5.

Uso de datos de sistemas operativos

Un sistema operativo (OS) es un programa que se ejecuta en un ordenador y
proporciona una plataforma de software en que otros programas se pueden
ejecutar. Adems, un sistema operativo es responsable de procesar los comandos
de Usuario, enviar salida a una pantalla, interactuar con dispositivos de
almacenamiento para almacenar y recuperar datos, y Controlando dispositivos
perifricos tales como impresoras y mdems. Algunos sistemas operativos
comunes para estaciones de trabajo o Los servidores incluyen varias versiones de
Windows, Linux, UNIX y Mac OS. Algunos dispositivos de red, como enrutadores,
tienen sus propios sistemas operativos propietarios (por ejemplo, Cisco
Internetwork Operating System [IOS]). PDAs
A menudo ejecutan OS especializados, incluyendo PalmOS y Windows CE.
Los telfonos celulares, cmaras digitales y reproductores de audio, tambin
utilizan sistemas operativos. En esta seccin se discute los Componentes de un
sistema operativo que podran ser relevantes para la informtica forense y
proporciona orientacin sobre la recopilacin, el examen, y el anlisis de datos de
la estacin de trabajo comn y sistemas operativos de servidor.

5.1 Conceptos bsicos del sistema operativo

Los datos de los Sistemas Operativos existen en ambos estados no voltiles y
voltiles. Los datos no voltil se refiere a los datos que persiste incluso despus
de un ordenador est apagado, como un sistema de archivos almacenados en un
disco duro. Los datos voltiles se refieren a los datos en un sistema activo que se
pierde despus de que se apaga una computadora, como las conexiones de red
actuales para el sistema. Muchos tipos de datos no voltiles y voltiles pueden ser
de inters de la informtica forense perspectiva. Esta seccin describe estos dos
tipos de datos OS

5.1.1 Datos no voltiles

La principal fuente de datos no voltiles dentro de un sistema operativo es el
sistema de ficheros. El sistema de archivos tambin es por lo general la mayor y
ms rica fuente de datos dentro del sistema operativo, que contiene la mayor parte
de la informacin un tpico evento forense. El sistema de archivos proporciona
almacenamiento para el sistema operativo en uno o ms medios de comunicacin
el sistema de archivos contiene tpicamente muchos tipos de archivos, cada uno
de los cuales puede ser de valor para los analistas en diferentes

Archivos de configuracin El sistema operativo puede utilizar archivos de

configuracin para almacenar la configuracin del sistema operativo y de
las aplicaciones. Por ejemplo, los archivos de configuracin podran
enumerar los servicios que se deben iniciar automticamente despus de
que el sistema especifique la ubicacin de los archivos de registro y de los
archivos temporales.
Archivos de aplicacin. Las aplicaciones pueden estar compuestas de
muchos tipos de archivos, incluyendo ejecutables, Scripts, documentacin,
archivos de configuracin, archivos de registro, archivos de historial,
grficos, sonidos e iconos.
Archivos de datos. Los archivos de datos almacenan informacin para
aplicaciones. Ejemplos de archivos de datos comunes son texto archivos,
documentos de procesamiento de textos, hojas de clculo, bases de datos,
archivos de audio y archivos grficos.
Intercambio de Archivos. La mayora de los sistemas operativos utilizan
archivos de intercambio en conjuncin con la RAM para proporcionar
almacenamiento temporal para datos utilizados con frecuencia por las
aplicaciones. Los archivos de intercambio amplan esencialmente la
cantidad de memoria disponible para un programa permitiendo que las
pginas (o segmentos) de datos sean intercambiados dentro y fuera de la
RAM.
Volcar Archivo. Algunos SO tienen la capacidad de almacenar el contenido
de la memoria automticamente durante una condicin de error para ayudar
en la solucin de problemas posterior.
Archivos de hibernacin. Se crea un archivo de hibernacin para
conservar el estado actual de un sistema (Tpicamente un ordenador
 porttil) mediante la grabacin de memoria y abrir archivos antes de apagar
el sistema. Cuando el sistema se vuelve a encender, se restaura el estado
del sistema.
Archivos temporales. Durante la instalacin de un sistema operativo, una
aplicacin o las actualizaciones de SO o aplicaciones, actualizaciones, a
menudo se crean archivos temporales. Aunque estos archivos normalmente
se eliminan al final del proceso de instalacin, esto no siempre ocurre.
Adems, se crean archivos temporales cuando se ejecutan muchas
aplicaciones; De nuevo, estos archivos normalmente se eliminan cuando ha
terminado el proceso, pero esto no siempre sucede. Los archivos
temporales pueden contener copias de otros archivos

5.1.2 Datos voltiles

Los sistemas operativos se ejecutan dentro de la RAM de un sistema. Mientras el
sistema operativo est funcionando, el contenido de la RAM es cambiando
constantemente. En cualquier momento, la RAM podra contener muchos tipos de
datos e informacin que
Podra ser de inters. Por ejemplo, la memoria RAM a menudo contiene datos de
acceso frecuente y reciente, como Archivos de datos, hashes de contraseas y
comandos recientes. Adems, al igual que los sistemas de archivos, la RAM
puede contener datos residuales en espacio libre y libre, como sigue:
Slack espacio de holgura de la memoria espacial. Es mucho menos
determinista que el espacio de archivos holgura. Por ejemplo, un sistema
operativo gestiona la memoria general en unidades conocidas como
pginas o bloques, y los asigna a
Solicitudes.
Espacio libre en las pginas de memoria. Se asignan y se cancela la
asignacin al igual que grupos de archivos. Cuando no estn asignadas, las
pginas de memoria se recogen a menudo en un conjunto comn de
pginas proceso a menudo referida como la recoleccin de basura.
5.2 Recopilacin de datos OS
Los datos OS existen tanto en estados no voltiles como voltiles. Datos OS no
voltiles tales como los datos del sistema de archivos pueden ser recolectados
usando Backups lgicos e imgenes de flujo de bits

5.2.1 Recopilacin de datos voltiles

Los datos voltiles que implican un evento slo se pueden recopilar de un sistema
activo que no se ha reiniciado o apagado desde que ocurri el evento cada accin
realizada en el sistema, ya sea iniciada por una persona o por el mismo sistema
operativo, casi con toda seguridad alterar los datos voltiles del sistema operativo
de alguna manera. Por lo tanto, los analistas deben decidir tan pronto como sea
posible si los datos voltiles deben ser preservados. Idealmente, los criterios para
tomar esta decisin deberan haber sido documentados con anticipacin para que
el analista pueda tomar la mejor decisin inmediatamente. El apagar el sistema o
incluso desconectarlo de una red puede eliminar la oportunidad de recopilar
informacin potencialmente importante. Por ejemplo, si un usuario ejecut
recientemente herramientas de cifrado para proteger datos, la memoria RAM del
ordenador podra contener hashes de contraseas, que podran utilizarse para
determinar las contraseas.

5.2.1.1 Preparacin de herramientas forenses

Al recopilar datos voltiles de SO, todas las herramientas forenses que podran ser
necesarias deben colocarse en un disquete, CD-ROM o unidad flash USB, a partir
de la cual se deben ejecutar las herramientas. Hacer esto permite a los analistas
recopilar datos OS con la menor cantidad de perturbacin al sistema. Adems,
slo las herramientas forenses deben ser utilizadas, ya que un usuario puede
haber reemplazado los comandos del sistema con programas maliciosos, uno para
formatear un disco duro o devolver informacin falsa. Sin embargo, el uso de
herramientas forenses no garantiza los datos recuperados sern precisos. Si un
sistema ha sido completamente comprometido, es posible que los rootkits estn
instalados como utilidades maliciosas que alteran la funcionalidad del sistema en
el nivel del kernel. Esta puede hacer que datos falsos sean devueltos a las
herramientas de nivel de usuario.

