Informática Forense "Plataformas Windows" --> construcción

[CHR0N05]

Informática Forense
"Plataformas Windows"

Primero que todo deseo hacer hincapié que este documento tiene la finalidad completa y exclusiva de ser educativo, cualquier uso indevido es exclusivo de quien utilice estas herramientas para uso.

vVegeta

Ps. Cualquier usuario que desee participar en este articulo bienvenido sea... se comunica por IM.

[CHR0N05]

Antes de seguir debemos de saber ciertas cosas por obligación:

• 
  Para ver este enlace Registrate o Inicia Sesion
  Análisis Forense
• 
  Para ver este enlace Registrate o Inicia Sesion
  RFC 3227
• 
  Para ver este enlace Registrate o Inicia Sesion
  Evidencia Digital
• 
  Para ver este enlace Registrate o Inicia Sesion
  Windows; Historia

[CHR0N05]

Análisis Forense

Qué es Análisis Forense

Desglocemos:

Análisis: Según la RAE; Distinción y separación de las partes de un todo hasta llegar a conocer sus principios o elementos

Forense: Según la RAE; Perteneciente al foro, a la justicia.

Podriamos definir Análisis Forense como "la separación de cada una de sus partes desde lo micro a lo macro ante la justicia"

Entonces que significará Análsis Forense Informático

Informático: Según la RAE; Perteneciente o relativo a la informática

Informática: Según la RAE; Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores.

Información: Según la RAE; Acción y efecto de informar

Informar: Según la RAE; Dicho de una persona o de un organismo: Completar un documento con un informe de su competencia.

Entonces, definimos Análisis Forense Informático, como "la separación completa de la información perteneciente a un delito" -- a grandes rasgos ---

Por ende, la separación completa a que se refiere, a una separación de bit por bit...

Les recuerdo que tan solo con hacer el ingreso a un O.S. se modifica un bit como mínimo.


Nota: Se intentará que en este documento quede todo claro.

[CHR0N05]

RFC 3227

Directrices para la colección de archivo y Prueba

Para ver este enlace Registrate o Inicia Sesion

Guidelines for Evidence Collection and Archiving

Qué es un RFC

Un documento Request For Comments (abreviado como RFC), que se traduce como "petición de comentarios", es un documento cuyo contenido es una propuesta oficial para un nuevo protocolo de la red Internet (originalmente de ARPANET), que se explica con todo detalle para que en caso de ser aceptado pueda ser implementado sin ambigüedades.

        Cada RFC tiene un título y un número asignado, que no puede repertirse ni eliminarse aunque el documento se quede obsoleto.

        Cada protocolo de los que hoy existen en Internet tiene asociado un RFC que lo define, y posiblemente otros RFCs adicionales que lo amplían.

       Existen varias categorías, pudiendo ser informativos (cuando se trata simplemente de valorar por ejemplo la implantación de un protocolo), propuestas de estándares nuevos, o históricos (cuando quedan obsoletos por versiones más modernas del protocolo que describen).

         Han de redactarse en inglés, según una estructura específica y en formato de texto ACSII.

        Antes de que un documento tenga la consideración de RFC, ha de seguir un proceso muy estricto para asegurar su calidad y coherencia. Cuando lo consigue, es prácticamente ya un protocolo formal al que probablemente se pondrán pocas objeciones, por lo que el sentido de petición de cometarios se ha quedado desfasado, ya que las críticas y sugerencias se hacen en las fases anteriores. El nombre de RFC se mantiene pues, por razones históricas.

* FUENTE: http://es.wikipedia.org/wiki/Request_For_Comments

[CHR0N05]

Evidencia Digital

Es el paso más importante que debemos de tener en cuenta al momento de realizar un AFI, ya que en esta parte nos dedicaremos la gran parte del tiempo, en la recolección de la evidencia digital del sistema involucrado.

Se entiende como Evidencia Digital:

• Cookies
• HDD
• Logs
• temps
• etc....

En otras palabras es todo lo que existe en el Pc, e incluso los dispositivos externos.

[CHR0N05]

Windows; Historia

• 
  Para ver este enlace Registrate o Inicia Sesion
  Wikipedia
• 
  Para ver este enlace Registrate o Inicia Sesion
  techtear
• 
  Para ver este enlace Registrate o Inicia Sesion
  Geocities
  
  

Ps. Con esto, espero no volver a leer que Windows lo hace Bill Gates.

