Actividad evaluativa Eje 1

ALEXANDRA SÁNCHEZ SEPÚLVEDA

Presentado a tutor:
Camilo Cardona

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA

Informática Forense II
Grupo 62
INGENIERÍA DE SISTEMAS
2021
Contenido
Ilustraciones........................................................................................................................................ 2
Introducción........................................................................................................................................ 3
Instrucciones ....................................................................................................................................... 4
Recolección de información volátil y no volátil ................................................................................. 5
Situación Propuesta:........................................................................................................................... 5
Hallazgos ........................................................................................................................................... 13
DevCon .............................................................................................................................................. 14
CONCLUSIONES ................................................................................................................................. 14
BIBLIOGRAFIAS ................................................................................................................................. 14

Ilustraciones
Ilustración 1 Imagen crimen ................................................................................................................ 5
Ilustración 2 net user........................................................................................................................... 6
Ilustración 3 net accounts ................................................................................................................... 6
Ilustración 4 Net config ....................................................................................................................... 7
Ilustración 5 net statistics workstation ............................................................................................... 8
Ilustración 6 Psloggeadon ................................................................................................................... 8
Ilustración 7 Herramienta logonsessions ............................................................................................ 9
Ilustración 8 nbtstat .......................................................................................................................... 10
Ilustración 9 psfile ............................................................................................................................. 10
Ilustración 10 pslist ........................................................................................................................... 11
Ilustración 11 Tasklist ........................................................................................................................ 11
Ilustración 12 Listdlls ......................................................................................................................... 12
Ilustración 13 Process Explorer ......................................................................................................... 12
Ilustración 14 Doskey /history .......................................................................................................... 13
Introducción
A continuación, se enseñan algunas de las herramientas empleadas desde la informática
forense, encontramos un caso propuesto, especialmente para resolver posibles acciones de
un individuo que ha ingresado a un equipo para afectarlo, el procedimiento se debe ejecutar
a través de varios comandos para tratar de recuperar información importante.
Instrucciones
Realizar la lectura del eje de pensamiento Eje 1.
Contar con una máquina virtual sistemas operativo Windows.
Recrear la escena y realizar la práctica de los comandos y herramientas utilizadas para
la recolección de información volátil.
Imagínese la escena propuesta y aplique los comandos recomendados para la
recolección de información volátil.
Comando date/time.
Comando net con cuatro opciones.
Comando psloggedon.
Comando Logonsessions.
Comando nbtstat.
Comando psfile.
Comandos Tasklist, Pslist y Listdlls.
Descargar, instalar la herramienta Process Explorer, analizar los procesos que están
activos en el sistema y tratar de identificar si alguno les parece sospechoso.
Realizar una búsqueda en internet de los procesos sospechosos para determinar qué
aplicación lo lanza y determinar si es maligno o benigno.
Comando doskey.
Haga una revisión de directorio, y las diferentes llaves de registro usadas por un
investigador para poder encontrar información.
Descargue la iso de Partition Logic.
Cree un nuevo disco y asignarlo a la máquina virtual.
Con la herramienta Partition Logic, elimine la particion del disco nuevo y cree dos de
igual tamaño.
Para ampliar el uso de Partition Logic les recomendamos ver el siguiente video:
https://www.youtube.com/watch?V=t0Dr7UGuBIw.•
Haga una investigación de la herramienta DevCon, y como le puede servir a un
investigador.
Desarrolle la práctica y realice un documento con los resultados obtenidos y sus
conclusiones.
Revisar los archivos, el registro de Windows
En el informe debe tener los resultados de los comandos y unas conclusiones de lo
encontrado en el sistema analizado.
Máximo 3 hojas.
 Recolección de información volátil y no volátil
Descripción de la tarea:

Situación Propuesta:
El investigador Pepito Pérez llega a su oficina y al ver su computador se da cuenta que está
presentando un comportamiento extraño, se evidencia lentitud al procesar cualquier orden
y la mayoría de los mandos no responden. El señor Pepito Pérez determina que alguien
ingresó a su sistema y antes de que se llegue a apagar el equipo decide realizar un análisis y
una recolección de información que pueda perder si el equipo se apaga.
En la escena del crimen lo primero que damos a conocer como informático forense es
conectar un disco extraíble en este caso haremos de cuenta que es el Disco C: para así
continuar recuperando información sin afectar el sistema principal afectado.

