martes, 5 de enero de 2016

Windows Security and Forensics (VII de VII)

En anteriores artículos de Microsoft Virtual Academy: Windows Security and Forensics se explicaba como encontrar evidencias forenses digitales de malware en un entorno Microsoft.

Windows 10 Forensics
En este último capítulo hacemos un recorrido por los distintos elementos donde recopilar evidencias digitales en un sistema operativo Windows 10. Algunas herramientas pueden ser muy útiles para recopilar datos como vssadmin para la gestión de las Shadow Copy, en este nuevo sistema operativo hay elementos nuevos y algunos cambios...


Muchos de los recursos se almacenan en tablas con un formato .edb con la herramienta ESEDatabaseView se puede ver el contenido de esos elementos, puede ser necesario utilizar Esentutl.


En esta formación se explican las referencias más importantes de archivos, tablas, bases de datos y demás elementos que necesitas para recolectar evidencias en un entorno Windows 10, a continuación te dejo algunas, en el curso tienes muchas más...

Location of important registry hives
\Users\user_name\NTUSER.DAT
\Windows\System32\config\DEFAULT
\Windows\System32\config\SAM
\Windows\System32\config\SECURITY
\Windows\System32\config\SOFTWARE
\Windows\System32\config\SYSTEM

Event Logs
Location of EVTX logs
\Windows\System32\winevt\Logs\
Event Logs – Windows Store
\Windows\System32\winevt\Logs\Microsoft-Windows-Store%4Operational.evtx

Prefetch
\Windows\Prefetch\

Location of Thumbcache files
\Users\user_name\AppData\Local\Microsoft\Windows\Explorer\

Windows Indexing Service

Stored in an .EDB file, can be interpreted by EseDbViewer, ESEDatabaseView or X-Ways Forensics. If “dirty” dismount, need to use esentutl.exe
 
In Windows 10 stored in the following directory:
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb

Cortana Databases (EDBs)
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\AppData\Indexed DB\IndexedDB.edb
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance\CortanaCireDb.dat
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\Contacts_xxxxx.cfg
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\Contacts_xxxxx.cfg.txt
Notification Centre
\Users\user_name\AppData\Local\Microsoft\Windows\Notifications\appdb.dat
Toast notifications are stored in embedded XML

Picture Password  
This registry key details the path to the location of the “Picture Password” file:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\PicturePassword\user_GUID
Path of locally stored Picture Password file:
C:\ProgramData\Microsoft\Windows\SystemData\user_GUID\ReadOnly\PicturePassword\background.png

Edge Browser
Same as IE10, records no longer stored in Index.DAT files, stored in EDB
Last active browsing session stored:  
\Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\


Este capítulo termina esta formación de Seguridad e Informática Forense en la Academia Virtual de Microsoft, además es gratuita.¿A qué esperas?

1 comentario:

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias