PDF de programación - Toma de evidencias en entornos Windows

Autor
Asier Martínez Retenaga

Esta guía ha sido elaborada con la colaboración de Daniel Fírvida Pereira y Jesús Díaz Vico.



Noviembre 2014

La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo una licencia Reconocimiento-No
comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar públicamente esta obra
bajo las condiciones siguientes:

•
Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INCIBE o CERTSI como a su sitio web: http://www.incibe.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INCIBE presta apoyo a dicho tercero o apoya el uso que hace de su obra.

•
uso no tenga fines comerciales.

Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones
puede no aplicarse si se obtiene el permiso de CERTSI como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/



Toma de evidencias en entornos Windows



2







ÍNDICE

1

2

3
4

5

Notaciones utilizadas

SOBRE LA GUÍA
1.1.
INTRODUCCIÓN AL ANÁLISIS FORENSE
2.1.
2.2.
2.3.
2.4.
2.5.
TIPOLOGÍAS DE UN INCIDENTE
DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU ALMACENAMIENTO
4.1.

Principio de Locard
Tipos de análisis forense
Características
Fases
Metodologías y guías

Orden de volatilidad
Acciones que deben evitarse
Consideraciones de privacidad
Consideraciones legales

6
6
7
7
8
9
9
11
13
16
16
16
17
17
17
17
17
17
18
18
18
18
19
20
20
21
22
23
Hora y fecha del sistema
Volcado de memoria
23
Información de red: estado, conexiones activas, puertos UDP y
29
TCP abiertos

Principios durante la recolección de evidencias
4.1.1.
4.1.2.
4.1.3.
4.1.4.
Procedimiento de recolección
4.2.1.
4.2.2.
Procedimiento de almacenamiento
4.3.1.
4.3.2.
Herramientas necesarias
Conclusiones

Consideraciones previas
Inicio del proceso
Información volátil
5.3.1.
5.3.2.
5.3.3.

Reproducible
Pasos

Cadena de custodia
Dónde y cómo almacenarlo

4.2.

4.3.

4.4.
4.5.
TOMA DE EVIDENCIAS
5.1.
5.2.
5.3.



Toma de evidencias en entornos Windows



3





5.3.4.
5.3.5.
5.3.6.

Registro de Windows
Contraseñas
Información cacheada en
historial de descargas)
Árbol de directorios y ficheros
Histórico del intérprete de comandos
Capturas de pantalla
Información del portapapeles

5.4.

5.3.7.
5.3.8.
5.3.9.
5.3.10.
5.3.11. Historial de internet
5.3.12. Últimas búsquedas
5.3.13. Cookies
5.3.14. Volúmenes cifrados
5.3.15. Unidades mapeadas
5.3.16. Carpetas compartidas
5.3.17. Grabaciones pendientes
Información no volátil
5.4.1.
5.4.2.
5.4.3.
5.4.4.
5.4.5.
5.4.6.
5.4.7.
5.4.8.
5.4.9.
5.4.10. Carpeta prefetch
5.4.11. Papelera de reciclaje
5.4.12. Fichero hosts
5.4.13. Comprobar los ejecutables que no estén firmados
5.4.14. Ficheros LNK

35
48
los navegadores (direcciones,
49
50
51
51
51
51
53
53
53
54
54
54
55
55
58
58
58
59
59
60
60
62
62
63
66
67
67
68
69
70

Volcado de disco
Master Boot Record (MBR)
Master File Table (MFT)
Información del sistema
Tareas programadas
Ficheros impresos
Variables de entorno
Logs del sistema
Archivos .pst y .ost