[CHR0N05]

INDICE

• 
  Para ver este enlace Registrate o Inicia Sesion
  TCP/IP
• 
  Para ver este enlace Registrate o Inicia Sesion
  Protección de dispositivos Media
• 
  Para ver este enlace Registrate o Inicia Sesion
  Protección contra Escritura Hardware/Software
• 
  Para ver este enlace Registrate o Inicia Sesion
  Validación de la Protección contra escritura Hardware/Software
• 
  Para ver este enlace Registrate o Inicia Sesion
  Información completa del sistema
• 
  Para ver este enlace Registrate o Inicia Sesion
  Usuario
• 
  Para ver este enlace Registrate o Inicia Sesion
  Grupos
• 
  Para ver este enlace Registrate o Inicia Sesion
  Drivers
• 
  Para ver este enlace Registrate o Inicia Sesion
  Tipos de Logon en un sistema basado en Windows
• 
  Para ver este enlace Registrate o Inicia Sesion
  La Papelera de Reciclaje
• 
  Para ver este enlace Registrate o Inicia Sesion
  Licencia
  --> Download
• 
  Para ver este enlace Registrate o Inicia Sesion
  Archivos del Registro
• 
  Para ver este enlace Registrate o Inicia Sesion
  Index.dat e Internet Explorer
• 
  Para ver este enlace Registrate o Inicia Sesion
  Service Pack, HotFix
• 
  Para ver este enlace Registrate o Inicia Sesion
  Shell
• 
  Para ver este enlace Registrate o Inicia Sesion
  Kernel
• 
  Para ver este enlace Registrate o Inicia Sesion
  Recuperación de Información
• 
  Para ver este enlace Registrate o Inicia Sesion
  Recogida de archivos Log del sistema
• 
  Para ver este enlace Registrate o Inicia Sesion
  Chequeando Run
• 
  Para ver este enlace Registrate o Inicia Sesion
  NtUser.dat y archivos del registro
• 
  Para ver este enlace Registrate o Inicia Sesion
  Cookies
• Paginación de Windows
• BSOD
• ADS
• MD5
• SHA256
• Windows v/s Windows
• Windows Server 2003
• Passwords Messengers  Uso exclusivo educativo
• Rootkit
• Mail Passwords  Uso exclusivo educativo
• Software Extras
• Cadena de Custodia
• Preservación de Evidencia Digital
• Practica

Ps. el Indice se hirá creando durante el tiempo...

[CHR0N05]

TCP/IP

El modelo TCP/IP tiene cuatro capas:

• Capa de aplicación
• Capa de transporte
• Capa de Internet
• Capa de acceso a la red

Cabe resaltar que algunas de las capas del modelo TCP/IP poseen el mismo nombre que las capas del modelo OSI. Es importante hacer referencia al modelo cuando se mencionan las capas, puesto que la capa de aplicación tiene diferentes funciones en cada uno.

• Capa de aplicación: el modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en una sola capa y garantiza que estos datos estén correctamente empaquetados para la siguiente capa. Los diseñadores de TCP/IP sintieron que los protocolos de nivel superior debían incluir los detalles de las capas de sesión y presentación. Simplemente crearon una capa de aplicación que maneja protocolos de alto nivel, aspectos de representación, codificación y control de diálogo.
• Capa de transporte: esta capa se refiere a los aspectos de calidad del servicio con respecto a la confiabilidad, el control de flujo y la corrección de errores. Uno de sus protocolos, el protocolo para el control de la transmisión (TCP), ofrece maneras flexibles y de alta calidad para crear comunicaciones de red confiables, sin problemas de flujo y con un nivel de error bajo. TCP es un protocolo orientado a la conexión que mantiene un diálogo entre el origen y el destino mientras empaqueta la información de la capa de aplicación en unidades denominadas segmentos. “Orientado a la conexión” significa que los segmentos de Capa 4 viajan de un lado a otro entre dos hosts para comprobar que la conexión exista lógicamente para un determinado período. Esto se conoce como conmutación de paquetes.
• Capa de Internet: el objetivo de la capa de Internet es enviar paquetes origen desde cualquier red en la Internet y que estos paquetes lleguen a su destino independientem ente de la ruta y de las redes que hayan recorrido para llegar hasta allí. El protocolo específico que rige esta capa se denomina Protocolo Internet (IP). En esta capa se produce la determinación de la mejor ruta y la conmutación de paquetes. Se podría decir que eficacia (llegar a destino) y eficiencia (del mejor modo posible) son el propósito que persigue.
• Capa de acceso de red: también denominada “capa de host a red”. Es la capa que se ocupa de todos los aspectos que requiere un paquete IP para realizar los enlaces físicos. Esta capa incluye los detalles de tecnología LAN y WAN y todos los de la capa física y de enlace de datos del modelo OSI presentado anteriormente.

Cabe observar que en la capa de aplicación aparecen distintas tareas de red que pueden parecer desconocidas, pero que, sin embargo, el usuario de Internet usa todos los días:

• FTP: File Transfer Protocol (protocolo de transferencia de archivos)
• HTTP: Hypertext Transfer Protocol (protocolo de transferencia de hipertexto)
• SMTP: Simple Mail Transfer Protocol (protocolo de transferencia de correo simple)
• DNS: Domain Name System (sistema de nombres de dominio)
• TFTP: Trivial File Transfer Protocol (protocolo de transferencia de archivo trivial)

El modelo TCP/IP provee la máxima flexibilidad en la capa de aplicación para los desarrolladore s de software.

