Análisis Forense en Sistemas Windows
Este libro pretende ser un manual de referencia destinado a policías, investigadores, administradores de sistemas, estudiantes y profesionales de la seguridad TI. Pero no te preocupes si no estás en ninguno de estos colectivos, este libro está escrito, sobre todo, para gente curiosa y con ganas de aprender.
El análisis forense permite recabar información de las diferentes acciones que se han llevado a cabo un sistema operativo, obteniendo pruebas que permitan esclarecer un incidente de seguridad o una acción delictiva para la cual se ha utilizado el sistema operativo en cuestión.
Estudiaremos diferentes métodos de recopilación de datos de un sistema Windows, el sistema operativo más usado en ordenadores portátiles y equipos de sobremesa. Te mostraré una parte teórica que nos ayude a comprender el funcionamiento interno del sistema operativo, y trabajaremos con muchos ejemplos prácticos que nos ayudarán a consolidar la teoría.
Con este libro aprenderás:
- Qué rastros quedan en el sistema al ejecutar un programa, o abrir un simple archivo.
- Cómo recuperar archivos que han sido borrados de manera accidental, o no tan accidental.
- Cómo se pueden ocultar gigabytes de información en un archivo y que éste último no aumente de tamaño ni un solo byte, mediante los flujos de datos alternativos.
- Cómo los modos de navegación incógnito de los diferentes navegadores, en realidad no son tan incógnitos.
- Cómo analizar un correo electrónico para determinar su autenticidad.
- Cómo realizar una línea de tiempo donde queden reflejadas todas las acciones que han ocurrido en un intervalo temporal.
- Cómo montar máquinas virtuales con las que realizar las prácticas.
- También daremos un repaso a algunas técnicas antiforense, usadas para ocultar las acciones realizadas.
- Y muchas más cosas que encontrarás en su interior.
Tabla de contenidos
1. Introducción
1.1. Creación del entorno de trabajo
1.2. Toma de evidencias
1.3. Montaje de imágenes
2. Sistema Windows
2.1. Variables de entorno
2.2. Atributos
2.3. Sistema de archivos NTFS
2.4. Análisis del Registro de Windows
2.5. $MFT
2.6. MACTimes
3. Primeros Pasos
3.1. Triaje……………………………..(gratuito)
3.2. Memoria RAM
3.3. Extracción de información
4. Gestión de Cuentas
4.1. Logs de eventos
4.2. Cambio de hora
5. Ejecución de Aplicaciones
5.1. Jump Lists
5.2. Prefetch…………………………..(gratuito)
5.3. UserAssist
5.4. BAM
5.5. AppCompatCache
5.6. Amcache
5.7. Inicio automático
5.8. Tareas Programadas
6. Archivos Borrados
6.1. Accesos directos (.lnk)
6.2. Papelera de reciclaje
6.3. Recuperar archivos borrados de manera permanente
6.4. Thumbnails
6.5. $I30
6.6. Volume Shadow Copy……………(gratuito)
7. Redes
7.1. Firewall
7.2. SRUM
7.3. Correo electrónico
7.4. Esteganografía digital
8. Abrir y Mover Archivos
8.1. ShellBags……………………………(gratuito)
8.2. MUICache
8.3. Línea de tiempo
8.4. Historial de actividad de Windows 10
8.5. $UsnJrnl
9. Navegadores
9.1. Descargas de archivos
9.2. Extensiones instaladas
9.3. Marcadores o Favoritos
9.4. Memoria Caché
9.5. Historial de navegación
9.6. Cookies
9.7. DNS Caché
9.8. Zone.Identifier
10. Dispositivos Externos
10.1. Acabando que es gerundio