6
7
8

RESUMEN
GLOSARIO
REFERENCIAS



Toma de evidencias en entornos Windows



4



ANEXO 1 – PERSONAS DE CONTACTO
ANEXO 2 – CADENA DE CUSTODIA DE EVIDENCIAS



72
75



Toma de evidencias en entornos Windows



5





1 SOBRE LA GUÍA

Este documento proporciona información relacionada con el análisis forense digital, y en
concreto en entornos Windows. Se centra en el proceso de toma de evidencias, realizándose
las pruebas sobre Windows XP (pese a que haya finalizado su soporte, aún tiene una cuota
de mercado importante), Windows 7, Windows 8 y 8.1, si bien los ejemplos indicados son
aplicables en muchos casos a otras versiones del sistema operativo al tener una estructura
similar.
Ofrece tanto una visión global acerca del proceso, explicando en qué consiste, para qué sirve,
las fases que lo componen, las metodologías para llevarlo a cabo, etc., como una visión
específica en lo que a la obtención de evidencias se refiere. Es importante tener presente que
pese a que la guía realiza una primera aproximación al proceso de análisis forense digital, se
centra principalmente en la fase de obtención de evidencias, y ese es su objetivo.
El público objetivo del documento son profesionales del sector informático: técnicos de soporte
IT, administradores de sistemas, administradores de redes, analistas de malware, etc., que
tienen conocimientos informáticos pero no están familiarizados con el proceso de análisis
forense digital y que pudieran acabar enfrentándose a algún tipo de incidente que requiera
realizar uno.
El documento pretende ser una guía práctica de los pasos a seguir en el caso de que surja un
incidente con el fin de recopilar las evidencias necesarias para realizar un posterior análisis
que derive en una solución para el propio incidente, este análisis posterior esta fuera del
ámbito de este documento.
Se van a utilizar herramientas gratuitas con el fin de que dicho procedimiento no suponga un
coste adicional en cuanto a licencias se refiere.
1.1. NOTACIONES UTILIZADAS
En el documento se utilizan las siguientes notaciones:

Secciones o apartados del documento en los que se desee
realizar una demostración de en qué casos puede resultar
práctica la información explicada.

Resalta cierta información de notable relevancia y que debe
tenerse especialmente en cuenta.

Informa acerca de algún aspecto a tener en cuenta.

Indica otras herramientas con similares características o
funcionalidades a la que se ha sido previamente indicada.



Toma de evidencias en entornos Windows



6





2 INTRODUCCIÓN AL ANÁLISIS FORENSE

El concepto de análisis forense digital hace referencia a un conjunto de procedimientos de
recopilación y análisis de evidencias que se realizan con el fin de responder a un incidente
relacionado con la seguridad informática y que, en ocasiones, deben de servir como pruebas
ante un tribunal. Mediante este procedimiento se pretende responder a las siguientes
preguntas: ¿qué?, ¿dónde?, ¿cuándo?, ¿por qué?, ¿quién? y ¿cómo?
Esta ciencia está adquiriendo un papel muy importante en los últimos años ya que cada día
es más habitual tener que hacer frente a diferentes incidentes relacionados con la seguridad
informática como por ejemplo: intrusiones, robos de información, infecciones, etc.
Su uso está extendido por muy diversos campos, entre los que destacan:

• Persecución de delitos como fraude financiero, evasión de impuestos, acoso o

pornografía infantil.

Investigación de seguros.

• Casos de discriminación o acoso.
•
• Recuperación de ficheros eliminados.
• Casos de robo de la propiedad intelectual.
• Ciberterrorismo.
• Asegurar la resiliencia de las empresas, es decir, la capacidad de recuperación frente

a ataques.

A lo largo del documento se detallará la manera de proceder, ya que es fundamental tener
claras las pautas que se deben seguir a la hora de realizar un análisis forense digital con el
fin de no destruir pruebas que imposibiliten resolver el incidente de una manera satisfactoria.
Un incidente es resuelto de manera satisfactoria cuando se extraen conclusiones que
permiten responder a las preguntas anteriormente planteadas.
2.1. PRINCIPIO DE LOCARD
A la hora de realizar un análisis forense digital es fundamental tener presente el principio de
intercambio de Locard, el cuál sentó las bases de la ciencia forense, y que dice lo siguiente:
“siempre que dos objetos entran en contacto transfieren parte del material que incorporan al
otro objeto”. Esto significa que cualquier tipo de delito, incluidos los relacionados con la
informática que son los que nos atañen, dejan un rastro por lo que mediante el proceso de
análisis forense se pueden obtener evidencias.



Toma de evidencias en entornos Windows



7



Escena del crimen

Evidencia

Sospechosos

Víctima



Ilustración 1: Principio de intercambio de Locard



Del mismo modo, se cumple el principio de Locard a la hora de realizar el propio
análisis forense por lo que hay que ser especialmente cuidadoso para que el sistema
se vea afectado en la menor medida posible y que las evidencias adquiridas no se
vean alteradas.

TIPOS DE ANÁLISIS FORENSE

2.2.
Se puede crear una clasificación de tipos de análisis forense en base a qué estén orientados
a analizar. Teniendo en cuenta este aspecto se pueden identificar tres tipos de análisis:

• Análisis forense de sistemas: tanto sistemas operativos Windows, como OSX,

GNU/Linux, etc.

• Análisis forense de redes.
• Análisis forense de sistemas embebidos.
• Análisis forense de memoria volátil.

Esta guía, como su propio nombre indica y se ha comentado anter