  SO de 64 bits incluye subsistema de compatibilidad WoW64 (Windows 32-bit on Windows 64-bit) para el correcto funcionamiento de aplicaciones 32 bits • ¿Problema? al analizar muestras 32 bits en entorno 64 bits.
  • 18. El Registro  Compleja BBDD en la que el SO almacena todos los detalles relativos a su funcionamiento y configuración.  Análisis del Registro: • Conexión de memoria USB? • Si se eliminó alguna aplicación como medida antiforense • Últimos ficheros abiertos por el usuario • Persistencia de malware en el sistema  Shim Cache permite realizar seguimiento de ficheros ejecutables y scripts que requieran configuraciones especiales de compatibilidad para poder ejecutarse correctamente. • Last Modified de ShimCache origen en el atributo del fichero $SI. • Cuidado con timestomping! • En Windows 10 la cabecera pasó a ser de 48 bytes de longitud.
  • 19. El Registro. Autoejecución.  Servicios • Sistema local • Servicio de red • Servicio local • Cada ImagePath de un servicio corresponde con nombre de proceso en ejecución. PPID services.exe.  Claves Run y RunOnce • Persistencia de malware  Active Setup
  • 20. El Registro. Autoejecución.  AppInit_DLLs contiene librerías que se cargan automáticamente siempre que sea lanzada una aplicación en modo usuario enlazada a user32.dll  Paquetes LSA (Local Security Authority)  Internet Explorer 7 y las versiones posteriores incluyen una opción en el menú para gestionar de manera individual los BHO (Browser Helper Objects). • No funcionan en Edge!  Extensiones de la shell. Equivale a BHO para el Explorador de ficheros
  • 21. El Registro. Autoejecución  Shell de Winlogon. Personalizar la shell cargada cuando el usuario se loguea en el sistema.  Winlogon Userinit. userinit.exe carga logon y scripts de GPO, algunos auto ejecutables y shell de Explorer.  AppCompatFlags • Subclaves Custom e InstalledSDB aportan información de autoarranque para aplicaciones heredadas.
  • 22. El Registro. Claves de usuario  Evidencias específicas de configuraciones y comportamiento de cuentas de usuario. • NTUSER.DAT y USRCLASS.DAT  Shellbags: preferencias de usuario sobre visualización de carpetas del sistema de ficheros con Explorador de Archivos.  UserAssist: seguimiento de aplicaciones GUI lanzadas por el usuario a través de la shell del Explorador de Windows.
  • 23. El Registro. Claves de usuario  MUICache: aplicaciones ejecutadas por el usuario.  MRU (Most Recently Used): seguimiento de objetos abiertos recientemente.  RunMRU: Listado de aplicaciones ejecutadas a través del diálogo Ejecutar (Run) del Menú Inicio (Start Menu).  RecentDocs: listado de carpetas y ficheros abiertos recientemente.  Recent Files: seguimiento de ficheros abiertos con aplicaciones de Microsoft Office.
  • 24. El Registro. Claves de usuario  Versión 16.0 (Office 2016) ficheros almacenados localmente:  HKCUSoftwareMicrosoftOffice16.0<APP>User MRULiveId_####File MRU  Versión 16.0 (Office 2016) ficheros almacenados en OneDrive  HKCUSoftwareMicrosoftOffice16.0<APP>SecurityTrusted DocumentsTrustRecords  Cada aplicación de Office tiene su propia subclave.
  • 25. El Registro. Claves de usuario  Internet Explorer TypedURLs y TypedPaths: listado de las URL accedidas recientemente.  Remote Desktop MRU: histórico de conexiones establecidas recientemente.  WordWheelQuery: palabras clave buscadas desde el Menú Inicio.
  • 26. Mecanismos alternativos de persistencia  Carpetas de Inicio  Tareas recurrentes (at y schtasks)  Modificación de binarios del sistema  DLL Load-order hijacking
  • 27. Otras evidencias de gran interés  Prefetch: Permite determinar las aplicaciones que se ejecutaron al menos una vez. <= 1024 elementos.  Dispositivos USB conectados al sistema y timestamp de conexión (hive SYSTEM).  Logs transaccionales del Registro
  • 28. Otras evidencias de gran interés  Ficheros LNK: Punteros a otros ficheros o carpetas en un sistema.  Thumbnails: Miniaturas de imágenes, documentos ofimáticos y carpetas en BBDD thumbcache.  Papelera de Reciclaje  BitLocker?  Jump Lists de la Barra de tareas  AppLocker medida de seguridad basada en whitelisting
  • 29. Otras evidencias de gran interés  Microsoft Store • C:Program FilesWindowsApps • C:ProgramDataMicrosoftWindowsAppRepositoryStateRepository-Machine.srd  AmCache (Amcache.hve): Fichero con estructura de fichero del Registro, pero no forma parte de él. • Creado por la tarea ProgramDataUpdater, del Application Experience Service. Almacena información relacionada con ejecución de programas.  SRUM (System Resource Usage Monitor): Componente del servicio de política de diagnóstico.
