jueves, 16 de octubre de 2014

Usando RegRipper para obtener información del registro SAM

En el principio de este blog hablamos acerca de que aprenderíamos a utilizar herramientas libres, EnCase es muchas cosas menos libre, aunque debo confesarlo soy un asiduo (y certificado) usuario de EnCase.

Sin embargo y fieles a lo que queremos inculcar entre la comunidad de DFIR en México, es el uso de herramientas libres veamos como analizar el archivo SAM con RegRipper para los que no lo hayan utilizado RegRipper es una herramienta sumamente poderosa creada por Harlan Carvey y escrita en perl para poder analizar de forma profunda el registro de windows, conforme escribamos más posts acerca de IR iremos utilizando mas esta herramienta.

Hoy utilizaremos un módulo llamado samparse.pl o sam esto nos va a permitir ver mucha información de la que tratamos en el post pasado.

Para poder analizar mi llave registro comenzare por montar mi imagen E01 en SIFT , se que este no es un post en donde estamos aprendiendo a montar imágenes (lo trataremos después) pero nos sirve de repaso  y  les mostrare con que opciones acostumbro a montar mis imágenes, antes que nada y como recordatorio, tengan en mente que no podemos montar directamente un archivo de imagen E01 por lo que primero tenemos que convertir de formato E01 a raw, se preguntaran porque sigo utilizando E01 y no Raw para montarlo de forma directa, como mencione utilizo mucho EnCase ya que en muchas de las empresas de IP es un estándar, aparte de otras razones que ya discutiremos en otro post (donde abordaremos los diferentes tipos de archivos de imágenes que existen).

Para convertir mi imagen  utilizare el siguiente comando:

jueves, 9 de octubre de 2014

Analisis profundo del registro SAM

Saludos BugBu5t3r5 

En este post hablaremos un poco acerca del registro de Windows, estoy seguro que muchos de ustedes ya conocerán mucha de esta información sin embargo alguno de nuestros lectores puede aprender algo, comencemos por definir que es el registro; el registro de Windows es una base de datos jerárquica  en la que se almacenan los ajustes de configuración y opciones de Windows  este registro es utilizado por el kernel, los controladores de dispositivos,los servicios, el SAM, la interfaz del usuario y las aplicaciones de terceros.

El registro contiene dos elementos básicos: 
  1. Claves
  2. Valores
Las claves son similares a carpetas: ademas de lo valores cada clave puede contener sub claves que pueden contener otras sub claves, en si dentro de estas claves y valores encontraremos configuraciones y opciones del sistema operativo y que el usuario ha realizado sobre el mismo. 

Dependiendo de la versión de sistema operativo que utilicemos las carpetas del sistema se almacenaran en distintas rutas de acceso sin embargo para Windows 2000, XP, Server 2003, Vista, Windows 7 y Windows 8, cuatro de los cinco ficheros que mas nos interesan en una investigación se encuentran en la soguiente ubicacion %SystemRoot%\System32\Config\:  en las siguientes sub llaves:


  • SAM - HKEY LOCAL MACHINE\SAM
  • SECURITY - HKEY LOCAL MACHINE\SECURITY
  • SOFTWARE- HKEY LOCAL MACHINE\SOFTWARE
  • SYSTEM- HKEY LOCAL MACHINE\SYSTEM


    Es muy importante saber en donde están almacenados estos registros y que contienen, forensic explorer, y EnCase te dan información importante del registro de forma automática, pero también esta Regripper e inclusive el registro puede ser visto por medio de regedit y otras mas...Sin embargo en la parte del registro de Windows así como en la mayoría de los procesos que nuestras herramientas de análisis nos entregan de forma automática es imperante saber de donde fue obtenida esa información, en que formato, de que forma, he estado en casos en que se le ha preguntado al examinador de donde vino esa información que esta presentando como evidencia y su respuesta es " ejecute un proceso en mi herramienta de análisis y eso fue lo que salio" es por eso que trataremos de ahondar un poco mas en cada una de estas subclaves del registros para entender que evidencia podemos encontrar y en que formato se encuentran, esto lo estaré presentando en la V7 de EnCase sin embargo las ubicaciones y formatos son los mismos sin importar la herramienta de su elección.

    A continuación se muestra la información según es presentada en EnCase:

    miércoles, 1 de octubre de 2014

    Herramientas de volcado de memoria

    Saludos BugBu5t3r5

    Hace un par de días Hecky y yo platicábamos acerca del futuro del cómputo forense, los dos llegamos a la conclusión de que debido a tecnologías como SSD y las capacidades de los discos la forma tradicional de hacer cómputo forense ha cambiado, el futuro de las metodologías, procesos y herramientas  pronto giraran en torno al análisis de los componentes volátiles, sé que este punto es discutible y muchos examinadores tienen sus dudas en cuanto a la adquisición y análisis de memoria, se preguntan si será admisible en la corte o cuestionan el impacto que muchas herramientas tienen sobre la integridad de la evidencia.

    Sin embargo estoy convencido que el análisis de memoria volátil es una de las áreas en donde podemos encontrar más elementos de evidencia. Es por eso que decidí hacer de mi primer post una lista de las herramientas que están disponibles para poder obtener memoria, ojala que al leer este post si aún tienes dudas de si debes tomar la memoria en tus casos, pierdas el miedo y lo hagas!

    Empecemos por establecer cuáles son los PLUS de obtener la memoria volátil: