Cargando



Wintaylor, herramienta análisis forense portable en Windows

Completo manual donde veremos cómo se utiliza la herramienta portable y gratuita Wintaylor para realizar un análisis forense en Windows.


ago 01 2016 12:01
Profesional
ago 06 2016 11:25

Cuando deseamos realizar una análisis de un ordenador necesitamos herramientas que puedan ejecutarse desde cualquier dispositivo, una de ellas es Wintaylor que es parte de la distribución CAINE (Computer Aided INvestigative Environment).

 

¿Qué es CAINE?
CAINE es una distribución de Linux para realizar análisis forense informático.

 

¿Qué es Wintaylor?
Wintaylor es un conjunto de herramientas portables y los programas que agrupa son software libre. Es muy utilizado para extraer información del software y hardware de un ordenador que utilice el sistema operativo Windows.

 

Podemos utilizar Wintaylor por separado sin tener que instalar CAINE, para ello descargamos:

 

 

Una vez lo tenemos descargado lo descomprimimos y podemos ejecutarlo desde el disco duro o desde una memoria flash o un pendrive.

 

auditoria_wintaylor_1.jpg

 

A continuación veremos un conjunto de botones, cada uno de ellos pertenece a una herramienta, en este tutorial se describirá cada herramienta y como utilizarla.

 

 

1. System Info – Información del sistema


Esta herramienta System Information X, permite inspeccionar la configuración del ordenador, recolectara información sobre los componentes de hardware y software, además podremos generar informes.

 

auditoria_wintaylor_2.jpg

 

Cuando iniciamos la aplicación, nos aparecen dos opciones, la primera es que la herramienta busque en logs de eventos y en directorios y la otra opción es que busque o lea un archivo log que indicaremos. Para este tutorial seleccionaremos la primera opción.

 

Una vez que el equipo ha sido analizado a fondo, se obtiene una amplia lista con todos sus componentes, junto con su modelo, fabricante o detalles relevantes.

 

auditoria_wintaylor_3.jpg

 

Cada ítem podemos explorar los datos como por ejemplo:

  • El procesador, nombre comercial, la arquitectura, número de núcleos, la frecuencia.
  • Podemos obtener información sobre la memoria RAM, placa base, monitor, tarjeta de vídeo, impresoras, tarjeta de sonido, dispositivos USB o adaptadores de red.
  • También podemos exportar un informe en XML para su uso posterior. Dentro de la opción File > Summary Report, tendremos la opción de ver todos los perfiles que tengamos creados para varios ordenadores.

 

 

2. WinAudit – Auditoría de ordenadores


Esta herramienta que vimos en el tutorial Auditoría de ordenadores con WinAudit, es una aplicación muy útil, que muestra una amplia información sobre el sistema operativo, periféricos, y los registros de error de la BIOS. WinAudit es una pequeña herramienta para conocer a fondo el sistema tanto hardware y software, registro y eventos del sistema operativo, la seguridad, los usuarios.

 

Por ejemplo en el ítem Privilegios de Usuarios, podremos ver que permisos tiene un usuario, cuando se logueo por última vez y cuantas veces se logueo en total.

 

 

 

 

3. DriveManager – Gestionar dispositivos de almacenamiento


Esta herramienta permite gestionar la administración de dispositivos de almacenamiento. Drive Manager es una herramienta gratuita y portátil de gestión de disco que se utiliza para ver información sobre los discos duros, dispositivos extraíbles como CD/DVD, Memorias flash e incluso a sus lectores de tarjetas y unidades disponibles por red.

 

 

Puede mostrar y ocultar o bloquear y desbloquear unidades, herramientas de acceso como la comprobación de disco, crear letras de unidad de sustitución para los archivos y carpetas, unidades de búsqueda, la velocidad del disco.

 

Drive Manager muestra el tamaño del disco, el espacio utilizado, y tanto el espacio disponible y el porcentaje de espacio libre, con renovación automática cada 10 segundos, así como de serie del volumen, identificación del producto.

 

 

4. TestDisk – Recuperación de datos


Esta herramienta es la que vimos en el tutorial Recuperar disco duro con herramientas TestDisk y Rstudio. TestDisk es multiplataforma y se utiliza para la recuperación de datos perdidos en discos en particiones y discos de arranque, disco duro usb o memoria flash y tarjetas de memoria. TestDisk soporta particiones en formato ext2/ext3/ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.

