RecentApps
Almacena información sobre las aplicaciones ejecutadas
recientemente por el usuario.
Cada subclave corresponde a una aplicación ejecutada.
Contiene información como:
- Nombre de la aplicación
- Timestamp de ejecución
- Path de la aplicación
- Parámetros de ejecución
- Estado de la aplicación (abierta, cerrada)
Permite determinar el orden de ejecución de aplicaciones.
No se elimina al vaciar la papelera de reciclaje
3. Tipos de investigaciones forenses
El sistema a analizar es la víctima
El sistema a analizar es el arma del crimen
4. Entorno de la investigación
Corporativo
Recogida de evidencias bajo mandato judicial
El ordenador es “de un amigo que me lo ha prestado”
5. Nivel estimado del usuario del sistema
Usuario nivel nativo digital
Usuario nivel cuñado (AKA Juanker)
Usuario nivel leyenda (¿De verdad usa Windows?)
6. ¿Cómo me encuentro el sistema?
Encendido y sin bloquear
Encendido y bloqueado (Windows Hello?)
Apagado y no cifrado
Apagado y cifrado
7. ¿Snorkel o inmersión?
Análisis de emails, documentos, multimedia…
Análisis de artefactos a bajo nivel (Registro, MFT, SQLite)
8. Herramientas necesarias
Hw
• Clonadora/USB
• HDD destino
• TAP?
• Dongle Wifi?
• WS forense
Sw
• Microsoft Sysinternals
• NirSoft
• Comunidad (H. Carvey’s RegRipper, E. Zimmerman’s KAPE, D. Stevens, Brian Carrier’s
Autopsy, Wireshark, Volatility)
• Distros (REMnux, Flare VM, SANS SIFT, CAINE, Paladin, HELK)
• Comercial (Virtualización, ofimática, suites forenses)
San Google
Dinero para formación (o tiempo infinito para leer por tu cuenta)
9. El tamaño importa
Windows 10, 40.30%
Windows 8.1, 4.37%
Windows 8, 0.99%
Windows 7, 38.41%
Windows Vista, 0.25%
Windows XP, 3.91%
macOS, 9.69% Linux, 2.11%
Cuota de mercado FEB 19
Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP macOS Linux
10. Grandes novedades cada 6 meses
Versión Nombre en clave Nombre comercial Lanzamiento
1507 Threshold 1 Julio 2015
1511 Threshold 2 November update Noviembre 2015
1607 Redstone 1 Anniversary update Agosto 2016
1703 Redstone 2 Creators update Abril 2017
1709 Redstone 3 Falls Creators update Octubre 2017
1803 Redstone 4 April 2018 update Abril 2018
1809 Redstone 5 October 2018 update Noviembre 2018
11. Versiones de Windows 10
Windows S (desaparece en 03/19, pasa a Modo S)
Windows Education
Windows Home
Windows 10 Pro for Workstations
Windows 10 Pro
Windows 10 Enterprise
Windows Insider?
Versiones de 32 y 64 bits
Windows To Go
12. Problemas a los que se enfrenta el DFI
Windows funciona como una caja negra
Nuevos artefactos cada 6 meses
Cada major update, elimina todos los EVTX
• Y la fecha de instalación del sistema!!!
Lenta aparición de herramientas de parseo de nuevos
artefactos en la comunidad.
13. Problemas a los que se enfrenta el DFI
Antiforense
• Destrucción física de evidencias
• Eliminación/borrado de ficheros/volúmenes
• Modificación de ficheros de log
• Cifrado/codificación de ficheros
• Esteganografía
• Cifrado/codificación de comunicaciones
• Canal lateral de comunicaciones
• Protección por contraseña/biometría
• Ataques contra las herramientas forenses
• Ocultación de evidencias
• Saturación de evidencias y falta de tiempo
14. Sistema de ficheros
NTFS:
• Asignación y utilización del espacio en el volumen
• Creación y eliminación de ficheros
• Modo en el que metadatos asociados son almacenados y
actualizados.
Principal fuente: MFT. Contiene o referencia de manera
indirecta toda la información posible de un fichero:
timestamps, tamaño en bytes, atributos, directorio padre y
su contenido.
Necesario acceso en crudo al volumen para poder
interactuar o adquirir los contenidos del fichero $MFT.
15. Sistema de ficheros
Elementos fundamentales de entrada MFT:
• Tipo de registro
• Número de registro
• Número de registro de padre
• Banderas activas/inactivas
• Atributos: $STANDARD_INFORMATION, $FILENAME y $DATA
• Unidad de disco estándar sectores de 512 bytes-> MFT
estructurada como conjunto de registros de 1024 bytes
denominados entradas.
