You are on page 1of 10

Análisis Forense

Juan José Delgado

Tema 3 – Clase Práctica


Tema 4. Actividad

El primer paso para realizar la actividad de este tema, va a ser el


descargar los programas necesarios. Estos son:

• Event Log Explorer (http://www.eventlogxp.com/esp/)


• Un visor de Bases de Datos SQLite (Historial Firefox), como por
ejemplo DB Browser for SQLite (http://sqlitebrowser.org/)
• Windows Registry Recovery (http://www.mitec.cz/wrr.html)

Todos estos programas son gratuitos (Al menos en la parte que


necesitamos). Estos programas están diseñados para sistemas operativos
Windows, por lo que si realizais la actividad desde otro sistema operativo
tendreis que buscar otro software diferente o utilizar emuladores.

Análisis forense – Juan José Delgado


Tema 4. Actividad, parte I

En la primera parte de la actividad, se nos pide responder a las


preguntas:

• ¿Qué usuario ha sido creado recientemente?


• ¿Quién ha creado dicho usuario?
• ¿Ha intentado acceder dicho usuario al sistema?
• ¿Cuántas veces y de qué manera lo ha intentado?
• ¿Ha conseguido acceder al equipo?

Para responder a dichas preguntas, vamos a analizar los eventos del


sistema operativo haciendo uso del software Event Log Explorer.

Análisis forense – Juan José Delgado


Tema 4. Actividad, parte I

Ejecutamos Event Log Explorer, vamos al menú File > Open Log File >
Direct y abrimos los tres archivos de eventos de la actividad.

Puesto que no sabemos el ID (identificador) del evento de creación de


un nuevo usuario, un primer paso puede ser buscar la cadena User Account
Created (Cuenta de usuario creada) en la web de Event ID
(http://eventid.net/).
Tras la búsqueda, vemos que tenemos un evento con ID = 624 que
indica la creación de un nuevo usuario.

En la misma web podemos ver la descripción y estructura del evento,


con lo que podremos contestar a las dos primeras preguntas ¿Qué usuario
ha sido creado recientemente? y ¿Quién ha creado dicho usuario?

Análisis forense – Juan José Delgado


Tema 4. Actividad, parte I

Para contestar a las demás podemos realizar una búsqueda del nombre
del usuario creado, y ver así los eventos relacionados con dicho usuario.
Veremos que hay eventos de intento de inicio de sesión (ID = 534).

Para contestar a la pregunta ¿De qué manera ha intentado acceder al


equipo?, es necesario hacer uso de la información contenida en la página:
http://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx,
en la cual aparecen los códigos de inicio de sesión y su significado.

Análisis forense – Juan José Delgado


Tema 4. Actividad, parte II

En la segunda parte de la actividad, vamos a hacer uso del programa


DB Browser for SQLite para responder a las preguntas:

• ¿En qué página web solicitó el usuario del sistema la cena?


• ¿A qué hora?

El primer paso para contestar a estas preguntas, sería abrir el historial


de navegación de Firefox (En WinXP: \Documents and
Settings\[USUARIO]\Datos de programa\Mozilla\Firefox\Profiles\XX.default\).
Archivo “places.sqlite”.

En Windows 7 la ruta del archivo sería:


\Users\[USUARIO]\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE].

Análisis forense – Juan José Delgado


Tema 4. Actividad, parte II

Puesto que no tenemos más información referente al caso, nuestra


labor consistiría en ir buscando entre las direcciones del historial
encontradas, aquellas que se correspondan con un servicio de petición de
comida a través de Internet.

Para facilitaros la labor, decir que la comida se solicitó a Telepizza y


que además debéis encontrar una dirección del tipo:

http://www.telepizza.es/InicioPedidoAnonimo.aspx

Y obtener la hora en la que dicha dirección fue accedida; pues coincidirá


con la hora en la que el “malo” hizo la petición.

Nota: La hora la encontraremos en formato UNIX Time, por lo que


debemos convertirla.

Análisis forense – Juan José Delgado


Tema 4. Actividad, parte III

La última parte de la práctica consiste en el análisis de los archivos del


registro de Windows facilitados, de manera que podamos obtener los
programas que se ejecutaban al inicio del sistema.

Para ello, haciendo uso del programa Windows Registry Recovery,


abriremos los archivos “NTUSER.DAT” de los usuarios “Administrador” y
“pirata”. Esto se hace desde el menú File > Open del mencionado
programa.

Una vez abiertos dichos archivos, vemos que en la parte izquierda de la


pantalla nos aparecen una serie de opciones entra las que encontraremos
Startup Applications. Es en dicha pestaña donde obtendremos los
programas que se ejecutaban al inicio del sistema en función del usuario con
el cual se arranque.

Análisis forense – Juan José Delgado


¿Alguna pregunta?
Análisis forense – Juan José Delgado
www.unir.net