---
title: "Informática forense"
date: 2023-02-08T18:50:12+01:00
draft: false
---

La informática forense es el conjunto de técnicas que nos permite obtener la máxima información posible tras un incidente o delito informático.

En esta práctica, realizarás la fase de toma de evidencias y análisis de las mismas sobre una máquina Linux y otra Windows. Supondremos que pillamos al delincuente in fraganti y las máquinas se encontraban encendidas. Opcionalmente, podéis realizar el análisis de un dispositivo Android.

Sobre cada una de las máquinas debes realizar un volcado de memoria y otro de disco duro, tomando las medidas necesarias para certificar posteriormente la cadena de custodia.


Debes tratar de obtener las siguientes informaciones (Tabla de contenidos)

- [Apartado A. Máquina Windows](#apartado-a-máquina-windows)
  - [Volcado de memoria](#volcado-de-memoria)
    - [1. Procesos en ejecución](#1-procesos-en-ejecución)
    - [2. Servicios en ejecución](#2-servicios-en-ejecución)
    - [3. Puertos abiertos](#3-puertos-abiertos)
    - [4. Conexiones establecidas por la máquina](#4-conexiones-establecidas-por-la-máquina)
    - [5. Sesiones de usuario establecidas remotamente](#5-sesiones-de-usuario-establecidas-remotamente)
    - [6. Ficheros transferidos recientemente por NetBios](#6-ficheros-transferidos-recientemente-por-netbios)
    - [7. Contenido de la caché DNS](#7-contenido-de-la-caché-dns)
    - [8. Variables de entorno](#8-variables-de-entorno)
  - [Volcado del registro](#volcado-del-registro)
    - [10. Redes wifi utilizadas recientemente](#10-redes-wifi-utilizadas-recientemente)
    - [11. Configuración del firewall de nodo](#11-configuración-del-firewall-de-nodo)
    - [12. Programas que se ejecutan en el Inicio](#12-programas-que-se-ejecutan-en-el-inicio)
    - [13. Asociación de extensiones de ficheros y aplicaciones](#13-asociación-de-extensiones-de-ficheros-y-aplicaciones)
  - [Volcado de disco](#volcado-de-disco)
    - [9. Dispositivos USB conectados](#9-dispositivos-usb-conectados)
    - [14. Aplicaciones usadas recientemente](#14-aplicaciones-usadas-recientemente)
    - [15. Ficheros abiertos recientemente](#15-ficheros-abiertos-recientemente)
    - [16. Software Instalado](#16-software-instalado)
    - [18. Cuentas de Usuario](#18-cuentas-de-usuario)
    - [19. Historial de navegación y descargas, cookies](#19-historial-de-navegación-y-descargas-cookies)
    - [21.  Archivos con extensión cambiada](#21--archivos-con-extensión-cambiada)
    - [22.  Archivos eliminados](#22--archivos-eliminados)
    - [23.  Archivos Ocultos](#23--archivos-ocultos)
    - [24.  Archivos que contienen una cadena determinada](#24--archivos-que-contienen-una-cadena-determinada)
    - [25.  Búsqueda de imágenes por ubicación](#25--búsqueda-de-imágenes-por-ubicación)
    - [26.  Búsqueda de archivos por autor](#26--búsqueda-de-archivos-por-autor)
- [Apartado B) Máquina Linux](#apartado-b-máquina-linux)
  - [Volcado de memoria](#volcado-de-memoria-1)
    - [1. Procesos en ejecución](#1-procesos-en-ejecución-1)
    - [2. Servicios en ejecución](#2-servicios-en-ejecución-1)
    - [3. Puertos abiertos](#3-puertos-abiertos-1)
    - [4. Conexiones establecidas por la máquina](#4-conexiones-establecidas-por-la-máquina-1)
    - [5. Sesiones de usuario establecidas remotamente](#5-sesiones-de-usuario-establecidas-remotamente-1)
    - [7. Contenido de la caché DNS](#7-contenido-de-la-caché-dns-1)
    - [8. Variables de entorno](#8-variables-de-entorno-1)
  - [Volcado de disco](#volcado-de-disco-1)


## Apartado A. Máquina Windows

### Volcado de memoria

Para realizar el volcado de memoria he usado la herramienta **FTK Imager**, que permite realizar volcados de disco y memoria. Para ello hago lo siguiente. Utilizo las siguientes opciones:

![ftk4](https://i.imgur.com/tD6w8MG.png)

Ahora, para analizar los datos, utilizo **Volatility** en mi máquina debian; para ello, especifico el fichero que he creado con FTK Imager al utilizar los comandos.

