Archivos LNK nivel experto
Hace un par de días estaba leyendo un post en Hacking Exposed Computer Forensic Blog acerca de los artefactos de Windows, y algo que me llamo mucho la atención es que David Cowen comentaba que cuando él está entrevistando a candidatos para formar parte de su equipo se enfoca mucho en el entendimiento que tiene el examinador de los artefactos de Windows y en la interpretación de la información que puede obtener de ellos, una de las preguntas que más me llamo la atención y de donde tome la idea para este post es: ¿Qué puedes determinar a partir de un archivo LNK?
Mr. Cowen después explica que él puede medir el nivel de experto de un candidato en base a su respuesta, piensen en la pregunta y respondan antes de ver lo que David considera como posibles respuestas y midan en donde están, para esto me permitiré traducir este fragmento del post de hacking exposed.
Mr. Cowen después explica que él puede medir el nivel de experto de un candidato en base a su respuesta, piensen en la pregunta y respondan antes de ver lo que David considera como posibles respuestas y midan en donde están, para esto me permitiré traducir este fragmento del post de hacking exposed.
- Respuesta de principiante: Un LNK nos puede decir a que archivos o programas ha accedido un usuario.
- Respuesta intermedia: Un LNK revela a que archivos o programas ha accedido un usuario y que ruta tienen en la red y la MAC address del equipo.
- Respuesta Experimentada: Un LNK revela a que archivos o programas ha accedido un usuario y que ruta tienen en la red y la MAC address del equipo, también contiene timestamps del archivo y/o el programa que se está teniendo acceso el cual representa al archivo en el momento en que fue accedido.
- Respuesta Senior: Un LNK revela a que archivos o programas ha accedido un usuario y que ruta tienen en la red y la MAC address del equipo, también contiene timestamps del archivo y/o el programa que se está teniendo acceso el cual representa al archivo en el momento en que fue accedido. También contiene el serial del dispositivo o volumen que puede ser utilizado para hacer match con el volumen del cual proviene si no hay volumen nos puede decir la fuente de red de la que proviene. Los archivos LNK también contienen elementos de Shell permitiendo así al examinador determinar qué tipo de carpeta está siendo accedida (volumen/network/file/uri).
- Respuesta de experto: Un archivo de vinculo (LNK) contiene dos conjuntos de timestamps que son relevantes para el examinador. El primer conjunto de MAC times pertenece al mismo archivo lnk, nos revela por medio de la fecha de creación cuando fue accedido el archivo por primera vez según lo registra el archivo lnk, la fecha de modificación registra la última vez que el archivo lnk fue actualizado y debería reflejar el ultimo acceso exitoso. El segundo conjunto de fechas se mantienen en el target al que el link file hace referencia y se puede erealizar la correlacion basados en el ultimo acceso exitoso al archivo desde el lnk. Para poder determinar estados previos del archivo es posible analizar los puntos de restauración (WinXP), las volumen Shadow Copies (Win7) y hacer un Carving de los archivos LNK para encontrar otras versiones de este archivo lnk que también hagan referencia al archivo en cuestión al serial del volumen o a los elementos de Shell. Cada conjunto de MAC times que es actualizado representa otro acceso exitoso al archivo a través del LNK y debe ser considerado como "en uso".
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!