Tema 7: Análisis Forense en Windows, Linux y MacOS

Questions and Answers

¿Cuál de las siguientes herramientas permite listar los usuarios conectados localmente y remotamente en un sistema Windows?

• Tasklist
• PsLoggedOn (correct)
• Process Explorer
• Netstat

En un análisis forense de Windows, ¿qué comando de PowerShell se utiliza para obtener la fecha y hora del sistema?

• `ipconfig /all`
• `nbtstat -c`
• `Get-Date` (correct)
• `date /t & time/t`

En un sistema Windows, ¿qué información se puede obtener al analizar la caché de nombres NetBIOS?

• El historial de navegación web del usuario.
• La configuración IP actual de las interfaces de red.
• La lista de procesos en ejecución en el sistema.
• El listado de conexiones realizadas por otros sistemas que utilizan protocolo NetBIOS. (correct)

¿Cuál de las siguientes herramientas en Windows permite supervisar en tiempo real la actividad del sistema de archivos, el registro, la red y los procesos?

Process Monitor (D)

¿Dónde se encuentran los archivos NTUSER.DAT, que contienen información específica del usuario en Windows?

Users[Usuario] (B)

¿Qué tipo de información se puede obtener al analizar el registro de eventos de Windows?

Los inicios y cierres de sesión de usuarios, cambios en la hora del sistema y conexiones de dispositivos. (A)

¿Cuál es el propósito de las UserAssist Keys en el registro de Windows?

Listar los programas ejecutados recientemente. (A)

Si un archivo se elimina en Windows, ¿dónde se almacena antes de ser borrado definitivamente?

En la papelera de reciclaje, en una carpeta con nombre aleatorio. (D)

En sistemas Linux, ¿qué archivo contiene una entrada para cada usuario del sistema, incluyendo información sobre sus credenciales y directorio home?

/etc/passwd (A)

En Linux, si la columna de contraseña en /etc/passwd contiene una 'x', ¿qué indica esto?

La contraseña está encriptada y almacenada en /etc/shadow. (C)

¿Dónde se almacenan comúnmente los archivos de registro (logs) en sistemas Linux?

/var/log (A)

En Linux, ¿qué comando se utiliza para ver el historial de comandos ejecutados en la terminal?

history (C)

En Linux, ¿qué comando se utiliza para listar los archivos abiertos y los procesos que los están utilizando?

Isof (C)

En Linux, ¿cómo se pueden listar los procesos en ejecución en forma de árbol, mostrando la relación padre-hijo entre los procesos?

pstree (D)

¿Cuál es el directorio especial en Linux que, aunque no existe físicamente, contiene información muy relevante sobre el sistema, incluyendo su kernel y procesos?

/proc (A)

¿Qué archivo dentro del directorio /proc en Linux muestra los parámetros pasados al kernel durante el arranque?

/proc/cmdline (B)

En sistemas MacOS, ¿cómo se pueden obtener los usuarios que han iniciado sesión si el equipo está apagado?

Analizando el archivo /var/run/utmpx (D)

En MacOS, ¿qué tipo de archivos almacenan la configuración de las aplicaciones y del sistema en formato de clave-valor?

Archivos Plist (B)

En MacOS, ¿dónde se ubican los archivos LaunchAgents y daemons, que gestionan los procesos del sistema?

En /System/Library/, /Library/ y la carpeta del usuario. (D)

Si durante un análisis forense en MacOS se encuentra algo extraño en la carpeta /System/Library/, ¿qué implicación tiene esto?

Probablemente se trate de un malware o algún programa no legítimo. (A)

En el análisis forense, ¿cuál es la importancia de recolectar información volátil de un sistema?

Proporciona información sobre el estado del sistema en tiempo real, procesos en ejecución y conexiones de red activas. (B)

¿Cuál de las siguientes NO es una fuente de información volátil en un sistema Windows?