La capa de transporte contempla dos protocolos: el protocolo de control de transmisión (TCP) y el protocolo de data grama de usuario (UDP). 

La capa inferior, la de acceso de red, se relaciona con la tecnología específica de LAN o WAN que se utiliza.

En el modelo TCP/IP existe solamente un protocolo de red: el Protocolo Internet, o IP, como protocolo universal que permite que cualquier computadora, en cualquier lugar del mundo donde se encuentre, pueda comunicarse en cualquier momento.

TCP/IP (RFC)

TCP/IP es hoy el estándar en la práctica para las comunicaciones de internetwork y funciona como el protocolo de transporte para Internet, permitiendo que millones de computadores se comuniquen en y desde cualquier parte del mundo.

Originalmente, se desarrolló para suministrar comunicaciones a través de DARPA. Posteriormente, TCP/IP se incluyó en la Distribución del Software Berkeley de UNIX.

TCP/IP es un protocolo disponible a nivel mundial. Permite la comunicación entre cualquier conjunto de redes interconectada s y sirve tanto para las comunicaciones LAN como para las WAN. TCP/IP incluye no sólo las especificacion es de las Capas 3 y 4 (como, por ejemplo, IP y TCP), sino también especificacion es para aplicaciones de correo electrónico, conexión remota, etc.

El router lo utiliza como una herramienta de configuración. Su función es transferir información desde un dispositivo de red a otro. Al hacer esto, se asemeja al modelo de referencia OSI en las capas inferiores, y soporta todos los protocolos físicos y de enlace de datos.

Nota: Los RFC de TCP/IP son muchos y muy variados. Para obtener información sobre RFC, diríjase al siguente link:
Para ver este enlace Registrate o Inicia Sesion

Aquí

• Dirección IP

En un entorno TCP/IP, las estaciones finales se comunican con servidores u otras estaciones finales. Esto puede ocurrir porque cada nodo que utiliza el conjunto de protocolos TCP/IP tiene una dirección lógica distinta de 32 bits. Esta dirección se denomina dirección IP y se especifica en formato decimal separado por puntos de 32 bits, esto es IPv4 definida por el estándar.

Las direcciones IP tienen una longitud de 32 bits y constan de dos partes:

• La dirección de red.
• La dirección de host.

Pero, a la vez, la dirección está dividida en cuatro octetos (grupos de ocho bits). El valor decimal máximo de cada octeto es 255 (el número binario de 8 bits más alto es 11111111, y esos bits, de izquierda a derecha, tienen valores decimales de 128, 64, 32, 16, 8, 4, 2 y 1).

A efectos de entender esta representación, se explicarán las conversiones de binario a decimal y viceversa:

• Conversión de un número binario a su equivalente en decimal:

Para convertir un número binario a su equivalente en decimal, sume los números representados en las posiciones de los bits que estén a 1. En la tabla se muestra un número de 8 bits y el valor decimal de cada posición.

7   6   5   4   3   2   1   0
2^7   2^6   2^5   2^4   2^3   2^2   2^1   2^0
128    64    32    16    8    4   2   1

Por ejemplo, el número binario de 8 bits 01000011 es 67 (= 64 + 2 + 1). El mayor número que se puede expresar con un número de 8 bits (11111111) es 255 (=128+64+32+16+8+4+2+1).

• Conversión de un número decimal a su equivalente en binario:

Para convertir de decimal a binario se analiza el número decimal para ver si contiene las cantidades representadas por las posiciones de los bits desde el bit de mayor orden hasta el bit de menor orden. Empezando desde el bit de mayor orden (128), si cada cantidad existe, se pone a 1 el bit de esa posición. Por ejemplo, el número decimal 211 contiene 128, 64, 16, 2 y 1. Por tanto, 211 es 1010011 en binario.

Por ejemplo, la dirección IP 140.179.220.20 0 en binario será:
      

140      .  179   .   220  .  200
10001100.10110 011.11011100.1 1001000

• Componentes de una dirección IP

El número de red de una dirección IP identifica la red a la cual se encuentra adherido un dispositivo. La porción host de una dirección IP identifica el dispositivo específico de esta red. Como las direcciones IP están formadas por cuatro octetos (grupos de ocho bits) separados por puntos, se pueden utilizar uno, dos o tres de estos octetos para identificar el número de red. De modo similar, se pueden utilizar hasta tres de estos octetos para identificar la parte de host de una dirección IP.