• Unidad de disco con AF (Advanced Format) sectores de 4 KB->
Registros MFT tamaño de 4096 bytes.
16. Sistema de ficheros
NTFS capaz de almacenar ficheros de pequeño tamaño
en un registro de la MFT.
• Cuidado con scripts maliciosos!!!
Análisis de MFT
• Identificación ficheros y directorios eliminados.
• Análisis de timestamps
• Datos residentes
• ADS
17. Sistema de ficheros
VSC (Volume Shadow Copy) proporciona un mecanismo
para establecer puntos de restauración de los ficheros
de todo un volumen.
• Buena fuente anti antiforense.
SO de 64 bits incluye subsistema de compatibilidad
WoW64 (Windows 32-bit on Windows 64-bit) para el
correcto funcionamiento de aplicaciones 32 bits
• ¿Problema? al analizar muestras 32 bits en entorno 64 bits.
18. El Registro
Compleja BBDD en la que el SO almacena todos los detalles
relativos a su funcionamiento y configuración.
Análisis del Registro:
• Conexión de memoria USB?
• Si se eliminó alguna aplicación como medida antiforense
• Últimos ficheros abiertos por el usuario
• Persistencia de malware en el sistema
Shim Cache permite realizar seguimiento de ficheros ejecutables
y scripts que requieran configuraciones especiales de
compatibilidad para poder ejecutarse correctamente.
• Last Modified de ShimCache origen en el atributo del fichero $SI.
• Cuidado con timestomping!
• En Windows 10 la cabecera pasó a ser de 48 bytes de longitud.
19. El Registro. Autoejecución.
Servicios
• Sistema local
• Servicio de red
• Servicio local
• Cada ImagePath de un servicio corresponde con nombre de
proceso en ejecución. PPID services.exe.
Claves Run y RunOnce
• Persistencia de malware
Active Setup
20. El Registro. Autoejecución.
AppInit_DLLs contiene librerías que se cargan
automáticamente siempre que sea lanzada una
aplicación en modo usuario enlazada a user32.dll
Paquetes LSA (Local Security Authority)
Internet Explorer 7 y las versiones posteriores incluyen
una opción en el menú para gestionar de manera
individual los BHO (Browser Helper Objects).
• No funcionan en Edge!
Extensiones de la shell. Equivale a BHO para el
Explorador de ficheros
21. El Registro. Autoejecución
Shell de Winlogon. Personalizar la shell cargada cuando
el usuario se loguea en el sistema.
Winlogon Userinit. userinit.exe carga logon y scripts de
GPO, algunos auto ejecutables y shell de Explorer.
AppCompatFlags
• Subclaves Custom e InstalledSDB aportan información de
autoarranque para aplicaciones heredadas.
22. El Registro. Claves de usuario
Evidencias específicas de configuraciones y
comportamiento de cuentas de usuario.
• NTUSER.DAT y USRCLASS.DAT
Shellbags: preferencias de usuario sobre visualización
de carpetas del sistema de ficheros con Explorador de
Archivos.
UserAssist: seguimiento de aplicaciones GUI lanzadas
por el usuario a través de la shell del Explorador de
Windows.
23. El Registro. Claves de usuario
MUICache: aplicaciones ejecutadas por el usuario.
MRU (Most Recently Used): seguimiento de objetos
abiertos recientemente.
RunMRU: Listado de aplicaciones ejecutadas a través
del diálogo Ejecutar (Run) del Menú Inicio (Start Menu).
RecentDocs: listado de carpetas y ficheros abiertos
recientemente.
Recent Files: seguimiento de ficheros abiertos con
aplicaciones de Microsoft Office.
24. El Registro. Claves de usuario
Versión 16.0 (Office 2016) ficheros almacenados
localmente:
HKCUSoftwareMicrosoftOffice16.0<APP>User MRULiveId_####File MRU
Versión 16.0 (Office 2016) ficheros almacenados en
OneDrive
HKCUSoftwareMicrosoftOffice16.0<APP>SecurityTrusted DocumentsTrustRecords
Cada aplicación de Office tiene su propia subclave.
25. El Registro. Claves de usuario
Internet Explorer TypedURLs y TypedPaths: listado de las
URL accedidas recientemente.
Remote Desktop MRU: histórico de conexiones establecidas
recientemente.
WordWheelQuery: palabras clave buscadas desde el
Menú Inicio.
26. Mecanismos alternativos de persistencia
Carpetas de Inicio
Tareas recurrentes (at y schtasks)
Modificación de binarios del sistema
DLL Load-order hijacking
27. Otras evidencias de gran interés
Prefetch: Permite determinar las aplicaciones que se
ejecutaron al menos una vez. <= 1024 elementos.
Dispositivos USB conectados al sistema y timestamp de
conexión (hive SYSTEM).
Logs transaccionales del Registro
28. Otras evidencias de gran interés
Ficheros LNK: Punteros a otros ficheros o carpetas en
un sistema.
Thumbnails: Miniaturas de imágenes, documentos
ofimáticos y carpetas en BBDD thumbcache.
Papelera de Reciclaje
BitLocker?
Jump Lists de la Barra de tareas
AppLocker medida de seguridad basada en whitelisting
29. Otras evidencias de gran interés
Microsoft Store
• C:Program FilesWindowsApps
• C:ProgramDataMicrosoftWindowsAppRepositoryStateRepository-Machine.srd
AmCache (Amcache.hve): Fichero con estructura de fichero del
Registro, pero no forma parte de él.
• Creado por la tarea ProgramDataUpdater, del Application Experience Service.
Almacena información relacionada con ejecución de programas.
SRUM (System Resource Usage Monitor): Componente del servicio de
política de diagnóstico.
30. Artefactos forenses novedosos en W10.
Portapapeles
Historial del Portapapeles
• v1809 de Windows 10
• Almacena lista de elementos copiados (texto, hipervínculos y gráficos).
• Anclar elementos->
• Perduran entre reinicios del sistema, pero se almacenan cifrados.
• Desanclar un objeto lo elimina del sistema de ficheros.
• En memoria, están asociados a svchost.exe y se encuentran en claro…
• Sincronizar historial entre dispositivos-> canal lateral?
• Eliminar manualmente datos del Portapapeles.
• Al reiniciar el sistema, se eliminan automáticamente los no anclados.
• %AppData%LocalMicrosoftWindowsClipboard
• Subcarpetas: HistoryData y Pinned
• En Pinned se crea fichero JSON con metadatos de las subcarpetas (GUID,
timestamp, source, cloud_id)
32. Artefactos forenses novedosos en W10.
Portapapeles
Carpetas asociadas a objetos tipo texto contienen 3
ficheros:
• metadata.json
• TG9jYWxl (locale)
• VGV4dA== (Text)
{"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None
","isEncrypted":true},"Text":{"dataType":"String","collectionType":"None","i
sEncrypted":true}},"sourceAppId":"","property":{}}
33. Artefactos forenses novedosos en W10.
Portapapeles
Carpetas de objetos tipo imagen, 2 ficheros:
• metadata.json
• Qml0bWFw (Bitmap)
Carpetas de objetos tipo hipervínculo, 4 ficheros. 3
idénticos a objetos tipo texto + 1 nuevo fichero:
• SFRNTCBGb3JtYXQ= (HTML Format)
{"formatMetadata":{"Bitmap":{"dataType":"StreamReferenceFile","collection
Type":"None","isEncrypted":true}},"sourceAppId":"","property":{}}
{"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None","isEncrypted":true},"Text":{"dataType":"String","
collectionType":"None","isEncrypted":true},"HTML
Format":{"dataType":"String","collectionType":"None","isEncrypted":true}},"sourceAppId":"","property":{}}
34. Artefactos forenses novedosos de W10. BAM
Background Activity Moderator: servicio que controla
actividad en segundo plano de apps en ejecución en SO.
• Introducido en v1709 de Windows 10.
• Alternativa a Prefetch.
2 ficheros asociados:
• %SystemRoot%system32driversdam.sys
• %SystemRoot%system32driversbam.sys
2 claves de Registro asociadas
• HKLMSYSTEMCurrentControlSetServicesdam
• HKLMSYSTEMCurrentControlSetServicesbam
35. Artefactos forenses novedosos en W10. BAM
Ej. de contenido de subclave UserSettings de la clave
bam
Diferencias con respecto a Prefetch cercanas al min.
• Volcar los logs transaccionales del Registro lo reduce a 1 seg.
36. Artefactos forenses novedosos en W10.
Timeline
Timeline. Similar a historial de navegador web.
Almacena cronología de actividades realizadas con el
SO (Ej. Sitios web visitados, documentos editados,
imágenes visualizas o creadas, juegos ejecutados).