El contenido de la papelera de reciclaje. (A)

Al analizar la información de red en un sistema comprometido, ¿qué indica la presencia de conexiones a direcciones IP o dominios inusuales?

Que el sistema podría estar comunicándose con un centro de control de malware. (B)

Si se sospecha que un sistema Linux ha sido comprometido, ¿qué archivos de registro (logs) serían los más relevantes para analizar?

/var/log/auth.log, /var/log/daemon.log y /var/log/syslog (C)

¿Cuál es la función principal de los archivos Prefetch en Windows y cómo se relaciona esto con el análisis forense?

Aceleran el inicio de aplicaciones, proporcionando información sobre los archivos que se cargan, útil para rastrear la ejecución de programas. (C)

Si encuentras un archivo ejecutable sospechoso en la carpeta de tareas programadas de Windows, ¿qué implicaría esto?

Que el malware podría estar programado para ejecutarse automáticamente a intervalos regulares. (D)

¿Qué herramienta se utiliza para listar las DLLs cargadas por los procesos en Windows?

ListDLLs (D)

¿Cuál de los siguientes parámetros del comando ps en Linux permite visualizar los procesos en ejecución de todos los usuarios?

ps -aux (C)

¿Cuál es la utilidad del comando kill en sistemas tipo UNIX (Linux, MacOS)?

Finalizar un proceso. (C)

En un sistema MacOS, si necesitas obtener el historial de comandos ejecutados, ¿dónde buscarías?

En el archivo .bash_history o .zsh_history dentro del directorio home del usuario. (B)

En el contexto del análisis forense de sistemas operativos, ¿cuál es la importancia de identificar y analizar las tareas programadas?

Facilita la identificación de malware persistente que se ejecuta de forma automatizada. (D)

¿Cuál es el objetivo principal de analizar los archivos relacionados con el inicio del sistema (como los archivos en la carpeta 'Inicio' en Windows o los scripts de inicio '/etc/init.d' en Linux) durante una investigación forense?

Determinar qué programas se abren al arrancar el sistema, lo que puede revelar la presencia de malware persistente. (C)

¿Cuál de las siguientes ubicaciones en un sistema Windows podría contener información sobre dispositivos USB que se han conectado al sistema?

En el registro de eventos en la clave SYSTEM\CurrentControlSet\Enum\USBSTOR y \USB (A)

En sistemas MacOS, ¿qué tipo de información se puede encontrar en los archivos .plist?

Información sobre la configuración de las aplicaciones, preferencias de usuario e información del sistema operativo. (C)

Durante un análisis forense, ¿qué utilidad tiene la información sobre las unidades de red mapeadas y recursos compartidos?

Ayuda a identificar posibles fugas de información o accesos no autorizados a recursos compartidos. (A)

Flashcards

¿Objetivo del análisis forense?

Expone las fuentes de información más típicas dentro de los sistemas operativos Windows, Linux y MacOS.

¿Qué tipo de información podemos recolectar y estudiar dentro de un Sistema Operativo Windows?

Es mucha y muy variada, por lo que nos centraremos en la recolección de la información volátil, el registro de Windows, el registro de eventos, la actividad reciente y la papelera de reciclaje.

¿Recolección de información volátil?

Todos los sistemas operativos manejan gran cantidad de información volátil, la cual se pierde al apagar el equipo.

¿Qué es el registro de Windows?

Es una gran base de datos jerárquica utilizado en los Sistemas Operativos Windows con el fin de almacenar información necesaria para configurar el sistema para los usuarios, las aplicaciones y los dispositivos de hardware.

¿Qué es el registro de eventos?

El registro de eventos es en realidad un conjunto de archivos especiales donde se registran los eventos que se producen en el sistema.

Tasklist

Sistema Operativo Windows es una especie de administrador de tareas en modo consola de comandos.

Process Monitor

Muestra en tiempo real la actividad del sistema de archivos, el registro, la red y los procesos.

ListDLL

Es una utilidad que nos muestra las DLLs cargadas por los procesos.