RED ----------|----------- HOST
<-------------|--------------->
172   .   16  .  124   .   201
-8bit- - 8bit-  -8bit-  -8bit-
1byte   1byte   1byte   1byte 



Mayor información:


Para ver este enlace Registrate o Inicia Sesion

1° ------ Introduccion al TCP\IP (Newbie)------

Para ver este enlace Registrate o Inicia Sesion

LA BIBLIOTECA DE ALDEBARAN

[CHR0N05]

Protección de dispositivos Media

Para garantizar las pruebas digitales

Algunos medios de comunicación, traen consigo la opción de protección contra escritura, en el caso de lo contrario deberemos utilizar Hardware especializado en ello (Write Protection)

• Pendrive
• Reproductor MP3, MP4...
• Disquettes (Floppy 5.25 - 3 1/2)
• Flash Memory
• IDE, SATA, SCSI
• etc...

Veamos e identifiquemos algunos de estos dispositivos:

Floppy 5.25 --> Minifloppy



Floppy 3 1/2



MMC/SD --> Multimedia Cards / Secure Digital




Son solo algunos... es algo lógico que no pondré imagen de muchos...

[CHR0N05]

Protección contra Escritura
Hardware/Software

Ultrablock


Para ver este enlace Registrate o Inicia Sesion

Imagen

IDE:

PC Interface:  FireWire-A, FireWire-B, USB (1.X/2.0)
Drive Interface: Parallel IDE (48 Bit ATA-6 Compatible)
User Configurable: Read-Only or Read-Write

Price: $219.00

SATA

PC Interface: FireWire-A, FireWire-B, USB (1.X/2.0)
Drive Interface: Serial ATA
User Configurable: Read-Only or Read-Write

Price: $281.00

SCSI

PC Interface:FireWire-A, FireWire-B, USB (1.X/2.0)
Drive Interface:SCSI-3 (HPDB68 Interface)
User Configurable:Read-Only or Read-Write

Price:$429.00

Forensic Card Reader


Para ver este enlace Registrate o Inicia Sesion

Imagen

UltraBlock Forensic Card Readers        $80.00

             Como dicen en la imagen una es para leer y Escribir y la otra es solo Lectura.

                La unidad de sólo lectura debe ser utilizada para la adquisición forense de información encontrada en multimedia y tarjetas de memoria. La unidad de Lee-Escribe es incluida para proporcionar la habilidad de escribir a tarjetas de memoria para probar o validar. Las Lectoras de tarjetas Forenses pueden ser conectadas directamente a un USB 2,0 (o USB 1. X) el puerto en su estación de trabajo o el ordenador portátil".


Forensic USB Bridge


Para ver este enlace Registrate o Inicia Sesion

Imagen

                     "Forensic USB Bridge USB2.0 de alta velocidad (480 Mbit/S) USB 1.1 TODA VELOCIDAD (12 Mbit/S) y Bajo-Velocidad (1,2 Mbit/S) dispositivos que conforman al USB Almacenamiento Masivo" Bulto-Sólo" la especificación de la clase. El UltraBlock USB Write/block los trabajo con thumb USB driver, impulsores de discos externos de USB, cámaras aún USB-BASADOS con la capacidad de lectora de tarjetas".

Our Price: $299.00

Saludos....

[CHR0N05]

Validación de la Protección contra escritura Hardware/Software

El paso #1 – Prepara los medios

A) Conecta los medios de almacenamiento que usted estará probando con  su estación de trabajo forense en el modo escribe-permitido.
B) Enjuga los medios - valida que esto ha sido exitoso.
C) Formatear los medios con un formato del archivo de su escoger.
D) Copia una cantidad de datos a los medios.
E) Borra una selección de estos datos de los medios.
F) En la sobremesa de su estación de trabajo forense crea 3 carpetas. Llame éstos Dan un paso-1, el Paso-2 y el Paso-5.
G) Imagina los medios en el Paso-1 carpeta y nota que el MD5 picar en trocitos.

El paso #2 – Probando los medios

A) Quita y entonces reemplaza los medios que prueban en su estación de trabajo forense.
B) Copia algunos datos a los medios.
C) Borró una selección de estos datos de los medios.
D) Imagina los medios en el Paso-2 carpeta y nota que el MD5 picar en trocitos.
E) Valida que esto picar en trocitos el valor es '' diferente'' a producido en el Paso #1.

El paso #3 – Activa el escribe bloqueando dispositivo

A) Quita los medios de su estación de trabajo forense.
B) Conecta y/o activa el escribe la protección dispositivo.
C) Sigue procedimientos específicos de la activación para el bloqueador específico.

El paso #4 – Prueba el escribe bloqueando dispositivo

A) Mete los medios en su estación de trabajo forense.
B) Intenta copiar los archivos en los medios.
C) Intenta borrar los archivos de los medios.
D) Intenta formatear los medios.

El paso #5 – Verifica para cualquier cambio a los medios

A) Imagina los medios en el Paso-3 carpeta y nota que el MD5 picar en trocitos.
B) Valida que este MD5 picar en trocitos es el '' mismo'' como el MD5 picar en trocitos del Paso #2.

[CHR0N05]

Información completa del sistema

En esta parte tenemos infinidad de Software para este trabajo... pero principalmente deseo hacer la implementación de Windows.

Lo veremos desde la cmd:

Windows+R --> cmd --> Enter

• bootcfg - Configurador de arranque. Simplemente modfica el archivo boot.ini para indicar opciones de arranque
• control userpasswords2 - Permite modificar las claves y los permisos de los diferentes usuarios, así como requerir la pulsación de control+alt+suprimir para poder iniciar sesión, haciendo el inicio de sesión más seguro
• driverquery - Crea un informe sobre los dirvers instalados en el sistema. Muestra además información detallada de cada uno
• dxdiag - Herramenta de diagnóstico de DirectX
• gpresult - Información de las políticas de grupo aplicadas a un usuario
• gpupdate - Actualizar las politicas de grupo
• pagefileconfig - Configuración de la memoria virtual de Windows
• prncnfg - Información sobre las impresoras instaladas
• prnjobs - Información sobre los trabajos de impresión en cola
• reg - Permite ver y modificar valores del registro de Windows.

Opciones posibles:

• reg query: consulta en el registro
• reg add: añadir entrada
• reg delete: eliminar entrada
• reg copy: copiar clave en otro lugar del registro
• reg save: guardar parte del registro
• reg restore: restaura el registro
• reg load: cargar valor o clave desde un archivo .reg
• reg unload: descargar valor o clave
• reg compare: comparar valores de registro
• reg export: exportar registro a un archivo
• reg import: importar registro a un archivo

• sc -Administrador de servicios, podemos detenerlos, ejecutarlos, etc
• sfc - Este comando permite buscar archivos del sistema dañados y recuperarlos en caso de que estén defectuosos (es necesario el CD de instalación del sistema operativo para utilizarlo). Para realizar una comprobación inmediata, deberemos ejecutar la orden sfc /scannow
• systeminfo - Muestra información sobre nuestro equipo y nuestro sistema operativo: número de procesadores, tipo de sistema, actualizacione s instaladas, etc
• taskkill - Permite matar procesos conociendo su nombre o su numero de proceso (PID)
• Tasklist - Informe sobre los procesos ejecutados en el sistema

C:\PerfLogs\System_Overview.blg

[CHR0N05]

Usuarios

Qué es un Usuario

Primero que todo, debemos saber que luna cuenta de usuario es aquella que constituye los datos necesarios que tendrá el mismo para acceder a los recuersos de un dominio y/o computadora, por ello s se les pueden asignar permisos y derechos.

Todos los windows (si no me equivoco), contiene tres usuarios por defecto:

• Administrador: Tiene control total sobre el computador, y puede asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. Sólo debe utilizar esta cuenta para aquellas tareas que requieran credenciales administrativa s.
  La cuenta Administrador es un miembro predeterminado de los grupos Administradore s, Administradore s de dominio, Administradore s de organización, Propietarios del creador de directivas de grupo y Administradore s de esquema en Active Directory (Win2003). La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradore s, pero es posible cambiarle el nombre o deshabilitarla . Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a usuarios malintencionad os.
• Invitado: Sólo la utilizan los usuarios que no poseen una cuenta real en el pc. Un usuario con su cuenta deshabilitada (pero no eliminada) también puede utilizar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.
  La cuenta Invitado, de la misma forma que para cualquier cuenta de usuario se pueden asignar derechos y permisos. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados del dominio, que permite a un usuario iniciar una sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada, y se recomienda que permanezca así.
• Cuenta Asistente de ayuda (se instala con una sesión de Asistencia remota): Se trata de la cuenta principal que se utiliza para establecer una sesión de Asistencia remota. La cuenta se crea automáticamente al solicitar una sesión de Asistencia remota, y tiene limitado el acceso al equipo. El servicio Administrador de sesión de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda, que se eliminará automáticamente si no hay solicitudes de Asistencia remota pendientes.

Las cuentas de usuario y de equipo (así como los grupos) se denominan también principales de seguridad. Los principales de seguridad son objetos de directorio a los que se asigna automáticamente identificadore s de seguridad (SID), que se utilizan para tener acceso a los recursos del dominio. Una cuenta de usuario o de equipo se usa para:

• Autenticar la identidad de un usuario o equipo
• Autorizar o denegar el acceso a los recursos
• Auditar las acciones realizadas con la cuenta de usuario o de equipo

Protección de las cuentas de Usuario

Primero que todo, debemos cambiar absolutamente todo lo que viene por defecto, ya que si no lo hacemos tenemos el peligro inminente que entren de forma ilegal a nuestro ordenador. Como por ejemplo, cambiar los nombres o deshabilitarlo s.

Cada cuenta de usuario, incluidas las cuentas Administrador e Invitado, puede agregarse a un grupo para controlar los derechos y permisos asignados a la cuenta.

