MUSICONICA
+ .:: Republica Digital de ColombiaUnderground ::. » Forense » Lab Forense (Moderador: bad_robot)
|-+ Laboratorio: Adquisicion de datos en sistemas windows Parte I
Username:
Password:
CUT Foro Ayuda Buscar Calendario Ingresar Registrarse
Páginas: [1]   Ir Abajo
« anterior próximo »
  Imprimir  
Autor Tema: Laboratorio: Adquisicion de datos en sistemas windows Parte I  (Leído 461 veces)
0 Usuarios y 1 Visitante están viendo este tema.
bad_robot
Orden Publico
Desocupado
****
Desconectado Desconectado

Mensajes: 184



Ver Perfil WWW
« en: 14 de Marzo de 2009, 12:58:24 »
Adquisicion de datos en sistemas windows Parte I: [Propuesto] - Basico I

Objetivos

-Conocer las herramientas basicas para llevar a cabo un analisis forense o/y un analisis de incidentes
-Aprender a realizar un analisis en entornos windows basico(administrador) antes de contratar un equipo de analisis forense
-Interpretar y analisar los motivos del ataque y que funciones ha afectado dentro de nuestro entorno

Elementos de hardware necesarios

Computador a analisar
Computador desde donde desarrollaremos el analisis: pentium 4 en adelante con 1 giga minima de ram
Cableado de red

Elementos de Software necesarios

-Cmd.exe -->limpio
– Herramientas de sistema (ipconfig, netstat, date,time, net, arp ...) para las diferentes versiones de Windows y Service Pack
– pstools, listdlls, filemon*, regmon*, autoruns
– hfind, fport, ntlast.
– Windows resource kit tools.

Introduccion

Bueno no he querido arrancar con analisis forense como tal, ya que creo que primero debo explicar como hacer algunas tareas basicas como: clonacion del HD , conexion en red para la adquision de datos y preparacion de la evidencia.
Por esta razon empezamos con un analisis no tanto forense sino de incidentes para ir diferenciando tambien hasta donde podemos investigar siendo administradores.
Espero que lo hagan y sobre todo aprendan , mis disculpas para los forenses de la comunidad por si esto les parece algo muy basico o no les agrada como empeze Cheesy.


Desarrollo

/*

Esto es alternativo ya que por el momento no lo vamos a trabajar de este modo , sino vamos a lo mas practivo para despues hacer un desarrollo completo profesionalmente

• Conectar la estación forense a la red del equipo a analizar
• Configurar netcat o cryptcat en la estación forense para que escuche en un puerto local y vuelque en un fichero la evidencia recibida

*/

• Montar el Kit de Adquisición de Datos en el sistema a analizar
• Abrir una consola confiable (cmd.exe)

Despues de estos sencillos pasos , vamos a llevar acabo una recoleccion de datos basica I(basica 1 porque solo vamos a tomar datos del sistema , en basica 2 vamos a tomar de la red).

Pero antes que nada debemos saber que vamos a buscar y que necesitamos obtener:

- Fecha y hora del sistema
- Procesos en ejecución
- Conexiones de red
- Puertos abiertos
- Aplicaciones “escuchando†en puertos abiertos
- Usuarios logados
- Información almacenada en la memoria

Ahora que sabemos que obtener vamos a la recoleccion de nuestros primeros datos:

Comando                                                                  Que obtenemos
date /t & time /t                                                     fecha y hora
ipconfig /all                                                         información tcp/ip
netstat -aon                                       conexiones abiertas y puertos en espera, con PID asociado
psinfo -shd                         informacion del sistema (hardware, software, hotfixes, versiones, etc.)
pslist -t                                                               lista de procesos
at                                    lista de tareas programadas (también mirar en %windir%\tasks\ folder)
psloggedon                                                  usuarios logados y hora de logon
psloglist                                                          volcado de log de eventos
psservice                                                        información de servicios de sistema
net use, net accounts, net session, net share, net user No necesitan des..conexiones netbios/smb
listdlls                                                       lista de DLLs cargadas en sistema
sigcheck -u -e c:\windows                        lista de ficheros (.exe, .dll) no firmados
streams -s c:\                                lista ficheros con alternate data streams (ads)
logonsessions -p                                 sesiones actuales y procesos por sesión
arp -a                                                      muestra tabla de caché ARP
ntlast                                            muestra eventos de logon correctos y fallidos
route print                                                  muestra tabla de rutado IP
autorunsc                                           muestra elementos de autoejecución
hfind c:                                                                      ficheros ocultos
promiscdetect                                       detecta interfaces de red en modo "PROMISCUO"
volume_dump                        muestra información sobre volumenes, mount points, filesystem, etc.
pwdump2                                        muestra hashes (nthash/lmhash) de cuentas locales
lsadump2                                       muestra LSA secrets (necesita SeDebugPrivilege)
strings                                                  busca cadenas ASCII/Unicode en ficheros

Herramientas con interfaz gráfico:

rootkit revealer                                       detecta rootkits (usermode o kernelmode)
process explorer (procexp y procmon)  información útil sobre procesos, librerías que usan, recursos accedidos,
conexiones de red, etc.
tcpview                                          muestra conexiones de red y aplicaciones asociadas

Nombres de Dispositivos en Windows:

• \\. Local machine
• \\.\C: C: volume
• \\.\D: D: volume
• \\.\PhysicalDrive0 First physical disk
• \\.\PhysicalDrive1 Second physical disk
• \\.\CdRom0 First CD-Rom
• \\.\Floppy0 First floppy disk
• \\.\PhysicalMemory Physical memory

Tipo de información almacenada en la memoria:
- Password en la cache
- Malware residente en memoria (Slammer)
- Fragmentos de ficheros y procesos abiertos
- Datos no cifrados (en claro)
/*

esto lo profundizaremos en  el siguiente laboratorio

Realizar imagen completa de la memoria (de un sistema “vivoâ€)

dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000

Obtener los procesos en memoria (de un sistema “vivoâ€)

Utilizar ‘pmdump’ para volcar a un fichero el espacio de
memoria de un proceso

/*

Herramientas y sitanxis de uso(documentacion):

Pstools: http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx

Listdlls: http://technet.microsoft.com/en-us/sysinternals/bb896656.aspx

Filemon:http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

Regmon:http://www.microsoft.com/latam/technet/sysinternals/systeminformation/regmon.mspx

Autoruns:http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Fport:http://www.foundstone.com/us/resources/proddesc/fport.htm
hfind

Forensic tool kit:http://www.foundstone.com/us/resources/proddesc/forensic-toolkit.htm

Ntlast:http://www.foundstone.com/us/resources/proddesc/ntlast.htm

windows resource kit tools:http://www.microsoft.com/downloads/thankyou.aspx?familyId=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displayLang=en
En línea



daemon
Cuasi CuTeano
**
Desconectado Desconectado

Mensajes: 135


Ver Perfil
« Respuesta #1 en: 16 de Marzo de 2009, 02:23:53 »
cero y van dos no aviso el sabado :@
bueno envieme mejor lo mio por correo o MP a ver caballero

salu2
Tongue
En línea
Páginas: [1]   Ir Arriba
  Imprimir  
« anterior próximo »
 
Ir a:  

Modify by RPM.

Powered by SMF 1.1.11 | SMF © 2006, Simple Machines LLC 		 |  |  | 
Página creada en 0.054 segundos con 20 queries.