Informática Forense

jueves,febrero18,2010

vtroger.blogspot.com

Alvaro Paz

Herramienta para analizar páginas Web con código malicioso. FileInsight es una herramienta gratuita de McAfee ideal para analizar páginas con código malicioso.

servirpara:testdepenetración,auditoria,romper

Entres sus características destaca:

Katana incluye las siguientes distribuciones y herramientas:

•

Permite analizar e importar estructuras en C y C++.

•

Decodica

contraseñas, análisis forense y Honeypots.

Instalación de Katana.

EsnecesariaunamemoriaUSBde8GBcon6GBde espacio libre. Y después seguir los siguientes pasos:

códigos en IA-32.

• DecodicascriptsenJavaScript. • Contiene plugins de análisis automatizado y Virustotal unpluginparaenviarelcheroaVirustotal para un análisis completo.

1. Descargarelarchivo“katana-v1.rar”ydescomprimirlo. 2. Crearunacarpetadenombre“boot”enel

USBycopiarenellalos USBycopiare nellalosarchivosdescompri archivosdescomprimidos.

k c a b d e e f r u o y d n e s o t e r e h k c i l C

t n i r p i l o j

h t i w d e t n i r P

Esunaherramientaidealparainvestigarpáginas con código malicioso, tanto para un análisis forense como para una auditoria. FileInsight solo está disponible para la plataforma Windows.

3. HacerarrancableelUSB.EnLinuxejecutar

elscript“boostinst.sh”delacarpetabooty enWindowsejecutar“boostinst.bat”dela carpeta“boot”.

Descarga de FileInsight:

http://www.webwasher.de/download/leinsight/

Más información de Katana:

http://www.hackfromacave.com/katana.html

Tutorial de uso de FileInsight:

http://www.webwasher.de/download/leinsight/ tutorial.html

Descargar Katana:

http://mirror.cc.vt.edu/pub/katana/katana-v1.rar

Varias distribuciones de seguridad en un solo USB.

Herramienta análisis orense sistema de archivos.

Con Katana un conjunto de distribuciones de seguridad y herramientas agrupadas en una sola dis-

SetratadeDigitalForensicsFrameworkesunaherramientadeanálisisforensedesistemadearchivos, dearquitecturamodular.Alestardivididaenmódulosestaherramientapermiterealizarvariastareas

tribuciónarrancableenUSB.Katanaeslamejor opción para tener a mano herramientas que pueden pued en

http://vtroger.blogspot.com/search/lab http://vtroger.blo gspot.com/search/label/Inform%C3%A el/Inform%C3%A1tica%20Forense 1tica%20Forense



Herramienta para analizar páginas Web con código malicioso.

alavezyasíagilizarelanálisisforense.Además está diseñada para trabajar sobre la imagen pre-

viamenterealizadaaldisco(comoentodobuen análisis forense no corromper la escena es muy importante). Entre sus características destaca:

Análisis orense de cola de impresión de Windows.

Esposiblerecuperarelúltimoarchivo Esposiblerecuperarel últimoarchivoimpresoen impresoen Windowsyvisualizarlo.P Windowsy visualizarlo.Pararealizaresta ararealizarestatécnica técnica es necesario saber el funcionamiento de la cola de impresión en Windows. Enelmomentoqueseenvíaunarchivoaimprimir,

secreaunarchivodealmacenamientointermedio Recuperación • potentedearchivos borrados.

• Permiteanalizarelsistemadearchivos deteléfonosmóvilesyrecuperararchivos

enformatoEMF,dondesealmacenaloqueseenvía alaimpresoraylasopcionesdeimpresión,suex-

tensionesson:*.SPLy*.SHD.Cuandolaimpresión nali na liza za,, Wi Wind ndow ows s bor borra ra es esto tos s ar arch chiv ivos os qu que e se

borrados.

• DescifraelcontenidoymetadatosdeSMS paramostrarloscomoenunteléfonomóvil. • Tieneuneditorhexadecimal. • Poseeun Poseeuninterfazgracoy interfazgracoyconsoladeco consoladecomandos. • Posee un modulo de autodetección basado

enestructurasdearchivosparalocalizar archivosconextensionescambiadas.


t n i r p i l o j


almacenan en:

DigitalForensicsFrameworkesunaherramienta de código abierto multiplataforma, muy útil para análisisforensedememoriasUSB,PDA,tarjetasde

c:\windows\system32\spool\printers

memoriayteléfonosmóviles,yaquesolosoporta FAT12/16/32.

Para hacer un análisis forense del último documento impreso, hay que usar un software de recu-

peraciónparaobtenerlosarchivos*.SPL peraciónparaobtenerlos archivos*.SPLy*.SHD. y*.SHD.

Más información y descarga de Digital Forensics

Framework:

Unavezrecuperadoestosarchivosconlaherra -

http://www.digital-forensic.org/download-en.html

mientaEMFSpoolVieweresposible:descifrarestos

GuíadeusodeDigitalForensicsFramework: GuíadeusodeDigitalF orensicsFramework: http://wiki.digital-forensic.org/wiki/dff/DFF_guide

obtener las propiedades de impresión utilizadas

archivos,visualizarelúltimoarchivoimpresoy Para la cronología de la escena podemos usar los

metadatosdelarchivoolafechadeeliminaciónya que corresponde con la fecha de impresión. Esta técnicafuncionaparaWindowsNT/2000/XP/VISTA.

http://vtroger.blogspot.com/search/lab http://vtroger.bl ogspot.com/search/label/Inform%C3%A el/Inform%C3%A1tica%20Forense 1tica%20Forense




MásinformaciónydescargadeEMFSpoolViewer: http://www.codeproject.com/KB/printing/EMFSpool -

da que se encuentra en la parte derecha de la barra de herramientas. webappsstore.sqlite: ore.sqlite: Almacena las sesiones. • webappsst

Más información sobre la cola de impresión y ar-

Estosarchivossegúnelsistemaoperativosealma -

Viewer.aspx

chivosEMF:

cenan para cada usuario u suario en los siguientes destinos:

http://www.microsoft.com/india/msdn/articles/130.

aspx Análisis orense de Mozilla Fireox 3.X.

ParaunanálisisforensedeMozillaFirefox3.Xes necesariosaber,cómoydónde,elnavegadorguarda lainformacióndelhistorialdenavegación,corres pondiente a cada usuario del sistema.

