Análisis forense de Windows

Al realizar un análisis forense de Windows, puede ser bastante abrumador ver una gran cantidad de datos que se deben recopilar, suponiendo que sepa lo que está buscando. En caso de que no sepa lo que está buscando, todo el proceso se vuelve el doble de difícil.

En este artículo discutiremos los siguientes temas:

1. ¿Qué es el análisis forense de Windows?
2. ¿Qué son los artefactos forenses?
3. Principales herramientas de código abierto para el análisis forense de Windows

¿Qué es el análisis forense de Windows?

El análisis forense de Windows se centra en dos cosas:

1. Análisis en profundidad del sistema operativo Windows.
2. Análisis de Artefactos del Sistema Windows.

Los artefactos de Windows son los objetos que contienen información sobre las actividades que realiza el usuario de Windows. El tipo de información y la ubicación del artefacto varía de un sistema operativo a otro. Los artefactos de Windows contienen información confidencial que se recopila y analiza en el momento del análisis forense.

¿Qué son los artefactos forenses?

Los artefactos forenses son los objetos forenses que tienen algún valor forense. Cualquier objeto que contenga algún dato o evidencia de algo que ha ocurrido como registros, registros, colmenas y muchos más. En esta sección, repasaremos algunos de los artefactos forenses que busca un investigador forense mientras realiza un análisis forense en Windows.

1. Papelera de reciclaje: la papelera de reciclaje de Windows contiene algunos artefactos geniales como:

• $1 archivo que contiene los metadatos. Puede encontrar este archivo en la ruta C:\$Recycle.Bin\SID*\$Ixxxxxx
• $R archivo que contiene el contenido de los archivos eliminados. Este archivo se puede ubicar en la ruta C:\$Recycle.Bin\SID*\$Rxxxxxx
• El archivo $1 se puede analizar con la herramienta $1 Parse .

2. Navegadores: Los navegadores web contienen mucha información como:

• Galletas.
• Datos del sitio web en caché.
• Archivos descargados.

3. Informe de errores de Windows: esta función permite al usuario informar a Microsoft sobre fallas de la aplicación, fallas del kernel, aplicación que no responde y otros problemas específicos de la aplicación. Esta característica nos proporciona varios artefactos como:

• Ejecución del programa, si un programa malicioso falla durante la ejecución del programa.
• Puede ubicar estos artefactos en las siguientes ubicaciones:

  C:\ProgramData\Microsoft\Windows\WER\ReportArchive
  C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportArchive
  C:\ProgramData\Microsoft\Windows\WER\ReportQueue
  C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportQueue

4. Caché de protocolo de escritorio remoto: cuando se usa el cliente «mstc» que proporciona Windows, se puede usar RDP para moverse lateralmente a través de la red. Se crean archivos de caché que contienen las secciones de la pantalla de la máquina a la que estamos conectados y que rara vez cambia. Estos archivos de caché se pueden ubicar en el directorio:

C:\Users\XXX\AppData\Local\Microsoft\Terminal Server Client\Cache

Se pueden usar herramientas como BMC-Tools para extraer imágenes almacenadas en estos archivos de caché.

5. Archivos LNK: Los archivos .lnk son los archivos de acceso directo de Windows. Los archivos LNK vinculan o apuntan a otros archivos o ejecutables para facilitar el acceso. Puede encontrar la siguiente información en estos archivos:

• La ruta original del archivo de destino.
• Marca de tiempo de los archivos de destino y los archivos .lnk.
• Atributos de archivo como Sistema, Oculto, etc.
• Detalles sobre el disco.
• Ejecución remota o local.
• Dirección MAC de las máquinas.

Puede usar herramientas como Windows LNK Parsing Library o LECmd para analizar el contenido de estos archivos.

6. Jump Lists: contienen información sobre las aplicaciones y los archivos a los que se accedió recientemente. Esta característica se introdujo con Windows 7. Se pueden crear dos tipos de Jump Lists en Windows:

• DESTINOS AUTOMÁTICOS-MS: Estas listas de salto se crean automáticamente cuando un usuario abre un archivo o una aplicación. Se encuentran en la ruta:
  C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• CUSTOMDESTINATIONS-MS: estas listas de salto están hechas a medida y se crean cuando un usuario fija un archivo o una aplicación. Se encuentran en el directorio C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Puede usar herramientas como JumpList Explorer , JLECmd o Windows JumpList Parser para analizar las listas Jump.

7. Archivos de búsqueda previa: estos archivos contienen una gran cantidad de información como:

• Nombre de la aplicación.
• Ruta de la aplicación.
• Marca de tiempo de la última ejecución.
• Marca de tiempo de creación.

Estos archivos se pueden ubicar en el directorio: C:\Windows\Prefetch\ . Puede usar herramientas como Windows Prefetch Parser , WinPrefetchView o PECmd .

Principales herramientas de código abierto para el análisis forense de Windows

En esta sección, analizaremos algunas de las herramientas de código abierto que están disponibles para realizar análisis forenses en el sistema operativo Windows.

1. Detector de discos magnéticos cifrados: esta herramienta se utiliza para comprobar las unidades físicas cifradas. Esta herramienta es compatible con PGP, volúmenes cifrados de arranque seguro, Bitlocker, etc. Puede descargarla desde aquí .

2. Magnet RAM Capture: Esta herramienta se utiliza para analizar la memoria física del sistema. Puedes descargarlo desde aquí .

3. Wireshark: esta es una herramienta de análisis de red y una herramienta de captura que se utiliza para ver qué tráfico está pasando en su red. Puedes descargarlo desde aquí .

4. Captura de RAM: como sugiere el nombre, esta es una herramienta gratuita que se utiliza para extraer todo el contenido de la memoria volátil, es decir, RAM. Puedes descargarlo desde aquí .

5. NMAP: esta es la herramienta más popular que se utiliza para encontrar puertos abiertos en la máquina de destino. Con esta herramienta, puede encontrar la vulnerabilidad de cualquier objetivo para piratear. Puedes descargarlo desde aquí .

6. Network Miner: esta herramienta se utiliza como un rastreador de red pasivo para capturar o detectar los puertos, sesiones, nombres de host, etc. de los sistemas operativos. Puede descargarlo desde aquí .

7. Autopsia: Esta es la herramienta basada en GUI, que se utiliza para analizar discos duros y teléfonos inteligentes. Puedes descargarlo desde aquí .

8. Investigador forense: este es un conjunto de herramientas de Splunk que se utiliza en la conversión HEX, la conversión Base64, las búsquedas de metascan y muchas otras características que son esenciales en el análisis forense. Puedes descargarlo desde aquí .

9. HashMyFiles: esta herramienta se utiliza para calcular los hashes SHA1 y MD5. Funciona en todos los sitios web más recientes. Puedes descargarlo desde aquí .

10. Respuesta multitudinaria: esta herramienta se utiliza para recopilar la información del sistema para la respuesta a incidentes. Puedes descargarlo desde aquí .

11. ExifTool: esta herramienta se utiliza para leer, escribir y editar metainformación de varios archivos. Puedes descargarlo desde aquí .

12. FAW (Adquisición Forense de Sitios Web): Esta herramienta se utiliza para adquirir imágenes de páginas web, HTML, código fuente de la página web. Esta herramienta se puede integrar con Wireshark. Puedes descargarlo desde aquí .

Existe una gran variedad de herramientas forenses disponibles en el mercado. Algunas son gratuitas y de código abierto y algunas herramientas cobran tarifas anuales o mensuales. Solo necesita identificar sus requisitos y elegir la herramienta que mejor se adapte a sus requisitos.