Las contraseñas seguras reducen el riesgo de suposiciones inteligentes y ataques de diccionario contra las contraseñas.

Una directiva de bloqueo de cuentas reduce la posibilidad de que un intruso ponga en peligro el equipo mediante repetidos intentos de inicio de sesión. Para ello, la directiva de bloqueo de cuentas determina cuántos intentos de inicio de sesión incorrectos puede tener una cuenta de usuario antes de ser deshabilitada.

Nota: Los equipos que ejecutan Windows 95 y Windows 98 no tienen características de seguridad avanzadas ni cuentas de equipo asignadas.

¿Dónde se guardan las contraseñas de usuarios

c:/windows/system32/config/SAM

[CHR0N05]

Grupos

Mas que todo un Grupo es una recopilación de usuarios de un equipo y/o dominio, que se administran como una Unidad Individual.

La utilización de grupos permite simplificar las tareas de administración, ya que se asigna un conjunto común de permisos y derechos a varias cuentas, en vez de tener que asignarlos a cada cuenta de manera individual.

Los grupos pueden estar basados en directorios o ser locales en un equipo concreto.

Exiten los siguientes Grupos en WinXP:

• Administradore s: Los administradore s tienen acceso completo y sin restricciones al equipo o dominio
• Duplicadores: Pueden duplicar archivos en un dominio
• Initados: Los Invitados tienen predeterminada mente el mismo acceso que los miembros del grupo Usuarios, excepto la cuenta Invitado que tiene más restricciones
• Operadores de configuración de red: Los miembros en este equipo pueden tener algunos privilegios administrativo s para administrar la configuración de las características de la red
• Operadores de copia: Los operadores de copia pueden sobrescribir restricciones de seguridad con el único propósito de hacer copias de seguridad o restaurar archivos
• Usuarios: Los usuarios no pueden hacer cambios accidentales o intencionados en el sistema. Pueden ejecutar aplic. certificadas pero no la mayoría de las heredadas
• Usuarios Avanzados: Los usuarios avanzados tienen más derechos administrativo s con algunas restricciones. De este modo, pueden ejecutar aplicaciones heredadas junto con aplicaciones certificadas
• Usuarios de Escritorio Remoto: A los miembros de este grupo se les concede el derecho de iniciar sesión remotamente
• HelpServicesGr oup: Grupo para el Centro de ayuda y soporte técnico

Y existen dos tipos de Grupos:

• Distribución: Los grupos de distribución generalmente se pueden utilizar con aplicaciones de correo electrónico (como Exchange) para enviar correo electrónico a grupos de usuarios. Los grupos de distribución no son creados con el fin de manejar la seguridad, lo que significa que no se pueden incluir en las listas de control de acceso discrecional (DACL).
• Seguridad: Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Los grupos de seguridad suponen un modo eficaz de asignar el acceso a los recursos de su red. Los derechos de usuario se asignan a los grupos de seguridad para determinar los miembros del grupo que están autorizados en el ámbito de un dominio (o bosque)

[/list]

[CHR0N05]

Drivers

¿Qué es un Driver?

Controlador de dispositivos

Más información http://es.wikipedia.org/wiki/Controlador_de_dispositivo

Para observar cuales son los controladores que tiene instalado el equipo basta tan solo abrir la consola y ejecutar driverquery
Ejemplos:

Código:

