29. Extracción y asociación de Información del archivo SAM con RegRipper

Extracción y asociación de Información del archivo SAM con RegRipper

En esta clase vamos a generar un reporte de todos los usuarios del sistema operativo desde el archivo SAM, para lo cual vamos a emplear la herramienta RegRipper.

El procedimiento es similar a la clase anterior, pero en esta ocasión vamos a clasificar los usuarios a sus respectivos grupos, así que procedamos.

Procedimiento Paso a Paso

1. Carga del Archivo SAM

  • Inicializamos RegRipper

  • Vamos a File → Open para cargar el archivo SAM

  • En mi caso, lo tengo en Documentos/curso/

  • Seleccionamos el archivo SAM correspondiente

2. Configuración del Reporte

  • Seleccionamos la ubicación donde guardaremos el reporte

  • En mi caso, lo guardaré en el escritorio

  • Asignamos el nombre: reporte.txt

  • Presionamos Guardar

3. Generación del Reporte

  • Presionamos el botón de ejecución (Rip)

  • La herramienta nos muestra un mensaje confirmando que la tarea fue completada

  • Cerramos las ventanas correspondientes

Análisis del Reporte Generado

Información de Usuarios

Al abrir el archivo reporte.txt, podemos visualizar:

Usuarios del Sistema:

  • Administrador (500):

    • ID Security completo

    • Tipo de cuenta

    • Fecha de creación

    • Último logueo

    • Cambios de contraseña

    • Intentos fallidos de login

    • Cantidad de bloqueos

Usuario Invitado:

  • Información similar estructurada

Usuarios Manuales (desde 1001):

  • Usuarios creados manualmente

  • Misma estructura de información

Información de Grupos

Grupo Users:

  • Integra usuarios: 1003, 1004

  • Usuarios temporales del sistema

Otros Grupos:

  • Grupo Usher: usuario invitado

  • Administradores (501): usuarios 1003, 1004, 500

Asociación Usuario-Grupo

Para realizar la asociación:

  1. Abrimos un nuevo bloc de notas

  2. Tomamos como ejemplo el usuario 1003

  3. Verificamos en la sección de grupos:

    • Usuario 1003 pertenece al grupo número 4

    • También está en el grupo de administradores

  4. Relacionamos cada usuario con sus grupos correspondientes

Información Adicional del Reporte

Última Modificación:

  • El script muestra la fecha de última modificación

  • Ejemplo: 25 de enero de 2014

  • Indica cuándo se agregó o eliminó algún usuario o configuración

Conclusión

Este proceso nos permite:

  • Extraer completa información de usuarios del SAM

  • Clasificar usuarios por grupos

  • Establecer relaciones usuario-grupo

  • Obtener metadata temporal de modificaciones

El procedimiento es sencillo y efectivo para el análisis forense de usuarios en sistemas Windows.

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más