• Introducido en v1803 de Windows 10
Acceso a través de Vista de Tareas o Windows+Tab
39. Artefactos forenses novedosos en W10.
Timeline
Actividad clasificada por días
• Granular por horas.
No todas las aplicaciones reportan su actividad a Timeline.
• Microsoft Edge, Microsoft Office 2016, Microsoft Paint, Microsoft Paint
3D, Adobe Reader DC y Xbox.
Forense “en muerto”, tabla Activity de:
• %AppData%LocalConnectedDevicesPlatformActivitiesCache.db
• Parsear Activity y Activity_PackageId con WxTCmd (Zimmerman).
Limpiar el Historial de actividad desde el panel del sistema no
elimina el contenido almacenado en el fichero ActivitiesCache.db
41. Artefactos forenses novedosos en W10.
Timeline
Por defecto, Tiempo de expiración= 30 días
• Siempre que se acceda a enviar a Microsoft el historial de
actividades, incluyendo información de sitios web.
Pese a que el sistema elimine de la tabla
automáticamente la información relacionada con esa
actividad
• CCL-Forensics Epilog puede recuperar registros eliminados.
• recoversqlite, desarrollada por Alejandro Ramos.
42. Artefactos forenses novedosos de W10.
RecentApps
RecentApps: clave del Registro del fichero NTUSER.DAT
introducida en Windows 10.
HKU{SID}SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps
Estructura jerárquica en subclaves formato GUID,
correspondientes con aplicación accedida por el sistema.
En la clave se almacenan los valores: AppId, AppPath,
LastAccessedTime, LaunchCount.
No se puede concluir que los diez GUID presentes determinen
los diez últimos ficheros abiertos con esa aplicación.
43. Artefactos forenses novedosos de W10.
Histórico de PowerShell
Histórico de PowerShell:
• Primeras versiones: solo almacenaban histórico de comandos
ejecutados en sesión actual.
• En Windows 10 con >v5 de PowerShell pueden recuperarse últimos
comandos ejecutados en PowerShell, incluso tras reiniciar SO.
• >v3 PowerShell se almacenan 4096 comandos.
%AppData%RoamingMicrosoftWindowsPowerShellPSReadlineConsoleHost_history.txt
Historial de comandos de sesión de las consolas PowerShell
y PowerShell ISE se almacena de manera independiente.
45. Artefactos forenses novedosos en W10. AMSI
AMSI (Antimalware Scan Interface): Integra aplicaciones
y servicios con cualquier producto antimalware
presente en el sistema operativo.
• Integra con UAC, PowerShell, Windows Script Host, JavaScript,
VBScript, Macros VBA.
Diseñada para ofrecer protección de datos y
aplicaciones en los endpoints.
Permite escanear ficheros, memoria o streams y
comprobación reputacional de URL/IP.
46. Artefactos forenses novedosos en W10. Centro
de Notificaciones
Centro de Notificaciones. Servicio que proporciona
información visual en forma de notificaciones o toast
notifications.
La mayoría: notificaciones de recepción de email,
recordatorios de Tareas y eventos del Calendario,
mensajes de Windows Defender, etc.
48. Artefactos forenses novedosos de W10. Centro
de notificaciones
Configuración del Centro de Notificaciones:
HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotifications
Ruta de almacenamiento de imágenes relacionadas
con Centro de Notificaciones:
HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotificationswpnidm
Timestamp última notificación del Centro de
Notificaciones queda almacenada en el valor
TimestampWhenSeen de la clave:
HKCUSoftwareMicrosoftWindowsCurrentVersionNotifications
49. Artefactos forenses novedosos de W10. Centro
de notificaciones
El SO almacena por defecto las notificaciones de cada
cuenta de usuario en la ruta:
%AppData%LocalMicrosoftWindowsNotifications
Nombre BBDD depende de la versión de Windows 10.
• Primeras versiones: fichero binario appdb.dat.
• >v1607 de Windows 10: fichero SQLite wpndatabase.db.
Tipos de notificaciones: Toasts, Titles, Badges, Raw.
50. Artefactos forenses novedosos de W10. Cortana
Cortana: Asistente personal digital.
• Establece recordatorios, buscar ficheros locales, búsquedas en la
web o contesta preguntas sencillas.
• Remite correos electrónicos dictados.
Se integra con los contactos asociados a la cuenta Microsoft
del usuario.
• Si se asociaron otras cuentas de redes sociales o microblogging (Ej.
LinkedIn, Twitter, Facebook), sus contactos también estarán
disponibles.
Bajo ningún concepto, todos estos datos acabarán en
manos de terceros, están ahí solo para Cortana (y el
forense).