MozillaFirefox3.XutilizabasesdedatosSQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Losarchivosdebasesdedatosqueutilizasonlos siguientes:

• Linux:“/home/»nombreusuario»/.mozilla/ refox//” • WindowsXP:“C:\Documentsand Settings\»nombreusuario»\Application Data\Mozilla\Firefox\Proles\»carpetaperl»\” • WindowsVista:“C:\Users\»nombreusuario»\AppData\Roaming\Mozilla\Firefox\ Proles\»carpetaperl»\” Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis fo-

rens re nse. e. Moz Mozil illa la Fi Fire refo fox x uti utili liza za co como mo fo form rmat ato o de


t n i r p i l o j


• content-prefs.sqlite:Laspreferenciasindividuales para páginas.

•

downloads.sqlite: Historial de descargas. for• mhistory.sqlite: Contiene los formularios memorizados. permissions.sqlite: e: Contiene los sitios a los • permissions.sqlit que se le permitió abrir pop-ups.

• cookies.sqlite:LasCookies. • places.sqlite:Losdatosdelosmarcadorese historialdenavegación. • search.sqlite: Historial del motor de búsque-

tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime PRTime es un formato de tiempo de una

longitudde64-bit,queconsisteenelincremento enmicrosegundosdesdelas0:00UTCdel1deenero de1970.Un de1970. UnejemploPRT ejemploPRTimees: imees:“122184227230 “1221842272303080” 3080”

quesedescifraría“16:37:5219/09/2008 quesedescifraría “16:37:5219/09/2008UTC”. UTC”.

Paraextraerlosdatosdeestasbasesdedatosse pueden usar herramientas para bases de datos datos SQLite,versuscontenidosytransferirlosaarchivos

usandolenguajeSQL. usandolen guajeSQL.Aunqueesunméto Aunqueesunmétodomás domás lento, es más transparente y se puede utilizar el sistemaoperativoquesepreera,porqueestasherramientasestándisponiblespara:Windows, ramientasestán disponiblespara:Windows,Linux Linux

yMacOSX. DescargadeherramientasSQLite: http://www.sqlite.org/download.html

DocumentacióndeherramientasSQLite:





http://www.sqlite.org/sqlite.html

mapas con sus números de serie.

• Localizaciones:Lugarmarcadocomocasa, una lista de destinos reci También podemos usar una herramienta automaTambién tizadallamadaFirefox3Extractor,quenospermite:

entes y anti-

guosviajes. • Listas de llamadas y mensajes de

Extraertodoslosdatos de bases de datos SQLitedeFirefox3.X,

texto:Cuando

y descifrar las fechas.

móvilpuede

está instalado en un teléfono

convertirlosenCSV Crear un informe del

historialdenavegaciónsacadode“places.sqlite” enformatoCSVoHTML. Descifrar el PRTime.

contener información sobre: llamadas realizadas, llamadas recibidas y mensajes de

textoenviadosyrecibidos.

Contactos: Aunque no esté instalado en un • Contactos: teléfonomóvilpermiteagregardatosde contactos. En el caso de estar instalado en

Firefox3Extractorsoloestádisponibleparalapla taforma Windows. Para usar esta herramienta hay quecopiarlosarchivos*.sqlitedelusuarioaanali zar en la carpeta del programa. MásinformaciónydescargadeFirefox3Extractor:

http://www.refoxforensics.com/f3e.shtml k c a b d e e f r u o y d n e s o t e r e h k c i l C

t n i r p i l o j


También hay que tener en cuenta que este análisis esintrusivoypreviamenteha esintrusivoy previamentehayquerealizarlaad yquerealizarlaadquisición de imagen del disco y la recuperación de datos que hayan sido borrados. Análisis orense de dispositivos GPS TomTom.

ParajusticarunanálisisdeundispositivoGPSes necesariosaberqueinformaciónpodemosextraer

deél.Enelcasode deél.En elcasodeTomT TomTompodemosextraer: ompodemosextraer:

unteléfonomóvilañadirálaagendadel teléfono como contactos.

• InformaciónconexionesBluetooth: Nombre,identicadorMACylistadedispositivosconectadosconsucorrespondiente identicadorMAC. • Información del usuario. Tambiénhayquetenerencuentalasposibleslosofías de trabajo distintas que puede tener los

dispositivosGPSTomTom,queson:

TomTom con ranura de tarjeta • Modelos TomTom SD:Lainformaciónquequeremosextraer seguardaentarjetasdememoriaSD.La aplicación y los mapas se almacenan en

latarjetaSDyaqueno latarjetaSDy aquenoposeenotromedio poseenotromedio de almacenamiento. Dentro de este grupo podemos incluir las PDA y los teléfonos mó-

vilesconGPS.

• Informacióndeldispositivo:Númerode seriedeldispositivo,el seriedeldispositi vo,elnúmerodemodelo númerodemodelo,, laversióndelprogramayla laversióndel programaylaversióndellos versióndellos

• Modelos de TomTom con disco duro interno: Toda la información se guarda en un disco duro interno y la única forma de ac-

cederesconectandoeldispositivoa cederesconectandoel dispositivoaunPC. unPC.





Para empezar el análisis tenemos que tener en cuenta,basándonosenlosdatos cuenta,basándonosen losdatosrelativosa relativosalalo lalo-

sofíadetrabajodeldispositivo,dosmetodologías concretas:

Cuando se trata de un TomTom con ranura de tarjeta

SD:

delaversiónyseencuentraenla delaversiónysee ncuentraenlacarpeta carpeta delmapa.Suelellamarse‘Mapsettings.cfg’ o(nombredelmapa).cfg.Puedehabermás de un mapa instalado, el mapa actual se

puedeencontrarenelarchivo‘currentmap. puedeencontrarenelarchivo ‘currentmap. dat’.Estésarchivoscfgcontienen:localizaciónmarcadacomocasa,favoritos,direccionesmanualmenteincorporadas,viajes recientes,detallesdeantiguosviajes,última posiciónantesdeapagarlo(soloenmodelos antiguos).

• Nos Nosedebeencender edebeencendereldispositivo eldispositivodebidoa debidoa que sobrescribirá datos sobre su posición y se corromperá el escenario. En caso de PDA oteléfonosmóvilesconno oteléfonos móvilesconnocargarlaaplica cargarlaaplica-

ciónessuciente. • RetirarlatarjetaSDyprotegerlacontra escritura,paraevitarasíquesepuedacorromper el escenario. • Realizar una imagen de la misma.

t n i r p i l o j


de apagarlo.

