Pages

Ads 468x60px

lunes, 5 de agosto de 2013

"Principios forenses" (básicos) I eliminar historial de navegación



==================================================
"Principios forenses" (básicos) II La información EXIF
==================================================

Hola, hoy vamos a ver algo de forense (facilito). Es un tema que me gusta bastante y, aunque no estoy todo lo puesto que me gustaría, he de reconocer - que después del Curso de Perito Telemático Forense del ANTPJI y de los cursos que hice en I64 el año pasado (forense en RAM, forense de Malware y forense en IOS)- algo más si que se xD.

Bueno, a lo que voy.
Siempre se recomienda en las charlas que al cerrar la sesión de Internet Exploer, debemos limpiar los datos de navegación, por si en algún momento nos dejamos la sesión sin cerrar (mal!, luego viene el #AtaqueBerengario xD).

Bien, pues vamos a ver como aún habiendo borrado el historial, podemos ver ciertas cosas.

Hay una forma de ver el historial desde el registro y es en la siguiente clave:







Pero, el problema de esto, es que en el momento en que se elimine el historial, dejaremos de ver en esa clave, las webs visitadas.






De hecho, desaparece el contenido y la clave TypedURLs, como se ve en la siguiente imagen.








Así que esto solo nos vale en el supuesto caso de que alguien no elimine el historial al terminar de navegar.

Vamos un poco mas allá. Es posible que nos encontremos con que el usuario ha borrado el historial y tenemos que averiguar (por una investigación) alguna web visitada en concreto.

En Internet Explorer 6, 7, 8 y 9 había un archivo llamado index.dat que es el indice de referencia que usa Internet Explorer (a partir de ahora IE) para buscar dentro del historial.
Este archivo, por defecto esta marcado como oculto y además es de sistema, así que, para poder verlo, debemos marcar las siguiente opcion (mucho cuidado al dejar a la vista los archivos de sistema, ojo con lo que tocáis)







Como ya tenemos activa esa opción, vamos a buscar el/los archivos. Haciendo una búsqueda rápida con Windows obtenemos esto:








Obviamente, según el sistema operativo, estas rutas cambian, en Xp recordemos que usuarios se llamaba documents and settings, así que hay que tener esto en cuenta a la hora de buscar.

Una de las herramientas que nos ayudará a realizar la búsqueda es Pasco (podéis descargarlo desde aqui
La forma de usarlo es desde la linea de comandos:

Pasco -d -t index.dat >index.csv

Lo que nos permitirá después abrirlo en una hoja de excel. Como en la maquina de pruebas no tengo office instalado, le dire que me lo pase a un .txt para que se pueda ver si necesidad de tener excel instalado, quedando de la siguiente manera.

Pasco -d -t index.dat >index.txt

Si entramos en la carpeta de pasco y navegamos a su ruta veremos lo siguiente:








Ahora abrimos una ventana de CMD y escribimos lo que se ve en la siguiente imagen.







Después de dar a intro, volvemos a ver la carpeta y vemos que ya esta listo el .txt para revisarlo.








Lo abrimos y en el podemos ver lo siguiente.







Es decir, el historial de navegación del usuario, aún habiéndolo eliminado desde el propio IE.

Otras de las cosas que podemos investigar y que podria darnos algunas pistas es la ruta

C:\Users\tu_usuario\AppData\Local\Microsoft\Windows\Temporary Internet Files

Son los archivos temporales de IE (los cuales también deberíamos borrar para no dejar rastro).







Otra herramienta que también nos puede venir bien a la hora de ver los archivos index.dat es Index.dat Analyzer que podéis descargar desde aquí.
La instalación no tiene mayor misterio, así que no lo voy a explicar para no hacer la entrada eterna.

Simplemente abrimos el programa y detecta los archivos. Una vez los detecta, nos lo muestra en pantalla.






Esto, siempre que no se haya borrado el historial de IE...

Y hasta aquí la entrada de hoy.
Espero que os guste.

akil3s.

4 comentarios:

  1. Me ha gustado mucho la entrada, muy bien explicada, tanto en texto como con las capturas de pantalla, y enlaces a los dos programas necesarios.
    Jajaja me gusta que aparezca en los ejemplos la web Flu Project :D
    Ya me comentarás lo idéntico para Firefox.
    Saludos.

    ResponderEliminar
    Respuestas
    1. Muchas gracias como siempre ;-)
      Habrá más entregas, poco a poco

      Eliminar
  2. Interesante y bien explicado :-). En otros navegadores Trinity la info se almacena en bbdd cifradas, por lo que no es tan sencillo, pero no imposible, hay varias herramientas que automatizan esa labor.

    Akil3s esperamos las siguientes entradas ;)

    Un abrz

    ResponderEliminar
    Respuestas
    1. Gracias por la visita y por el comentario ;-)

      Intento sacar tiempo para las siguientes partes, pero además tengo que "coordinar" para que no parezca que os copio :(
      Lo mío es visto desde 0, así que intento hacerlo muy básico.

      Eliminar

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates