Forensics in Spanish
Saber quien se conecto a una web Jul 04 2008 05:21PM
nombrelodemenos hotmail com (2 replies)
Re: Saber quien se conecto a una web Jul 08 2008 03:15PM
Flavio HdP (flaviohdp gmail com)
De tu comentario se entiende que :

1) Tenés conocimiento de qué equipo utilizó para el acceso

2) Tenés acceso al equipo (mejor si es físico)

En ese caso, no es necesario revisar los eventos de Windows. Se hace una
búsqueda de algunas palabras claves (o la URL) de la página visitada, y se
recuperan los temporales generados por el navegador. Luego se observan las
fechas de acceso de los mismos.

Lo malo es que, si es un windows común (xp, x ej.) no es tan fácil
relacionarlo con un determinado usuario del equipo (suponiendo que varios
usuarios acceden al mismo). Esto es compensable recuperando la sesión de
trabajo (todos los archivos del mismo día y la hora próxima) para ver el
perfil de usuario, o por lo menos su comportamiento.

Me ha tocado hacer muchas pericias sobre equipos conectados a sitios de
acceso público, cono cybers-cafés, bibliotecas, universidades, etc En el
caso de los Cyber es fácil, ya que utilizan aplicaciones de sesión para el
control del tiempo y el cobro (por ej. EasyCafe) . Entonces, se recupera
todo lo realizado en la sesión, ´y se ve si utilizó MSN o cualquier servicio
de mensajería instantánea. si abrió otras cuentas de correo, etc. Se saca el
perfil de comportamiento.

La complicación principal en los sitios públicos, es que suelen utilizar -
para "evitar" los virus, según ellos - una herramienta que es antiforense,
como el DiskFreeze, que restaura todo a su estado original cuando se
reinicia el equipo...

Todo depende del escenario, pero siempre es factible recuperar perfiles que
nos puedan generar patrones de comportamiento, que nos lleven a identificar
a la persona. No son pruebas contundentes, pero son indicios que abren
líneas de investigación..

Saludos,

Flavio

2008/7/4 <nombrelodemenos (at) hotmail (dot) com [email concealed]>:

> Hace 10 meses un usuario de una red se conecto a una página e hizo un
> comentario despectivo para saber que usuario lo hizo se me ocurre que se
> pueden ver los logs de windows events para saber que usuario abrio el
> explorer a esa determinada hora. Pero resulta que windows no guarda los logs
> tanto tiempo como podría hacerlo ya que obviamente se han borrado los
> historiales.
>
> Saludos.
>

2008/7/4 <nombrelodemenos (at) hotmail (dot) com [email concealed]>:

> Hace 10 meses un usuario de una red se conecto a una página e hizo un
> comentario despectivo para saber que usuario lo hizo se me ocurre que se
> pueden ver los logs de windows events para saber que usuario abrio el
> explorer a esa determinada hora. Pero resulta que windows no guarda los logs
> tanto tiempo como podría hacerlo ya que obviamente se han borrado los
> historiales.
>
> Saludos.
>
<div>De tu comentario se entiende que :</div>
<div> </div>
<div>1) Tenés conocimiento de qué equipo utilizó para el acceso</div>
<div> </div>
<div>2) Tenés acceso al equipo (mejor si es físico)</div>
<div> </div>
<div>En ese caso, no es necesario revisar los eventos de Windows. Se hace una búsqueda de algunas palabras claves (o la URL) de la página visitada, y se recuperan los temporales generados por el navegador. Luego se observan las fechas de acceso de los mismos.</div>

<div> </div>
<div>Lo malo es que, si es un windows común (xp, x ej.) no es tan fácil relacionarlo con un determinado usuario del equipo (suponiendo que varios usuarios acceden al mismo). Esto es compensable recuperando la sesión de trabajo (todos los archivos del mismo día y la hora próxima) para ver el perfil de usuario, o por lo menos su comportamiento.</div>

<div> </div>
<div>Me ha tocado hacer muchas pericias sobre equipos conectados a sitios de acceso público, cono cybers-cafés, bibliotecas, universidades, etc En el caso de los Cyber es fácil, ya que utilizan aplicaciones de sesión para el control del tiempo y el cobro (por ej. EasyCafe) . Entonces, se recupera todo lo realizado en la sesión, ´y se ve si utilizó MSN o cualquier servicio de mensajería instantánea. si abrió otras cuentas de correo, etc. Se saca el perfil de comportamiento. </div>

<div> </div>
<div>La complicación principal en los sitios públicos, es que suelen utilizar - para "evitar" los virus, según ellos - una herramienta que es antiforense, como el DiskFreeze, que restaura todo a su estado original cuando se reinicia el equipo...</div>

<div> </div>
<div>Todo depende del escenario, pero siempre es factible recuperar perfiles que nos puedan generar patrones de comportamiento, que nos lleven a identificar a la persona. No son pruebas contundentes, pero son indicios que abren líneas de investigación..</div>

<div> </div>
<div>Saludos,</div>
<div> </div>
<div>Flavio<br><br></div>
<div class="gmail_quote">2008/7/4 <<a href="mailto:nombrelodemenos (at) hotmail (dot) com [email concealed]" target="_blank">nombrelodemenos (at) hotmail (dot) com [email concealed]</a>>:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hace 10 meses un usuario de una red se conecto a una página e hizo un comentario despectivo para saber que usuario lo hizo se me ocurre que se pueden ver los logs de windows events para saber que usuario abrio el explorer a esa determinada hora. Pero resulta que windows no guarda los logs tanto tiempo como podría hacerlo ya que obviamente se han borrado los historiales.<br>
<br>Saludos.<br></blockquote></div><br><br><br>
<div class="gmail_quote">2008/7/4 <<a href="mailto:nombrelodemenos (at) hotmail (dot) com [email concealed]">nombrelodemenos (at) hotmail (dot) com [email concealed]</a
>>:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hace 10 meses un usuario de una red se conecto a una página e hizo un comentario despectivo para saber que usuario lo hizo se me ocurre que se pueden ver los logs de windows events para saber que usuario abrio el explorer a esa determinada hora. Pero resulta que windows no guarda los logs tanto tiempo como podría hacerlo ya que obviamente se han borrado los historiales.<br>
<br>Saludos.<br></blockquote></div><br>

[ reply ]
Re: Saber quien se conecto a una web Jul 08 2008 11:19AM
Marcos (neron031 gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus