"COMPARAR REGISTRO EN WINDOWS MEDIANTE REGSHOT PARA COMPUTO FORENSE Y ANALISIS MALWARE"
acceso no autorizado 12:43:00
"COMPARAR REGISTRO EN WINDOWS MEDIANTE REGSHOT PARA COMPUTO FORENSE Y ANALISIS MALWARE"
Una de las cuestiones mas interesantes dentro del computo forense o la informatica forense es la cuestion de como el ciber ataque se ha llevado a cabo con exito si es que este mismo ha tenido un exito rotundo, y es que en algunos casos necesitamos saber que es lo que ha ocurrido con exactitud para que podamos resplicarlos y llevarlos a cabo en un juicio legal contra los responsables consecuentemente para llevarlos en un determinado momento a las consecuencias penales que pudieran presentarse, poniendonos en lugar del investigador forense , podemos decir que una de las cuestiones mas importantes dentro de los sistemas operativos windows es el registro de este mismo, ya que es a partir de aqui donde el atacante instalara su codigo malicioso o malware para llevar a cabo su objetivo y es por donde tendra o no existo su posterior ataque e inyeccion de payload o carga util de la intrusion informatica, es por ello que se han desarollado utilidades para verificar que partes del registro se han modificado, es decir, el registro de windows se modifica solo cuando un programa o script ha sido ejecutado o instalado, el atacante aqui mismo debe pensar donde ejecutara el script o codigo malicioso, aunque si bien hay muchos ataques que suelen pasar desapercibidos, los autores de estos ataques son mas inteligentes por asi decirlo, ya que suelen utilizar rootkits para que estos modifiquen el registro de windows a como estaba anteriormente y el investigador no sospeche de que aqui mismo algo anda mal o no dude de su investigacion erronea.
vamos a ir al laboratorio de computo y descargarnos la ultima version de la herramienta que a momento de escribir esta entrada se encuentra nada mas en el repositorio sourceforge, vamos a ello entonces.
una vez que la hemos descargado la ejecutamos y nos aparecera la siguiente pantalla.
lo que hace esta herramienta mas bien es comparar dos snapshots o capturas del sistema en un determinado momento para saber que se ha modificado del registro de windows, si se ha modificado algo y estamos dentro de una investigacion de computo forense, entonces quiere decir que hay algo sospechoso detras y tenemos que seguir investigando dentro de la linea de tiempo correspondiente a nuestra investigacion asignada.
una vez descargada la utilidad, podremos ver que tenemos varias versiones, unas contienen el formato de codificacion de texto unicode y las otras ANSI, todas dependeran de como tengas configurado tu sistema operativo windows, se debe tener cuidado en este punto para no tener problemas de lectura del archivo que generaremos mas adelante.
una vez abierto tendremos a nuestra disposicion muchas opciones, entre algunas opciones que tendremos estan la posibilidad de elegir sobre que carpeta realizar el volcado de nuestro analisis y la posibilidad de comparar las dos capturas del sistema que realizaremos.
vamos a realizar una primer captura del sistema para posteriormente instalar "algo" y es ese "algo" que modificara en lo mas minimo nuestro sistema para posteriormente tomar otra captura del sistema y compararlas haber que es lo que ha sucedido.
una vez abierto tendremos a nuestra disposicion muchas opciones, entre algunas opciones que tendremos estan la posibilidad de elegir sobre que carpeta realizar el volcado de nuestro analisis y la posibilidad de comparar las dos capturas del sistema que realizaremos.
vamos a realizar una primer captura del sistema para posteriormente instalar "algo" y es ese "algo" que modificara en lo mas minimo nuestro sistema para posteriormente tomar otra captura del sistema y compararlas haber que es lo que ha sucedido.
efecutamos la primera foto del sistema para despues instalarle la utilidad nmap y ver que es lo que ha ocurrido.
una vez hemos tomado la primera captura, posteriormente vamos a instalar nmap dentro de nuestro sistema operativo windows y vamos a tomar otra captura del sistema y vamos a compararlas.
esta increible herramienta nos servira para casos de reparar algun registro danado de windows y porque esto mismo se ha producido, asi como en las facetas y ambitos del computo forense y en casos de seguridad cibernetica.
el resultado de la anterior imagen es el archivo de texto que sale de comparacion con las dos capturas del sistema que hemos realizado, podemos ver un largo archivo con todas las claves del registro de windows que se han introducido y l;as carpetas que se han anadido como resultado de la modificacion del registro.
REFERENCIAS Y ENLACES TECNICOS:
acceso no autorizado
analisis forense
cibernetica
configuraciones
informatica forense
registro de windows
REGSHOT
windows 10
windows 7
windows 8
windows XP
0 comments:
Publicar un comentario