Laboratorio Nº16 “Computación Forense”

IMPLEMENTACION DE LA SEGURIDAD

Laboratorio Nº16

“Computación Forense”

“COMPUTACION FONRENSE”

OBJETIVOS

 Recolección de evidencias.

 Análisis de evidencias

 Usar Técnicas Forense.

EQUIPOS

 01 Computadoras.

Identificación del sistema operativo analizado

PARTE 1

Recopilaremos información que nos permitirá tener un panorama más amplio de la configuración que tenía el sistema, en los S.O.

La información de la configuración se encuentra contenida en el registro de Windows.

El registro de Windows se compone de varios archivos (SYSTEM configuración del sistema, SOFTWARE contiene configuración del software instalado, SECURITY contiene la configuración de seguridad, SAM contiene la información de autenticación de los usuarios existentes, NTUSER.DAT contiene la configuración personalizada por el usuario para el sistema y software) en formato binario y regularmente se localizan en $WINDOWSHOME$/system32/config (A excepción del archivo NTUSER.DAT se localiza en el directorio HOME de cada usuario,

regularmente Documents and Settings/USUARIO) donde WINDOWSHOME es

la ruta donde se instalo Windows. El registro se conforma por llaves y valores organizados en forma de árbol anidado, cada llave es en si un parámetro de configuración.

MAQUINA VIRTUAL PREPARADA

Equipo a ser investigado

1. (XP1) Se há preparado una Maquina Virtual WINDOWS XP:

 Descomprima “XP1.rar”

 Active la maquina virtual.

 En la maquina virtual en vez del CTRL + ALT + DEL use

CTRL + ALT + INSERT

Coloque una dirección IP que usted convenga.

Carpeta tools

2. (XP1) nos ubicamos en la carpeta: C:\WINDOWS\system32\config

Verifique la existencia de los archivos de registro.

Ingresar al registro de windows:

3. (XP1) Inicio – Ejecutar - regedit.

Llave Valor Descripción Archivo

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentVersion

HKLM\SYSTEM\ControlSet002\Control\ComputerName\ComputerName

HKLM\SYSTEM\ControlSet002\Control\TimeZoneInformation\StandarName

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion

Dentro de la rama HKLM\System\ControlSet002\Services\Tcpip\Parameters\Interfaces encontraremos información acerca de la configuración de red que tenia la maquina.

Llave Valor Descripción Archivo

IPAddress

SubnetMask

DefaultGateway

Las versiones de Windows vienen equipadas con el Centro de Seguridad de Windows e incluyen un Firewall (Firewall de Windows). Será conveniente verificar si este estaba activo y como estaba configurado, la información de dicha configuración la encontramos en la rama HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Llave Valor Descripción Archivo

HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall

HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions

HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications

HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

Ingrese a la página http://www.insidepro.com/

Descargue el programa SamInside e instálelo

Ejecutar la aplicación SamInside

Ingresar a la tercera opción: File, tercera opción.

Observe que información le puede otorgar SAMinside con respecto a los usuarios.

PARTE 2

Ejecutar las siguientes acciones

Inicio Ejecutar – gpedit.msc

Activar todas las directivas de auditoria

Realizar las siguientes acciones:

• Crear un usuario practicante con contraseña 12345678

• Ingresarlo al grupo administradores

• Cerrar sesión

• Ingresar como practicante

• Descargar emule

• Instalar emule

• Ejecutar el programa emule y descargar un archivo de musiva y videos

• Ingresar al Messenger

Reconstruir las actividades realizadas según los registros de sucesos de seguridad

Ingresar al visor de sucesos y examinar los sucesos de seguridad.

Ingresar a http://www.nirsoft.net/utils/iehv.html

• Descargar el IEHistoryView

...