Ilustración 1 Imagen crimen

Iniciamos con los comandos en el entorno CMD para poder hallar información del
procedimiento.

Ilustración 2 net user

Ilustración 3 net accounts

Ilustración 4 Net config
Ilustración 5 net statistics workstation

Ilustración 6 Psloggeadon

Este fue ejectuado con PStools.

Ilustración 7 Herramienta logonsessions
Ilustración 8 nbtstat

Ilustración 9 psfile
Ilustración 10 pslist

Ilustración 11 Tasklist
Ilustración 12 Listdlls

Ilustración 13 Process Explorer

Ilustración 14 Doskey /history

Hallazgos
De acuerdo con los comandos que se han ejecutado el investigador forense puede
determinar frente al dispositivo del usuario Pepito Pérez lo siguiente:
I. Identificar el usuario que tiene registrado el equipo,
II. Determinar cuantas veces ha iniciado en minutos.
III. Concluir con las estadísticas de trabajo se identifica si tiene errores de red,
conexiones establecidas, sesiones con errores, operaciones con errores.
IV. Con psloggedon se determina a qué hora fue el inicio sesión
V. Con logonsessions se determina las sesiones iniciadas con su fecha y hora.
VI. Con el comando nbtstat -s y -n la sesión con su determinada ip como también el
nombre del usuario
VII. Con el psfile se determina los directorios abiertos remotamente del cual en este caso
ninguno ha sido abierto.
VIII. process explorer ver ya gráficamente los procesos y cuál de ellos se pueden
suspender para eliminar el proceso malicioso
IX. se revisa con el comando listdlls nos muestre todos los dlls para verificar si hay alguno
sospechoso
Se listan las tareas y la ejecución de los procesos para identificar si hay alguno malicioso y se
encuentre ocupando un porcentaje alto en proceso y eventualmente un virus sospechoso.
Para terminar el comando doskey /history nos refleja el historial de los últimos comandos
ejecutados el cual nos sirve para saber que utilizó el sospecho para alterar el equipo de
Pepito.

DevCon
Es una herramienta que nos puede ayudar a determinar si un dispositivo en su parte de
hardware o software está comprometido, hallazgo que posiblemente causo el problema de
Pepito Pérez, de esta manera poder deshabilitar o desinstalar el dispositivo del cual nos
muestra con esta herramienta hasta el id de dispositivo para poder desaparecerlo del equipo
a recuperar.

CONCLUSIONES

Se concluye que las herramientas de Windows son muy efectivas en el momento de hablar
de seguridad informática, lo cual nos ayuda como informáticos forenses a determinar y hallar
las evidencia que sea correctas frente a un caso. El conocimiento en conjunto con las
herramientas nos puede ayudar a identificar de manera eficiente, eficaz las causado del
problema causado por motivos como; hacker malintencionado que quiera hacer daño a un
dispositivo o una empresa para obtener alguna recompensa.

BIBLIOGRAFIAS

INFORMÁTICA FORENSE II - 202160-6A - 062 (instructure.com)

Martínez Retenaga, A. (noviembre de 2014). Guía de toma de evidencias en entornos Windows.

Obtenido de https://www.incibecert.es/sites/default/files/contenidos/guias/doc/incibe_toma_
evidencias_analisis_forense.pdf

Microsoft. (2017). Comandos NET en sistemas operativos Windows. Obtenido de

https://support.microsoft.com/es-co/help/556003