51.
52. Artefactos forenses novedosos de W10. Cortana
El usuario puede interactuar con Cortana:
• Escribiendo en el cuadro de búsqueda.
• Dictando a través de un micrófono (de que este se encuentre
disponible).
Cortana puede recopilar datos cuando el sistema se
encuentra con la pantalla apagada debido a un
periodo de inactividad o se estableció la pantalla de
bloqueo, dependiendo de la configuración que
establezca el usuario.
53. Artefactos forenses novedosos de W10. Cortana
Artefactos forenses de interés asociados con este
servicio (en el principio de los tiempos de W10):
• 2 BBDD ESE (Extensible Storage Engine)
%AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy
AppDataIndexed DBIndexedDB.edb
%AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy
LocalStateESEDatabase_CortanaCoreInstanceCortanaCoreDb.dat
• CortanaCoreDb.dat-> Ubicaciones del dispositivo, citas y
dónde y cuándo se activaron y marcaron como completadas.
• Tablas: Geofences, LocationTriggers, Reminders, Triggers.
54. Artefactos forenses novedosos de W10. Cortana
A partir de v1607, la mayoría de la información que
recopila Cortana se almacena en la nube de Microsoft, y
esta se solicita conforme es necesitada por el sistema.
Microsoft: Almacena esta información en sus servidores
para “aumentar la privacidad del usuario” y “facilitarle la
transición entre sus diferentes dispositivos”.
IndexedDB.edb sigue existiendo en v1809, y en v1806 seguía
existiendo CortanaCoreDb.dat (v1809??).
• No se almacenan en ellas datos del usuario.
• Cortana almacena localmente información en JSON para conectar
con sus servidores.
55. Artefactos forenses novedosos de W10. Cortana
La configuración de privacidad de Cortana limita la
información que podrá recopilar el DFI.
• Si el usuario utiliza el micro conectado al sistema, se generan
un conjunto de ficheros temporales WAV de 0 KB bajo la
carpeta LocalState
• Eliminados cíclicamente por el propio sistema.
• Se almacena en un fichero dentro de esta carpeta el SSID de
la WiFi a la que se encontraba conectado el sistema.
56. Artefactos forenses novedosos de W10.
OneDrive
OneDrive: servicio cloud de Microsoft. Acceso utilizando
cuenta Microsoft.
Integrado con Explorador de Archivos y Microsoft Office.
Acceso: macOS, iOS, Android, navegador web, Microsoft
Xbox…
Copia local, descarga primera apertura o abrirlo en cloud.
De interés cuando no se puede acceder a un dispositivo
pero sí a otro que tiene acceso a OneDrive utilizando a la
misma cuenta Microsoft.
57. Artefactos forenses novedosos de W10.
OneDrive
C:Users<usuario>AppDataLocalMicrosoftOneDrivelogs
• Subcarpetas Common, Personal y Setup
Subcarpeta Personal: ficheros SyncEngine, telemetryCache y
TraceArchive.
• En un sistema con un uso frecuente, estos ficheros se actualizan
periódicamente.
• Relevancia: Demostrar mediante timestamps fecha aproximada
última conexión del usuario al sistema.
C:Users<usuario>OneDrive
NOTA: OneDrive for Business modifica ligeramente la cabecera de los
ficheros almacenados en el lado del servidor (no coinciden hashes).
58. Artefactos forenses novedosos en W10. Mail
Mail almacena los emails como HTML o TXT.
Permite establecer simultáneamente múltiples cuentas
de correo y acceder a sus buzones.
%AppData%LocalComms
• Subcarpetas Unistore, UnistoreDB y Volatile
• Dentro de .Unistoredata (Importantes 3 y 7)
Carpeta Contenido
0 Datos Windows Phone
2 Datos de contactos
3 Correos electrónicos
5 Calendario
7 Anexos de correos electrónicos
59. Artefactos forenses novedosos W10. Mail
Dentro de 3 y 7 más subcarpetas
• Nombre con un carácter en el rango [a-z]
• Artefactos: Ficheros-> string rango [0-9] y extensión .dat.
• Ficheros .dat de 3 son ficheros HTML.
• Ficheros .dat de 7 son anexos de los emails.
Correlación emails/anexos mediante BBDD ESE:
• %AppData%LocalCommsUnistoreDBstore.vol
Store.vol contiene hasta 63 BBDD.
• Cada BBDD contiene tablas HTML.
• BBDD: Message, Contact, Appointment, Attachment y Recipient