Archivo de log «auth.log»

Archivo que contiene eventos de autenticación, inicios y cierres de sesión.

Archivos PList

En MacOS, los archivos Plist (Property list) almacenan información en forma de clave-valor en formato binario (BPlist) o XML (Plist).

Comando «Isof»

Para poder ver la lista de archivos abiertos podemos utilizar el comando «Isof» (List Open Files) en MacOS.

Comando top

Nos permite ver el estado actual de la máquina, sus procesos y los usuarios que los han lanzado.

Study Notes

Tema 7: Análisis Forense

• El tema expone las fuentes de información más comunes en Windows, Linux y MacOS, así como la manera de adquirirlas, el tipo de información que almacenan y su interés forense.
• Se explica cómo realizar el análisis forense de equipos con sistemas operativos Windows, Linux y MacOS.

Introducción y Objetivos

• El tema se centra en las fuentes de información típicas de los tres sistemas operativos más utilizados: Windows, Linux y MacOS.

Análisis de un S. O. Windows

• El sistema operativo Windows ofrece mucha información para recolectar y estudiar.

• La información volátil se pierde al apagar el equipo, por lo que solo se puede recolectar si el equipo está encendido.

• Una muestra de información volátil en Windows de interés forense incluye la fecha y hora del sistema, usuarios que han iniciado sesión, archivos abiertos e información de red.

• El conocimiento de la fecha y hora configurada ayuda a construir una línea temporal fidedigna y evitar manipulaciones intencionadas.

• Si hay acceso al equipo, la fecha y hora del sistema se obtiene desde la consola de comandos y PowerShell.

• En la consola de comandos, el comando «date /t & time/t» da la fecha y hora local, mientras que en PowerShell, el comando «Get-Date» da la misma información.

• Durante la investigación, es importante conocer los usuarios conectados al sistema, incluyendo tanto acceso local como remoto (por ejemplo, a través de un recurso compartido).

• Para conocer los usuarios conectados, se pueden utilizar las herramientas PsLoggedOn o LogonSessions de SysInternals de Microsoft.

• PsLoggedOn muestra tanto los usuarios conectados localmente como a través de los recursos de la computadora local o remota.

• LogonSessions enumera las sesiones activas y, con la opción -p, muestra los procesos que se ejecutan en cada sesión.

• El listado de usuarios con Cmdlets de PowerShell se obtiene utilizando el comando «query user /server:$SERVER».

• Conocer los archivos abiertos por los usuarios puede aportar pistas importantes a una investigación, como archivos compartidos que no deberían salir de la organización.

• PsFile de SysInternals de Microsoft es útil para esta tarea.

• net file y openfiles también aportan información.

• openfiles permite listar o desconectar archivos y directorios abiertos en un sistema (requiere activar "mantener lista de objetos" para ver los archivos abiertos localmente).

• Las trazas de las comunicaciones de red en investigaciones de incidentes son una gran fuente de información, especialmente en casos de malware o fugas de información.

• Es importante investigar la caché de conexiones NetBIOS o las conexiones abiertas en el equipo.

• Antes de obtener información sobre las conexiones, hay que obtener la configuración de los interfaces de red (con ipconfig o PromiscDetect/Promqry).

• Es posible utilizar scripts de PowerShell para obtener esta información.

• NetBIOS permite a las aplicaciones comunicarse por la red.

• La caché de nombres de NetBIOS lista las conexiones realizadas por otros sistemas que utilizan este protocolo.

• La caché contiene el nombre y la dirección IP del sistema remoto y se visualiza con «nbtstat -c».

• Uno de los primeros puntos a analizar al sospechar de malware es el de las conexiones abiertas.

• Se debe analizar las conexiones que un equipo establece con otros sistemas (ej: servidores de malware o sistema de keylogger remoto).

• Para investigar conexiones, se puede usar el comando netstat o la herramienta TCPView de SysInternals.

• netstat muestra un listado de las conexiones activas en un equipo entrantes y salientes.

• Se puede visualizar las tablas de enrutamiento con «-r»; y los puertos y direcciones remotas con «-o».

• Los procesos en ejecución y su origen son importantes en una investigación.

• Se sabe si se están utilizando los recursos de la empresa para minar criptomonedas o si hay un software malicioso.

• El administrador de tareas es la forma más sencilla de ver los procesos, pero SysInternals proporciona herramientas más útiles desde una perspectiva forense.

• El comando tasklist en Windows es un administrador de tareas en modo consola.

  • /S [sistema] Especifica el sistema remoto al que conectarse.
  • /U [dominio\usuario]: Especifica el contexto de usuario.
  • /SVC: Muestra los servicios hospedados en cada proceso.
  • /FI [filtro]: Permite filtrar el listado.
  • /FO [formato]: Permite dar formato al listado.

• pslist muestra información básica de los procesos.

• Process Explorer muestra los procesos en ejecución, parámetros de ejecución, DLL, "punteros" (handles).

• Process Monitor muestra la actividad del sistema de archivos, registro, red y procesos en tiempo real.

• Permite filtrar información para centrarse en procesos sospechosos y claves de registro accedidas/modificadas.

• ListDLLs muestra las DLL cargadas por los procesos.

• Se puede listar las DLL cargadas en todos o en un proceso específico, y buscar la DLL cargada por los procesos.

• ListDLL también puede mostrar la información de la versión completa de las DLL.

• Se utiliza para escanear procesos en busca de DLL no firmadas.

• Si se detecta un proceso malicioso, el siguiente paso sería realizar un volcado de la memoria de este usando herramientas como el Administrador de tareas, pmdump (Windows/Linux/Android) o ProcDump (SysInternals).

• El registro de Windows es una base de datos jerárquica para configurar el sistema, las aplicaciones y el hardware.

• Reemplaza archivos de configuración antiguos como Autoexec.bat y Config.sys.

• Los perfiles de los usuarios, las aplicaciones instaladas y los elementos de hardware son elementos hallados en el registro de Windows.

• El Registro se estructura en forma de árbol, y contiene claves y valores.

• Además de los valores, cada clave del registro puede contener subclaves.

• Las claves de registro son como ficheros o carpetas.

• Las claves están referenciadas con sintaxis parecida a las rutas.

• Usan barras diagonales inversas para indicar los niveles jerárquicos.

• Cada subclave tiene un nombre que no puede contener barras diagonales inversas. No se distingue entre mayúsculas y minúsculas.

• Hay cuatro claves raíz, pero RegEdit muestra una quinta clave raíz: HKEY_CLASSES_ROOT.

  • Esta clave muestra la información existente en: HKEY_LOCAL_MACHINE\SOFTWARE\Classes.
  • Muestra HKEY_CURRENT_USER\SOFTWARE\Classes) dentro del registro.
  • Cada una de estas claves se almacena en uno o varios archivos.

• Claves: HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS y HKEY_CURRENT_CONFIG.

• La estructura de carpetas del sistema Windows contiene el registro.

• La mayoría de los archivos están en %SystemRoot%\System32\Config, excepto los asociados a HKEY_CURRENT_USER.

• El archivo correspondiente a HKEY_CURRENT_USER está en Users[Usuario].

• Los archivos de las claves raíz:

  • HKEY_CURRENT_USER: archivos NTUSER.DAT en Users[Usuario].
  • HKEY_LOCAL_MACHINE: archivos SAM, SECURITY, SOFTWARE y SYSTEM en %SystemRoot%\System32\Config.

• HKEY_USERS es un puntero a los archivos NTUSER.DAT de los usuarios que han iniciado sesión.

• HKEY_CURRENT_CONFIG es un puntero a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CurrentControlSet\Hardware Profiles.

• El Registro puede almacenar mucha información relevante para el análisis forense.

