22. Extracción de registros con FTK Imager en Windows

 Extracción de registros con FTK Imager en Windows

Contenido:

Cuando el equipo de cómputo está encendido, es el momento propicio para poder extraer cierta información que podría o no estar en la memoria RAM, pero nos puede dar información como de los accesos al equipo de cómputo, cuántas veces se pusieron mal la contraseña, entre otros elementos que están propiamente en el disco duro.

Un ejemplo más práctico es como irnos a Windows System32.

Accedemos a Windows System32.

Y accedemos a la carpeta config.

Aquí dentro de esta carpeta de config vamos a tener un archivo especial que se llama Sam.

El archivo Sam es crucial.

Ese tiene todos los usuarios que existen.

Por ejemplo, si yo tengo un usuario administrador pero oculto aquí, lo puedo llegar a visualizar.

Además puedo consultar cuantas veces han puesto bien o mal la contraseña, el último inicio de sesión, la última vez que cambiaron la contraseña y muchos otros datos que están aquí en el archivo SAM.

Cabe recalcar que no tengo acceso de administrador para poder indicarles o que se pueda visualizar el archivo SAM, pero si ustedes están con Windows diez pueden hacer esta práctica, acceden al config y dentro de esto tendrán el archivo SAM.

Ahora les pregunto: ¿Cómo creen que yo puedo copiar o realizar un respaldo del archivo SAM?

Bueno, si consideraron copiar y posteriormente pegar en alguna otra ubicación, están equivocados.

Ok, démosle reintentar.

Démosle en omitir.

Y veamos si tenemos acceso al archivo Sam.

No.

Perfecto.

Lo idóneo o lo óptimo sería abrir la herramienta de FTK.

Aquí tenemos la opción de Obtain Protected Files.

Yo selecciono esa opción y me va a decir OK, vamos a llevarnos el mínimo de archivos que sería como el SAM y un archivo más generales.

O podemos seleccionar todos los archivos del registro del sistema.

Bueno, yo voy a seleccionar la segunda opción.

Vamos a llevarnos todo.

Ahora nos pregunta en donde deseamos alojar en en el caso yo lo voy a hacer.

En el escritorio y voy a crear una nueva carpeta, la cual se llamará... a Ver... Cambiémosle de nombre.

Y respaldo.

Respaldo.

Listo.

Y aceptamos.

Finalmente presionamos en OK.

Listo.

La herramienta ya ha finalizado la extracción de los elementos importantes, pero también va a ir por la MFT o Master File Table o tablas de datos maestros.

Esto no es más que una estructura de datos utilizado por el sistema de archivos NTFS, que es propio de Windows.

Por supuesto, el sistema de archivos.

Ok, veamos si tenemos los resultados.

Aquí tenemos el archivo.

Ok, cerramos.

Los sistemas de Windows utilizan un fichero que contiene todo registro de archivos que se han llegado a almacenar en ese equipo de cómputo.

Por ejemplo, yo descargué un archivo que se llamaba Bootcamp.mp4.

Este archivo yo lo eliminé, pero la MFT tiene registro de que yo lo descargué, del que lo guardé en algún momento en mi equipo de cómputo.

Entonces puede pasar X tiempo, pero la MFT va a seguir registrando aquel fichero o archivo.

Ahora les pregunto: ¿Qué pasa si yo formateo el equipo? ¿Puedo recuperar aquel archivo o no?

Bueno, en realidad se crea una nueva MFT y ya no se podría obtener el que originalmente estaba, pero mientras no se formatee yo puedo recuperar esos archivos y el archivo como tal depende de que yo no lo haya sobreescrito.

Si ahora me dirijo nuevamente a mi respaldo.

Aquí puedo ver los principales archivos del sistema, como el mencionado de Sam y otros y de los usuarios.

Tengo mucha información de cada uno de ellos.

Aquí tenemos una Cate.

Un RSA.

Y bueno, esos archivos son muy importantes y como podrán constatar, toma poco tiempo para poder extraerlos.

Bueno, hasta aquí nos vemos en la siguiente clase.

Este post está listo para ser utilizado. 

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más