Investigación Forense Extracción de Datos Volátiles
Investigación Forense Extracción de Datos Volátiles

Investigación Forense: Extracción de Datos Volátiles (manual)

En este artículo, ejecutaremos un conjunto de comandos CLI que ayudan a un investigador forense a recopilar datos volátiles del sistema tanto como sea posible. Los comandos que usamos en esta publicación no son la lista completa de comandos, pero estos se usan más comúnmente una vez.

Según el estilo del investigador forense, crea una carpeta en el nombre de escritorio “caso” y dentro crea otra subcarpeta llamada “caso01” y luego usa un documento vacío “volátiles.txt” para guardar el resultado que se extraerá.

Todas las salidas del informe las guardaré dentro de /EIF20/DV/notas.txt, que ayudará a crear un informe de investigación.

¿Qué son los datos volátiles?

Hay dos tipos de datos recopilados en informática forense: Datos persistentes y Datos volátiles. Los datos persistentes son aquellos datos que se almacenan en un disco duro local y se conservan cuando la computadora está apagada. Los datos volátiles son cualquier tipo de datos que se almacenan en la memoria, que se perderán cuando la computadora se apague.

Los datos volátiles residen en la memoria caché del registro y la memoria de acceso aleatorio (RAM). Esta investigación de los datos volátiles se llama “forense en vivo” (live forensics).

Información del Sistema

Es un perfilador de sistema incluido en Microsoft Windows que muestra información de diagnóstico y solución de problemas relacionados con el sistema operativo, el hardware y el software.

Podemos recopilar estos datos volátiles con la ayuda de comandos. Todo lo que necesitamos es escribir este comando.

Guardará todos los datos en este archivo de texto (notas). Comprobamos si este archivo es creado o no por el comando [dir] para comparar el tamaño del archivo cada vez después de ejecutar cada comando.

Información del sistema para Forense
Información del sistema para Forense

Ahora, dirígete a esta ubicación para ver los resultados de este comando. Donde mostrará toda la información del sistema sobre nuestro software y hardware del sistema.

Conexiones de Red Disponibles Actualmente

La conectividad de la red describe el extenso proceso de conectar varias partes de una red. Ello con la ayuda de routers, switches, y gateways.

Podemos comprobar todas las conexiones de red disponibles actualmente a través de la línea de comandos.

podemos comprobar si se crea o no con la ayuda del comando [dir] como puedes ver, ahora el tamaño del archivo se ha incrementado.

Conexión Red Disponible para Forense
Conexión Red Disponible para Forense

Ahora, abre ese archivo de texto para ver todas las conexiones activas en el sistema en este momento. También nos proporcionará algunos detalles adicionales como el estado, PID, dirección, protocolo.

Configuración de Routing

Especifica las direcciones IP correctas y la configuración del router. Configuración del host: configura una conexión de red en una computadora host o portátil registrando la configuración de red predeterminada, como la dirección IP, el proxy, el nombre de la red y la ID / contraseña.

Para conocer la configuración del router en nuestra red ejecuta este comando.

Podemos comprobar el archivo con el comando [dir].

Tabla Routing para forense
Tabla Routing para forense

Abre el archivo txt para evaluar los resultados de este comando. Como la tabla de routing y su configuración.

Fecha y Hora

Para saber la fecha y la hora del sistema podemos ejecutar el siguiente comando. También podemos comprobar si el archivo está creado o no con la ayuda del comando [dir].

Abra ese archivo para ver la fecha reunida con el comando.

Fecha y Hora actual con CMD
Fecha y Hora actual con CMD

Variables del Sistema

Una variable del sistema es un valor dinámico con nombre que puede afectar al modo en que los procesos en ejecución se comportan en la computadora. Son parte del sistema en el que se están ejecutando los procesos. Por ejemplo, un proceso en ejecución puede consultar el valor de la variable de entorno TEMP para descubrir una ubicación adecuada para almacenar archivos temporales.

Podemos comprobar todas las variables del sistema establecidas en un sistema con un solo comando.

Podemos comprobar si el archivo está creado o no con el comando [dir].

Comando para Variables del Sistema Windows
Comando para Variables del Sistema Windows

Ahora, abre el archivo de texto para ver las variables de sistema establecidas en el sistema.

Lista de Tareas

Una lista de tareas es un menú que aparece en Microsoft Windows, que proporcionará una lista de las aplicaciones que se están ejecutando en el sistema. Para obtener la lista de tareas del sistema junto con su ID de proceso y el uso de memoria, ejecuta este comando.

también podemos comprobar si el archivo de texto se crea o no con el comando [dir].

tasklist en Windows

Abra el archivo de texto para evaluar los detalles.

Lista de Tareas con Módulos

Con la ayuda de los módulos de la lista de tareas, podemos ver el funcionamiento de los módulos en función de la tarea concreta. Podemos ver los resultados de nuestra investigación con la ayuda del siguiente comando.

podemos comprobar si nuestro archivo de resultados está creado o no con la ayuda del comando [dir].

Lista de tareas con módulos Windows
Lista de tareas con módulos Windows

Abre el archivo de texto para evaluar los resultados del comando.

Lista de Tareas con Servicios

Mostrará todos los servicios que una tarea particular requiere para operar su acción. Obtenemos estos resultados en nuestro informe forense usando este comando.

comprobamos si el archivo de texto se crea o no con el comando de ayuda [dir].

Lista de tareas con servicios Windows
Lista de tareas con servicios Windows

Abre este archivo de texto para evaluar los resultados. Mostrará los servicios utilizados por cada tarea.

Información de Estación de Trabajo

Una estación de trabajo se conoce como una computadora especial diseñada para aplicaciones técnicas o científicas destinada principalmente a ser utilizada por una persona a la vez. Normalmente se conectan a una red de área local y funcionan con sistemas operativos multiusuario. Sigue estos comandos para obtener los detalles de nuestra estación de trabajo.

para comprobar si el archivo se ha creado o no, utiliza el comando [dir].

Información de estación de trabajo
Información de estación de trabajo

Ahora, abre el archivo de texto para ver los resultados de la investigación.

Dirección MAC en Caché del Sistema ARP

Hay dos tipos de entradas ARP: estáticas y dinámicas. La mayoría de las veces, usaremos las entradas ARP dinámicas. Esto significa que las entradas ARP se mantienen en un dispositivo durante algún tiempo, mientras se utiliza.

Lo contrario de una dinámica, si la entrada ARP es la estática necesitamos introducir un enlace manual entre la dirección MAC de Ethernet y la dirección IP. Debido a los dolores de cabeza de la administración utilizamos la dinámica la mayor parte del tiempo. Para obtener esos detalles en la investigación sigue este comando.

podemos crear o no el archivo de texto con el comando [dir].

Dirección MAC en Caché Sistema ARP
Dirección MAC en Caché Sistema ARP

Ahora, abre el archivo de texto para ver el informe de la investigación.

Detalles del Usuario del Sistema

Un usuario es una persona que utiliza una computadora o un servicio de red. Los usuarios de sistemas informáticos y productos de software generalmente carecen de los conocimientos técnicos necesarios para comprender plenamente su funcionamiento. Para obtener los datos de ese usuario hay que ejecutar el comando net user.

podemos usar el comando [dir] para comprobar si el archivo está creado o no.

Detalles Usuario Sistema Windows

Ahora, abre un archivo de texto para ver el informe de la investigación.

Configuración del DNS

El DNS es el sistema de Internet para convertir los nombres alfabéticos en la dirección IP numérica. Cuando se escribe una dirección web en el navegador, los servidores DNS devuelven la dirección IP del servidor web asociado a ese nombre. Para conocer la configuración del sistema DNS sigue este comando.

podemos ver que el informe de texto se crea o no con el comando [dir].

Configuración DNS para Forense
Configuración DNS para Forense

Ahora abre el archivo de texto para ver el informe de texto.

Sistema de Recursos Compartidos de Red

Una red compartida significaría una conexión común de Wi-Fi o LAN. Lo mismo es posible para otra carpeta del sistema. Al activar el uso compartido de la red y permitir determinados o restringidos derechos, estas carpetas pueden ser vistas por otros usuarios/ordenadores en los mismos servicios de red. Podemos ver estos detalles siguiendo este comando.

También podemos comprobar el archivo que se crea o no con el comando [dir].

Comando para Recursos Compartidos de Red
Comando para Recursos Compartidos de Red

Ahora, abre ese archivo de texto para ver el informe de la investigación.

Configuración de la Red

La configuración de la red es el proceso de establecer los controles, el flujo y el funcionamiento de una red para apoyar la comunicación de la red de una organización y/o del propietario de la red. Este término incorpora las configuraciones múltiples y los procesos de escalonamiento en el hardware, el software y otros dispositivos y componentes de apoyo de la red. Para obtener los detalles de la red sigue estos comandos.

Como de costumbre, podemos comprobar si el archivo está creado o no con los comandos [dir].

Exportar Configuración de la Red
Exportar Configuración de la Red

Ahora, abre el archivo de texto para ver el informe de la investigación.

Como se dijo antes, estos son uno de los pocos comandos que se utilizan comúnmente. Quedan muchos comandos en el arsenal del investigador forense. ¿Nos comentas alguno que no esté en la lista?…

Esta publicación llegó gracias a Shubham Sharma, investigador de Ciberseguridad y Pentester, puedes contactarlo en Linkedin Twitter.

My Cart Close (×)

Tu carrito está vacío
Ver tienda