• ttgo.bifottnavigator ttgo.bifottnavigator.bif:Informacióng .bif:Informacióngeeneraldeldispositivo,númerodemodelo, número de serie, contraseña de usuario.

• Settings.dat:ConexionesBluetooth:nombre, identicadorMACylistadedispositivos conectadosconsucorrespondienteidenticador MAC. Información introducida por el usuario como: nombre, número de teléfono, dirección…

Cuando se trata de un u n TomTom TomTom con disco duro interno:


• CurrentLocation.dat:Últimaposiciónantes

• Paraextraerlainformaciónesnecesario encendereldispositivo.Comoconsecuencia correelpeligrodeactivar correelpeligro deactivarlaaplicacióny laaplicaciónyal al recibir la señal de los satélites corromper el escenario. Entonces hay que inhibir la señal de los satélites con una jaula de Faraday, se puede emplear para tal efecto, papel de

aluminio,envolviendocompletamenteel dispositivo.

• Realizar una imagen del disco duro.

• Called.txt:Llamadasrealizadas,enelcaso dequesetratedeunteléfonomóvilGPS. Hechasatravésde Hechasatra vésdelaaplicaciónT laaplicaciónTomTom. omTom. • Callers.txt:Llamadasrecibidas,enelcasode quesetratedeunteléfonomóvilGPS.Reci bidasatravésdelaaplicaciónTomTom. • Contacts.txt:Informaciónacercadelos contactos.

• Inbox.txt:Mensajesdetextoqueharecibido atravésdelaaplicaciónTomTom. • Outbox.txt:Mensajesdetextoenviadosa travésdelaaplicaciónTomTom,enelcaso dequesetratedeunteléfonomóvilGPS. Lamayoríadelosdatossonfácilesdeinterpretar Lamayoríadelosdatossonfácile sdeinterpretar,, peroelúltimoviajerealizadotieneunapeculiari-

dad basada en el funcionamiento de la aplicación. Después de tener en cuenta estas recomendaciones, Cuandosetrazaunviaje,existeun viaje,existeunpuntoorigen puntoorigeny y lainformaciónseextraedelossiguientesarchivos: Cuandosetrazaun un punto destino, si se sigue la ruta marcada eses datos quedaran grabados y son fáciles de interpre-

• *.cfg:Losnombresdeloscherosdependen

tar.Perocuandoenelviajeelusuarioseequivoca y la aplicación recalcula la ruta, el punto origen





variayseriaellugardondeseharecalculadola ruta. Esta situación puede ser engañosa, a la hora de realizar el análisis forense, porque el punto origen

grabadonoseríaeloriginal.Paraevitaresto,hay querecuperartodoslosarchivosborradosdeldisco

otarjeta.Graciasaellospodremossaber otarjeta.Graciasaellos podremossaberlaúltima laúltima rutaexactamenteytambiénotrasrutasanterior mente realizadas.

Existeunaherramien Existe unaherramientagratuita tagratuitaparaanálisisfo paraanálisisforense de TomTom se trata de TomTology TomTology y con co n ella podemos descifrar: localización marcada como casa, losfavoritos,destinosrecientes,últimosviajes,guía telefónica, contactos, llamadas recibidas y llamadas

enviadas.

MásinformaciónydescargadeoSpy: Análisis orense router Cisco.

para realizar un correcto informe. Además presenta losinformesenformatoHTMLeincluyelaposibi -

Enestepostsevanatratarlasprácticasforenses

http://www.forensicnavigation.com/#/pro ducts/4527490520


Esta técnica se puede utilizar para analizar procesos sospechosos de malware. Pero también para análisis forense de malware, ya que se detectan las accionesdelmalwareenelsistema,lasconexiones de red que establece y a que direcciones las establece.

TomTologytambiénanalizalosarchivosborrados

Más información y descarga de TomTology: TomTology:

t n i r p i l o j

capturareltrácoysepararlo,comoseriaenelcaso de usar un sniffer.

http://code.google.com/p/ospy/

lidaddeexportarlosdatosaGoogleEarth.


Esta herramienta simplica un análisis de conexionesdeunaaplicaciónyaquenohayque

Ingeniería inversa de procesos que corren en Windows.

que se deben aplicar a un router Cisco o basados en Cisco. En primer lugar hay que tener muy claro porque motivosseatacaunrouter.Losprincipalesmotivos son los siguientes: Porque

atacar

un

router:

Podemosrealizaringenieríainversasdeprocesos enWindowsaniveldeAPIconlaherramientaoSpy.

AltrabajaraniveldeAPIpermiteunavistamuy profunda de los procesos, sus comportamientos y versucódigo.Conestaherramientapodemosmo nitorizar los accesos a la red de los procesos: puer-

tos

que

abre,

servicios

que

emplea…

•

Realizar un ataque de denega-

cióndeservicios (DoS)alrouteryala (DoS)alrouter yalaredala redalaquepertenece. quepertenece. • Comprometerotros Comprometerotrosroutersatra routersatravésdee vésdeel.l. • Desviarrewalls Desviarrewallsdered,IDS dered,IDSootrosservi ootrosservicios.

Además podemos simular como afectaría un entorno rewa re wall ll en un pr prooceso con una función llamada softwalling que permite aplicar

reglasrewallalprocesomonitorizado.

• Monitorizarygrabareltrácoentranteo saliente de la red.

• Redirigirel Redirigireltrácodelared trácodelaredaotropunto aotropunto.. Tambiénhayquetenerclarolalosofíadetrabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:





pero después de recoger información, para

Lasmemoriasson:

monitorizarsilaactividadcontinua.

Memoria RAM: Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo. En ella se almacena:

• Conectarse para realizar el análisis forense atravésdelpuertoconsola através delpuertoconsoladelroutery delrouteryno no atravésdelared, através delared,porquesecorrompería porquesecorromperíala la escena.

• Grabarlasesióncompletadeanálisisdela consolaenunarchivodelog. • Ejecutarcomandosquemuestranconguraciones, pero nunca ejecutar comandos de

• Conguraciónactiva. • Tablas dinámicas: ARP, Routing, NAT, ViolacionesACL,estadísticasprotocolos…

conguracióndelrouter. • Unavezextraídalainformaciónvolátil, podemosanalizarlasvulnerabilidadesdel routeryescanearsusservicios routeryescane arsusserviciosatravés atravésdela dela red.

Memoria Flash: Es persistente, aun apagando el equipo, esta memoria no se borra.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar

En esta memoria se almacena:

que se ejecuten estés comandos, debe ser grabada .

enlaconsolaparaextraerlaconguraciónactiva ylastablasdinámicas.Lasesióndeconsolaenla Loscomandosson:


t n i r p i l o j


• Conguracióndearranque. • ArchivosdelsistemaIOS. Para empezar el análisis tenemos que tener en cuen-

ta,basándonosenlosdatosrelativosalalosofía de trabajo del router, una metodología concreta, que consiste en:

• Noapagarni Noapagarnireiniciarelrouter reiniciarelrouter,evidente ,evidentemente perderemos todos los datos almace-

nadosenlaRAM.Quesontodoslosdatos que importan para el análisis, sin estés datos, el análisis no tiene sentido. • Aislar el router de la red, sobre todo si el

ataqueyaseharealizado ataqueya seharealizado.Siemprecon .Siempreconel el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar

• • • • • • • • • • • • • • • • • •

showclockdetail showversion showrunning-cong showstartup-cong show reload show ip route show ip arp show users show logging show ip interface show interfaces show tcp brief all

showipsockets showipnattranslationsverbose showipcacheow show ip cef show snmp user show snmp group





• showclockdetail

MásinformaciónydescargadeCREED(CiscoRouter

EvidenceExtractionDisk): http://web.archive.org/web/20040214172413/http://

También podemos utilizar una herramienta autoTambién matizada para recabar esta información, se trata deCREED(CiscoRouterEvidenceExtractionDisk). Un disco auto arrancable que ejecuta un script para obtener esta informació información, n, ejecutando estos comandos:


t n i r p i l o j

Más información y descarga de Cisco Torch, Cisco SnmpToolyRouterAuditTool(RAT)enelpost“Her -

ramientasparaasegurardispositivosCisco”: http://vtroger.blogspot.com/2008/07/herramientas-

para-asegurar-dispositivos.html

#terminallength0 #dir/all #showclockdetail #showntp #showversion #showrunning-cong #showstartup-cong #showreload #showiproute #showiparp #showusers #showlogging #showinterfaces #showipinterfaces #showaccess-lists #showtcpbriefall #showipsockets #showipnattranslationsverbose #showipcacheow #showipcef #showsnmpusers #showsnmpgroups #showclockdetail #exit

Más información y descarga de Nipper en el post

“AuditarseguridadendispositivosCisco”: “Auditarseguridadendispositi vosCisco”: http://vtroger.blogspot.com/2008/04/auditar-segu ridad-en-dispositivos-cisco.html Análisis orense de elementos enviados a la papelera de reciclaje. Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde alalmacena Windows la papepapelera de reciclaje:

• Windows95/98/MEen “C:\Recycled\” • WindowsNT/2000/XP/ en“C:\Recycler\”

Después de obtener está información pasaremos a

encontrarlasvulnerabilidadesoserviciosporlos que se ha podido comprometer la seguridad del router.

Paraanalizarvulnerabilidadesutilizamosherra mientascomo:RouterAuditTool(RAT)yNipper. h t i Pa Para ra ana analiz lizar ar serv servici icios os util utiliza izamos mos:: nma nmap, p, Cis Cisco co w d Torch,CiscoSnmpTool… e t n i r P

cybercrime.kennesaw.edu/creed/

UnejemploendelaestructuraenunWindowsXP con dos usuarios:

C

:

\

R

E

C

Y

C

L

E

R

\S-1-5-21-1417001333-343818398-1801674531-1004

C:\RECY C:\RE CYCL CLER ER\\ S-1 S-1-5 -5-2 -211-14 1417 1700 0013 1333 33-3 -343 4381 8183 8398 98-1801674531-500

Dentro de estas carpetas de los dos usurarios de

estesistemaseencuentranlosarchivosborrados





decadauno.Ademásdeestosarchivosseencuen tratambiénunarchivollamadoINFO2dondese almacena la información sobre cuando se borro y dedondeseborroelarchivo.Sepuedeextraeresta informaciónconuneditor informacióncon uneditorhexadecimal,aunque hexadecimal,aunquees es

másfácilutilizarlaherramientariuti.

Entramosenlacarpetadeusuarioenlaruta“C:\ Entramosenlacarpetadeusu arioenlaruta“C:\ RECYCLER”. :

\

R

E

C

Y

C

L

mov,pdf,ole(estructurausadaporPowerPoint, Word,Excel,AccessyStarWriter),doc(esmaseciente usar la herramienta para estructuras ole), zip, htm y cpp.

ForemostestadisponibleparaLinuxyentresus

Ejemplo:

C

Exif),gif,png,bmp,avi,mpg,exe,rar,wav,riff,wmv,

E

principales características destaca la posibilidad de trabajar con imágenes de disco, característica quelaconvierteenunaherramientaútilparain formática forense.

R Más información y descarga de foremost:

\S-1-5-21-1417001333-343818398-1801674531-500> http://foremost.sourceforge.net/

Yejecutamosriuti:

Manual de uso de foremost: http://foremost.sourceforge.net/foremost.html

riutiINFO2>e:\analisis.txt

Extracción y uso de metadatos.

Yelresultadosegeneraenelarchivo“analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de to-

doslosarchivosqueseenviaronalapapelerade


t n i r p i l o j


Losmetadatos,eslainformacióninsertadaenlos archivosporelsoftwaredeediciónocreaciónde los mismos, estés metadatos contienen información

reciclaje.

acercadelacreacióndelarchivocomo:nombre

RiutitambiénestadisponibleparaLinux.

de autor, autores autores anteriores, nombre no mbre de compañía, cantidaddevecesque cantidaddev ecesqueeldocumento eldocumentofuemodicado, fuemodicado, fecha de creación…

Másinformaciónydescargaderiuti: http://www.foundstone.com/us/resources/proddesc/

riuti.htm

Losmetadatospuedentenervariasaplicaciones como:

Recuperar archivos basándose en su estructura.

• En informática forense: Para demostrar en unjuicioqueunosarchivos unjuicioque unosarchivosdeimágenes deimágenes

Con la herramienta foremost, que nos permite recuperararchivosbasándoseensuestructurain terna.Estatécnicapermiteunaecienterecupera -

cióndearchivosdondeotrosoftwarenoescapaz de recuperar.

pertenecen a una determinada cámara de fotos.

• Enataquesasistemasoservidoresweb: Atrevesdelosmetadatospodemosobtener los nombres de posibles usuarios, sistema

Las es Las estr truc uctu tura ras s de arch ar chiivo vos s qu que e re reco co-

operativo,nombresdered…paradespués realizar un ataque de fuerza bruta.

noce y recupera son:

j jpg pg(s (sop opor orta ta JF JFIF IF y

Aquí dejo una lista de herramientas de adquisición





guosusurarios,enelcasodequefueravariasveces

de metadatos muy útiles:

modicadopordiferentespersonas. hachoir-metadata, es una de las mas completas soporta32formatosdistintosde porta32formatos distintosdearchivos,yes archivos,yestadis tadis-

poniblepara:Debian,Mandriva,Gentoo,Archy FreeBSD. http://hachoir.org/wiki/hachoir-metadata ExifTool,lamejorherramientaparaextraermeta -

terc te rcam ambi biar ar c che hero ros s imágenes con comprecompre JPEG). JPE G). Ade Además más rec recoo noce metadatos inserinsertados por cámaras: CaCaCasio, FujiFilm, HP, HP,


t n i r p i l o j


http://www.pinpointlabs.com/free_tools/metaviewer/ Recolección de evidencias orenses sistema vivo.

Más información y descarga:

datos de imágenes ya puede trabajar con EXIIF e IPTC (estánEX dares utilizados por por cámara de fotos para

Más información y descarga:

que

ConlaherramientaEvidenceCollectorsepuede hacerunarecoleccióndeevidenciasforensesen sistemavivodelaplataforma Windows, de una forma muy rápida. Es ideal para un primer análisis general. Esta herramienta esa compuestaporvariasapli caci ca cione ones s de Sy SysI sInt nter ernals y nirsoft utilities entre otras. Y genera

ind e sión

non,

JVC/

MiVictor Vict or,, Ko Koda dak, k, Le Leaf af,, nolta/Konica-Minolta,Nikon,Olympus/Epson,Pa nasonic/Leica,Pentax/Asahi,Ricoh,Sanyo,Sigma/

varios vari os log clasic clasicados ados pectos analizados.

FoveonySony.DisponibleparaWindows,MacOSX yenmoduloPerlloquepermiteutilizarlaenLinux.

Conestaherramientapodemosextraerlassiguientes

por herramientas y as-

evidencias: Más información y descarga:

http://www.sno.phy.queensu.ca/~phil/exiftool/ Metagool,diseñadaparaextraerarchivos:pdf, doc,xlsypptdeunsitiowebatravésdegoogle,y analizarlosmetadatosdelosarchivos.Paraobtener información y realizar un ataque o un test de intrusión. Esta escrita en python.

• Información de sistema: Usuarios, IP y MAC . • Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para

detectarsiatravésde detectarsia travésdequerecursoscompar querecursoscompartidos se pudo acceder a la maquina.

• Serviciosiniciadosyparados:AlgunosserviMás información y descarga:

cios pueden ser las puertas para conseguir accesos desautorizad desautorizados. os.

http://www.edge-security.com/metagool.php

• Softwareinstalados:Listadodelsoftware

PinpointMetaviewer,permite PinpointMetaviewer ,permitealos alosusuariosextraer usuariosextraer

rápidamentemetadatosdelsistemadearchivos, metadatosOLEcontenidosenMicrosoftOcey valores«hash».Destacaquepuedeobteneranti-

instalado en la maquina. • Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener

elsistemaactualizadoesvulnerabilidad





potencialmenteexplotable.

sistemasoperativos, las sesiones, los nombres de equipo, los puertos abiertos…

• Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.

• Registrosdesucesos:Sereco Registrosdesucesos:Serecogenlosregis genlosregistrosdeaplicación,sistemayseguridad.Los registros del sistema guardan rastros de intrusiones.

NetworkMinerhace

• ConexionesTCP/UDP:Muestralas conexionesTCP/UDP,losprocesosquetie nen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.

• Seguimientodeprocesos:Inspeccionalaactividaddelosprocesos:cuandosecargan,si accedenalregistroysimodicanarchivos. Útilparaversiexistenprocesossospechosos. • Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados

otravez. • Módulossospechosos:Exploramódulosen buscarootkit. • HistoriaUSB:Muestrainformaciónsobre losdispositivosUSBquefueronconectados k c a b d e e f r u o y d n e s o t e r e h k c i l C

t n i r p i l o j


al sistema. • Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.

uso de bases de datos de la huellas del sistemaoperativoparaiden temaopera tivoparaidenticarl ticarlosytambiénuti osytambiénuti-

lizala liza lalis listas tas de deMac Mac fab fabrica ricant ntespara esparaide identi nticar car dispositivosdered. Estaherramientapuedeextraerlosarch Estaherramienta puedeextraerlosarchivos ivosque que uyena uy ena tra través vés deuna deunared, red, ex excep ceptolos tolosarc archiv hivos os multimedia(talescomoarchivosaudiosovideo) almacenándolosencarpetasclasicadasporIPde lasqueprovienen.Otracaracterísticamuyútiles que el usuario puede buscar los datos interceptados

oalmacenadosporpalabrasclaves. También utiliza métodos estadísticos para la identicacióndeunasesióndeTCPoUDP,identicando el protocolo correcto basado en el contenido del paquetedeTCP/UDP.DeestamaneraNetworkMiner

puedeidenticarprotocolosinclusosielservicio funciona en un puerto no estándar. Con esta herramienta se puede hacer un sencillo análisisforensedelascapturasdetracoguardadas

enarchivosPCAP. Para utilizar esta herramienta se necesitan permisos de administrador. Os recomiendo que para usar la herramienta copiéis la carpeta del programa en c: para que no tenga problemas a la hora h ora de generar los log, en rutas con nombres largos tiene algunos problemillas.

MásinformaciónydescargadeNetworkMiner: http://sourceforge.net/projects/networkminer/ Análisis orense de accesos no autorizados en NTFS.