Nombre del m Nombre para mostrar    Tipo de contr Fecha de vínculo
============ ====================== ============= ===================
ACPI         Controlador Microsoft  Ke            04/08/2004 8:07:35
ACPIEC       ACPIEC                 Ke       
aec          Eliminador de eco acús Ke   
AFD          AFD                    Ke           
AsyncMac     Controlador de medios  Ke     
atapi        Controladora estándar  Ke         
Atmarpc      Protocolo cliente ATM  Ke         
audstub      Controlador auxiliar d Ke         
Beep         Beep                   Ke           
Cdaudio      Cdaudio                Ke       
Cdfs         Cdfs                   File Sy     
Cdrom        Controlador de CD-ROM  Ke 
Disk         Controlador de disco   Ke       
dmboot       dmboot                 Ke         
dmio         Controlador del admini Ke     
dmload       dmload                 Ke           
DMusic       Sintetizador DLS Kerne Ke   
drmkaud      Descodificador de audi Ke 
Fastfat      Fastfat                File Sy       
Fdc          Controlador de la unid Ke     
FETNDIS      Controlador para NT de Ke
Fips         Fips                   Ke           
Flpydisk     Controlador de disquet Ke
FltMgr       FltMgr                 File Sy       
Ftdisk       Controlador del admini Ke   
gagp30kx     Filtro AGPv3.0 genéric Ke
Gpc          Clasificador de paquet Ke   
hidusb       Controlador de clases  Ke
HTTP         HTTP                   Ke           
i8042prt     Teclado i8042 y contro Ke   
Imapi        Controlador de filtro  Ke       
Ip6Fw        Controlador de Firewal Ke   
IpFilterDriv Controlador de filtro  Ke       
IpInIp       Controlador de túnel I Ke     
IpNat        Traductor de direccion Ke     
IPSec        Controlador IPSEC      Ke       
IRENUM       Servicio enumerador IR Ke 
isapnp       Controlador de bus PnP Ke   
Kbdclass     Controlador de clase d Ke   
kbdhid       Controlador HID de tec Ke     
kmixer       Mezclador de audio de  Ke     
KSecDD       KSecDD                 Ke           
mnmdd        mnmdd                  Ke           
Modem        Modem                  Ke           
Mouclass     Controlador de clase d Ke     
MountMgr     MountMgr               Ke         
MRxDAV       Redirector de cliente  File Sy
MRxSmb       MRXSMB                 File Sy 
Msfs         Msfs                   File Sy     
MSKSSRV      Proxy de servicio de t Ke   
MSPCLOCK     Proxy del reloj de tra Ke   
MSPQM        Proxy del administrado Ke   
mssmbios     Controlador BIOS de Mi Ke
Mup          Mup                    File Sy       
NDIS         Controlador de sistema Ke       
NdisTapi     Controlador TAPI NDIS  Ke     
Ndisuio      Protocolo E/S en modo  Ke       
NdisWan      Controlador WAN NDIS d Ke 
NDProxy      Proxy NDIS             Ke           
NetBIOS      Interfaz de NetBIOS    File Sy
NetBT        NetBios a través de Tc Ke   
Npfs         Npfs                   File Sy 
Ntfs         Ntfs                   File Sy   
Null         Null                   Ke           
nv           nv                     Ke           
NwlnkFlt     Controlador de filtro  Ke     
NwlnkFwd     Controlador retransmis Ke
Parport      Controlador de puerto  Ke 
PartMgr      PartMgr                Ke         
ParVdm       ParVdm                 Ke       
PCI          Controlador de bus PCI Ke   
Pcmcia       Pcmcia                 Ke           
PptpMiniport Minipuerto WAN (PPTP)  Ke
Processor    Controlador de procesa Ke
Ptilink      Controlador de vínculo Ke     
RasAcd       Controlador de conexió Ke 
Rasl2tp      Minipuerto WAN (L2TP)  Ke 
RasPppoe     Controlador de acceso  Ke
Raspti       Paralelo directo       Ke     
Rdbss        Rdbss                  File Sy 
RDPCDD       RDPCDD                 Ke   
rdpdr        Controlador de redirec Ke
RDPWD        RDPWD                  Ke   
redbook      Controlador de filtro  Ke
Secdrv       Secdrv                 Ke       
serenum      Controlador de filtro  Ke
Serial       Controlador de puerto  Ke
Sfloppy      Sfloppy                Ke       
splitter     Divisor de audio del n Ke 
Srv          Srv                    File Sy       
swenum       Controlador del bus de Ke
swmidi       Sintetizador de tabla  Ke     
sysaudio     Dispositivo de sonido  Ke   
Tcpip        Controlador de protoco Ke   
TDPIPE       TDPIPE                 Ke           
TDTCP        TDTCP                  Ke           
TermDD       Controlador de disposi Ke 
Udfs         Udfs                   File Sy     
Update       Dispositivo de actuali Ke         
usbccgp      Controlador primario g Ke       
usbehci      Controlador minipuerto Ke       
usbhub       Concentrador habilitad Ke     
usbstor      Dispositivo de almacen Ke     
usbuhci      Controlador minipuerto Ke     
VgaSave      VgaSave                Ke     
ViaIde       ViaIde                 Ke           
VIAudio      Vinyl AC'97 Audio Cont Ke     
VolSnap      VolSnap                Ke           
Wanarp       Controlador ARP IP de  Ke           
wdmaud       Controlador de compati Ke         
WS2IFSL      Entorno de compatibili Ke           

Ejecutando el DRIVERQUERY

Código:

Lista de parámetros:
      /S   sistema            Especifica el sistema remoto al que conectarse.

      /U   [dominio\]usuario Especifica el contexto de usuario
                              bajo el que se ejecuta el comando.

      /P   contraseña         Especifica la contraseña para el
                              contexto de usuario dado. Pide datos de entrada si
                              se omiten.

      /FO  formato            Especifica el tipo de salida para mostrar.
                              Los valores válidos para pasar con el
                              modificador son TABLE, LIST, CSV.

      /NH                     Especifica que el "Encabezado de columna"
                                no debe mostrarse en la salida
                                en pantalla. Sólo válido para los
                                formatos "TABLE" y "CSV".

      /V                       Muestra información detallada. No válido
                                para controladores firmados.

     /SI                       Proporciona información de controladores firmados
.

     /?                        Muestra esta ayuda/uso.

