Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

[Forensics] Borrador: Analisis del registro de Windows

Jue Ene 10, 2008 9:43 pm

Hola a todos

Llevaba ya algun tiempo queriendo crear un documento relacionado con el analisis forense, pero esta vez de sistemas Windows.

Ardua tarea la que me propuse, y mas aun si quiere obtenerse algo que este medio bien. Despues de muchas noches de fatigas (no dispongo, al igual que el resto de mis compañeros, de mucho tiempo libre) investigando, leyendo y probando comence el documento, empezando por la parte mas "simple".

Sin querer ni saber como el documento fue creciendo, y llego a conformar un unico capitulo de varias hojas dedicado unicamente al registro.

En vista de lo extensa que sera la tarea de generar el documento al completo y, porque no decirlo, para alimentar un poco mi ego dejando que seais vosotros los que valoreis si debo seguir adelante, he decidido publicar el borrador con lo que hasta ahora llevo, para que podais echarle un vistazo.

Como sabeis seran bienvenidas todo tipo de criticas, a ser posible que mejoren el contenido del documento, y asi aprenderemos todos un poco mas.

Bueno, pues eso, este es el enlace:

Forensics en Windows: Analisis del registro (borrador)

Saludos y espero os guste tanto leerlo como a mi me ha gustado escribirlo

Jue Ene 10, 2008 10:20 pm

Muchas gracias, la verdad muy interesante, lo leere con calma. :)

un saludo.

Jue Ene 10, 2008 10:28 pm

Gracias neofito, en cuanto lo lea, que espero sea mañana, te digo si puedes seguir o no :badgrin: :badgrin:

Jue Ene 10, 2008 11:07 pm

Parece bastante interesante, yo lo tengo en el pen para imprimirlo. Me gusta leerlo en papel, y guardar lo interesante.. además, me viene al pelo para un analisis forense que tengo que hacer!!!

Gracias!!


(Cuando será el día que publique un artículo mío?¿ tiene que ser la caña!!)

Jue Ene 10, 2008 11:39 pm

Muchas gracias, buen trabajo

Un saludo

Vie Ene 11, 2008 1:04 am

Mañana me lo imprimo en el curro, me vas a amenizar los viajes en el metro. ;)

Vie Ene 11, 2008 2:09 am

Hola:

:badgrin: :badgrin: :badgrin:

Ya le tenía yo ganas a un documento de tal magnitud.

En cuanto pueda MODO: reading!!

Gracias neo, seguro que te ha quedado chapeau!!

Un saludo.

Vie Ene 11, 2008 2:20 am

Le voy a echar un ojo con muchas ganas, ya que llevo preparando un FAQ sobre el registro del XP, pero se me esta haciendo eterno, y con mas info todavía mas :lol:

Vie Ene 11, 2008 3:01 am

Muchas gracias Neofito, eso lo que soy yo un neófito en este tema como en tantos otros. :lol:

Vie Ene 11, 2008 2:26 pm

Buenísimo, lo leo hoy ... Hagan sticky este thread.

: )

Vie Ene 11, 2008 3:20 pm

Pues me viene de perlas, lo he descargado y ahora estoy instalando las herramientas.

En breves te daré también permiso para seguir o no :p, pero me temo que será que no te libras de seguir escribiendo.

¡Saludos!

Vie Ene 11, 2008 3:42 pm

Una cuestión...me he descargado las herramientas y al abrir el Windows Registry Recovery...me pide abrir un archivo.

En el documento, haces referencia al fichero system de la imagen del sistema. Imagino que te refieres a que se supone que has hecho una imagen del sistema para analizarlo en otra máquina distinta...

Para hacerlo sobre la máquina que uno tiene delante en este mismo momento...¿Hay que abrir los archivos que mencionas al principio del artículo donde se guardan los ficheros del registro o hay alguna otra forma?

¡Saludos!

Vie Ene 11, 2008 3:48 pm

Hola

Los ficheros que he utilizado proceden de la imagen de un sistema windows 2003 disponible en:

http://www.seguridad.unam.mx/eventos/reto/

Para obtener los ficheros concretos tendras que montar la imagen con alguna aplicacion como esta:

http://www.mountimage.com/

En el documento final intentare incluir enlaces y ejemplos de aplicaciones que hacen esto mismo, pero cuya licencia es free.

Una vez obtenidos los ficheros ya podras trabajar con ellos de forma offline.

Por otra parte, si los ficheros que quieres analizar son los de tu propio equipo me temo que tendras que obtenerlos con el sistema apagado (mediante live-cd, imagen vmware o similares).

Si es que esto pasa por publicar las cosas a medias.

Saludos

PD: Por cierto, falta incluir los enlaces a los sitios web y documentos que han servido de inestimable ayuda, pero uno de ellos destaca sobre todos:

http://windowsir.blogspot.com/

Recomiendo los dos libros que tiene escritos este señor.
Última edición por neofito el Vie Ene 11, 2008 3:51 pm, editado 1 vez en total

Vie Ene 11, 2008 3:50 pm

neofito escribió:
Si es que esto pasa por publicar las cosas a medias.



No, esto pasa por ser yo un ignorante, no tiene que ver contigo. Ahora queda claro. Me bajaré la imagen de prueba a ver qué puedo sacar en claro y aprender.

De mi sistema, imagino que tendré que hacer luego una imagen del disco duro donde reside windows, pero de momento me apaño con la que has dejado para descargar y montar.

Gracias.

¡Saludos!

Vie Ene 11, 2008 3:53 pm

Popolous escribió:No, esto pasa por ser yo un ignorante, no tiene que ver contigo. Ahora queda claro.


No existen los malos alumnos, solo los malos profesores.

Saludos
Publicar una respuesta