Search for in Google by Dino

Google Custom Search

jueves, 10 de noviembre de 2011

Forensic Data Analysis II (computer forensic examinations with nails)





Hola de Nuevo amig@s lectores,


Debido a q ya me tienen bajo presión xDD

No mentiras ya hay gente que me esta preguntando por la continuación de 

 Así que, he tomado la decisión de darle un alto a mis labores y finiquitar sin mas preámbulo y espera el articulo con Forensic Data Analysis II (computer forensic examinations with nails) espero sea de su agrado y nuevamente cualquier comentario o critica constructiva es bien recibida dentro del respeto que nos merecemos como seres humanos. 

Y esto empieza y termina así:

PREFETCH.
El archivos prefetch contienen el nombre del ejecutable, una lista de Unicode de archivos DLL utilizados por el ejecutable, un recuento de cuántas veces el ejecutable se ha ejecutado, y una marca de tiempo que indica la última vez que se ejecuto el programa.

Análisis del Prefecth con WFA
Reporte del Análisis del Prefetch

Continuación del Reporte del Análisis del Prefetch


Identificando herramientas de Red y de Hacking
Hacking tools

INDEX.DAT
El archivo index.dat es un archivo de base de datos. Se trata de un repositorio de información, como direcciones URL web, búsquedas y archivos recientemente abiertos. Su objetivo es permitir el acceso rápido a los datos utilizados por Internet Explorer. Por ejemplo, todas las direcciones web visitadas se almacenan en el archivo index.dat, lo que permite Internet Explorer para encontrar rápidamente coincidencias para autocompletar mientras el usuario escribe una dirección web. El archivo index.dat es específica del usuario y está abierto todo el tiempo que un usuario ha iniciado sesión en Windows.

Archivos separados index.dat existen para el historial de Internet Explorer, la caché y cookies.  Un archivo index.dat grande puede afectar al rendimiento.




 











ANÁLISIS ACCESOS DIRECTOS.

SOFTWARE INSTALADO.
Install Software
 

Hot Fix
 SOFTWARE  STARTUP (Inicio)
ANÁLISIS DEL VISOR DE EVENTOS.
Se adicionan a la estación forense los visores de eventos de la estructura de archivos de la evidencia digital (.EVT)

Install PowerToys
Conversión a formato NTFS
Servicios de Terminal Services
Servicios de Routing and RAS (RRAS)
Sincronización con Servidor NTP
Servicio WZC (Wireless Zero Configuration)
Remote Acces Auto Connection Manager
Error NtpClient
Sincronización servicio NTP
Configuracion Dhcp Client
Unión a GrupoTrabajo "EVIL"
Cambio Nombre de NETBIOS
PARTICIONES Y ANÁLISIS IDENTIFICACION DE MALWARE.
Análisis Estructura de Archivos con KIS

Análisis de objetos: deteniendo  (eventos: 47, objetos: 60217, hora: Desconocido)   

13/04/2011 0:54:31    Tarea iniciada               
13/04/2011 0:58:25    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\mIRC\channels\channels.TXT    Error de lectura       
13/04/2011 0:58:42    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0020.BIN           
13/04/2011 0:58:44    No procesado: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0020.BIN    Escritura no aceptada       
13/04/2011 0:58:45    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0021.BIN           
13/04/2011 0:58:47    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0022.BIN           
13/04/2011 0:58:50    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0023.BIN           
13/04/2011 0:58:52    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0024.BIN           
13/04/2011 0:58:54    Detectados: not-a-virus:AdWare.Win32.TimeSink    F:\CCFE Hacker.001\Partition @ 63\Root\Program Files\Whois\whoisi.EXE/data0000/WISE0025.BIN           
13/04/2011 1:01:04    Detectados: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\COMMANDS\enum.EXE           
13/04/2011 1:01:07    No procesado: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\COMMANDS\enum.EXE    Ignorado por el usuario       
13/04/2011 1:01:23    Detectados: HackTool.Win32.BruteForce.d (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\Chrono.dl_/Chrono.dl_           
13/04/2011 1:01:28    Detectados: Trojan-PSW.Win32.Spion.c    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\NetTools.ex_/NetTools.ex_           
13/04/2011 1:01:29    No procesado: HackTool.Win32.BruteForce.d (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\Chrono.dl_/Chrono.dl_    Escritura no aceptada       
13/04/2011 1:01:31    No procesado: Trojan-PSW.Win32.Spion.c    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\Legion\NetTools.ex_/NetTools.ex_    Escritura no aceptada       
13/04/2011 1:01:37    Detectados: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\enum.tar.gz/enum.tar/enum/enum.exe           
13/04/2011 1:01:40    No procesado: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\enum.tar.gz/enum.tar/enum/enum.exe    Escritura no aceptada       
13/04/2011 1:01:53    Detectados: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\files\enum.EXE           
13/04/2011 1:01:55    No procesado: HackTool.Win32.EnumPlus.a (analizar direcciones URL de acuerdo con la base de páginas Web sospechosas)    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\ENUMERATION\NT\enum\files\enum.EXE    Ignorado por el usuario       
13/04/2011 1:02:05    Detectados: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\ADMINDLL.dll           
13/04/2011 1:02:07    Detectados: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLE.EXE           
13/04/2011 1:02:07    No procesado: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\ADMINDLL.dll    Ignorado por el usuario       
13/04/2011 1:02:09    No procesado: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLE.EXE    Ignorado por el usuario       
13/04/2011 1:02:11    Detectados: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLED.EXE           
13/04/2011 1:02:13    No procesado: Trojan.Win32.Sehole.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\sechole\SECHOLED.EXE    Ignorado por el usuario       
13/04/2011 1:02:39    Detectados: HEUR:Trojan.Win32.Invader    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\lsadump2\lsadump2.EXE           
13/04/2011 1:02:41    No procesado: HEUR:Trojan.Win32.Invader    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\lsadump2\lsadump2.EXE    Ignorado por el usuario       
13/04/2011 1:02:50    Detectados: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GASYS.dll           
13/04/2011 1:02:55    Detectados: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GetAdmin.EXE           
13/04/2011 1:02:57    No procesado: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GASYS.dll    Ignorado por el usuario       
13/04/2011 1:03:12    No procesado: Exploit.Win32.GetAdmin.b    F:\CCFE Hacker.001\Partition @ 63\Root\My Documents\EXPLOITATION\NT\Get Admin\GetAdmin.EXE    Ignorado por el usuario       
13/04/2011 1:04:36    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\setuplog.TXT    Error de lectura       
13/04/2011 1:09:54    Detectados: not-a-virus:AdWare.Win32.Aureate.a    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\advert.dll           
13/04/2011 1:09:55    No procesado: not-a-virus:AdWare.Win32.Aureate.a    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\advert.dll    Ignorado por el usuario       
13/04/2011 1:12:31    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA    Error de lectura       
13/04/2011 1:12:44    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\acgenral.dll    Error de lectura       
13/04/2011 1:19:47    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\racpldlg.dll    Error de lectura       
13/04/2011 1:20:03    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\compatui.dll    Error de lectura       
13/04/2011 1:28:32    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\fp4areg.dll    Error de lectura       
13/04/2011 1:39:54    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\odbccp32.dll    Error de lectura       
13/04/2011 1:48:38    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\rsaenh.dll    Error de lectura       
13/04/2011 1:49:27    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\winlogon.EXE    Error de lectura       
13/04/2011 1:55:33    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\aclayers.dll    Error de lectura       
13/04/2011 2:21:06    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\certwiz.OCX    Error de lectura       
13/04/2011 2:21:34    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\msjet40.dll    Error de lectura       
13/04/2011 2:27:04    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\drmclien.dll    Error de lectura       
13/04/2011 2:27:09    Error de procesado    F:\CCFE Hacker.001\Partition @ 63\Root\WINDOWS\system32\dllcache\mswstr10.dll    Error de lectura       