• Es prácticamente imposible conocer todo lo que de él podemos obtener.

• Así que suelen utilizarse herramientas de terceros para interpretarlo: Windows Registry Recovery, RegRipper y Registry Explorer.

• El listado de dispositivos USB conectados se puede obtener analizando el registro de Windows en las claves:

• "SYSTEM/CurrentControlSet/Enum/USBSTOR" y "/USB".

• SYSTEM/Mounted Devices.

• NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2.

• También está fuera del registro en: Windows/inf/setupapi.dev.log.

• Herramientas como USBDeview o USB Forensic Tracker facilitan esta tarea.

• Del análisis del registro, se obtienen las unidades de red mapeadas accediendo a la clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU.

• Además, la clave: NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2, registra las unidades mapeadas.

• Para el listado de recursos compartidos es posible acceder a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares.

• Las aplicaciones que se inician con el sistema están en:

• Carpeta de inicio general (ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp) y del usuario (Users[USUARIO]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup).

• Registro de Windows general (SOFTWARE\Software\Microsoft\Windows\CurrentVersion\Run) y de usuario (NTUSER.DAT).

• Servicios del Sistema Operativo.

• Se utilizan herramientas de terceros como WhatInStartup de Nirsoft o Autoruns de SysInternals para analizar las aplicaciones que se inician con el equipo.

• Otros elementos de interés son la zona horaria (SYSTEM\ControlSet###\Control\TimeZoneInformation), el último apagado (SYSTEM\ControlSet###\Control\Windows) y la barra de búsqueda (NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery).

• El registro de eventos es un conjunto de archivos en el sistema donde se registran los eventos que se producen.

• Pueden verse eventos como inicios y cierres de sesión, cambios de hora o la conexión/desconexión de dispositivos.

• Desde Windows Vista, el registro de eventos está compuesto por archivos con extensión EVTX ubicados en Windows\System32\winevt\Logs.

• Los archivos más relevantes son Application.evtx, Security.evtx y System.evtx.

• Archivos almacenan información de cada evento como:

  • Origen: programa o componente del sistema que genera el evento.
  • Id. del evento: número que identifica de manera única el evento.
  • Nivel del evento: informativo, advertencia, error, crítico
  • Otros: usuario, fecha y hora del evento, información varia y texto asociado.

• Las herramientas automatizan algunas tareas, realizan búsquedas y aplican filtros para el análisis.

• Algunas comunes son Event Log Explorer y Logparser.

• También existen herramientas tipo SIEM (Security Information and Event Management) ,ManageEngine Event Log Analyzer o LOGAlyze.

• Algunos eventos típicos que se pueden analizar son:

  • Inicios y cierres de sesión
    • Archivo: Security
    • EventID: 4624 (inicio) y 4634 (cierre)
  • Intentos de login incorrectos
    • Archivo: Security
    • EventID: 4625
  • Cambios en la fecha y la hora del equipo
    • Archivo: Security
    • EventID: 4616
  • Ejecución de programas (no todos)
  • Archivo: Application
  • EventID: múltiples

• Se pueden ver registros de aplicaciones ejecutadas y de aplicaciones que han provocado algún error.

• Se puede ver en qué momento se ejecutaron determinadas aplicaciones y desde qué ruta fueron ejecutadas si es un externo o una unidad de red.

• Autopsy y el plugin específico permiten ver la actividad reciente del usuario.

• El Sistema Operativo Windows almacena una serie de entradas en el registro que permiten conocer qué programas se ejecutaron recientemente en un sistema.

• Esto puede ser valioso para ver si se ejecutó una aplicación en particular, como una herramienta de cifrado o de borrado.

• A diferencia de los archivos prefetch, los datos de UserAssist incluyen información sobre si una aplicación se ejecutó desde un enlace (archivo LNK) o directamente desde el ejecutable.

• Las UserAssit Keys se almacenan en el registro de cada usuario en la ruta: NTUSER.DAT\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist.