  • 30. Artefactos forenses novedosos en W10. Portapapeles  Historial del Portapapeles • v1809 de Windows 10 • Almacena lista de elementos copiados (texto, hipervínculos y gráficos). • Anclar elementos-> • Perduran entre reinicios del sistema, pero se almacenan cifrados. • Desanclar un objeto lo elimina del sistema de ficheros. • En memoria, están asociados a svchost.exe y se encuentran en claro… • Sincronizar historial entre dispositivos-> canal lateral? • Eliminar manualmente datos del Portapapeles. • Al reiniciar el sistema, se eliminan automáticamente los no anclados. • %AppData%LocalMicrosoftWindowsClipboard • Subcarpetas: HistoryData y Pinned • En Pinned se crea fichero JSON con metadatos de las subcarpetas (GUID, timestamp, source, cloud_id)
  • 31. Artefactos forenses novedosos en W10. Portapapeles
  • 32. Artefactos forenses novedosos en W10. Portapapeles  Carpetas asociadas a objetos tipo texto contienen 3 ficheros: • metadata.json • TG9jYWxl (locale) • VGV4dA== (Text) {"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None ","isEncrypted":true},"Text":{"dataType":"String","collectionType":"None","i sEncrypted":true}},"sourceAppId":"","property":{}}
  • 33. Artefactos forenses novedosos en W10. Portapapeles  Carpetas de objetos tipo imagen, 2 ficheros: • metadata.json • Qml0bWFw (Bitmap)  Carpetas de objetos tipo hipervínculo, 4 ficheros. 3 idénticos a objetos tipo texto + 1 nuevo fichero: • SFRNTCBGb3JtYXQ= (HTML Format) {"formatMetadata":{"Bitmap":{"dataType":"StreamReferenceFile","collection Type":"None","isEncrypted":true}},"sourceAppId":"","property":{}} {"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None","isEncrypted":true},"Text":{"dataType":"String"," collectionType":"None","isEncrypted":true},"HTML Format":{"dataType":"String","collectionType":"None","isEncrypted":true}},"sourceAppId":"","property":{}}
  • 34. Artefactos forenses novedosos de W10. BAM  Background Activity Moderator: servicio que controla actividad en segundo plano de apps en ejecución en SO. • Introducido en v1709 de Windows 10. • Alternativa a Prefetch.  2 ficheros asociados: • %SystemRoot%system32driversdam.sys • %SystemRoot%system32driversbam.sys  2 claves de Registro asociadas • HKLMSYSTEMCurrentControlSetServicesdam • HKLMSYSTEMCurrentControlSetServicesbam
  • 35. Artefactos forenses novedosos en W10. BAM  Ej. de contenido de subclave UserSettings de la clave bam  Diferencias con respecto a Prefetch cercanas al min. • Volcar los logs transaccionales del Registro lo reduce a 1 seg.
  • 36. Artefactos forenses novedosos en W10. Timeline  Timeline. Similar a historial de navegador web.  Almacena cronología de actividades realizadas con el SO (Ej. Sitios web visitados, documentos editados, imágenes visualizas o creadas, juegos ejecutados). • Introducido en v1803 de Windows 10  Acceso a través de Vista de Tareas o Windows+Tab
  • 37. Artefactos forenses novedosos en W10. Timeline
  • 38. Artefactos forenses novedosos en W10. Timeline
  • 39. Artefactos forenses novedosos en W10. Timeline  Actividad clasificada por días • Granular por horas.  No todas las aplicaciones reportan su actividad a Timeline. • Microsoft Edge, Microsoft Office 2016, Microsoft Paint, Microsoft Paint 3D, Adobe Reader DC y Xbox.  Forense “en muerto”, tabla Activity de: • %AppData%LocalConnectedDevicesPlatformActivitiesCache.db • Parsear Activity y Activity_PackageId con WxTCmd (Zimmerman).  Limpiar el Historial de actividad desde el panel del sistema no elimina el contenido almacenado en el fichero ActivitiesCache.db
  • 40. Artefactos forenses novedosos de W10. Timeline
  • 41. Artefactos forenses novedosos en W10. Timeline  Por defecto, Tiempo de expiración= 30 días • Siempre que se acceda a enviar a Microsoft el historial de actividades, incluyendo información de sitios web.  Pese a que el sistema elimine de la tabla automáticamente la información relacionada con esa actividad • CCL-Forensics Epilog puede recuperar registros eliminados. • recoversqlite, desarrollada por Alejandro Ramos.
  • 42. Artefactos forenses novedosos de W10. RecentApps  RecentApps: clave del Registro del fichero NTUSER.DAT introducida en Windows 10.  HKU{SID}SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps  Estructura jerárquica en subclaves formato GUID, correspondientes con aplicación accedida por el sistema.  En la clave se almacenan los valores: AppId, AppPath, LastAccessedTime, LaunchCount.  No se puede concluir que los diez GUID presentes determinen los diez últimos ficheros abiertos con esa aplicación.
  • 43. Artefactos forenses novedosos de W10. Histórico de PowerShell  Histórico de PowerShell: • Primeras versiones: solo almacenaban histórico de comandos ejecutados en sesión actual. • En Windows 10 con >v5 de PowerShell pueden recuperarse últimos comandos ejecutados en PowerShell, incluso tras reiniciar SO. • >v3 PowerShell se almacenan 4096 comandos. %AppData%RoamingMicrosoftWindowsPowerShellPSReadlineConsoleHost_history.txt  Historial de comandos de sesión de las consolas PowerShell y PowerShell ISE se almacena de manera independiente.
  • 44. Artefactos forenses novedosos de W10. PowerShell
  • 45. Artefactos forenses novedosos en W10. AMSI  AMSI (Antimalware Scan Interface): Integra aplicaciones y servicios con cualquier producto antimalware presente en el sistema operativo. • Integra con UAC, PowerShell, Windows Script Host, JavaScript, VBScript, Macros VBA.  Diseñada para ofrecer protección de datos y aplicaciones en los endpoints.  Permite escanear ficheros, memoria o streams y comprobación reputacional de URL/IP.
  • 46. Artefactos forenses novedosos en W10. Centro de Notificaciones  Centro de Notificaciones. Servicio que proporciona información visual en forma de notificaciones o toast notifications.  La mayoría: notificaciones de recepción de email, recordatorios de Tareas y eventos del Calendario, mensajes de Windows Defender, etc.
  • 47. Artefactos forenses novedosos en W10. Centro de notificaciones
  • 48. Artefactos forenses novedosos de W10. Centro de notificaciones  Configuración del Centro de Notificaciones:  HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotifications  Ruta de almacenamiento de imágenes relacionadas con Centro de Notificaciones:  HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotificationswpnidm  Timestamp última notificación del Centro de Notificaciones queda almacenada en el valor TimestampWhenSeen de la clave:  HKCUSoftwareMicrosoftWindowsCurrentVersionNotifications
  • 49. Artefactos forenses novedosos de W10. Centro de notificaciones  El SO almacena por defecto las notificaciones de cada cuenta de usuario en la ruta:  %AppData%LocalMicrosoftWindowsNotifications  Nombre BBDD depende de la versión de Windows 10. • Primeras versiones: fichero binario appdb.dat. • >v1607 de Windows 10: fichero SQLite wpndatabase.db.  Tipos de notificaciones: Toasts, Titles, Badges, Raw.
  • 50. Artefactos forenses novedosos de W10. Cortana  Cortana: Asistente personal digital. • Establece recordatorios, buscar ficheros locales, búsquedas en la web o contesta preguntas sencillas. • Remite correos electrónicos dictados.  Se integra con los contactos asociados a la cuenta Microsoft del usuario. • Si se asociaron otras cuentas de redes sociales o microblogging (Ej. LinkedIn, Twitter, Facebook), sus contactos también estarán disponibles.  Bajo ningún concepto, todos estos datos acabarán en manos de terceros, están ahí solo para Cortana (y el forense).
  • 51.
  • 52. Artefactos forenses novedosos de W10. Cortana  El usuario puede interactuar con Cortana: • Escribiendo en el cuadro de búsqueda. • Dictando a través de un micrófono (de que este se encuentre disponible).  Cortana puede recopilar datos cuando el sistema se encuentra con la pantalla apagada debido a un periodo de inactividad o se estableció la pantalla de bloqueo, dependiendo de la configuración que establezca el usuario.
  • 53. Artefactos forenses novedosos de W10. Cortana  Artefactos forenses de interés asociados con este servicio (en el principio de los tiempos de W10): • 2 BBDD ESE (Extensible Storage Engine)  %AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy AppDataIndexed DBIndexedDB.edb  %AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy LocalStateESEDatabase_CortanaCoreInstanceCortanaCoreDb.dat • CortanaCoreDb.dat-> Ubicaciones del dispositivo, citas y dónde y cuándo se activaron y marcaron como completadas. • Tablas: Geofences, LocationTriggers, Reminders, Triggers.
  • 54. Artefactos forenses novedosos de W10. Cortana  A partir de v1607, la mayoría de la información que recopila Cortana se almacena en la nube de Microsoft, y esta se solicita conforme es necesitada por el sistema.  Microsoft: Almacena esta información en sus servidores para “aumentar la privacidad del usuario” y “facilitarle la transición entre sus diferentes dispositivos”.  IndexedDB.edb sigue existiendo en v1809, y en v1806 seguía existiendo CortanaCoreDb.dat (v1809??). • No se almacenan en ellas datos del usuario. • Cortana almacena localmente información en JSON para conectar con sus servidores.
  • 55. Artefactos forenses novedosos de W10. Cortana  La configuración de privacidad de Cortana limita la información que podrá recopilar el DFI. • Si el usuario utiliza el micro conectado al sistema, se generan un conjunto de ficheros temporales WAV de 0 KB bajo la carpeta LocalState • Eliminados cíclicamente por el propio sistema. • Se almacena en un fichero dentro de esta carpeta el SSID de la WiFi a la que se encontraba conectado el sistema.
  • 56. Artefactos forenses novedosos de W10. OneDrive  OneDrive: servicio cloud de Microsoft. Acceso utilizando cuenta Microsoft.  Integrado con Explorador de Archivos y Microsoft Office.  Acceso: macOS, iOS, Android, navegador web, Microsoft Xbox…  Copia local, descarga primera apertura o abrirlo en cloud.  De interés cuando no se puede acceder a un dispositivo pero sí a otro que tiene acceso a OneDrive utilizando a la misma cuenta Microsoft.
  • 57. Artefactos forenses novedosos de W10. OneDrive  C:Users<usuario>AppDataLocalMicrosoftOneDrivelogs • Subcarpetas Common, Personal y Setup  Subcarpeta Personal: ficheros SyncEngine, telemetryCache y TraceArchive. • En un sistema con un uso frecuente, estos ficheros se actualizan periódicamente. • Relevancia: Demostrar mediante timestamps fecha aproximada última conexión del usuario al sistema.  C:Users<usuario>OneDrive  NOTA: OneDrive for Business modifica ligeramente la cabecera de los ficheros almacenados en el lado del servidor (no coinciden hashes).
  • 58. Artefactos forenses novedosos en W10. Mail  Mail almacena los emails como HTML o TXT.  Permite establecer simultáneamente múltiples cuentas de correo y acceder a sus buzones.  %AppData%LocalComms • Subcarpetas Unistore, UnistoreDB y Volatile • Dentro de .Unistoredata (Importantes 3 y 7) Carpeta Contenido 0 Datos Windows Phone 2 Datos de contactos 3 Correos electrónicos 5 Calendario 7 Anexos de correos electrónicos
  • 59. Artefactos forenses novedosos W10. Mail  Dentro de 3 y 7 más subcarpetas • Nombre con un carácter en el rango [a-z] • Artefactos: Ficheros-> string rango [0-9] y extensión .dat. • Ficheros .dat de 3 son ficheros HTML. • Ficheros .dat de 7 son anexos de los emails.  Correlación emails/anexos mediante BBDD ESE: • %AppData%LocalCommsUnistoreDBstore.vol  Store.vol contiene hasta 63 BBDD. • Cada BBDD contiene tablas HTML. • BBDD: Message, Contact, Appointment, Attachment y Recipient
  • 60. Muchas gracias por su asistencia