DRIVERQUERY
DRIVERQUERY /FO CSV /SI
DRIVERQUERY /NH
DRIVERQUERY /S direcciónIP /U usuario  /V
DRIVERQUERY /S sistema /U dominio\usuario /P contraseña /FO LIST

La Carpeta Driver Caché

C:\WINDOWS\system32\drivers\

Un ejemplo de Driver (fragmento)... visto por el Blog de notas:

Código:

MZ       ÿÿ  ¸       @                       
LÍ!This program cannot
be run in DOS mode.

$       H4d™U
ÊU
ÊU
ÊUÊ…U
ÊÏZWÊU
ÊÏZTÊ
U
ÊÏZUÊ\U
ÊÏZPÊ
U
ÊRichU
Ê        PE  L
 '}A        à 


€a  ~      Y     ²
   
€   €   


     €â    í²

²
(                          .t   
           h.rdata  ™
   ²
     ²
             @  H.data   °*   ½
  +   ½
             @  ÈPAGE
            `PAGE      €‡ €  €‡             @  ÀINIT    „   Œ     Œ
 ˜   Ÿ     Ÿ             @  B.reloc  %   ½ €%   ½             @  B
h[   jè­
VhÊ6
h[*  jè›
Vh8ð
Vjè
Vhd Vjè
ƒÄ@Vh„œ Vjèn
VhºÈ
Vj
è`
VhZÊ
VjèR
ƒÄ0EüPVhÚÓ
jjVèÏ[ ^ÉÃÌÌÌÌÌÌ ÌÌÌÌÌ‹ÿU‹ìƒ} tÿuèiª
…Àu3Àë‹€,
  ] Ì%02X%02X ÌÌÌÌÌ‹ÿU‹ì€} ‹EtÆ
*@‹M‹ÑÁê€â€Â@ˆSŠÑ€â€ÂÀâ‹ÙÁë
€ãÓ@ˆ‹ÑÁê€âÁé€Â@·É@ˆ‹ÑÁêRáÿ   Q@hÊ
Pÿœ³ ƒÄ[]Â Ì% 0 2 X % 0 2 X
 ÌÌÌÌÌÌ‹ÿU‹ì€} ‹EtfÇ * @@‹M‹ÑÁêƒâƒÂ@f‰3ÒŠÑV‹ñ@Áî
@ƒæƒâTÖ@f‰‹ÑÁêƒâÁé@ƒÂ@·É@f‰‹ÑÁêRáÿ   QƒÀhJ
Pÿ˜³ ƒÄ^]Â
ÌÌÌÌÌ‹ÿU‹ì‹E‹Mj j P‰Hÿ”³ ]ÃÌÌÌÌÌ‹ÿU‹ì‹E‹@ë‹M;Ht‹H…Ét‹@9Au3À…Àuã]Â
ÌÌÌÌÌÌ‹ÿU‹ìQSVW‹}‹G3Û3ö;Éuüt‹@F;Ãuø‰uü4¶hAcpSF
PSÿ´ ;Ãu¸š
ÀëBðˆ‹O;Ët(‹Ö‹ƒê‰:3ÿ8:uÆ:*GƒÿrñÆB.‹ù‹I;ËuÚ9]ütˆ^ÿ‹M‰
3À_^[ÉÂ
ÌÌÌÌÌÌ‹ÿU‹ì‹U‹MSVj
ÿ³ ¾øä ‹Îÿ0² ŠØ3À8þä Æüä
u
PPh ä ÿ³ ŠÓ‹Îÿ4² ^[] ÌÌÌÌÌÌ‹ÿU‹ì‹U…Ò‹E‹H}‰P Ç@
 QƒÀPè‚ÿÿÿ]ÃÌÌÌÌÌÌ‹ÿU‹ì‹M…É‹E‹P}!‹U…Ò‰H t‹Bë3ÀPQRjh¥   ÿ´ Ç@
 RƒÀPè6ÿÿÿ]ÃÌÌÌÌÌÌ‹ÿU‹ìƒì‹E‹@SV3ÉW‹};ù‰Mø‹‰MôujX;ØsSÿuÿujéV

+؉Eô;Ù„(
  hAcpP‹ÃÁàPQÿ´ ‹ð…öu
¸š  Àé
  ¹\â ÿ´³ ‹Eƒeü …Û‰´¸    †Ú   ‹Uô’Áâ‰Uôë‹UôjY3À‹þó«‹E‹@ƒeø |j
EøPÿuÿwè2
ƒÄ…ÀŒª   ‹Eø…À„¬   fƒx…¡
 ‹@0‹M…ɉF‹@‰F‹E‰F‰NuÆF
ƒù
u ‹ %  @ 3ÉÁt‹FQQh   ƒÀPèð§
‹F‹P$ƒÀ N‰
‰V‰

Nota
Driver que permite agregar el soporte de lectura para Ext2 y Ext3 en Windows.