==================================================
"Principios forenses" (básicos) II La información EXIF
==================================================
Hola, hoy vamos a ver algo de forense (facilito). Es un tema que me gusta bastante y, aunque no estoy todo lo puesto que me gustaría, he de reconocer - que después del Curso de Perito Telemático Forense del ANTPJI y de los cursos que hice en I64 el año pasado (forense en RAM, forense de Malware y forense en IOS)- algo más si que se xD.
Bueno, a lo que voy.
Siempre se recomienda en las charlas que al cerrar la sesión de Internet Exploer, debemos limpiar los datos de navegación, por si en algún momento nos dejamos la sesión sin cerrar (mal!, luego viene el #AtaqueBerengario xD).
Bien, pues vamos a ver como aún habiendo borrado el historial, podemos ver ciertas cosas.
Hay una forma de ver el historial desde el registro y es en la siguiente clave:
Pero, el problema de esto, es que en el momento en que se elimine el historial, dejaremos de ver en esa clave, las webs visitadas.
De hecho, desaparece el contenido y la clave TypedURLs, como se ve en la siguiente imagen.
Así que esto solo nos vale en el supuesto caso de que alguien no elimine el historial al terminar de navegar.
Vamos un poco mas allá. Es posible que nos encontremos con que el usuario ha borrado el historial y tenemos que averiguar (por una investigación) alguna web visitada en concreto.
En Internet Explorer 6, 7, 8 y 9 había un archivo llamado index.dat que es el indice de referencia que usa Internet Explorer (a partir de ahora IE) para buscar dentro del historial.
Este archivo, por defecto esta marcado como oculto y además es de sistema, así que, para poder verlo, debemos marcar las siguiente opcion (mucho cuidado al dejar a la vista los archivos de sistema, ojo con lo que tocáis)
Como ya tenemos activa esa opción, vamos a buscar el/los archivos. Haciendo una búsqueda rápida con Windows obtenemos esto:
Obviamente, según el sistema operativo, estas rutas cambian, en Xp recordemos que usuarios se llamaba documents and settings, así que hay que tener esto en cuenta a la hora de buscar.
Una de las herramientas que nos ayudará a realizar la búsqueda es Pasco (podéis descargarlo desde aqui)
La forma de usarlo es desde la linea de comandos:
Pasco -d -t index.dat >index.csv
Lo que nos permitirá después abrirlo en una hoja de excel. Como en la maquina de pruebas no tengo office instalado, le dire que me lo pase a un .txt para que se pueda ver si necesidad de tener excel instalado, quedando de la siguiente manera.
Pasco -d -t index.dat >index.txt
Si entramos en la carpeta de pasco y navegamos a su ruta veremos lo siguiente:
Ahora abrimos una ventana de CMD y escribimos lo que se ve en la siguiente imagen.
Después de dar a intro, volvemos a ver la carpeta y vemos que ya esta listo el .txt para revisarlo.
Lo abrimos y en el podemos ver lo siguiente.
Es decir, el historial de navegación del usuario, aún habiéndolo eliminado desde el propio IE.
Otras de las cosas que podemos investigar y que podria darnos algunas pistas es la ruta
C:\Users\tu_usuario\AppData\Local\Microsoft\Windows\Temporary Internet Files
Son los archivos temporales de IE (los cuales también deberíamos borrar para no dejar rastro).
Otra herramienta que también nos puede venir bien a la hora de ver los archivos index.dat es Index.dat Analyzer que podéis descargar desde aquí.
La instalación no tiene mayor misterio, así que no lo voy a explicar para no hacer la entrada eterna.
Simplemente abrimos el programa y detecta los archivos. Una vez los detecta, nos lo muestra en pantalla.
Esto, siempre que no se haya borrado el historial de IE...
Y hasta aquí la entrada de hoy.
Espero que os guste.
akil3s.