Laboratorio Nº16 “Computación Forense”
Enviado por julialab • 5 de Abril de 2014 • 705 Palabras (3 Páginas) • 307 Visitas
IMPLEMENTACION DE LA SEGURIDAD
Laboratorio Nº16
“Computación Forense”
“COMPUTACION FONRENSE”
OBJETIVOS
Recolección de evidencias.
Análisis de evidencias
Usar Técnicas Forense.
EQUIPOS
01 Computadoras.
Identificación del sistema operativo analizado
PARTE 1
Recopilaremos información que nos permitirá tener un panorama más amplio de la configuración que tenía el sistema, en los S.O.
La información de la configuración se encuentra contenida en el registro de Windows.
El registro de Windows se compone de varios archivos (SYSTEM configuración del sistema, SOFTWARE contiene configuración del software instalado, SECURITY contiene la configuración de seguridad, SAM contiene la información de autenticación de los usuarios existentes, NTUSER.DAT contiene la configuración personalizada por el usuario para el sistema y software) en formato binario y regularmente se localizan en $WINDOWSHOME$/system32/config (A excepción del archivo NTUSER.DAT se localiza en el directorio HOME de cada usuario,
regularmente Documents and Settings/USUARIO) donde WINDOWSHOME es
la ruta donde se instalo Windows. El registro se conforma por llaves y valores organizados en forma de árbol anidado, cada llave es en si un parámetro de configuración.
MAQUINA VIRTUAL PREPARADA
Equipo a ser investigado
1. (XP1) Se há preparado una Maquina Virtual WINDOWS XP:
Descomprima “XP1.rar”
Active la maquina virtual.
En la maquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
Coloque una dirección IP que usted convenga.
Carpeta tools
2. (XP1) nos ubicamos en la carpeta: C:\WINDOWS\system32\config
Verifique la existencia de los archivos de registro.
Ingresar al registro de windows:
3. (XP1) Inicio – Ejecutar - regedit.
Llave Valor Descripción Archivo
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentVersion
HKLM\SYSTEM\ControlSet002\Control\ComputerName\ComputerName
HKLM\SYSTEM\ControlSet002\Control\TimeZoneInformation\StandarName
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion
Dentro de la rama HKLM\System\ControlSet002\Services\Tcpip\Parameters\Interfaces encontraremos información acerca de la configuración de red que tenia la maquina.
Llave Valor Descripción Archivo
IPAddress
SubnetMask
DefaultGateway
Las versiones de Windows vienen equipadas con el Centro de Seguridad de Windows e incluyen un Firewall (Firewall de Windows). Será conveniente verificar si este estaba activo y como estaba configurado, la información de dicha configuración la encontramos en la rama HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Llave Valor Descripción Archivo
HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions
HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications
HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Ingrese a la página http://www.insidepro.com/
Descargue el programa SamInside e instálelo
Ejecutar la aplicación SamInside
Ingresar a la tercera opción: File, tercera opción.
Observe que información le puede otorgar SAMinside con respecto a los usuarios.
PARTE 2
Ejecutar las siguientes acciones
Inicio Ejecutar – gpedit.msc
Activar todas las directivas de auditoria
Realizar las siguientes acciones:
• Crear un usuario practicante con contraseña 12345678
• Ingresarlo al grupo administradores
• Cerrar sesión
• Ingresar como practicante
• Descargar emule
• Instalar emule
• Ejecutar el programa emule y descargar un archivo de musiva y videos
• Ingresar al Messenger
Reconstruir las actividades realizadas según los registros de sucesos de seguridad
Ingresar al visor de sucesos y examinar los sucesos de seguridad.
Ingresar a http://www.nirsoft.net/utils/iehv.html
• Descargar el IEHistoryView
...