Search for in Google by Dino

Google Custom Search

jueves, 10 de noviembre de 2011

Forensic Data Analysis II (computer forensic examinations with nails)





Hola de Nuevo amig@s lectores,


Debido a q ya me tienen bajo presión xDD

No mentiras ya hay gente que me esta preguntando por la continuación de 

 Así que, he tomado la decisión de darle un alto a mis labores y finiquitar sin mas preámbulo y espera el articulo con Forensic Data Analysis II (computer forensic examinations with nails) espero sea de su agrado y nuevamente cualquier comentario o critica constructiva es bien recibida dentro del respeto que nos merecemos como seres humanos. 

Y esto empieza y termina así:

PREFETCH.
El archivos prefetch contienen el nombre del ejecutable, una lista de Unicode de archivos DLL utilizados por el ejecutable, un recuento de cuántas veces el ejecutable se ha ejecutado, y una marca de tiempo que indica la última vez que se ejecuto el programa.

Análisis del Prefecth con WFA
Reporte del Análisis del Prefetch

Continuación del Reporte del Análisis del Prefetch


Identificando herramientas de Red y de Hacking
Hacking tools

INDEX.DAT
El archivo index.dat es un archivo de base de datos. Se trata de un repositorio de información, como direcciones URL web, búsquedas y archivos recientemente abiertos. Su objetivo es permitir el acceso rápido a los datos utilizados por Internet Explorer. Por ejemplo, todas las direcciones web visitadas se almacenan en el archivo index.dat, lo que permite Internet Explorer para encontrar rápidamente coincidencias para autocompletar mientras el usuario escribe una dirección web. El archivo index.dat es específica del usuario y está abierto todo el tiempo que un usuario ha iniciado sesión en Windows.

Archivos separados index.dat existen para el historial de Internet Explorer, la caché y cookies.  Un archivo index.dat grande puede afectar al rendimiento.




 











ANÁLISIS ACCESOS DIRECTOS.

SOFTWARE INSTALADO.
Install Software
 

Hot Fix
 SOFTWARE  STARTUP (Inicio)
ANÁLISIS DEL VISOR DE EVENTOS.
Se adicionan a la estación forense los visores de eventos de la estructura de archivos de la evidencia digital (.EVT)

Install PowerToys
Conversión a formato NTFS
Servicios de Terminal Services
Servicios de Routing and RAS (RRAS)
Sincronización con Servidor NTP
Servicio WZC (Wireless Zero Configuration)
Remote Acces Auto Connection Manager
Error NtpClient
Sincronización servicio NTP
Configuracion Dhcp Client
Unión a GrupoTrabajo "EVIL"
Cambio Nombre de NETBIOS
PARTICIONES Y ANÁLISIS IDENTIFICACION DE MALWARE.
Análisis Estructura de Archivos con KIS

Análisis de objetos: deteniendo  (eventos: 47, objetos: 60217, hora: Desconocido)   

