Artefactos forenses (I)

 

ARTEFACTOS DEL SISTEMA


Hola lectores,

Son muchas las ocasiones que cuando uno hace un análisis forense y no encuentra ‘pistas’ o evidencias tiene que pelear con los rastros que dejan las aplicaciones o el propio sistema operativo.

Con objeto de revisar las nuevas características desde el punto de vista forense que nos ofrece Windows 7 y Windows 8 voy a escribir unos cuantos post sobre este tema.

¿Os habéis preguntado alguna vez que es un artefacto en Windows?

Al igual que las versiones anteriores de Windows, la versión 7 y 8 dispone de mecanismos que dejan rastro de la actividad de los usuarios, de los programas que se utilizan, los accesos, conexiones y aplicaciones, si han navegado, descargado o ejecutado algún programa.

Estos elementos son comúnmente llamado “artefactos”. Veamos en esta primera parte algunos interesantes.

Lista de artefactos:

  • Logs o ficheros de sistema
  • Tabla maestra de archivos MFT
  • El registro de Windows
  • El visor de Eventos
  • Los ficheros Prefetch
  • Los accesos directos
  • La papelera
  • Metadatos en imágenes y documentos
  • Ficheros de hibernación y memoria
  • Copias de seguridad
  • Volume Shadow

Empezamos con los artefactos de sistema, espero que os sea de ayuda.

ARTEFACTOS DE SISTEMA

En la siguiente tabla podemos ver una serie de ficheros propios del sistema operativo y la función que desempeñan.

 

REGISTROS VARIOS SOBRE LA INSTALACIÓN

 

 

 

%WINDIR%setupact.log

 

 

Contiene información acerca de las acciones de instalación durante la misma.

EVIDENCIAS: Podemos ver fechas de instalación, propiedades de programas instalados, rutas de acceso, copias legales, discos de instalación…

 

 

%WINDIR%setuperr.log

 

Contiene información acerca de los errores de instalación durante la misma.

EVIDENCIAS: Fallos de programas, rutas de red inaccesibles, rutas a volcados de memoria…

 

 

%WINDIR%WindowsUpdate.log

 

Registra toda la información de transacción sobre la actualización del sistema y aplicaciones.

EVIDENCIAS: Tipos de hotfix instalados, fechas de instalación, elementos por actualizar…

 

 

 

 

%WINDIR%Debugmrt.log

 

Resultados del programa de eliminación de software malintencionado de Windows.

 

EVIDENCIAS: Fechas, Versión del motor, firmas y resumen de actividad.

 

 

%WINDIR%securitylogsscecomp.old

 

Componentes de Windows que no han podido ser instalados.

EVIDENCIAS: DLL’s no registradas, fechas, intentos de escritura,rutas de acceso…

 

 

 

%WINDIR%SoftwareDistributionReportingEvents.log

 

 

Contiene eventos relacionados con la actualización.

EVIDENCIAS: Agentes de instalación, descargas incompletas o finalizadas, fechas, tipos de paquetes, rutas…

 

 

 

 

%WINDIR%LogsCBSCBS.log

 

 

Ficheros pertenecientes a ‘Windows Resource Protection’ y que no se han podido restaurar.

EVIDENCIAS: Proveedor de almacenamiento, PID de procesos, fechas, rutas…

 

 

 

%AppData%LocalMicrosoftWebsetup (Windows 8)

 

Contiene detalles de la fase de instalación web de Windows 8

EVIDENCIAS: URLs de acceso, fases de instalación, fechas de creación, paquetes de programas…

 

 

 

%AppData%setupapi.log

 

Contiene información de unidades, services pack y hotfixes.

EVIDENCIAS: Unidades locales y extraibles, programas de instalación, programas instalados, actualizaciones de seguridad, reconocimiento de dispositivos conectados…

 

 

%SYSTEMROOT%$Windows.~BTSourcesPanther*.log,xml

%WINDIR%PANTHER*.log,xml

 

Contiene información de acciones, errores y estructuras de SID cuando se actualiza desde una versión anterior de windows.

EVIDENCIAS: Fechas, rutas, errores , medio de instalación, dispositivos, versiones, reinicio, dispositivos PnP…

 

 

 

%WINDIR%INFsetupapi.dev.log

 

Contiene información de unidades Plug and Play y la instalación de drivers.

EVIDENCIAS: Versión de SO, Kernel, Service Pack, arquitectura, modo de inicio, fechas, rutas, lista de drivers, dispositivos conectados, dispositivos iniciados o parados…

 

 

%WINDIR%INFsetupapi.app.log

 

Contiene información del registro de instalación de las aplicaciones.

EVIDENCIAS: Fechas, rutas, sistema operativo, versiones, ficheros, firma digital, dispositivos…

 

 

 

%WINDIR%PerformanceWinsatwinsat.log

 

Contiene trazas de utilización de la   aplicación WINSAT que miden el rendimiento del sistema.

EVIDENCIA: Fechas, valores sobre la tarjeta gráfica, CPU, velocidades, puertos USB…

 

 

*.INI

Contiene configuraciones de programas

EVIDENCIA: Rutas, secciones, parámetros de usuarios…

 

%WINDIR%Memory.dmp

 

Contiene información sobre los volcados de memoria.

EVIDENCIA: Rutas, programas, accesos, direcciones de memoria, listado de usuarios, contraseñas, conexiones…

 

 

EL.CFG
Pid.txt

 

Estos archivos se usan para automatizar la página de entrada de la clave de producto en el programa de instalación de Windows.

EVIDENCIA:Contiene el código de producto y la versión instalada

 

 

 

LOG DE EVENTOS DE WINDOWS

 

 

%WINDIR%System32config

%WINDIR%System32winevtLogs

 

 

Contiene los logs de Windows accesibles desde el visor de eventos.

EVIDENCIAS: Casi todas. Entradas, fechas, accesos, permisos, programas, usuario, etc…

 

 

MICROSOFT SECURITY ESSENTIALS

 

 

%PROGRAMDATA%MicrosoftMicrosoft AntimalwareSupport

 

%PROGRAMDATA%MicrosoftMicrosoft Security ClientSupport

 

 

 

Logs del motor de antimalware

EVIDENCIAS: Fechas, versión del motor, programas analizados, actividad del malware…

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s