5.2.1.2 Tipos de datos voltiles

La siguiente lista muestra varios tipos de datos voltiles y explica cmo se pueden
utilizar herramientas forenses en recopilacin cada tipo de datos:

contenidos de la memoria. Hay varias utilidades que puede copiar el

contenido de la RAM en un archivo de datos y ayudar en el anlisis
posterior de los datos. En la mayora de los sistemas, no es posible
alteracin de RAM cuando se ejecuta una utilidad que intenta hacer una
copia de RAM. En cambio, el objetivo es realizar la copia con una huella lo
ms pequea posible para minimizar la interrupcin de RAM.
Configuracin de red. La mayora de los sistemas operativos incluyen una
utilidad que muestra la red actual configuracin, como ifconfig en sistemas
UNIX e ipconfig en los sistemas Windows.
La informacin que se puede proporcionar a travs de las utilidades de
configuracin de red incluye el nombre de host, las interfaces de red fsicas
y lgicas y la informacin de configuracin para cada interfaz (por ejemplo,
Direccin IP, direccin de acceso de medios [MAC], estado actual).
Conexiones de red. Operativos suelen proporcionar un mtodo para
visualizar una lista de la corriente conexiones de red. Ambos sistemas
Windows y UNIX suelen incluir el netstat el programa, que enumera las
conexiones de red por direcciones IP y puertos de origen y de destino, y
tambin se enumeran los puertos que estn abiertos en cada interfaz.
utilidades de terceros disponibles que pueden mostrar asignaciones de
puertos para cada programa. La mayora de los sistemas operativos
tambin pueden mostrar una lista de Filesystems, que proporciona
informacin ms detallada que una lista de conexiones de red.
Adems de las herramientas de la lista anterior, a menudo es til incluir algunas
herramientas de uso general en las Herramientas forenses, como las siguientes:
 Smbolo del sistema operativo. Esta utilidad proporciona un mensaje de
comandos del sistema operativo a travs del cual herramientas en la caja
de herramientas se pueden ejecutar, como cmd en sistemas Windows.
Lista agenda. Se debe incluir una utilidad para listar el contenido de los
directorios para navegar un sistema de archivos y ver su contenido.
Prcticamente todos los SO incluyen tal utilidad; por ejemplo, el LS
comando se utiliza en los sistemas UNIX, mientras que en los sistemas
Windows, se utiliza el comando dir.
Editor de texto. Un editor de texto simple puede ser til para ver archivos
de texto o componer notas numerosos editores de texto estn disponibles,
como por ejemplo el Bloc de notas en los sistemas Windows y vi en UNIX
Sistemas

5.2.1.3 Priorizar la recopilacin de datos

Los tipos de datos voltiles que deben recopilarse con el conjunto de herramientas
dependen de la necesidad especfica. Por ejemplo, si se sospecha una intrusin
de red, podra ser til recopilar la configuracin de red informacin, conexiones de
red, sesiones de inicio de sesin y procesos en ejecucin para determinar cmo
alguien acceso a un sistema. Si una investigacin se refiere al robo de identidad,
entonces el contenido de RAM, la lista de los procesos en ejecucin, la lista de
archivos abiertos, la informacin de configuracin de red y las conexiones de red
puede revelar estos datos hay programas utilizados para obtener o cifrar datos,
contrasea hashes y mtodos que podran haber sido utilizados para obtener la
informacin a travs de una red. En caso de duda, generalmente es una buena
idea recolectar datos voltiles tanto como sea posible porque todas las
oportunidades para recolectar estos datos se perdern una vez que se apague el
ordenador. Posteriormente, se puede hacer una que recogieron datos voltiles
deben ser examinados.