 

auditoria_wintaylor_6.jpg

 

 

 

5. FTK Imager – Herramientas de captura de imagenes de disco


La herramienta Forensic Toolkit (FTK Imager) es un conjunto de herramientas que permite gestionar y capturar imágenes de disco duro, dispositivos de almacenamiento externos y memoria RAM con fines de investigación.

 

 

FTK Imager es compatible con el almacenamiento de imágenes de disco en formato de archivo de en formato dd. Esta herramienta es la que vimos en en tutorial Analizar imagen de disco con FTK Imager.

 

 

6. PC ON/OFF – Registro de Encendido y apagado del ordenador


Esta herramienta nos permite conocer que días se encendió un ordenador, cuando se apagó y cuantas horas estuvo en funcionamiento, esto sirve para determinar en qué momento el ordenador estaba encendido, apagado o en modo de espera. Esto puede servidor para monitorizar que no se utilice un ordenador en horarios indebidos en caso de una empresa o cuando se da acceso a técnicos o administradores externos.

 

 

También puede realizarse esta verificación para un ordenador de la red y tiene una versión gratis que permite ver 3 semanas la versión de pago no tiene límites.

 

 

7. WHOIS – Información de dominios


WhoisThisDomain es una herramienta de búsqueda de registro de dominios nos permite obtener información sobre un dominio registrado.

 

auditoria_wintaylor_9.jpg

 

Se conecta automáticamente al servidor de base de datos WHOIS y mediante el nombre de dominio, recupera los datos del registro WHOIS del dominio. Es compatible tanto con los dominios genéricos y los dominios de código de país. Podemos crear un listado de dominios para chequear todos juntos y tenerlos actualizados.

 

 

8. LANSCAN – Herramienta de escaneo de redes


La aplicación se denomina PortScan y se utiliza como escáner de red que puede comprobar rápidamente un rango de IP y la información sobre los ordenadores en esa red. Es muy útil si deseamos comprobar la información de los equipos de la red. Es muy simple pero hay que conocer de redes para poder determinar que información estamos viendo.

 

auditoria_wintaylor_10.jpg

 

El escaneo de la red es realiza asignado el rango de IP, por ejemplo 192.168.0.0 hasta 192.168.0.255 y la aplicación buscara todos los ordenadores en esa red. PortScan analiza todos los puertos disponibles y muestra detalles como la dirección MAC, nombre de host, puertos abiertos y los servidores HTTP para cada máquina conectada.

 

Además, también se puede hacer ping a una dirección IP o un nombre de host. También en la versión mas reciente incorpora una herramienta de prueba de velocidad de red para determinar la descarga y velocidad de subida de la conexión a la red. Podemos utilizar PortScan para obtener información sobre los servicios HTTP, FTP, SMTP y SMB.

 

La aplicación es portable por lo que podemos descargarla en forma independiente y más actualizada con mas opciones.

 

 

9. HexEdit – Editor hexadecimal y captura de memoria RAM


Esta herramienta es un editor hexadecimal, que permite ver lo que ocurre en la memoria RAM y en la BIOS en vivo, es decir con el ordenador encendido y trabajando, además sirve para capturar imágenes de memoria y discos.

 

 

Cuando iniciamos el programa desde el menú Archivo, podemos elegir un dispositivo de almacenamiento o un bloque de memoria RAM o BIOS.

 

Una vez que hayamos seleccionado desde donde obtendremos los datos, HEXEDIT, nos mostrara el contenido que podremos explorar. Si tenemos los conocimientos suficientes podremos editar información directamente en la memoria.

 

 

10. PhotoRec – Recuperación de datos de dispositivos e imágenes de disco


PhotoRec es una herramienta multiplataforma de recuperación de datos y archivo de discos duros, memorias flash USB, y cámaras digitales.

 

auditoria_wintaylor_12.jpg

 

Recupera diversos formatos de imágenes, y archivos de audio, formatos de documentos Ofiice y muchos formatos de archivo incluyendo ZIP.

 

PhotoRec no intenta escribir en los medios dañados el usuario está a punto de recuperarse. Los archivos recuperados en cambio se escriben en un directorio seleccionado por el usuario desde el que se ejecuta PhotoRec. Se puede utilizar para la recuperación de datos cuando se realizan análisis forense inclusive en imágenes de disco o de memoriaRAM. PhotoRec es un complemento perfecto para TestDisk.

 

En el tutorial Analizar imagen de disco con FTK Imager, mostré como utilizar PhotoREc con una imagen dd de una memoria flash. También puedes ver un buen articulo que nos ofrece programas gratuitos para recuperar archivos eliminados, donde se menciona a PhotoRec.