MásinformaciónydescargadeEvidenceCollector: PodemosaveriguaraccesosnoautorizadosenNTFS usando las herramientas en línea de comandos http://www.security-database.com/evidence.php gratuitas de Forensic ToolKit. Este Kit de herramienAnálisis de red con snier pasivo. tas incluye: incluye:

Utilizando Utiliz ando la herr herrami amient enta a Net Networ workMi kMiner ner es un snifferpasivoparaWindows,conuninterfazfácil de

utilizar.

Puede

detectar:

los

AFind: HerHerta que lista

vos por el

ramienlos architiempo





de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinandoestoconDACLchk,sepuededeterminarlaacti -

vidaddelusuarioinclusosielaccesoalarchivono se ha permitido.

Sintaxis: AFindv2.0-Copyright(c)2000, AFindv2.0- Copyright(c)2000,Foundstone, Foundstone,Inc. Inc. NTFSLastAccessTimeFinder CommandLineSwitches [dirname] Directory to search

-f[lename]Listlastaccesstimeofle -f[lename]Listlastaccesstime ofle -s[seconds]Filesaccessedlessthanxsecondsago -m[minutes]Filesaccessedlessthanxminutesago

-h[hours]Filesaccessedlessthanxhoursago -h[hours]Filesaccessedlessthan xhoursago -d[days]Filesaccessedlessthanxdaysago -a [d/m/y-h:m:s] Files accessed after this date/time

-nsExcludesub-directories - or / Either switch statement can be used -? Help Additional time frame usage:

and/s2-4Filesaccessedbetween2and4seconds ago k c a b d e e f r u o y d n e s o t e r e h k c i l C

t n i r p i l o j


and/m2-4Filesbetween2and4minutesago and/s2-4Filesbetween2and4secondsago and /a 14/7/ 14/7/19981998-3:12:0 3:12:06-15/7 6-15/7/1998 /1998-2:05 -2:05:30 :30 Files between these dates

HFind:Exploraeldiscobuscandoarchivosocultos.

Encontrarácualquier Encont rarácualquieraarchivooculto aarchivoocultoinclusolos inclusolos

- or / Either switch statement can be used -? Help

SFind:Exploraeldiscobuscandosecuenciasdeda tos ocultas y enumera los tiempos de acceso pasados.

Sintaxis: SFindv2.0-Copyright(c)1998, SFindv2.0- Copyright(c)1998,Foundstone, Foundstone,Inc. Inc. AlternateDataStreamFinder Usage-snd[path]/ns [dirpath] Directory to search - none equals current

-nsSkipsub-directories - or / Either switch statement can be used -? Help

FileStat:Muestratodaslospermisosdelosarchivo. Trabajasolamenteconunarchivoa Trabajasolamenteconun archivoalavez. lavez.También También enumeratiemposdeaccesopasadosclasicadopor usuarios.

Sintaxis: FileStatv2.0Copyright(c)1998, FileStatv2.0C opyright(c)1998,Foundstone, Foundstone,Inc. Inc. DumpsNTFSsecurity,le,andstreamattributes CommandLineSwitches [Filename]Nameofletolist -? Help

DACLchk:MuestralasACLconlainformaciónde accesospasados,detodoslosarchivosdeundirec torio,enordeninverso. Sintaxis:

ocultados por el sistema, usando el atributo archivosdelsistema.ÉsteeselmétodoqueutilizaInter-

DACLchkv2.0-Copyright(c)1999,Foundstone,Inc.

enumera los tiempos de acceso pasados.

NTFSDACLACEOrderDetector

netExplorer netExplor erpara para ocul ocultardatos tardatos..HFi HFind ndtam tambié bién n

DumpsanyACLthathasDeniedandAllowedACE’s

Sintaxis: HFindv3.0-Copyright(c)2000, HFindv3.0- Copyright(c)2000,Foundstone, Foundstone,Inc. Inc. Hiddenlenderwithlastaccesstimes Usage-hnd[path]/ns [dirpath] Directory to search - none equals current

-nsSkipsub-directories

inreverseorder Usage-snd[path]/ns [dirpath] Directory to search - none equals current

-dDumpallDACL’s-Don’tdetectreversedACE’s -nsSkipsub-directories - or / Either switch statement can be used





Ver todos los dispositivos USB que ueron conectados en Windows.

-? Help Audited: Esta herramienta herramient a combina la información deaccesoacherosconla deaccesoa cherosconlainformaciónde informacióndeaudito auditoriadeWindows.Solofuncionasisetienehabili tado las políticas de auditoria.

Sintaxis: Auditedv2.0-Copyright(c)1998,Foundst Auditedv2.0-C opyright(c)1998,Foundstone,Inc. one,Inc.

NTFSSACLReporter-Finds NTFSSACLR eporter-Findsauditedles auditedles Usage - audited [path] /ns [dirpath] Directory to search - none equals current

-dDumpleauditattributes -r[hivekey]Dump -r[hivek ey]Dumpregistryauditattributes registryauditattributes -s[subkey]Optionalsub-keyt -s[subke y]Optionalsub-keytosearch osearch -vVerbosemode -nsSkipsub-directories/subkeys

Con la herramienta USBDeviewpodemos verquedispositivosUSBfueronconectadosalsistema y cuando. Esta herramienta puede mostrar

- or / Either switch statement can be used

Regkeyconstantsare- Regke yconstantsare-HKLM,HKCR,HKCU, HKLM,HKCR,HKCU,HKU, HKU, HKCC

Dumpsentireregifnokeynameisspecied

t n i r p i l o j


la si sigu guie ient nte e in info form rmac ació ión n so sobr bre e el di disp spos osit itiivo vo:: nombre,descripció nombre, descripción,tipodedispositi n,tipodedispositivo,letrade vo,letrade unidad, número de serie, fecha de instalación, fecha

deúltimaconexiónydesconexión. Tambiénpermitebloquearlosdispositivosquese -

-? Help


Como ya he comentado en anteriores post, los dispositivosUSBdealmacenamiento,sonmuyprácticos, pero puede resultar un problema de seguridad, porque atravésdeellospueden infectar nuestro sistema o ser usados parallevarinforma ción crítica del sistema.

Hunt: Es una herramienta para mostrar si un sistemarevelademasiadainformaciónvíaNULLses sions.

leccionemos, desinstalarlos o bloquear todos los dispositivosUSBqueseconectenalsistema.Esuna

aplica apli caci ción ón qu quee ap apen enas as oc ocup upa a 84 Kb lo qu que e la convierteenunaherramientaparaañadiranues tra colección de software portable de seguridad.

