Caso Practico (Windows 10 Enterprise)

Id evidencias Volatiles
1. disponibilidad Temporal
2. eliminada al apagar sistema
"hora y fecha sistema" primera informacion
1. FAT almacena en base a tiempo local
2. NTFS almacena en formato UTC
Volcado de memoria
1. almacena datos de diversas fuentes
2. se encuenta procesos ocultos
3. memoria fisica
  1. memoria real
4. memoria virtual
  1. fichero de paginacion
Usuarios: herramienta "PSloggedOn"
1. cuentas con privilegios sin inicio de sesion del usuario
2. es util saber que usuarios estan con sesion activa
3. malware puede usar una cuenta para fraude y robar informacion
estado de red: herramienta "ip config"
1. intentamos localizar comunicacion sospechosa
2. identificamos nuestra direccion IP
3. lista de interfaces de red
conexiones establecidas: herramienta "NetBIOS"
1. nos indican actividad oculta
2. indican puerta trasera
3. Resultado: FicherosNetBIOS-20171219_205851.txt
conexiones activas y puertos abiertos: herramienta "netstat"
1. buscamos un "knock-code" o acceso remoto
  1. Resultado: PuertosAbiertos-20171219_210324.txt
contraseñas
1. comprobar constraseñas almacenadas para recursos de red
Registro Autoejecutable: herramienta "Autoruns"
1. registro de windows
  1. entrada de registo asociada
  2. ficheros
    1. no son necesariamente volatiles
2. proceso irregular "Google Update"
3. ejecucion script "gathernetworinfo.vbs"
4. no se ubica DLL relacionada al sistema

Resumo de Recurso

	Criado por Ariel Camacho V quase 3 anos atrás