Guide Theme 3_Practice 6

Vista previa del material en texto

Guía Práctica de Laboratorio
 	1. DATOS GENERALES	
	Asignatura
	Computación forense
	Práctica No.
	06
	Nombre del docente
	Ing. Lídice Haz López
	Duración
	3 horas
	Unidad/Tema
	Tema 3. Análisis de evidencias digitales
	
	Subtema/Tópico
	Análisis de evidencia
	
	
	Título de la práctica
	Análisis archivo PageFile.sys
	
	
 	2. OBJETIVOS	
· Analizar la información contenida en el archivo pagefile.sys del sistema operativo windows.
Parte 1: Cargar la evidencia digital en el sistema operativo Caine.
 	3. INTRODUCCIÓN BÁSICA	
El archivo pagefile.sys es un fichero de variable tamaño que forma parte del sistema Windows 10 desde el momento de su instalación. Esto significa que no es un virus ni es instalado por ningún otro programa externo. Pagefile.sys es utilizado por el sistema para poder almacenar de forma temporal parte de los datos que se encuentran almacenados en la memoria RAM física de nuestro equipo.
Esto significa que este archivo es como una especie de copia de seguridad de los archivos contenidos en la memoria RAM. Pagefile.sys está ubicado en la raíz de la unidad C: y tienen el estatus de supero culto, es decir, para visualizarlo se debe utilizar por ejemplo el navegador de archivos de WinRAR u otro similar.
Este archivo, en equipos con suficiente memoria RAM es posible que esté por defecto desactivado. Esto es así porque al disponer de un tamaño considerable de memoria RAM el sistema no tendrá la necesidad de ir volcando contenido de ésta en un fichero de apoyo. Los beneficios de no tener pagefile.sys son los siguientes:
· Mejorará el rendimiento del sistema al no necesitar extraer información del disco duro para llevarlo a la memoria
· Las aplicaciones que se pudieran guardar en este archivo ahora será ejecutadas directamente en memoria RAM
· Liberamos bastante espacio de nuestro disco duro
 (
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA
FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
)
 (
Page 
1
 
of
 
7
)
· El equipo sufre menos, especialmente si es SSD en cuanto a operaciones de lectura y escritura
Entonces, si Windows 10 ha decidido desactivar este archivo de paginación o pagefile.sys, es porque disponemos de suficientes recursos de memoria física como para usar el disco duro en este trabajo; caso contrario si este archivo existe en el equipo, es porque el sistema ha estimado necesaria su utilización, y en principio, no es recomendable que se lo elimine, porque seguramente es de utilidad.
En investigaciones forenses, este archivo es fuente de información de los procesos que se han ejecutado en la memoria RAM del equipo, por lo cual, puede ser útil y servir como evidencia digital.
 	4. RECURSOS NECESARIOS	
· Computadora
· Archivo pagefile.sys
· Sistema operativo Caine
 	5. PROCEDIMIENTO	
 Extraemos el archivo page file de nuestra computadora
Generamos el hash de seguridad de nuestro archivo pagefile.sys
PARTE 1: Leer el archivo de la evidencia digital en el sistema Caine.
1. En el equipo Caine ejecute desde la línea de comandos la instrucción caine@caine:˜$ bless pagefile.sys esto permitirá ver la información contenida en el archivo en un formato hexadecimal incluido los códigos ascii.
2. Luego	ejecute	la	instrucción	caine@caine:˜$	strings	-a	-td	-el	pagefile.sys	>
/home/caine/Desktop/ResultPageFile.txt esto permitirá extraer las cadenas de datos del archivo pagefile y lo almacenará en el archivo ResultPageFile.txt.
3. Para visualizar el contenido del archivo ejecute la instrucción caine@caine:˜$ gedit
/home/caine/Desktop/ResultPageFile.txt.
	
 	6. ACTIVIDADES PROPUESTAS	
1. ¿Qué tipo de información está contenida en el archivo pagefile.sys?
Contiene todo tipo de información de los procesos que se generen en nuestra computadora desde búsquedas por internet hasta nuestras contraseñas y correos, descargas que realizamos, archivos que abrimos, incluso información sobre nuestra computadora y perfil entre muchas más, contiene toda la información que ha sido procesada por la memoria RAM.
2. ¿Es recomendable deshabilitar esta opción en el sistema windows?, ¿Cómo esta acción podría afectar en una investigación forense?
El que se deshabilite esta opción depende mucho de cada usuario y cuales sean sus fines, por ejemplo, si un usuario no tiene tanto almacenamiento en su disco duro podría deshabilitar la opción de pagefile.sys y asi ahorrar algo de almacenamiento en su disco duro. Y no es recomendable cuando se tiene poca memoria RAM ya que si se llegara a apagar la maquina no habría manera de recuperar esos los procesos que se estuvieran ejecutando.
En una investigación forense sí que afectaría mucho el no tener habilitado el archivo pagefile.sys ya que si no encontrase información en el volcado de memoria RAM recurre al archivo pagefile que es el archivo que contiene como una copia de seguridad de la memoria RAM.