Sintaxis: Huntv2.0-Copyright(c)1998, Huntv2.0- Copyright(c)1998,Foundstone, Foundstone,Inc. Inc. SMBshareenumeratorandadminnder SMBshareenumerat orandadminnder Usage-hunt\\servername

MásinformaciónydescargadeUSBDeview: http://www.nirsoft.net/utils/usb_devices_view.html

/? = Help Auditarusodedispositivos Auditaruso dedispositivosUSB,FireWirey USB,FireWireyPCMCIA: PCMCIA:

Estas herramientas solo funcionan si se usan con

privilegiosdeadministrador.

http://vtroger.blogspot.com/2006/09/auditar-usode-dispositivos-usb.html

Más información y descarga de Forensic ToolKit: http://www.foundstone.com/us/resources/proddesc/

forensictoolkit.htm

Recuperar correos electrónicos borrados en Outlook.

Los Lo s co corre rreos os el elec ectr tróni ónicos cos que el elim imin inam amos os de la bandeja de elementos eliminados se pueden recu-

perar, debido a que Microsoft Outlook no http://vtroger.blogspot.com/search/lab http://vtroger.bl ogspot.com/search/label/Inform%C3%A el/Inform%C3%A1tica%20Forense 1tica%20Forense




borra la información denitivamenteenel cherodealmacenamiento de buzones (*.PST),solohaceuna marca, para que no aparezcan. Para recuperar estés correos usamos una herramientaquevieneocultaenOutlook,parare paraarchivosPSTdañados,laHerramientadeRe -

{BB4C88D8-ABD9-4A94-801D-5F2A28712F57}\Mi crosoft\OutlookExpress

VersionesposterioresaOce2007:

electrónicos. Nosepuedenrecuperartodoslosarchivosborrados

ramientaDBXBackuppararecuperarloscorreos sololosmásrecientesyaqueOutlookcadacierto ecaz. DescargadeherramientaDBXBackup:

C:\Archivosdeprograma\MicrosoftOce\Oce12 PeroestaherramientasolofuncionaconPSTdañados, para poder usarla para recuperar correos debemosdañarnuestroPSTsintocarloscorreos,solo modicandolacabecera.ParadañarelarchivoPST lomodicamosconuneditorhexadecimalycambiamos el primer byte introduciendo cualquier

valor(paramayorseguridadpodemoshaceruna copiadelPST).ElarchivoPSTseencuentraentodas

lasversionesdeOutlooken: C:\Documentsand C:\Documents andSetting Settings\”no s\”nombredeusuario”\ mbredeusuario”\ Conguraciónlocal\Datos Conguraciónlocal\Dat osdepro deprograma\Microsoft\ grama\Microsoft\ Outlook UnavezdañadoelPSTpodemosusarlaHerramien-

tadeRe tade Repara paración ción dela delaBan Bandej dejade ade Ent Entrada rada,esta ,esta herramienta recuperara todos los correos quitando las marcas de borrado que encuentre, y de esta forma aparecerán todos los correos incluso los bor-

radosdenitivamente.

corrompemoslosDBXydespuésutilizamoslaher -

limpiasus limpia susPST, PST,detodasformasestas detodasformasestastécnica técnicaes esmuy muy

EnOce2007:


C:\Documentsand C:\Documents andSetting Settings\”nom s\”nombredeusuario”\ bredeusuario”\ Conguraciónlocal\Datosdeprograma\Identities\

SiguiendoelmismoprocesoparacorromperPST,

MSMAPI\3082

t n i r p i l o j

nados en la ruta:

paracióndelaBandejadeEntrada,suejecutable paracióndelaBandejadeEntrada,sueje cutable esSCANPST.EXEyseencuentraenlaruta:

C:\Archivosdeprograma\Archivoscomunes\System\


Estatécnicasepuedeusartambién Estatécnicasepuede usartambiénparaOutlook paraOutlook Express.OutlookExpressusaarchivosDBXpara almacenarcorreosenvezdePSTyestánalmace -

http://www.mailnavigator.com/recupexpress.html Recuperación de datos en CD y DVD dañados.

LosmediosópticoscomoelCDyDVDguardanlos datosduranteuntiemponito,aunquedependien do de la calidad del mismo suelen durar muchos años. El deterioro de un CD/DVD suele producirse desde la región interna del disco hasta su región

externa.. externa Existe

una herraque nos ayudar a rar inforde soportes dañados,

mienta puede recupe-recupe mación ópticoss óptico que muchas ch as ve vece ces s no son legibles por el sistema y llegan a bloquear launidad.SetratadeDvdisasterunaaplicaciónque permite recuperar perdigadas de información por deterioro del soporte.





Dvdisastergeneraunarchivo Dvdisastergenera unarchivodecorrecciónde decorreccióndeer errores ECC del disco y una imagen de dicho disco. A

partirdelaimag part irdelaimagendeldis endeldiscoyelchero coyelcherode deECC ECC

se utiliza la herramienta desde otro sistema

operativoyconelsist operativoy conelsistemaain emaainvestigaren vestigaren

corrige los sectores que no son legibles y el resul-

su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integri-

tadolovuelcaunanuevaimagenconloqueseha

daddearchivos,estructuradecheros,logs

podido recuperar del disco.

del sistema y datos borrados.

• Unanálisisdesistemavivoocurrecuando Aunquesuusoestapensadoparagenerararchivos ECC como copias de seguridad de CD/DVD con información importante, importante, para su posterior recupera-

ciónconDvdisasterencasodedeterioro.Sepuede usar para recuperar CD/DVD con errores, claro esta, est a, con menos probabilidades de obtener buenos resultados. También se puede usar para comprobar el estado de un CD/DVD.

se está analizando el sistema sospechoso mientras está funcionando. Este análisis se utiliza mientras que se está produciendo el incidente y se analiza básicamente: proce-

sos,memoria,cheros…Despuésdequese conrmelaamenaza,elsistemapuedeser adquiridoenunaimagenparaconservarlo sin corrupciones posteriores y así realizar análisis de sistema muerto.

Estadisponibleenlasplataformas:FreeBSD,Linux

,MacOSX,NetBSDyWindows2000oXP.Soporta: CD-R,CD-RW,DVD-R,DVD+R,DVD-RDL,DVD+R DL,DVD-RW,DVD+RWyDVD-RAM.

