4. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
About me…
Marcos Fuentes Martínez
@_N4rr34n6_ | N4rr34n6@protonmail.com
• Especialista en Tecnologías de la Información
y Comunicaciones
• Experto en Derecho Tecnológico e Informática
Forense, (DTIF), por la Unex
• Coautor en el blog ‘Follow the White Rabbit’,
(https://www.fwhibbit.es)
• Premio Bitácoras 2016 al mejor blog de
seguridad informática.
5. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Sabemos…?
¿Sabemos qué ocurre cuando conectamos un dispositivo USB?
¿Sabemos cómo interactúa nuestra información con él?
¿Sabemos qué rastro dejamos atrás, sin ser conscientes de ello?
Pruebas efectuadas bajo Windows 7 y bajo Windows 10
Análisis realizado con pequeñas utilidades, sin instalar nada
Bajo varios supuestos:
Dispositivo USB conectado
Dispositivo USB conectado y explorado
Dispositivo USB conectado y reparado
Dispositivo USB conectado y un fichero abierto
6. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
Herramientas utilizadas
Máquinas virtuales de Microsoft https://developer.Microsoft/en-us/Microsoft-edge/tolos/vms
FTK Imager https://accessdata.com/product-download/ftk-imager-lite-versión-3.1.1
Strings https://docs.microsoft.com/en-us/sysinternals/downloads/strings
Registry Explorer https://ericzimmerman.github.io/
ParseRacWMI https://phx4n6.wordpress.com/2014/01/10/
LECmd https://ericzimmerman.github.io/
LogFileParser https://github.com/jschicht/LogFileParser
Thumbcache Viewer https://thumbcacheviewer.github.io/
BrowsingHistoryView https://www.nirsoft.net/utils/browsing_history_view.html
PECmd https://ericzimmerman.github.io/
Eventvwr, (Visor de eventos)
10. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registro de Windows:
• El Registro de Windows es una base de datos, jerárquica y
centralizada, que contiene información y configuraciones del
sistema y del usuario para equipos con Windows. Estas
configuraciones pueden ser desde el fondo del escritorio del
usuario hasta la configuración de la zona horaria para el Sistema
(El corazón de Windows)
WindowsSystem32configSOFTWARE
WindowsSystem32configSYSTEM
13. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registro de Windows:
• El registro tiene un grupo de archivos auxiliares que contienen
copias de seguridad de sus datos
WindowsSystem32configSOFTWARE.LOG1
WindowsSystem32configSYSTEM.LOG1
16. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registros SetupAPI:
• Cuando un dispositivo USB se conecta por primera vez a un
sistema Windows, el administrador de PnP consulta el dispositivo
para determinar la información sobre el dispositivo, para
descubrir qué controladores cargar para ese dispositivo
• El administrador Plug and Play (PnP) y el SetupAPI registran
información sobre eventos de instalación
Windowsinfsetupapi.dev.log
Windowsinfsetupapi.ev3
19. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registros de eventos:
• Archivo que contiene información sobre todas las actividades
• Los registros de eventos son generados por los mecanismos de
auditoría y están integrados en el sistema operativo Windows
• Registran información importante sobre software y hardware
• Información cronológica
WindowsSystem32winevtLogsMicrosoft-Windows-
DriverFrameworks-UserMode%4Operational.evtx
WindowsSystem32winevtLogsSystem.evtx
22. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Eventos de rastreo, (Event Trace Log):
• Seguimiento de eventos para aplicaciones
• Registradores automáticos asociados al visualizador de eventos
• Controladores que inician y detienen. Los controladores son
aplicaciones
• Registro de seguimiento de eventos, (.etl), almacena los mensajes
de rastreo generados durante las sesiones
WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog-
System.etl
24. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Proveedor de contexto WDI:
• Windows Diagnostic Infrastructure, (WDI)
• Registradores automáticos que están se inician
automáticamente
• Se escribe una selección de eventos en las sesiones
• Copias de seguridad de sesiones anteriores de Windows
WindowsSystem32wdiLogFilesWdiContextLog.etl.002
26. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Boot Circular Kernel Context Logger:
• Fichero de rastreo de inicio
• Se crea cada vez que un perfil inicia sesión por primera vez
• Parte de la Infraestructura de diagnóstico de Windows, (WDI)
WindowsSystem32wdiLogFilesBootCKCL.etl
30. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Repositorio CIM:
• Tipos de datos y objetos de datos.