13/04/2011 0:54:31    Tarea iniciada               
13/04/2011 0:58:25    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\mIRC\channels\channels.TXT    Error de lectura       
13/04/2011 0:58:42    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0020.BIN           
13/04/2011 0:58:44    No procesado: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0020.BIN    Escritura no aceptada       
13/04/2011 0:58:45    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0021.BIN           
13/04/2011 0:58:47    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0022.BIN           
13/04/2011 0:58:50    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0023.BIN           
13/04/2011 0:58:52    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0024.BIN           
13/04/2011 0:58:54    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0025.BIN           
13/04/2011 1:01:04    Detectados: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\COMMANDS\enum.EXE           
13/04/2011 1:01:07    No procesado: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\COMMANDS\enum.EXE    Ignorado por el usuario       
13/04/2011 1:01:23    Detectados: HackTool.Win32.BruteForce.d (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\Chrono.dl_/Chrono.dl_           
13/04/2011 1:01:28    Detectados: Trojan-PSW.Win32.Spion.c    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\NetTools.ex_/NetTools.ex_           
13/04/2011 1:01:29    No procesado: HackTool.Win32.BruteForce.d (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\Chrono.dl_/Chrono.dl_    Escritura no aceptada       
13/04/2011 1:01:31    No procesado: Trojan-PSW.Win32.Spion.c    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\NetTools.ex_/NetTools.ex_    Escritura no aceptada       
13/04/2011 1:01:37    Detectados: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\enum.tar.gz/enum.tar/enum/enum.exe           
13/04/2011 1:01:40    No procesado: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\enum.tar.gz/enum.tar/enum/enum.exe    Escritura no aceptada       
13/04/2011 1:01:53    Detectados: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\files\enum.EXE           
13/04/2011 1:01:55    No procesado: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\files\enum.EXE    Ignorado por el usuario       
13/04/2011 1:02:05    Detectados: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\ADMINDLL.dll           
13/04/2011 1:02:07    Detectados: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLE.EXE           
13/04/2011 1:02:07    No procesado: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\ADMINDLL.dll    Ignorado por el usuario       
13/04/2011 1:02:09    No procesado: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLE.EXE    Ignorado por el usuario       
13/04/2011 1:02:11    Detectados: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLED.EXE           
13/04/2011 1:02:13    No procesado: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLED.EXE    Ignorado por el usuario       
13/04/2011 1:02:39    Detectados: HEUR:Trojan.Win32.Invader    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\lsadump2\lsadump2.EXE           
13/04/2011 1:02:41    No procesado: HEUR:Trojan.Win32.Invader    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\lsadump2\lsadump2.EXE    Ignorado por el usuario       
13/04/2011 1:02:50    Detectados: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GASYS.dll           
13/04/2011 1:02:55    Detectados: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GetAdmin.EXE           
13/04/2011 1:02:57    No procesado: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GASYS.dll    Ignorado por el usuario       
13/04/2011 1:03:12    No procesado: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GetAdmin.EXE    Ignorado por el usuario       
13/04/2011 1:04:36    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\setuplog.TXT    Error de lectura       
13/04/2011 1:09:54    Detectados: not-a-virus:AdWare.Win32.Aureate.a    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\advert.dll           
13/04/2011 1:09:55    No procesado: not-a-virus:AdWare.Win32.Aureate.a    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\advert.dll    Ignorado por el usuario       
13/04/2011 1:12:31    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA    Error de lectura       
13/04/2011 1:12:44    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\acgenral.dll    Error de lectura       
13/04/2011 1:19:47    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\racpldlg.dll    Error de lectura       
13/04/2011 1:20:03    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\compatui.dll    Error de lectura       
13/04/2011 1:28:32    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\fp4areg.dll    Error de lectura       
13/04/2011 1:39:54    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\odbccp32.dll    Error de lectura       
13/04/2011 1:48:38    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\rsaenh.dll    Error de lectura       
13/04/2011 1:49:27    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\winlogon.EXE    Error de lectura       
13/04/2011 1:55:33    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\aclayers.dll    Error de lectura       
13/04/2011 2:21:06    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\certwiz.OCX    Error de lectura       
13/04/2011 2:21:34    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\msjet40.dll    Error de lectura       
13/04/2011 2:27:04    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\drmclien.dll    Error de lectura       
13/04/2011 2:27:09    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\mswstr10.dll    Error de lectura       



Ufffff   al parecer como cosa rara me extendi   :\

Espero q les sirva como guia para su primer Análisis Forense Informatico en Windows   (°L°)))?

Sin mas me despido no sin antes agradecer por la inversion de su tiempo en mi Blog.


Bytes



Dino

PD: Si te gusta solo deja un comentario  :P

Publicado por http://hackinganddefense.blogspot.com/ en 10:10 p.m.

2 comentarios:

Anónimo dijo...

Supeeeer!!!...como todas las publicaciones q ud hace teacher...........tanks

9:33 a.m.
Anónimo dijo...

Que buena Información, felicitaciones

1:34 p.m.

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)