#### 1. Procesos en ejecución

Uso el comando `pslist` para ver los procesos en ejecución:

```bash
python vol.py -f "/media/roberto/usb/memdump.mem" windows.pslist.PsList
```

![vol1](https://i.imgur.com/tMhTGFN.png)

#### 2. Servicios en ejecución

Uso el comando `getservicesids` para ver los servicios en ejecución:

```bash
python vol.py -f "/media/roberto/usb/memdump.mem" windows.getservicesids.GetServiceSIDs
```

![vol2](https://i.imgur.com/BZjmc2d.png)

#### 3. Puertos abiertos

Uso el comando `netstat` para ver los puertos abiertos:

```bash
python vol.py -f "/media/roberto/usb/memdump.mem" windows.netstat.NetStat 
```

![vol3](https://i.imgur.com/DnH0We9.png)

#### 4. Conexiones establecidas por la máquina

Uso el comando `netscan` para ver las conexiones establecidas por la máquina:

```bash
python vol.py -f "/media/roberto/usb/memdump.mem" windows.netscan.NetScan
```

![vol4](https://i.imgur.com/7ZrLSg4.png)

#### 5. Sesiones de usuario establecidas remotamente

Uso el comando `sessions` para ver las sesiones de usuario establecidas remotamente:

```bash
python vol.py -f "/media/roberto/usb/memdump.mem" windows.sessions.Sessions 
```

![vol5](https://i.imgur.com/YcTjn7U.png)

#### 6. Ficheros transferidos recientemente por NetBios

#### 7. Contenido de la caché DNS

#### 8. Variables de entorno

Para ver las variables de entorno, uso el comando `envars`:

```bash
python vol.py -f "/media/roberto/usb/memdump.mem"  windows.envars.Envars
```

![vol6](https://i.imgur.com/IUSyeJ2.png)

### Volcado del registro

Para realizar el volcado de registro he usado también la herramienta **FTK Imager**. Utilizo la opción `Obtain system files`:

![ftk5](https://i.imgur.com/JUcvnmy.png)

Una vez finalizado el volcado, utilizo el programa **Registry Viewer** para analizar los datos obtenidos.

#### 10. Redes wifi utilizadas recientemente

Para ver las redes wifi usadas recientemente, abro el archivo `software`, y ahí sigo la siguiente ruta: `Microsoft/Windows NT/CurrentVersion/NetworkList/Profiles`:

![reg1](https://i.imgur.com/RFzUv61.png)

#### 11. Configuración del firewall de nodo

Para ver la configuración del firewall de nodo, abro el archivo `system`, y ahí sigo la siguiente ruta: `ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/FirewallRules`:

![reg2](https://i.imgur.com/4b7ZsO1.png)

#### 12. Programas que se ejecutan en el Inicio

Para ver los programas que se ejecutan en el inicio, abro el archivo `software`, y ahí sigo la siguiente ruta: `Microsoft/Windows/CurrentVersion/Run`:

![reg3](https://i.imgur.com/6MsrP73.png)

#### 13. Asociación de extensiones de ficheros y aplicaciones

No he podido encontrar en la aplicación **Registry Viewer** los registros, pero usando regedit en la máquina, se encuentran en la siguiente localización: `Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts`:

![reg4](https://i.imgur.com/Ig5FCUk.png)


### Volcado de disco

Para realizar el volcado de disco he usado la herramienta FTK Imager también:

![ftk1](https://i.imgur.com/tUwr02N.png)

Selecciono **RAW** como tipo de imagen:

![ftk2](https://i.imgur.com/GWoxYEU.png)

Y, como indica la ayuda, en Fragment size pongo 0, además de indicar la ruta y el nombre del fichero:

![ftk3](https://i.imgur.com/cTgXwqp.png)

El resto de los pasos del proceso los dejo con los valores por defecto.

Ahora, para analizar los datos, utilizo Autopsy; para ello, abro el fichero que he creado con FTK Imager, indicamos el direcorio del fichero , y en tipo, selecciono **Disk image or VM file**:

![autopsy1](https://i.imgur.com/JHCRjQ2.png)

Tras finalizar la configuración, empezará a analizar el volcado de disco. Este proceso tarda bastante tiempo en completarse. Una vez acabado podemos analizar los datos obtenidos.

#### 9. Dispositivos USB conectados

Para ver los dispositivos USB conectados, utilizo la opción `USB Device Attached`:

![autopsy8](https://i.imgur.com/1XfoSfH.png)

#### 14. Aplicaciones usadas recientemente

Para ver las aplicaciones usadas recientemente, utilizo la opción `User Activity` del disco duro:

![autopsy9](https://i.imgur.com/vthHo40.png)

#### 15. Ficheros abiertos recientemente

![autopsy9](https://i.imgur.com/ZQtfblE.png)

#### 16. Software Instalado

Para ver el software instalado, utilizo la opción `Installed Programs`:

![autopsy10](https://i.imgur.com/xsFb4yR.png)

#### 18. Cuentas de Usuario

Para ver las cuentas de usuario, utilizo la opción `OS Accounts`:

![autopsy11](https://i.imgur.com/A1Ha5e6.png)

#### 19. Historial de navegación y descargas, cookies

Para ver el historial de navegación, utilizo la opción `Web History`:

