7
1. HKEY (Handle the key) El HKEY es parte de la estructura de registro de Windows. El registro contiene dos elementos básicos: claves y valores. Las claves del registro son similares a carpetas: además de los valores, cada clave puede contener subclaves, que a su vez pueden contener más subclaves, y así sucesivamente. Las claves están referenciadas con una sintaxis parecida a los nombres de las rutas de Windows, y usan barras diagonales inversas para indicar los distintos niveles jerárquicos. Cada subclave tiene obligatoriamente un nombre: una cadena que no puede contener barras diagonales inversas y en la que no se distingue entre mayúsculas y minúsculas. Únicamente se puede acceder a la jerarquía de las claves del registro desde un identificador de clave raíz conocido (que es anónimo, pero cuyo valor efectivo es un identificador numérico constante) asignado al contenido de una clave de registro precargada por el kernel desde un "subárbol" almacenado, o asignado al contenido de una subclave dentro de otra clave raíz, o también asignado a un servicio registrado o DLL que proporciona acceso a los valores y subclaves contenidos en éste. Ejemplo: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows se refiere a la subclave "Windows" de la subclave "Microsoft" de la subclave "Software" de la clave raíz HKEY_LOCAL_MACHINE. Hay siete claves raíz predefinida, las cuales tradicionalmente se nombran según su identificador constante definido en la API de Win32, por sus abreviaturas correspondientes (dependiendo de las aplicaciones): HKEY_LOCAL_MACHINE o bien HKLM

Tarea Forense

Embed Size (px)

Citation preview

Page 1: Tarea Forense

1. HKEY (Handle the key)

El HKEY es parte de la estructura de registro de Windows. El registro contiene dos elementos básicos: claves y valores.

Las claves del registro son similares a carpetas: además de los valores, cada clave puede contener subclaves, que a su vez pueden contener más subclaves, y así sucesivamente. Las claves están referenciadas con una sintaxis parecida a los nombres de las rutas de Windows, y usan barras diagonales inversas para indicar los distintos niveles jerárquicos. Cada subclave tiene obligatoriamente un nombre: una cadena que no

puede contener barras diagonales inversas y en la que no se distingue entre mayúsculas y minúsculas.

Únicamente se puede acceder a la jerarquía de las claves del registro desde un identificador de clave raíz conocido (que es anónimo, pero cuyo valor efectivo es un identificador numérico constante) asignado al contenido de una clave de registro precargada por el kernel desde un "subárbol" almacenado, o asignado al contenido de una subclave dentro de otra clave raíz, o también asignado a un servicio registrado o DLL que proporciona acceso a los valores y subclaves contenidos en éste.

Ejemplo: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows se refiere a la subclave "Windows" de la subclave "Microsoft" de la subclave "Software" de la clave raíz HKEY_LOCAL_MACHINE.

Hay siete claves raíz predefinida, las cuales tradicionalmente se nombran según su identificador constante definido en la API de Win32, por sus abreviaturas correspondientes (dependiendo de las aplicaciones):

HKEY_LOCAL_MACHINE o bien HKLM HKEY_CURRENT_CONFIG o bien HKCC (únicamente en Windows 9x/Me y en las

versiones basadas en NT de Windows) HKEY_CLASSES_ROOT o bien HKCR HKEY_CURRENT_USER o bien HKCU HKEY_USERS o bien HKU HKEY_PERFORMANCE_DATA (únicamente en las versiones de Windows basadas en

NT, pero invisible para el editor del registro) HKEY_DYN_DATA (únicamente en Windows 9x/Me, y visible en el editor de registro de

Windows)

Page 2: Tarea Forense

Estructura principal del Registro de Windows:

•HKEY_CLASSES_ROOT

Abreviado HKCR, esta sección almacena información acerca de las aplicaciones registradas, incluyendo asociación de extensiones de ficheros e identificadores de clases de objetos OLE para las aplicaciones usadas para manejarlos.

•HKEY_CURRENT_USER

Abreviado HKCU, esta sección almacena configuraciones que son específicas del usuario que actualmente se encuentra operando el sistema.

•HKEY_LOCAL_MACHINE

Abreviado HKLM, esta sección almacena las configuraciones generales que son para todos los usuarios del sistema operativo.

•HKEY_USERS

Abreviado HKU, esta sección contiene subclaves correspondientes a las claves en HKEY_CURRENT_USER para cada usuario registrado en el sistema.

•HKEY_CURRENT_CONFIG

Abreviado HKCC, esta sección contiene información reunida en tiempo de ejecución. La información almacenada en esta clave no es almacenada de forma permanente en el disco duro.

2. Pagefile.sys

Este archivo es muy especial y lo usa Windows para almacenar temporalmente datos los cuales son intercambiados entre la memoria RAM y éste, con el fin de disponer de un bloque más grande de memoria, a ésta se le conoce como MEMORIA VIRTUAL

El nombre del archivo es pagefile.sys y se crea en el momento de la instalación de Windows en la unidad raíz (normalmente C:\) donde se encuentra el boot del sistema y sus atributos son de oculto.

El archivo pagefile.sys normalmente no se debería poder ver en el explorador de Windows, a menos que hayas desactivado la opción "Ocultar archivos protegidos del sistema".

Page 3: Tarea Forense

El tamaño de archivo pagefile.sys normalmente es 1.5 veces más grande que la memoria RAM del sistema. (Por ejemplo, si tienes 1GB de RAM, el archivo debería pesar algo como 1.5GB, si tienes 256MB, el archivo debería pesar algo como 384B, y así, etc.).

3. MD5

En criptografía, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado.

MD5 es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.

A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash, plantea una serie de dudas acerca de su uso futuro.

MD5 fue diseñado por Ron Rivest en 1991 para reemplazar una función de hash anterior, MD4 . Un hash MD5 se expresa típicamente como un hexadecimal número de 32 dígitos de largo.

Sin embargo, desde entonces se ha demostrado que MD5 no es resistente a la colisión ; como tal, MD5 no es adecuado para aplicaciones como SSL certificados o firmas digitales que se basan en esta propiedad. En 1996, se encontró un defecto en el diseño de

Page 4: Tarea Forense

MD5, y aunque no era una debilidad fatal claramente, los criptógrafos comenzaron a recomendar el uso de otros algoritmos, como SHA-1

Algoritmo MD5:

La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida:

MD5 ("Esto sí es una prueba de MD5") = e99008846853ff3b725c27315e469fbc

Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el «sí» por un «no».

MD5 ("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034

Otro ejemplo sería la codificación de un campo vacío:

MD5 ("") = d41d8cd98f00b204e9800998ecf8427e

4. SHA – Secure Hash Algorithm

La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2a todos ellos).

En 1998, un ataque a SHA-0 fue encontrado pero no fue reconocido para SHA-1, se desconoce si fue la NSA quien lo descubrió pero aumentó la seguridad del SHA-1.

a. SHA1

En criptografía, SHA-1 es una función de hash criptográfica diseñado por los Estados Unidos Agencia de Seguridad Nacional y publicado por los Estados Unidos NIST como

Page 5: Tarea Forense

EE.UU. Estándar Federal de Procesamiento de Información . SHA es sinónimo de " algoritmo de hash seguro ". Los cuatro SHA algoritmos están estructurados de manera diferente y se distinguen como SHA-0 , SHA-1 , SHA-2 , y SHA-3 . SHA-1 es muy similar a SHA-0, pero corrige un error en la especificación SHA hash original que condujo a deficiencias significativas. El algoritmo SHA-0 no fue adoptado por muchas aplicaciones. SHA-2 en el otro lado difiere significativamente de la función hash SHA-1.

SHA-1 es el más ampliamente utilizado de los existentes funciones hash SHA, y se emplea en diversas aplicaciones y protocolos ampliamente utilizados. En 2005, los criptoanalistas encontrado ataques contra SHA-1 lo que sugiere que el algoritmo puede no ser lo suficientemente seguro para su uso continuo. NIST requiere muchas aplicaciones en las agencias federales para ir a SHA-2 a partir de 2010 a causa de la debilidad. Aunque no hay ataques exitosos han sido reportadas en SHA-2, son algorítmicamente similar a SHA-1. Así, en 2012 NIST estandarizado un algoritmo adicional, Keccak, como SHA-3 , sobre la base de los resultados de una competición de larga duración público.

La codificación hash vacía para SHA-1 corresponde a:

SHA1 ("") = da39a3ee5e6b4b0d3255bfef95601890afd80709

b. SHA2

SHA-2 es un conjunto de funciones criptográficas de hash ( SHA-224, SHA-256, SHA-384, SHA-512 ) diseñado por la Agencia de Seguridad Nacional (NSA) y publicado en 2001 por el NIST como EE.UU. Federal Información de procesamiento estándar . SHA significa Secure Hash Algorithm . SHA-2 incluye un número significativo de cambios con respecto a su predecesor, SHA-1 . SHA-2 consta de un conjunto de cuatro funciones de hash con resúmenes, que son bits de 224, 256, 384 o 512.

En 2005, los fallos de seguridad fueron identificados en SHA-1, es decir, que una debilidad matemática podría existir, lo que indica que una función de hash más fuerte sería deseable. A pesar de SHA-2 tiene cierta similitud con el algoritmo SHA-1, estos ataques tienen no se ha extendido con éxito a SHA-2.


Psicologia forense

Psicologia forense

Documents
Balística Forense Balística Forense

Balística Forense Balística Forense

Documents
Informativo Digital CBCR · 6. Biología Forense (zoología forense, botánica forense, genética forense, ambiental forense, fibras y tricología) 7

Informativo Digital CBCR · 6. Biología Forense (zoología forense, botánica forense, genética forense, ambiental forense, fibras y tricología) 7

Documents
Salud Mental Forense: Psicología y Psiquiatría Forense

Salud Mental Forense: Psicología y Psiquiatría Forense

Education
AUDITORÍA FORENSE...Antecedentes SNF . Definición Auditoría Forense Objetivos de la Auditoría Forense ... Fases de la Auditoría Forense Proyecto Yucatán INDICE 4 . SIGNIFICADO