Ufffff   al parecer como cosa rara me extendi   :\

Espero q les sirva como guia para su primer Análisis Forense Informatico en Windows   (°L°)))?

Sin mas me despido no sin antes agradecer por la inversion de su tiempo en mi Blog.


Bytes



Dino

PD: Si te gusta solo deja un comentario  :P

Publicado por http://hackinganddefense.blogspot.com/ 2 comentarios en 10:10 p.m.

martes, 1 de noviembre de 2011

Forensic Data Analysis I (computer forensic examinations with nails)



Saludos,


Hola de nuevo amig@s lectores de este espacio de esparcimiento y aprendizaje (eso creo Jejej).

Continuando con el articulo computer forensic examinations with nails iniciamos la Fase de Análisis de Datos Forense. Y esto corresponde a la pimera parte para el cumplimiento de los objetivos determinados:

Para comprobar el registro de Windows y alcanzar algunos de los objetivos fijados para la fase de análisis de datos vamos a utilizar Alien Registry Viewer y el Kit de herramientas de WINTAYLOR 2.5.

Alien Registry Viewer
THE SYSTEM OWNER (El propietario del Sistema)
A través de esta actividad se puede identificar al propietario del sistema. Esta información es muy relevante ya que puede tener un nombre real (o sospecha) de una persona. En este caso, Greg Schardt
 
Tengo esta información a través de windos registro y el visor de registro de software.

\ SOFTWARE \ Microsoft \ Windows NT \ RegisteredOwner: Greg Schardt


Owner´s Record

OPERATING SYSTEM (Sistema Operacional)
Determinar el sistema operativo y el SID.

Sistema Operacional Microsoft Windows Xp
TIME ZONE
SID Machine / SYSKEY
TIME ZONE

Esta información la podemos extraer de:

\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName:Central Standard Time


\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName: Central Daylight Time

TIME ZONE (Zona Horaria)
OS INSTALL DATE (Fecha de Instalación del Sistema Operativo)
Podemos extraer información de:

SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Thu Aug 19 22:48:27 2004

Fecha de Instalación del Sistema Operativo
GRUPOS Y USUARIOS

GROUP AND USERS
POLÍTICAS DE CUENTAS DE USUARIO

 


USUARIOS DEL SISTEMA


ÚLTIMOS USUARIOS QUE ACCEDIERON EL SISTEMA

last user who accessed the system
INTERFACES DE RED USADAS EN EL SISTEMA

network interfaces used in the system



NOMBRE DEL COMPUTADOR

computer name
 

SERVICIOS Y DRIVERS
SERVICES AND DRIVERS

AMBIENTE DEL SISTEMA

ENVIRONMENT SYSTEM
CONFIGURACION DE RED

Network configuration

 

DISPOSITIVOS DEL SISTEMA

SYSTEM DEVICES

Bien, creo que podemos dejar por hoy hasta aquí para no atiborrar el articulo de imagenes e información y hacer de este un tedioso / aburridor momento, por lo contrario solo disfrutelo y cualquier inquietud al respecto de la informacion o no entienda el procedimiento creo que una simple pregunta sera suficiente y de seguro estaré dispuesto a resolverla.

Quedo pendiente de realizar la segunda parte de esta fase ANÁLISIS DE DATOS FORENSE .

Forensic Data Analysis II  (computer forensic examinations with nails)

Como siempre Enjoy Friends,



Bytes


Dino

Publicado por http://hackinganddefense.blogspot.com/ 0 comentarios en 11:53 p.m.

Suscribirse a: Entradas (Atom)