[Forensics] Borrador: Analisis del registro de Windows

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

[Forensics] Borrador: Analisis del registro de Windows

Notapor neofito » Jue Ene 10, 2008 9:43 pm

Hola a todos

Llevaba ya algun tiempo queriendo crear un documento relacionado con el analisis forense, pero esta vez de sistemas Windows.

Ardua tarea la que me propuse, y mas aun si quiere obtenerse algo que este medio bien. Despues de muchas noches de fatigas (no dispongo, al igual que el resto de mis compañeros, de mucho tiempo libre) investigando, leyendo y probando comence el documento, empezando por la parte mas "simple".

Sin querer ni saber como el documento fue creciendo, y llego a conformar un unico capitulo de varias hojas dedicado unicamente al registro.

En vista de lo extensa que sera la tarea de generar el documento al completo y, porque no decirlo, para alimentar un poco mi ego dejando que seais vosotros los que valoreis si debo seguir adelante, he decidido publicar el borrador con lo que hasta ahora llevo, para que podais echarle un vistazo.

Como sabeis seran bienvenidas todo tipo de criticas, a ser posible que mejoren el contenido del documento, y asi aprenderemos todos un poco mas.

Bueno, pues eso, este es el enlace:

Forensics en Windows: Analisis del registro (borrador)

Saludos y espero os guste tanto leerlo como a mi me ha gustado escribirlo
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Delfi » Jue Ene 10, 2008 10:20 pm

Muchas gracias, la verdad muy interesante, lo leere con calma. :)

un saludo.
Delfi
:-)
:-)
 
Mensajes: 48
Registrado: Sab Jul 21, 2007 6:41 pm

Notapor disturb » Jue Ene 10, 2008 10:28 pm

Gracias neofito, en cuanto lo lea, que espero sea mañana, te digo si puedes seguir o no :badgrin: :badgrin:
disturb
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 2253
Registrado: Mié Ene 26, 2005 5:30 pm
Ubicación: Málaga

Notapor wearth » Jue Ene 10, 2008 11:07 pm

Parece bastante interesante, yo lo tengo en el pen para imprimirlo. Me gusta leerlo en papel, y guardar lo interesante.. además, me viene al pelo para un analisis forense que tengo que hacer!!!

Gracias!!


(Cuando será el día que publique un artículo mío?¿ tiene que ser la caña!!)
wearth
<|:-)
<|:-)
 
Mensajes: 358
Registrado: Sab Dic 01, 2007 10:52 am

Notapor freestyle » Jue Ene 10, 2008 11:39 pm

Muchas gracias, buen trabajo

Un saludo
freestyle
<|:-)
<|:-)
 
Mensajes: 539
Registrado: Jue Ene 12, 2006 11:30 pm

Notapor Death_Master » Vie Ene 11, 2008 1:04 am

Mañana me lo imprimo en el curro, me vas a amenizar los viajes en el metro. ;)
Omnium potentior est sapientia
Avatar de Usuario
Death_Master
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 2925
Registrado: Mié Ene 26, 2005 10:36 pm
Ubicación: 404

Notapor NeTTinG » Vie Ene 11, 2008 2:09 am

Hola:

:badgrin: :badgrin: :badgrin:

Ya le tenía yo ganas a un documento de tal magnitud.

En cuanto pueda MODO: reading!!

Gracias neo, seguro que te ha quedado chapeau!!

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor SLaYeR » Vie Ene 11, 2008 2:20 am

Le voy a echar un ojo con muchas ganas, ya que llevo preparando un FAQ sobre el registro del XP, pero se me esta haciendo eterno, y con mas info todavía mas :lol:
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor Dr. Stephen Falken » Vie Ene 11, 2008 3:01 am

Muchas gracias Neofito, eso lo que soy yo un neófito en este tema como en tantos otros. :lol:
'Todos somos ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas.'

— Einstein
Avatar de Usuario
Dr. Stephen Falken
<|:-)
<|:-)
 
Mensajes: 287
Registrado: Mié Mar 14, 2007 11:55 pm

Notapor Kyrie » Vie Ene 11, 2008 2:26 pm

Buenísimo, lo leo hoy ... Hagan sticky este thread.

: )
ImagenImagen
ImagenImagen
ImagenImagen
Avatar de Usuario
Kyrie
<|:-)
<|:-)
 
Mensajes: 552
Registrado: Mar Jun 19, 2007 3:34 pm
Ubicación: Indierock

Notapor Popolous » Vie Ene 11, 2008 3:20 pm

Pues me viene de perlas, lo he descargado y ahora estoy instalando las herramientas.

En breves te daré también permiso para seguir o no :p, pero me temo que será que no te libras de seguir escribiendo.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor Popolous » Vie Ene 11, 2008 3:42 pm

Una cuestión...me he descargado las herramientas y al abrir el Windows Registry Recovery...me pide abrir un archivo.

En el documento, haces referencia al fichero system de la imagen del sistema. Imagino que te refieres a que se supone que has hecho una imagen del sistema para analizarlo en otra máquina distinta...

Para hacerlo sobre la máquina que uno tiene delante en este mismo momento...¿Hay que abrir los archivos que mencionas al principio del artículo donde se guardan los ficheros del registro o hay alguna otra forma?

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor neofito » Vie Ene 11, 2008 3:48 pm

Hola

Los ficheros que he utilizado proceden de la imagen de un sistema windows 2003 disponible en:

http://www.seguridad.unam.mx/eventos/reto/

Para obtener los ficheros concretos tendras que montar la imagen con alguna aplicacion como esta:

http://www.mountimage.com/

En el documento final intentare incluir enlaces y ejemplos de aplicaciones que hacen esto mismo, pero cuya licencia es free.

Una vez obtenidos los ficheros ya podras trabajar con ellos de forma offline.

Por otra parte, si los ficheros que quieres analizar son los de tu propio equipo me temo que tendras que obtenerlos con el sistema apagado (mediante live-cd, imagen vmware o similares).

Si es que esto pasa por publicar las cosas a medias.

Saludos

PD: Por cierto, falta incluir los enlaces a los sitios web y documentos que han servido de inestimable ayuda, pero uno de ellos destaca sobre todos:

http://windowsir.blogspot.com/

Recomiendo los dos libros que tiene escritos este señor.
Última edición por neofito el Vie Ene 11, 2008 3:51 pm, editado 1 vez en total
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Popolous » Vie Ene 11, 2008 3:50 pm

neofito escribió:
Si es que esto pasa por publicar las cosas a medias.



No, esto pasa por ser yo un ignorante, no tiene que ver contigo. Ahora queda claro. Me bajaré la imagen de prueba a ver qué puedo sacar en claro y aprender.

De mi sistema, imagino que tendré que hacer luego una imagen del disco duro donde reside windows, pero de momento me apaño con la que has dejado para descargar y montar.

Gracias.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor neofito » Vie Ene 11, 2008 3:53 pm

Popolous escribió:No, esto pasa por ser yo un ignorante, no tiene que ver contigo. Ahora queda claro.


No existen los malos alumnos, solo los malos profesores.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Siguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado