Mòdul Professional 4: Anàlisi forense informàtic - PRACTICA - Artefactes a MS Windows

Índex

1 Objectiu

Aconseguir que els artefactes de Windows no quedin tan sols com elements teòrics sinó que aprenem a trobar-los, manipular-los i analitzar-los.

2 Enunciat

Per cadascún dels artefactes següents, localitzeu-los en la vostra màquina (si pot ser el host), utilitzeu l'eina adient per analitzar-los i mostreu la informació més rellevant que n'extregueu. Recordeu adjuntar captures demostratives dels resultats i la seva interpretació.

Addicionalment intenteu respondre les preguntes específiques de cada element.

2.1 Prefetch

  • Quines son les aplicacions d'usuari que conté prefetch i que per tant s'acostumen a utilitzar normalment després d'arrencar el sistema?
  • N'hi ha alguna que no conegueu? Analitzeu-la (que no sigui malware).

2.2 Logs

  • S'ha eliminat últimament algun malware?.
  • Quins son els últims dispositius Plug & Play utilitzats i/o drivers instal·lats?
  • Quines son les últimes cinc aplicacions instal·lades?
  • Quina informació tenim sobre el rendiment del sistema.

2.3 Arxius de hibernació

  • Copieu l'arxiu de hivernació i transformeu-lo a arxiu raw amb volatility.

2.4 Volume Shadow Copy Service

  • Com podem saber si s'estàn fent VSS en un sistema?
  • Com podem volcar aquesta instantània (que no deixa de ser un volum) en un arxiu raw?

Un article que us pot ser d'utilitat.

2.5 Registre de Windows

El registre de Windows necessita un estudi minuciós i per tant el tractarem de forma monogràfica més endavant. Per ara ens conformarem en:

  • Utilitzar un programa per poder llegir els arxius del registre de Windows "directament" (No utilitzeu el propi regedit).
  • Trobar les claus corresponents als programes que s'executen en l'arrencada del sistema (Windows Startup).
  • Quin programa teniu associat als arxius pdf?.
  • Quins programes executes habitualment? Quin d'ells més cops? (llista MRU)
  • A quines Wifis t'has connectat? (llista MRU).

2.6 Events EVTX

  • Quins són els últims cinc errors del vostre registre de sistema i de seguretat?
  • Analitzeu-los i cerqueu per esbrinar a què són deguts.

2.7 Enllaços LNK

Analitza cinc enllaços LNK del teu equip tot especificant la informació rellevant trobada.

2.8 Navegació

Utilitzeu el vostre navegador habitual, primer per visitar pàgines en mode normal (com per exemple el Moodle) i després en mode incògnit per visitar pàgines que no acostumeu a veure (com la cartellera dels cinemes d'Abrera o Splau). Fixeu-vos bé sobretot en aquesta última navegació en les imatges, etc.

  • Utilitzeu alguna eina externa (no pròpia del navegador) per analitzar l'historial de navegació. Trobeu la informació referent a la navegació "normal"? I a la de mode "incògnit"?
  • Utilitzeu una eina per analitzar la cache del navegador i de nou analitzeu si trobeu la informació relacionada amb la navegació "normal"? I amb la del mode "incògnit"?

2.9 Paperera de reciclatge

Cerqueu una eina adequada a la versió del vostre MS Windows i utilitzeu-la per analitzar la paperera de reciclatge. Feu-ne un petit manual explicatiu del seu ús.

2.10 Metadades

Utilitzant Foca Free o Exiftool analitzeu els següents arxius i resenyeu les metadades trobades.

Model de declaració responsable COVID19

  • Qui va crear el document?
  • Qui l'ha acabat?
  • Quin programari han fet servir? Sembla actualitzat?

Ajuts i subvencions

  • El mateix que en el cas anterior.

2.11 Thumbnails

Crea una carpeta al teu Windows i afegeixi algunes imatges i documents de Word. Recorda també activar la vista de miniatures i visitar aquesta carpeta.

Un cop fet localitza un programa per llegir l'arxiu de thumbnails d'aquesta carpeta i mostra la informació que et dona.

Tot seguit, elimina alguns arxius de la carpeta, per exemple les imatges, i torna a analitzar el thumbnails per veure si ha perdut les miniatures dels arxius eliminats o encara les conserva. (fes captura i explicació de tot plegat).

2.12 OneDrive

Verifiqueu l'estat i el contingut de les subcarpetes Common i Personal per demostrar que no utilitzeu el sistema OneDrive.

En cas d'utilitzar-ho verifiqueu el contingut del SyncEngine.odl i Trace*.ETL per veure les sincronitzacions d'arxius.

2.13 FaceBook App

Instal·leu la App de Facebook utilitzant el vostre compte personal i analitzeu el contingut de les diferents sqlite explicades a la teoria. Aquesta sub-activitat la podeu fer en parelles.

2.14 Cortana

Analitzeu Cortana per esbrinar si s'ha utilitzat, i en cas afirmatiu quina informació hi podeu extreure.

2.15 Notification Center

Exploreu les claus de registre per determinar quan ha estat l'últim cop que s'ha obert el Notification Center i quines notificacions han aparescut (XML).

2.16 USB Activity

Determineu l'activitat de dispositius d'emmagatzematge USB del vostre equip, i en cas de no tenir-ne genereu-ne per poder veure i analitzar algun tipus d'activitat.

2.17 Windows Error Reporting

Quines són les últimes aplicacions que han fallat en el teu sistema?

2.18 Altres artefactes

Repassa Aquest enllaç i explica algun altre artefacte que no haguem vist i que creguis que pot conteir informació interessant en un forense.

2.19 Emails

2.19.1 Anàlisis de campanya de phishing

Des d'una màquina virtual, que eliminareu en acabar, obriu el vostre correu brossa i trieu una campanya de phishing de les que pugueu veure (que contingui 4 o 5 emails per analitzar).

Analitzeu tant les capçaleres com el contingut del correu i expliqueu totes aquelles conclusions a les que arribeu. Intenteu esbrinar per exemple:

  • D'on provenen els emails?
  • Pq creieun que es tracta de la mateixa campanya de phishing? Tan sols per l'aspecte o hi han altres indicadors?
  • L'origen dels emails sembla ser l'atacant o té pinta de ser màquines zombie?
  • Cap a on us porta el phishing? Quines tècniques estàn utilitzant?
  • Quin és l'objectiu últim?

2.19.2 Qui hi ha darrera d'aquest email?

En grups de dos:

Munteu un servidor web on hi hagi una imatge que adjunteu com a tag en un email que heu d'envia a un company. Aquest l'ha d'obrir des de PC i des de dades del telf. Analitzeu els registres del servidor web i expliqueu com us concorden.

(caldrà fer l'obertura de email per torns, ja que el professor ha de redirigir el tràfic http cap al vostre servidor).

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-02-17 dj. 11:48