![autopsy12](https://i.imgur.com/1EN0RI4.png)

Para ver las cookies utilizo la opción `Web Cookies`:

![autopsy13](https://i.imgur.com/rDaxg3p.png)

Para ver el historial de descargas, utilizo la opción `Web Downloads`:

![autopsy14](https://i.imgur.com/A6x55kE.png)

#### 21.  Archivos con extensión cambiada

Los archivos con extensión cambiada aparecen en la sección `Analysis Results/Extension Mismatch Detected`:

![autopsy2](https://i.imgur.com/hmLGaGi.png)

#### 22.  Archivos eliminados

Los archivos eliminados aparecen en la sección `Recycle Bin`:

![autopsy3](https://i.imgur.com/XmQIyKC.png)

#### 23.  Archivos Ocultos

En la opción para explorar el sistema de archivos, se pueden distinguir los archivos ocultos porque en los metadatos, aparece la etiqueta: `Hidden`:

![autopsy4](https://i.imgur.com/OcIKUYP.png)

#### 24.  Archivos que contienen una cadena determinada

Para buscar archivos que contengan una cadena determinada, utilizo la opción `Keyword Search`:

![autopsy5](https://i.imgur.com/B9ezFRy.png)

#### 25.  Búsqueda de imágenes por ubicación

Para buscar imágenes por ubicación, utilizo la opción `Geolocation`:

![autopsy6](https://i.imgur.com/G9nTp6h.png)

#### 26.  Búsqueda de archivos por autor

Para buscar archivos por autor, utilizo la opción `Metadata`:

![autopsy7](https://i.imgur.com/XcQPTmy.png)

## Apartado B) Máquina Linux

Intenta realizar las mismas operaciones en una máquina Linux para aquellos apartados que tengan sentido y no se realicen de manera idéntica a Windows.

### Volcado de memoria

He realizado el volcado de memoria con **Lime**, que es una herramienta que se utiliza para realizar volcados de memoria en Linux. Para ello, he usado el comando de la siguiente manera  (he instalado Lime meadiante su repositorio en github):

```bash
insmod lime-4.19.0-23-amd64.ko "path=/mnt/linux/memorialinux.mem format=lime"
```

Es importante que para realizar el volcado, hay que iniciar el sistema de forma insegura, ya que si no, no permite utilizar el comando.

No he sido capaz de realizar el análisis utilizando volatility, ya que es necesario instalar plugins para interpretar el volcado de memoria, y no los reconoce, por lo que voy a usar los comandos en lugar de trabajar sobre el volcado.

#### 1. Procesos en ejecución

Para ver los procesos en ejecución, utilizo el comando `ps aux`:

![ps1](https://i.imgur.com/I6H5Egn.png)

#### 2. Servicios en ejecución

Para ver los servicios en ejecución, utilizo el comando `systemctl`:

```bash
systemctl list-units --type=service --state=running
```

![systemctl1](https://i.imgur.com/lh2yFCl.png)

#### 3. Puertos abiertos

Para ver los puertos abiertos, utilizo el comando `netstat`, que se encuentra en el paquete `net-tools`:

```bash
apt install net-tools
netstat -tulpn
```

![netstat1](https://i.imgur.com/QmwsCnY.png)

#### 4. Conexiones establecidas por la máquina

Las sesiones se pueden observar en el comando netstat utilizado anteriormente.

#### 5. Sesiones de usuario establecidas remotamente

Para ver las sesiones de usuario establecidas remotamente, utilizo el comando `who`:

```bash
who -a
```

![who1](https://i.imgur.com/m6c6R6z.png)

#### 7. Contenido de la caché DNS

En debian, la caché dns está deshabilitada por defecto. Para habilitarla, voy a instalar el paquete **nscd** (demonio de caché para servicio de nombres), y leer el fichero que genera. El fichero tiene un formato binario, por lo que voy a usar el comando `strings` para ver su contenido:

```bash
strings /var/cache/nscd/hosts
```

![nscd1](https://i.imgur.com/4rfJMeG.png)

#### 8. Variables de entorno

Para ver las variables de entorno, utilizo el comando `env`:

![env1](https://i.imgur.com/O4fIJRT.png)

### Volcado de disco

El volcado de disco en linux lo he realizado con el comando dd, que se utiliza para copiar archivos y volúmenes. Para ello, he usado el comando de la siguiente manera:

```bash
dd if=/dev/vda2 of=/mnt/linux/volcado_linux.001 bs=64K
```

![dd1](https://i.imgur.com/6P6cdSJ.png)

Es imporate que, durante el análisis de la imagen en Autopsy, el tiempo es mucho mayor, y que es de hecho la última fase, cuando ya se encuentra al 100% la que toma más tiempo.

Los apartados rellativos al análisis usando autopsy, o se realizan exactamente igual que en Windows, o no tienen sentido en Linux, por lo que no los están documentados aquí.