Analisis forense de perfiles de usuario en Windows. Introducción a las Shellbags
Desde el punto de vista del análisis forense, las plataformas Windows no son sencillas. Al contrario de lo que se suele creer, son sistemas con una complejidad manifiesta, donde por la naturaleza del sistema y su modelo de código existen funciones que no están documentadas y donde existen infinidad de artefactos de los que es posible recoger las evidencias que necesitamos en cada caso. Para añadir dificultad, muchas de estas evidencias pueden ser recogidas individualmente pero necesitarán posteriormente una correlación para poder establecer una línea temporal o un patrón comportamental. Uno de esos muchos artefactos, o conjunto de artefactos, son las llamadas shellbags.
El propósito de este articulo es ofrecer una visión introductoria a los perfiles de usuario y los procedimientos específicos para realizar un análisis sobre los artefactos relacionados. No pretende ser una revisión en profundidad del registro de Windows, para lo cual recomiendo Windows Registry Forensics de Harlan Carvey, ni tampoco la reinvención de la rueda en un tema que ya tiene suficiente prensa y que esta muy bien tratado en general. En este articulo hablaremos de shellbags y ejemplificaremos como analizarlas para obtener un conocimiento elemental que nos permita en un futuro realizar actividades similares en otros elementos del registro.
Nos centraremos en herramientas gratuitas y de código abierto que cualquier de vosotros puede probar en sus propias instalaciones aunque existen herramientas comerciales que ofrecen excelentes resultados igualmente. Nos centraremos en un ejemplo real de Windows XP, con lo que si estás en una plataforma distinta, acude a tu buscador y encuentra las diferencias para cada caso, especialmente si estás en Windows 7.
Contenido completo en fuente original Sergio Hernando
El propósito de este articulo es ofrecer una visión introductoria a los perfiles de usuario y los procedimientos específicos para realizar un análisis sobre los artefactos relacionados. No pretende ser una revisión en profundidad del registro de Windows, para lo cual recomiendo Windows Registry Forensics de Harlan Carvey, ni tampoco la reinvención de la rueda en un tema que ya tiene suficiente prensa y que esta muy bien tratado en general. En este articulo hablaremos de shellbags y ejemplificaremos como analizarlas para obtener un conocimiento elemental que nos permita en un futuro realizar actividades similares en otros elementos del registro.
Nos centraremos en herramientas gratuitas y de código abierto que cualquier de vosotros puede probar en sus propias instalaciones aunque existen herramientas comerciales que ofrecen excelentes resultados igualmente. Nos centraremos en un ejemplo real de Windows XP, con lo que si estás en una plataforma distinta, acude a tu buscador y encuentra las diferencias para cada caso, especialmente si estás en Windows 7.
Shellbags. Definicion
El concepto de shellbags se puede resumir como aquellos lugares donde el sistema operativo almacena información relacionada con las preferencias de visualización de contenidos en Windows Explorer, tales como tamaño de la ventana, la posición de la misma en la pantalla, modo de visualización y elementos visibles por citar algunos ejemplos. SI quieres ver a las shellbags en acción, nada mas fácil que hace doble click en "Mi PC", cerrar la ventana y volver a abrir. Las preferencias de visualización se han guardado, y por ese motivo la ventana se abre en el mismo sitio, con el mismo tamaño y con los mismos modos de visualización (detalles, lista, iconos grandes, pequeños, etc).Contenido completo en fuente original Sergio Hernando
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!