5.2.2 Recopilacin de datos no voltiles

Despus de obtener datos voltiles, los analistas a menudo deben recopilar datos
no voltiles para ello, el analista Primero debe decidir si el sistema debe ser
cerrado. Apagar el sistema no slo afecta la capacidad de realizar imgenes de
flujo de bits y muchas copias de seguridad lgicas, pero tambin puede cambiar
los datos Preservados la mayora de los sistemas se pueden cerrar mediante dos
mtodos:
realizar un apagado del sistema operativo. Casi todos los SO ofrece una
opcin de apagado esto causa que el sistema operativo realice actividades
de limpieza, como cerrar archivos abiertos, eliminar archivos temporales y
posiblemente borrando el archivo de intercambio, antes de apagar el
sistema.
Retire la alimentacin del sistema. Desconectar el cable de alimentacin
de la parte posterior de la computadora (Y quitar las bateras en un
ordenador porttil u otro dispositivo porttil) puede preservar archivos de
intercambio, archivos de datos temporales y otra informacin que pueda ser
alterada o eliminada durante un apagado.

5.2.3 Problemas tcnicos con la recoleccin de datos

OS acceso. La recopilacin de datos voltiles puede ser difcil porque el
analista podra no ser capaz de ganar fcilmente el acceso al sistema
operativo. Por ejemplo, un usuario podra ejecutar un protector de pantalla
protegido por contrasea o que el sistema de bloqueo. En estos casos, el
analista necesitar para eludir esta proteccin o encontrar otra manera de
acceder a los datos del sistema operativo voltiles. Si un protector de pantalla
protegido por contrasea es activo, reiniciar el sistema podra permitir al
analista para eludir el protector de pantalla, sino que tambin hacer que todos
los datos de SO voltiles que se pierdan. Si un anfitrin utiliza la autenticacin
basada en biomtrica, tal como una lector de huellas digitales, u otro servicio
adicionado autenticacin, esto podra causar problemas similares en acceder
a los datos del sistema operativo voltiles. Hay utilidades de terceros para
algunos sistemas operativos que pretenden romper la contrasea sin
necesidad de reiniciar el sistema. Estas utilidades se basan generalmente en
el CD de la unidad de funcin de ejecucin automtica; La utilidad se ejecuta
 automticamente en segundo plano, a continuacin, localiza la contrasea
cifrada y los intentos de descifrarlo
Unidades de disco duro con memoria flash. De vez en cuando, un analista
puede venir a travs de un disco duro que tambin contiene una memoria
flash. Esta memoria flash podra contener una contrasea necesaria para
acceder a la unidad, incluso cuando la unidad se ha quitado del equipo. Por lo
general, el analista luego debe encontrar, adivinar, o agrietar la contrasea
para obtener acceso a la unidad.

5.3 examinar y analizar datos OS

Diversas herramientas y tcnicas se pueden utilizar para apoyar el proceso de las
aplicaciones de seguridad, tales como controladores de integridad de archivos y
de acogida IDS, puede ser muy til en la identificacin de actividades maliciosas
contra los sistemas operativos. Por ejemplo, integridad de los archivos se pueden
utilizar para calcular los resmenes de mensajes de archivos del sistema operativo
y compararlos con bases de datos de mensaje conocido digiere para determinar si
los archivos han sido comprometidos. Si la deteccin de intrusiones el software
est instalado en el ordenador, que podra contener registros que indican las
acciones llevadas a cabo en contra del Sistema Operativo.

5.4 Recomendaciones
Las principales recomendaciones que se presentan en esta seccin para el uso de
datos de los sistemas operativos son los siguientes.
Los analistas deben actuar de forma adecuada para conservar los
datos voltiles. Los criterios para determinar si los datos voltiles deben
ser conservados deben documentarse con anticipacin para que los
analistas puedan tomar decisiones informadas lo ms rpido posible.
Los analistas deben utilizar un conjunto de herramientas forenses
para la recogida de datos voltiles. El uso de un kit de herramientas
forenses permite dar datos precisos para ser recogidos y reducir al mnimo
la perturbacin en el sistema y la proteccin de las herramientas de los
 cambios. El analista debe saber cmo puede afectar a cada herramienta o
alterar el sistema durante la recogida de datos.
Los analistas deben elegir el mtodo de apagado de acuerdo a cada
sistema. Cada mtodo de cierre de un sistema operativo en particular
puede causar diferentes tipos de datos que deben preservarse o corruptos;
los analistas deben ser conscientes del problema de apagado tpico de
cada sistema operativo