sábado, 24 de enero de 2009

Windows 7 Beta y la clave UserAssist

La clave UserAssist del registro de Windows contiene valiosa información que nos ayudará a desvelar gran parte de las acciones realizadas por un usuario en el sistema. Dicha clave es particular para cada cuenta por lo que los datos almacenados serán diferentes en función del usuario que haya iniciado la sesión.

Hasta el momento los datos almacenados se encontraban cifrados, utilizando para ello el método ROT-13. Didier Stevens publicó en su momento una valiosa herramienta la cual nos mostraba el contenido de dicha clave, una vez descifrados los datos, y en un formato amigable para el investigador. Puede consultarse más información sobre el registro en general y la clave UserAssist en particular en mi documento publicado en los foros de Wadalbertia.

Pues bién, tal y como Didier Stevens ha descubierto y publicado, para Windows 7 Beta el algoritmo de cifrado ROT-13 ha sido sustituido por Vigenère, y la clave utilizada para el cifrado, y también descubierta por Didier Stevens, se repite para todas las instalaciones analizadas hasta el momento.

Leer más...

jueves, 15 de enero de 2009

Análisis de la funcionalidad "Restaurar sistema"

No hace mucho que analizamos el uso de las "Volume Shadow Copy" en Windows Vista y sus implicaciones relativas al análisis forense de sistemas. Bién, pues ahora analizaremos la funcionalidad "Restaurar sistema" implementada en Windows XP.

La herramienta es accesible desde el entorno gráfico accediendo al menú Inicio, Programas, Accesorios, Herramientas del sistema, Restaurar sistema o desde línea de comandos utilizando el siguiente binario:

%systemroot%\system32\restore\rstrui.exe

Dicha funcionalidad fué incluida por primera vez en Windows ME y se basa en la copia y almacenamiento de todos aquellos ficheros que resulten modificados y que hayan sido configurados para ser monitorizados por el sistema.

Leer más...

lunes, 12 de enero de 2009

Porqué nació este blog

Esto es más que un offtopic, pero me apetece escribir, y sin duda éste es un tema tan bueno como cualquier otro para ello.

Cuando empecé a escibir mi propio blog llevaba ya algún tiempo planteándomelo, pero no pensaba, y desde luego en muchas ocaciones sigo haciéndolo, estar lo suficientemente capacitado para ello. He puesto mucha ilusión en él y, quizás de forma egoista, la principal razón, y la que me llena de satisfacción cada vez que publico una nueva entrada, es la posibilidad de seguir aprendiendo y, a la vez, enseñar lo que he aprendido a otros. Sin duda existen otras razones más mundanas como, por ejemplo, la de darme a conocer para, quien sabe si algun día, poder dedicarme profesionalmente a trabajar como analista forense, pero en este momento están en un segundo plano.

Leer más...

jueves, 8 de enero de 2009

Nueva versión de win32dd

Matthieu Suiche ha liberado hace algunos días una nueva versión de su magnífica herramienta, win32dd, la cual permite realizar volcados de la memoria física de sistemas Windows.

Leer más...

lunes, 5 de enero de 2009

Servicio Volume ShadowCopy en Windows Vista

NOTA: Este articulo esta basado enteramente en "VISTA Shadow Volume Forensics", una de las entradas publicadas en el blog de analisis forense de SANS.

Se trata de un servicio, habilitado por defecto con la instalación predeterminada de Windows Vista, y que constituye la base para su sistema de disaster recovery. Dicho sistema se basa en la creación, ya sea de forma manual o automática, de copias de seguridad y puntos de restauración del sistema, sin que para ello sea necesario obtener acceso exclusivo a los ficheros que se desean respaldar.

Esta funcionalidad se introdujo por primera vez con Windows XP, pero el auténtico predecesor del sistema utilizado por Vista proviene de Windows 2003 Server. No obstante en este artículo únicamente analizaremos las características relativas a Windows Vista.

Nótese que un requisito imprescindible para poder ejecutar el servicio es que el volumen en el cual se haya configurado esté formateado con el sistema de ficheros NTFS.

Leer más...