AUDITORÍA FORENSE...Antecedentes SNF . Definición Auditoría Forense Objetivos de la Auditoría Forense ... Fases de la Auditoría Forense Proyecto Yucatán INDICE 4 . SIGNIFICADO

Documents
Ingenieria Forense

Ingenieria Forense

Documents
MEDICINA FORENSE. Sintesis Seminario Forense

MEDICINA FORENSE. Sintesis Seminario Forense

Documents
Psicología forense

Psicología forense

Education
Balistica forense

Balistica forense

Law
CURSO DE MEDICINA FORENSE Y CRIMINALISTICAestudiocriminal.eu/.../Curso-de-Medicina-Forense-y-Criminalistica.pdf · Toxicología Forense ... Con este Curso de Medicina Forense y Criminalística

CURSO DE MEDICINA FORENSE Y CRIMINALISTICAestudiocriminal.eu/.../Curso-de-Medicina-Forense-y-Criminalistica.pdf · Toxicología Forense ... Con este Curso de Medicina Forense y Criminalística

Documents
Análisis forense de sistemas informáticosdigitk5khbmoayhm.onion.dog/libros-informatica-forense/Analisis-forense-de-sistemas...El análisis forense en un sistema informático es una

Análisis forense de sistemas informáticosdigitk5khbmoayhm.onion.dog/libros-informatica-forense/Analisis-forense-de-sistemas...El análisis forense en un sistema informático es una

Documents
Tarea en Proceso Auditoria Forense

Tarea en Proceso Auditoria Forense

Documents
1 FOTOGRAFÍA FORENSE FOTOGRAFIA FORENSE / ALFREDO MUÑOZ

1 FOTOGRAFÍA FORENSE FOTOGRAFIA FORENSE / ALFREDO MUÑOZ

Documents
Antropologia forense

Antropologia forense

Documents
CURSO DE PSICOLOGIA CRIMINAL Y PSIQUIATRIA FORENSE · PDF filePsiquiatría Forense Perfilación Criminal Toxicología Forense

CURSO DE PSICOLOGIA CRIMINAL Y PSIQUIATRIA FORENSE · PDF filePsiquiatría Forense Perfilación Criminal Toxicología Forense

Documents
Toxicología forense

Toxicología forense

Education
Computacion forense

Computacion forense

Documents
MEDICINA FORENSE HISTORIA DE LA MEDICINA FORENSE

MEDICINA FORENSE HISTORIA DE LA MEDICINA FORENSE

Documents
Biología Forense ¿Qué es Biología Forense? Forense La aplicación de la ciencia al sistema legal Biología Forense La aplicación de las ciencias naturales

Biología Forense ¿Qué es Biología Forense? Forense La aplicación de la ciencia al sistema legal Biología Forense La aplicación de las ciencias naturales

Documents
Investigación Digital Forense€¦ · • La Computación Forense Computación Forense Computación Forense es parte de las ciencias forenses • Preservar, recuperar, validar, identificar,

Investigación Digital Forense€¦ · • La Computación Forense Computación Forense Computación Forense es parte de las ciencias forenses • Preservar, recuperar, validar, identificar,

Documents
Informática forense

Informática forense

Education
Psicologia Forense y Psiquiatria Forense

Psicologia Forense y Psiquiatria Forense

Documents
Equipos para analizar Análisis evidencia forense forense

Equipos para analizar Análisis evidencia forense forense

Documents
Introducción a la informática forense en entornos Windows (I) fileDefinición de análisis forense Evidencia Digital ... herramientas que nos pueden facilitar la tarea a la hora

Introducción a la informática forense en entornos Windows (I) fileDefinición de análisis forense Evidencia Digital ... herramientas que nos pueden facilitar la tarea a la hora

Documents
Computo Forense, informática forense

Computo Forense, informática forense

Documents
Informática forense

Informática forense

Technology
LA PATOLOGIA FORENSE EN CUBA - … · Patología Forense. Capítulo III: Enfoque Integrado de la Patología Forense. 3.1 - La propuesta de definición de Patología Forense. 3.2 -

LA PATOLOGIA FORENSE EN CUBA - … · Patología Forense. Capítulo III: Enfoque Integrado de la Patología Forense. 3.1 - La propuesta de definición de Patología Forense. 3.2 -

Documents
Carta Forense rta Forense FORENSES Carta Forense O E o REI … · 2014-05-30 · (_',arta Forensc Carta Forense rta Forense FORENSES Carta Forense O E o REI SALOMÅO FORENSES Carta

Carta Forense rta Forense FORENSES Carta Forense O E o REI … · 2014-05-30 · (_',arta Forensc Carta Forense rta Forense FORENSES Carta Forense O E o REI SALOMÅO FORENSES Carta

Documents
Micologia forense

Micologia forense

Education
pixyel.compixyel.com/binder/product/7149-3.pdfAntropología Forense Delitos Cibernéticos • Entrevista Psicológica Forense Hematología y Serología Forense Medicina Forense •

pixyel.compixyel.com/binder/product/7149-3.pdfAntropología Forense Delitos Cibernéticos • Entrevista Psicológica Forense Hematología y Serología Forense Medicina Forense •

Documents