• Dentro de esta clave veremos subclaves del tipo {F2A1CB5A-E3CC-4A2E-AF9D-505A7009D442}.

• Cada una de estas subclaves (GUID o Id. Único universal) representa un tipo específico (accesos directos, programas, etc.).

• Dentro de cada GUID tenemos una última subclave «Count» donde encontraremos la información de UserAssist (codificada en ROT-13) y datos como el número de veces accedida.

• Las aplicaciones más recientemente abiertas se encuentran en el registro de Windows.

• Los tipos de MRU Lists

  • Documentos recientes
  • SFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs.
  • Run MRU (herramientas ejecutadas desde Inicio, Ejecutar)
  • SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU.
  • Typed URL (URLs introducidas en la barra de direcciones)
  • Software\Microsoft\Internet Explorer\TypedURLs.

• Rutas utilizadas para guardar documentos a través de "Guardar como..." (SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidIMRU).

• Lista de las herramientas utilizadas para abrir determinados tipos de archivo (SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts).

• Nirsoft proporciona tres herramientas para automatizar la extracción: RecentFilesView, LastActivityView y OpenSaveFilesView.

• Cuando un archivo se ejecuta repetidamente, Windows genera un archivo prefetch (.pf) que agiliza la carga.

• Por tanto, el SO se inicia más rápido y los programas que se usan cotidianamente cargan con mayor velocidad.

• Estos archivos nacen con Windows XP y se mantienen.

• Windows Vista nacen los SuperFetch, que incrementa aún más el rendimiento con una cache de ficheros a los que cada aplicación accede.

• El archivo SYSTEM\ControlSet001\Control\Session Manager\Memory Management\PrefetchParameters determina si un equipo tiene habilitado el prefetch, con valores de 0 a 3 (deshabilitar, habilitar para aplicaciones, habilitar para el sistema, y habilitar para ambos).

• "EnableSuperfetch" que toma valores de 0 y 3 de la misma forma en sistemas anteriores.

• En Windows 10, tenemos que irnos al servicio SysMain, y ver si se encuentra activo.

• Los archivos Prefetch (.pf) se almacenan en Windows\Prefetch.

• WinPrefetchView (Nirsoft) o Prefetch Viewer (PassMark Software) ayudan a analizarlos.

• Al eliminarse, un archivo se envía a la papelera de reciclaje o es marcado como borrado.

• Las herramientas, como FTK Imager, Encase o Winhex para recuperaciones sencillas y Recuva, Photorec o R-Studio para recuperaciones en bruto, recuperan eliminados.

• Un archivo no se borra cuando se envía a la papelera, sólo se mueve a una carpeta especial.

• En los Sistemas Operativos Windows modernos, la papelera se encuentra en la raíz del dispositivo en $Recycle.Bin.

• En Windows anteriores a Windows Vista, la papelera de reciclaje se encuentra ubicado en «Recycler{SID del usuario}»

• Dentro de $Recycle.Bin hay una subcarpeta por cada usuario, identificada con el SID.

• Los archivos tienen nombres aleatorios del tipo ONFFEM o 1CLQ7B (pero mantienen la extensión original).

• Si se elimina el archivo «\Users\manuel\Desktop\paco.zip», en la papelera encontraremos dos archivos: $I[ALEATORIO].zip y $R[ALEATORIO].zip.

• Siendo $R el archivo original y $I con el nombre y la ruta originales, la fecha de eliminación y su tamaño.

• El análisis manual es sencillo, facilitado por herramientas como Rifiuti2.

• En Windows anteriores a Vista, los archivos $I se sustituyen por un único archivo llamado INFO2, y los archivos eliminados no comienzan con $R.

