Adquisición de

evidencias
 Consideracións previas

Un dos retos principais á hora de realizar unha análise forense é ter ben claro o tipo
de incidente ao que nos enfrontamos e a partir del ver que evidencias é necesario
adquirir e a maneira de proceder.

Orde de volatilidade
A orde de volatilidade fai referencia ao período de tempo no que está accesible certa
información. Débese adquirir en primeiro lugar aquela información que vaia a estar
dispoñible durante o menor período de tempo.

•Elementos volátiles: configuración e conexións de rede, táboa ARP, usuarios logueados,

procesos en execución, memoria RAM,…

•Elementos non volátiles: discos duros, pen drives, CDs e DVDs…

 Adquisición de elementos volátiles

• Non modificar o estado do equipo, deixalo exactamente como está: nin abrir ficheiros, nin
executar programas, nin borrar cartafoles, etc. No caso de que estea aceso, non apagalo e no
caso de que estea apagado, non acendelo.

• A adquisición de elementos volátiles soamente vai ser posible no caso de que nos atopemos
con sistemas acesos, de non ser así deberemos de pasar directamente a adquisición de
elementos non volátiles ou post-mortem.

• Non confiar na información proporcionada polos programas do sistema xa que poden verse
comprometidos. Débese recompilar a información mediante programas desde un medio
protexido contra escritura.

• Non executar programas que modifiquen a data e hora de acceso de todos os ficheiros do
sistema.
 Adquisición de elementos volátiles

• Débese procurar utilizar ferramentas que alteren o menos posible o escenario, evitando, na
medida do posible, o uso de ferramentas de interface gráfico e aquelas cuxo uso de memoria
sexa grande.

• Hai que asegurarse de que toda a información recompilada durante o proceso sexa tratada
dentro do marco legal establecido, mantendo a privacidade esixida.

• De ser o caso, obter unha autorización por escrito de quen corresponda para poder levar a
cabo a análise e a recolección de evidencias.

• Solicitar os contrasinais necesarios para acceder ao sistema e a ficheiros ou volumes cifrados.

Adquisición de elementos volátiles
en contornos Windows
 Comandos e ferramentas para a adquisición

Para a adquisición de elementos volátiles nun contorno Windows, mostraremos a continuación

unha recopilación de comandos que nos van permitir adquirir información do sistema que pode
ser relevante para a nosa investigación. Recóllese ademais, ferramentas das suites de
Sysinternals e de Nirsoft, as cales non necesitan instalación e poden ser executadas desde liña
de comandos.

Nos exemplos de uso de comandos e/ou aplicacións mostrados a continuación realízase o

envorcado da información de saída a un ficheiro de texto situado no propio dispositivo desde o
que se executa o comando. Isto non é o recomendable xa que, tal e como se comentou
anteriormente, as aplicacións utilizadas para a adquisición de evidencias deberían de estar
situadas nun dispositivo de só lectura; polo que, nunha situación real, o envorcado debería de
ser realizado a outro dispositivo externo distinto ao utilizado para as ferramentas de adquisición.
 Comandos e ferramentas para a adquisición

Algunhas das evidencias obtidas mediante os comandos mostrados tamén van poder ser
adquiridas cun correcto análise tanto da memoria RAM como do disco, pero as circunstancias
poden variar dependendo da contorna e a situación na que nos atopemos polo que, un amplo
coñecemento en distintas técnicas e ferramentas achegarannos unha gran vantaxe á hora de
tomar as decisións acertadas.

No primeiro caso práctico do curso verase o uso dalgúns dos comandos listados para a
adquisición de evidencias nunha máquina virtual.
 Comandos e ferramentas para a adquisición

Hora e data do sistema (Comando)

date /t > DataEHoraDeInicio.txt &time /t >> DataEHoraDeInicio.txt

Configuración interfaces de rede (Comando):

ipconfig /all > ConfiguracionRede.txt

Consultas DNS realizadas (Comando):

ipconfig /displaydns > DNSCache.txt

Estado da caché arp (Comando):

arp -a > ArpCache.txt

Listado de portos abertos (Comando). Para filtrar faise uso do comando findstr:
netstat -an | findstr /i “estado listening established” > PortosAbertos.txt

Listado de aplicacións con portos abertos (Comando):

netstat -anob > AplicacionsConPortosAbertos.txt
 Comandos e ferramentas para a adquisición
Unidades mapeadas (Comando):
net use > UnidadesMapeadas.txt

Carpetas compartidas (Comando):

net share > CarpetasCompartidas.txt

Ficheiros copiados recentemente mediante NetBios (Comando):

net file > FicheirosCopiadosMedianteNetbios.txt

Ficheiros (do equipo) abertos remotamente (Sysinternals):

psfile /accepteula > FicherosAbertosRemotamente.txt

* Punto no que pode realizarse unha captura de tráfico, volcado de memoria e desconectar o equipo da rede antes de
proseguir cos seguintes comandos (comentarase máis adiante)

Histórico de comandos de consola (Comando):

doskey /history > HistoricoComandos.txt

Procesos en execución (Comando):

tasklist > ProcesosEnExecucion.txt
 Comandos e ferramentas para a adquisición
Árbore xerárquica dos procesos en execución (Sysinternals):
pslist /accepteula /t > ArboreDeProcesosEnExecucion.txt

Procesos en execución e librerías DLL asociadas (Sysinternals):

listdlls /accepteula > ProcesosEDlls.txt

Listado de Handles abertos por cada programa (Sysinternals):

handle /accepteula /a > Handles.txt

Procesos do usuario actual (Nirsoft):

cprocess /stext ProcesosUsuario.txt

Servizos en execución (Comando):

sc query > ServiciosEnExecucion.txt

Usuarios e grupos locais de NetBios (Comando):

nbtstat -n > UsuariosEGruposNetbios.txt

Usuarios do equipo (Comando):

net user > UsuariosDoEquipo.txt
 Comandos e ferramentas para a adquisición
Información detallada dun usuario específico (Comando):
net user nombre_usuario > InformacionUsuario_nombre_usuario.txt

Usuarios remotos que iniciaron sesión (Comando):

net session > UsuariosRemotos.txt

Sesións activas no sistema (Sysinternals):

logonsessions /accepteula > SesionsActivas.txt

Usuarios locales e remotos que iniciaron sesión no equipo (Sysinternals):

psloggedon /accepteula > UsuariosIniciadoSesion.txt

Contrasinais almacenados nos navegadores web (Nirsoft):

WebBrowserPassView /stab "ContraseñasNavegadores.txt“

Contrasinais correspondentes aos recursos de rede aos que está conectado o usuario actual (Nirsoft)
Netpass /stab "NetworkPasswordRecovery.txt”

Contrasinais dos principais xestores de correo (Nirsoft)

mailpv /stab "MailPassView.txt"
 Comandos e ferramentas para a adquisición

Listado de ficheiros en base á data de modificación.

dir /t:w /a /s /o:d c:\ > "ListadoFicheirosPorDataDeModificacion.txt“

Listado de ficheiros en base ao último acceso.

dir /t:a /a /s /o:d c:\ > "ListadoFicheirosPorUltimoAcceso.txt“

Listado de ficheiros en base á data de creación.

dir /t:c /a /s /o:d c:\ > "ListadoFicheirosPorDataDeCreacion.txt“

Información en caché de distintos navegadores (Nirsoft)

IECacheView /stab "IECache.txt"
Chromecacheview /stab "ChromeCacheView.txt"
MZCacheView /stab "FirefoxCacheView.txt“

Historial de Internet de distintos navegadores (Nirsoft)

BrowsingHistoryView.exe /VisitTimeFilterType 1 /HistorySource 2 /LoadIE 1
/LoadFirefox 1/LoadChrome 1 /LoadSafari 1 /stab Historial.txt
 Comandos e ferramentas para a adquisición

Últimas procuras realizadas nos principais motores (Nirsoft)

MyLastSearch /stab "MyLastSearch.txt“

Listado de ficheiros abertos (Nirsoft):

openedfilesview /stext > FicherosAbertos.txt

Data e hora de arranque do sistema (Comando):

◦ Windows Server:
net stats srv > ArranqueSistema.txt
◦ Windows Workstation:
net stats workstation > ArranqueSistema.txt

Información do sistema (Comando):

systeminfo > InformacionSistema.txt
 Comandos e ferramentas para a adquisición

Respecto aos comandos anteriores, unha vez executados os referidos á configuración de

rede, conexións de procesos e recursos compartidos, pode ser interesante realizar unha
captura do tráfico de rede para identificar as conversacións que ten a máquina co exterior ou
dentro da propia rede.

Existen varios programas que se poden utilizar, dous dos máis coñecidos son TShark ou
Wireshark. O problema destas aplicacións é que adoitan necesitar ter instalado no sistema un
driver de captura de tráfico como Npcap or WinPcap. Na súa falta, teriamos que instalar un ou
permitir que as propias aplicacións o fixeran.

Unha vez realizada a captura de tráfico sería o momento de realizar o envorcado da memoria
RAM (verase a continuación adiante como facelo) e despois podería desconectarse o equipo
da rede. Desconectando ou illando un equipo da rede podemos lograr que unha determinada
acción non siga ocorrendo, por exemplo unha descarga de datos non autorizada ou o borrado
remoto de datos por parte do atacante que poderían dificultar a análise.
 Comandos e ferramentas para a adquisición

Unha boa práctica para a adquisición de elementos volátiles é ter, no mesmo dispositivo no que
temos as utilidades de adquisición, un ficheiro batch para automatizar a execución e recollida da
información.

Dependendo do escenario ao que nos enfrontemos, poderemos activar ou desactivar as

utilidades e comandos que utilizamos simplemente comentando ou descomentando as liñas nas
que os invocamos.
Adquisición da memoria RAM
 Adquisición da memoria RAM

A captura ou envorcado da memoria RAM é un dos aspectos máis importantes da fase de

adquisición. Poder realizar unha correcta adquisición de memoria pode supoñer a diferenza entre
a resolución do incidente ou non. Debido a iso débese ser coidadoso durante o proceso.

Existen un gran número de utilidades que permiten realizar un envorcado de memoria, unha das
maís sinxelas de utilizar e menos intrusiva é DumpIt, pero existen outras moitas como poden ser
Winpmem, Memoryze, RamCapture, FTK Imager, Magnet RAM Capture, etc.

Unha vez finalizado o proceso de adquisición é moi importante, no caso de que a própia
ferramenta non nolo proporcione, obter un Hash do ficheiro xerado. Ferramentas que podemos
utilizar para elo son HashMyFiles, MD5deep, ou HashCalc.
 Fontes

MARTÍNEZ RETENAGA, Asier. Guía de toma de evidencias en entornos Windows.

https://www.incibe-cert.es/sites/default/files/contenidos/guias/doc/incibe_toma_evidencias_a
nalisis_forense.pdf

VILA AVENDAÑO, Pilar. Técnicas de análisis forense informático para peritos judiciales
profesionales. 0XWord., 2018. 978-84-697-7700-8.

CREDITS: This presentation template was created by

Slidesgo, including icons by Flaticon, infographics &
images by Freepik