• Este archivo parece ser un repositorio CIM, asociado con WMI
• Se almacenan las definiciones de recursos gestionados
• Se almacena información de configuración y gestión de
diferentes recursos.
WindowsSystem32wbemReporitoryOBJECTS.DATA
32. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Archivo de paginación:
• Técnica de administración de memoria que funciona como un
almacenamiento secundario para la memoria de Windows
• Almacena marcas de memoria
• Usado cuando lo demanda la memoria física
• Fichero de sistema y oculto
• Nunca puede ser leído ni accedido por un usuario
pagefile.sys
34. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Monitor de confiabilidad de Windows:
• Herramienta de diagnóstico que registra los cambios existentes
en un Sistema
• Instalación de software, (cualquier acción sobre ellos)
• Instalación de controladores
• Información muy complicada de eliminar
ProgramDataMicrosoftRACStateDataRacWmiEventData.dat
ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
47. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Accesos directos:
• Se genera en el Sistema cuando se abre un fichero o directorio
• Un archivo LNK es un acceso directo, o un “enlace simbólico”,
utilizado por Windows como referencia a un archivo original
• Contiene el tipo de destino de acceso directo, la ubicación y el
nombre de archivo, así como el programa que abre el archivo
UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
50. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Archivos de registro:
• Archivo de registro principal del sistema de ficheros NTFS
• Contiene registros de todas las transacciones, (acciones), para
garantizar la integridad de los datos
• Contiene metadatos y atributos que describen un fichero o
directorio
$LogFile
54. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Vistas en miniatura:
• Base de datos centralizada de imágenes de tamaño reducido
• Creado por el Sistema cuando se utiliza la vista en miniatura
• No se actualiza cuando desaparecen las imágenes
• Se incluyen en él los medios extraíbles
• Se incluyen los datos de volúmenes cifrados
UsersIEUserAppDataLocalMicrosftWindowsExplorerthumbca
che*
56. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Archivos de registro de navegación:
• Es el equivalente al fichero ‘Index.dat’
• Base de datos ESE, (Extensible Storage Engine)
• Información sobre caché, historial, ficheros descargados, …
• Incluso navegando InPrivate
• Y usada por varias aplicaciones de Windows, (Búsqueda en el
escritorio de Windows, Windows Mail, Live Messenger, …)
UsersIEUserAppDataWindowsWebCacheV01.log
UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
61. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
“Listas de salto”, (JumpList):
• Colección de archivos LNK almacenados por las aplicaciones
• Barra de tareas de acceso rápido a los archivos de una aplicación
• Proporciona a los usuarios una indicación gráfica de los elementos
recientes a los que accede cada aplicación
• Se crea cuando se abre un fichero
• Registran el mismo tipo de datos que los ficheros LNK
UsersIEUserAppDataRoamingMicrosoftWindowsRecentAuto
maticDestinations5f7b5f1e01b83767.automaticDestinations-ms
63. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Prefetch:
• Windows crea un archivo de búsqueda previa cuando una
aplicación se ejecuta por primera vez.
• Se usa para acelerar la carga de aplicaciones.
• Datos valiosos sobre el historial de aplicaciones de un usuario en
un Sistema
WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
75. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
Conclusiones
• Conectar un dispositivo USB, a nivel de evidencias, equivale a
conectarlo y explorarlo
• La información que dejamos atrás se puede extraer incluso de
dispositivos USB conectados, que se encuentran cifrados
• No existen, a día de hoy, herramientas anti-forenses capaces de
eliminar todo este rastro de dispositivos externos.
• ¿A nuevas versiones de Windows, más artefactos para jugar?
• Piénsatelo dos veces antes de conectar un dispositivo USB
• Cuenta hasta 10 antes de abrir un fichero en un dispositivo USB