UNIVERSIDAD PILOTO DE COLOMBIA ESPECIALIZACION EN SEGURIDAD NFORMATICA MODULO DE INFORMATICA FORENSE TALLER No.

7 RECOLECCION ARTEFACTOS DE SISTEMA OPERATIVO WINDOWS

Integrantes Ing Jos Orlando Cardona Gmez Ing Alexander Palacios Palacios Ing Cesar Redondo
Herramientas utilizadas Helix 3.0: conjunto de herramientas que sirven para recolectar datos voltiles MEDIA WIPER: es una aplicacin que permite limpiar dispositivos de almacenamiento con fines forenses MD5SUMM: herramienta utilizada para verificar la integridad de los instrumentos generando un hash. NERO: es un popular programa para producir CD y DVD, que funciona en Microsoft Windows y Linux FASE No. 1 Creacin de un juego de instrumentos limpio a los fines forenses para Windows XP Para mantener la integridad del proceso de recopilacin de pruebas, es fundamental usar medios limpios a los fines forenses. Los procedimientos siguientes se deben realizar en una computadora de investigacin que tenga el mismo sistema operativo utilizado por la computadora que se est investigando. Esto asegurara que durante los procedimientos de recuperacin de pruebas, los comandos y los instrumentos que se ejecuten en la computadora que se est investigando. Para crear un CD-ROM limpio a los fines forenses y una memoria USB flexible de almacenamiento forense, se deben realizar las seis fases siguientes: Fase 1 Sobre grabacin de la memoria USB de almacenamiento forense

Fase 2 Obtencin de un algoritmo hash md5 de los instrumentos de confianza a los fines forenses Fase 3 Grabacin al CD de los comandos e instrumentos de confianza a los fines forenses Fase 4 Obtencin de un algoritmo hash md5 de los instrumentos de confianza a los fines forenses.

Procedimiento Fase 1 Instalacin del Media Wiper 1. Inserte su CD-ROM de Media Wiper en la unidad de CD-ROM. Su CD-ROM comenzara a girar y aparecer la pantalla de presentacin de Media Wiper como figura a continuacin. Aparecer en la pantalla el Asistente de Instalacin de Media Wiper (Instalation Wizard). Esta pantalla le ofrece una descripcin general del instrumento y sus capacidades.

Para poder proseguir con la instalacin del instrumento, click en el botn siguiente (NEXT) y aparecer la pantalla del Acuerdo de Licencia (License Agreement).

Preparacin de los medios Aperecera el instrumento de interfaz principal del Media Wiper. Esta interfaz le permite borrar y limpiar los medios de almacenamiento, ademas de verificar lo que borre. Utilizarenos las selecciones de Borrar Medio (Wipe Media) y verificar Medio (Verify Media)

Primero, limpiara un medio de almacenamiento a los fines forenses utilizando la seleccin de Borrar Medio (Wipe Media). El proceso de borrado implica sobre grabar cada uno de los medios bits de todo el medio de almacenamiento utilizando caracteres aleatorios o seleccionados. Este proceso no solo sobre graba los datos en el medio de almacenamiento sino que tambin sobre graba la Tabla de Asignacin de Archivos (File Allocation Table, FAT) o los punteros al medio

Borrado Seguro del Medio de Almacenamiento

Recoleccin Datos Voltiles

Abrir una ventana de comando d: \IR\xp\cmd.exe Este comando abre una cpsula de comando y la ejecuta desde sus instrumentos de Respuestas a Incidentes (IR) limpios a los fines forenses. El comando arp a > h: \arp.txt Proporciona las direcciones MAC de las ltimas mquinas que se comunicaron con el sistema.

El comando tasklist > h: \tasklist.txt Es una herramienta en lnea de comando que nos permite obtener una lista de los procesos activos que se estn ejecutando.

El comando netstat an > h: \netstat.txt Muestra todas las conexiones y puertos abiertos actuales de la maquina.