Análisis de un S. O. Linux

• El análisis del S.O. Linux al igual que en Windows, es amplio.
• Abarca la recolección de información volátil, los archivos de log y las tareas programadas y servicios.
• Al igual que en Windows y MacOS, los sistemas Linux manejan gran cantidad de información volátil, la cual se pierde al apagar el equipo.
• Aunque hay distintos comandos, dada la heterogeneidad de distribuciones, puede que algunos no se ejecuten igual en todas ellas.
• Para obtener la fecha y hora de un sistema Linux, basta con ejecutar el comando date.
• Se devuelve la fecha y hora local o, si le pasamos el parámetro <<--utc», la fecha en UTC+0.
• Para leer el reloj hardware del equipo, se puede ejecutar el comando «hwclock».
• El comando «hwclock --show -utc», da la fecha en formato UTC+0. Además, se puede utilizar la opción «--verbose».
• El contenido del archivo /etc/passwd (una entrada por usuario)contiene las credenciales de estos, su directorio home y la Shell.
• Para listar el contenido del archivo se usa el comando: cat /etc/passwd.
• Si en la columna password tenemos una x eso quiere decir que la contraseña está encriptada en el archivo /etc/shadow, de acceso restringido.
• Para listar los usuarios que han iniciado sesión en un equipo Linux, hay dos opciones: con el equipo encendido y apagado.
• Si está encendido, se usa el comando last.
• En cambio, si el equipo se encuentra apagado, se analizan los archivos /var/log/wtmp y /var/log/btmp para obtener información.
• El problema de estos archivos es que necesitan ser interpretados correctamente.
• El historial de comandos ejecutados se encuentran en el archivo .bash_history dentro de la «home».
• EL archivo bash_logout, ubicado en la "home" del usuario contiene los comandos que se ejecutarán cuando el usuario cierre la sesión.
• En Linux, la lista de archivos abiertos se visualiza con el comando lsof. Ayuda a encontrar los archivos abiertos asociados a puertos, servicios y procesos.
• El comando muestra información sobre el archivo abierto como el comando asociado, el PID y usuario, y el descriptor del archivo.
• Para obtener información sobre las conexiones establecidas hay que obtener la configuración de los interfaces de red con el comando ifconfig.
• Los comandos para listar las conexiones asociadas a un proceso son:
  • TCP: Isof -i TCP
  • UDP: Isof -i UDP
  • Conexiones a la escucha: Isof -iTCP -STCP:LISTEN o Isof -iUDP –SUDP:LISTEN
  • Procesos en escuchando o transmitiendo por un determinado puerto (ejemplo, 80): Isof -i:80
  • Procesos utilizando un determinado protocolo de comunicaciones o servicio (ejemplo, http): Isof -i:http.
• La manera más sencilla de ver los procesos en ejecución es a través de los comandos como ps o pstree y top.
• La diferencia es que pstree nos presenta la información en forma de árbol.
• pstree muestra los hilos asociados a cada proceso de manera predeterminada.
• "ps –eLf" para ver los hilos de ejecución de cada proceso con el comando "ps".
• El comando ps tiene múltiples parámetros, como:
  • a: eliminar la restricción BSD «only yourself» para agregar procesos de otros usuarios.
  • u: utilizar el formato orientado al usuario.
  • x: eliminar la restricción BSD.
• Si necesitamos finalizar procesos que no deberían estar funcionando, utilizaremos el comando kill.
• Para finalizar el proceso con PID 1709, se enviará al proceso una señal del tipo SIGTERM con kill [PID].
• Si no resultase bien, se envía el comando SIGKILL (código 9) kill -9 [PID].
• Podemos ver el listado de señales que podemos enviar a los procesos con el comando kill -l.
• El directorio "/proc" de un sistema Linux es un directorio especial con información relevante (kernel, procesos en ejecución y parámetros).
• Accedemos a este directorio con * /proc/[PID]*. Podemos ver la información del proceso con PID 6 accediento /proc/6/.
• El directorio proc contiene archivos de interés: • cmdline: comando ejecutado y sus parámetros. • cwd: enlace simbólico al directorio del trabajo del proceso. • environ: variables de entorno del proceso. • fd: contiene los descriptores de archive del proceso. Podemos ver qué archivos o dispositivos está utilizando. • maps, statm, y mem: espacio de memoria en uso por el proceso. • stat and status: nos proporciona información sobre el estado del proceso.
• "/proc/cmdline", muestra los parámetros pasados al kernel durante el arranque.
• Analizando las fechas de modificación, acceso y creación de los archivos, podemos intentar reproducir las acciones realizadas por los atacantes en un sistema.
• Con el comando "find" podemos especificar acciones, carpetas y la información que queremos, para crear una línea temporal.
• En caso de alteración de las fechas, prestar atención.
• Para obtener el listado de los últimos archivos modificados debes:
• find. -type f -user root -perm +111 -printf \ %TY%Tm%Td%TH%TM%TS %h/%f\n|sort -nr
• -type f Archivo.
• -user root Usuario (podemos no indicarlo).
• perm +111 Permisos (ejecutable por cualquiera).
• printf Qué queremos ver*. *
• \sort -nr Ordenamos por fecha (descendente).
• find se utiliza también para obtener la lista de los archivos agregando ciertos comandos.
• Los archivos de log almacenan información sobre las actividades realizadas.
• Algunos archivos de Log dentro de Linux se almacena en la carpeta /var/log/.
• /var/log/* contiene información de "auth.log" y "daemon.log".

Análisis de un S. O. MacOS

• El tipo de información en MacOS es similar a Linux, pero con peculiaridades.
• Linux y MacOS comparten gran parte de su estructura, como los directorios /etc, /var y /home.
• La manera en que se asignan permisos a los archivos y usuarios y muchos de los comandos son similares.
• Los sistemas MacOS también manejan información volátil.
• Similar a Linux la fecha y hora del comando date es: date -u.
• Al igual que haremos en sistema Linux, listaremos el contenido del archivo /etc/passwd.
• Este archivo contiene la data de cada uno de los usuarios, home directories y Shell.
• En comparación con Linux al contrario que Linux, en los Sistemas Operativos MacOS, cuando la contraseña de los usuarios está cifrada, no se almacena en «/etc/shadow».

En MacOS hay un archivo «shadow» por cada usuario, y se encuentran en la ruta </var/db/dslocal/nodes/Default/users/» en archivos. Plist

• Para listar quien ha entrado en los equipos con acceso Linux, tenemos dos opciones, en función de si el equipo se encuentra encendido o apagado.
• Si nos encontramos con el equipo encendido, y tenemos acceso a la consola, podemos utilizar el comando «last».
• Si nos encontramos con el equipo apagado, todavía podemos obtener la misma información analizando el archivo «/var/run/utmpx».
  • También existe el caso de: .[TERMINAL]_history. o.zsh\_history.
• • Para ver los comandos de listar archivos «ls of» en el sistema Linux y MacOS.
• El comando top nos permite ver el estado actual de la máquina, sus procesos y los usuarios que los han lanzado.
• Por su parte, el comando ps nos muestra el listado de procesos en ejecución El comando para acabar con el proceso similar a Windows es kill.
• En Linux el directorio «/proc» contiene todos los detalles del sistema
  • Sin embargo, en MacOS no existe este directorio y la obtención de la información sobre los procesos no puede realizarse de la misma manera que cuando analizamos un sistema Linux
• la alternativa ”sencilla” para obtener información relacionada con los procesos en ejecución en un MacOS sería utilizar el ”Monitor de Actividad". Desde el "Monitor de actividad” y haciendo doble clic sobre el proceso concreto a analizar, podemos obtener información y estadísticas
• Archivos más importantes
• system.log / install.log.
• Los archivos Plist en MacOS
• Son archivos de tipo Clave / Valor
• A diferencia de Windows y Linux en MacOS tenemos los LaunchAgents y daemons.
• Tanto los LaunchAgents como los daemons se realiza a través de archivos Plist