 

 

11. RAM Dump – Captura de memoria RAM en Windwos


Esta sección contiene un conjunto de herramientas para capturar la memoria RAM. Las herramientas son Winen y mdd, son software de línea de comandos que nos permitirán desde una memoria USB capturar la RAM sin tener privilegios de administrador.

 

El comando es muy simple por ejemplo para mdd indicamos:

l aopcion -o
Y un nombre de archivo donde guardar la imagen:
mdd -o dump.dd

auditoria_wintaylor_13.jpg

 

En este caso en 53 segundos pudimos hacer una imagen de un Windows 7 con 2 GB de RAM.

 

 

12. Recuva – Herramienta de recuperación de datos


Recuva es una herramienta de recuperación de archivos, también podemos encontrarla en el artículo Programas gratuitos para recuperar archivos eliminados.

 

auditoria_wintaylor_14.jpg

 

Esta herramienta puede recuperar archivos que han sido borrados desde el ordenador, de un disco duro, una unidad USB, un reproductor de MP3 o incluso una tarjeta de memoria de una cámara de fotos.

 

auditoria_wintaylor_15.jpg

 

Recuva posee un asistente de recuperación para especificar qué tipo de archivo buscar y de esa forma hacer más rápida la recuperación. Para ello iniciamos el asistente y luego debemos seleccionar que tipo de archivo que desea recuperar como documentos, fotos, vídeos, correos electrónicos, entre otras opciones.

 

 

13. USB Write Protector – Proteger dispositivos de almacenamiento USB


Permite la protección para los dispositivos USB para controlar la escritura de datos y transferencias, esta herramienta evitara por ejemplo, que borremos o escribamos un pendrive por accidente. USB WriteProtector permite bloquear como desbloquear la protección contra escritura. Además, puede ejecutarse desde su interfaz o bien desde línea de comandos.

 

Debemos tener en cuenta que cuando tengamos activada la opcion USB Write ON u OFF, cuando conectemos cualquier pendrive USB, este adoptara automáticamente la opción seleccionada.

 

auditoria_wintaylor_16.jpg

 

 

 

14. USB Devices - Lista de dispositivos usb


USBDeview es una herramienta que muestra todos los dispositivos USB que actualmente conectados al equipo, así como todos los dispositivos USB que utilizó anteriormente. Para cada dispositivo USB, se muestra la información muy detallada sobre el nombre del dispositivo, la descripción, tipo de dispositivo, número de serie, la fecha y hora que se añadió ese dispositivo y otra información de sistema, fabricante y proveedor.

 

 

También permite gestionar y desinstalar los dispositivos USB que se utilizaron anteriormente o dejarlos como histórico, también admite la opción de activar y desactivar alguno de los dispositivos USB. Además se puede utilizar para administrar USB en red en un ordenador remoto, siempre y cuando se tengan los permisos de administrador de sistema y de red.

 

 

15. Windows File Analyzer - Análisis y Decodificación de archivos ocultos


Esta herramienta analiza y decodifica algunos archivos para el análisis forense. El archivo Thumbs.db es un archivo creado por Windows cuando se utiliza la vista en miniatura. Es un archivo oculto no vistos por los usuarios. Esto permite obtener esos datos por más que la imagen haya sido borrada, en este archivo quedan almacenados datos de previsualización de la imagen.

 

También los enlaces y accesos directos de archivos manipulados son una fuente de información ya que crean un registro histórico.

 

auditoria_wintaylor_18.jpg

 

Luego tenemos otra sección denominada More Tools o Más Herramientas que dispone de múltiples aplicaciones para ejecutar en modo portable, algunas de ellas son:

  • SkypeLogView: para ver conversaciones guardadas de Skype
  • SniffPass: Para espiar clave en una determinada IP a la que tengamos acceso
  • MyLastSearch: Para determinar cuáles fueron las ultimas búsquedas y desde que navegador
  • Windows Registry Recovery: Recupera y le información del registro de Windows

 

También disponemos de las herramientas de sistema de Windows para utilizar desde la línea de comandos como netstat, systeminfo, ipconfig y muchas más.

 

Para concluir os dejamos un par de enlaces a tutoriales relacionados con auditorías:


¿Te ayudó este Tutorial?


4 Comentarios


Manuel Garcia
ago 08 2016 09:31

Gracias Solvetic!!!


Luis Rios Miranda
ago 09 2016 10:23

Esto es muy bueno. Gracias.

Muy buena herramienta

gracias los amo 

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X