Laboratorio: Informática Forense - Organización de cuentas de usuarios e identificación de la cuenta sospechosa en el sistema

Veamos ahora como podemos obtener toda la información relacionada a una cuenta de usuario (SID, Estructura de datos de longitud variable que identifica cuentas de usuario, de grupo y de equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos internos de Windows hacen referencia al SID de las cuentas en vez de al nombre del usuario o grupo de las cuentas.)

Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad - Security Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina.

En el siguiente video tutorial podemos observar como por medio de la herramienta SAMDUMP aplicada a los archivos SAM y System podemos obtener los SID, nombres completos y descripción de cada uno de los usuarios.

Descargar video tutorial de extracción e identificación del SID de usuarios con SAMDUMP (Password: www.dragonjar.org)

En el siguiente video tutorial muestra como podemos organizar los datos obtenidos con SAMDUMP y como podemos identificar el usuario sospechoso de la intrusión (Se hace sospechosa la cuenta pues esta no tiene una descripción como la que tienen las demás cuentas). Esto con la finalidad de analizar e identificar más facilmente los diferentes eventos que se hayan registrado en el registro de eventos de sistema.

Descargar video tutorial de organización e identificación del usuario sospechoso (Password: www.dragonjar.org)

Subir