Esta aplicación posee las siguientes técnicas de

MásinformaciónydescargadeDvdisaster: http://dvdisaster.net/

Listadodelarchivo:Analizalosarchi Listadodelarchivo: Analizalosarchivosylosdi vosylosdirectorios,incluyendolosnombresdearchivossuprimidos.

Suite completa para inormática orense.


t n i r p i l o j


búsquedadeevidencias:

Elcontenidodearchivos:Sepuedeverenformato raw,hexoASCII.Cuandoseinterpretanlosdatos, laautopsialosesterilizaparaprevenircorrupción

SetratadeAutopsyForensicBrowseresuninterfazgrácobasadoenlasherramientasenlíneade comandosdelSleuthKit.Lacombinacióndeestas por parte del análisis del sistema local. herramientasinstaladaenunservidorutilizando unsistemabasadoenla unsistema basadoenlaplataforma plataforma Unixforman Unixformanun un Bases de datos de una completa suite informática que solo necesita de Hash: Has h: Lo Los s ar arch chiv ivos os unsistemaoperativoconnavegadorparaaccedera ella.YaqueAutopsyForensicBrowserproporciona

unaaplicaciónbasadaenHTMLquepuedeusarse para análisis forenses de los sistemas Windows y

UNIXsoportandosistemasdecheros(NTFS,FAT, UFS1/2,Ext2/3). Sulosofíadefuncionamientosebasaenlabuena práctica forense partiendo de dos tipos de análisis:

• Un análisis de sistema muerto, en este caso

son reconocidos como buenos o per judiciales para el sistema basándose en la biblioteca de referenciadelsoftwareNIST(NSRL)ylasbasesdedatos creadas por el usuario.

Clasicacióndetiposdearchivoporextensiones: Clasicalosarchivosbasándoseensusrmasin ternasparaidenticarextensionesconocidas.La autopsiapuedetambiénextraersolamenteimá genesgrácasycomparareltipodearchivopara





identicarposiblescambiosenlaextensiónpara

igualesalosdelusuariooriginal.Cadaantrión

ocultarlos.

puede contener unas o más imágenes del sistema

Líneadetiempodelaactividaddelarchivo:En Líneadetiempodelaactividad delarchivo:Enal algunoscasos,tenerunalíneadetiempodelaactividaddelarchivopuedeayuda daddelarchiv opuedeayudaraidenticaráreas raidenticaráreas deunsistemadecherosquepuedancontener eviden evi dencia cias. s. La Laaut autopsi opsia a pue puede de cre crear ar la lín línea eade de tiempoquecontienenlosregistrosde:modicación,

acceso,ycambiosdefechas acceso,ycambios defechasenlosarchi enlosarchivos. vos. Búsquedadepalabraclave:Lasbúsquedasdepalabraclavedelaimagendelsistemadecherosse puedenrealizarusandosecuencias puedenrealizar usandosecuenciasdelASCII delASCIIyex yex-

decherosparaanalizar. Secuenciadordeacontecimientos: Secuenciadorde acontecimientos:Los Losacontecimien acontecimien-

tossepuedenagregardeloslogde tossepueden agregardeloslogdeunIDSodeun unIDSodeun cortafuegos.Laautopsiaclasicalos cortafuegos.Laautopsia clasicalosacontecimien acontecimientos para poder determinar más fácilmente la secuencia de los acontecimientos del incidente.

Notas:Lasnotassepuedenclasicarenunabase dedatosorganizadosporantrión dedatos organizadosporantriónyinvestigador yinvestigador.. Estopermitehacernotasrápidas Estopermite hacernotasrápidassobrearchivos sobrearchivosy y estructuras.

presionesregulares.Lasbúsquedassepuedenreali-

zarenlaimagencompletadelsistemadecheros.

Integridad de imagen: Es crucial asegurarse de que losarchivosnoestán losarchivos noestánmodicadosdurante modicadosduranteanálisis. análisis.

Laautopsia,pordefecto,generaráunvalorMD5 Análisisdelosmetadatos:Lasestructurasdelos paratodoslosarchivos.Sepuedevalidarencual metadatoscontienenlos metadatos contienenlosdetallessobre detallessobrearchivosy archivosy quiermomento,laintegridaddecualquierarchivo directorios.Laautopsiapermiteunavisiónlosde - que la autopsia utiliza. talles de cualquier estructura de los meta datos en


t n i r p i l o j


elsistemadecheros.Estoesútilpararecuperar elcontenidoeliminado.Laautopsiabuscarálos directoriosparaidenticarlatrayectoriadelosar chivo.

Informes:Laautopsiapuedecrear Informes:Laaut opsiapuedecrearlosinformespara losinformespara losarchivosyotrasestructurasdelsistemadecheros.

Detallesdelaimagen:Sepuedenverlosdetalles delsistemadecheros,incluyendoladisposición endiscoyépocasdeactividad.Estemodopropor-

enuncaso,unantrión,yunniveldelinvestigador para poder recordar fácilmente las acciones y los comandos ejecutados.

ciona información útil durante la recuperación de datos.

Enlosquesereer Enlosquese reerea ealagestiónde lagestióndedifere diferentescasos ntescasos y la elaboración de informes esta suite posee módulos como:

GerenciadelCaso:Lasinvestigacionessonorgani -

Registros:Losregistrosdelaintervenciónsecrean

Entrelascaracterísticasdeestekithayquedestacar queestabasadoenunaaplicacióncliente-servidor

enHTMLporlotantonohaytrabajarenelmismo sistemaquelasimágenesdelsistemadecheros. Estopermitequemúltiplesinvestigadoresutilicen elmismoservidoryconectensussistemasperso nales.

zadas por casos, que pueden contener uno o más

antrio an triones nes.. Cada an antrió trión n se con congu gura ra par para a te ner su propia posición, ajuste de reloj y de zona horaria de modo que los tiemposexaminadossean

Más información y descarga de Autopsy Forensic

Browser: http://www.sleuthkit.org/autopsy/desc.php Herramientasforensesdelsistemadecheros





http://vtroger.blogspot.com/2006/08/herramientasforenses-del-sistema-de.html

Herramientas orenses del sistema de fcheros

Averiguar las páginas visitadas en IE aunque se borre el historial.

ElSleuthKit2.05esunacoleccióndeherramientas forensesdelsistemadecherosquepodemosusar

enLinux,ynospermiteinvestigarlossistemasde

InternetExplorergeneraun InternetExplorerg eneraunarchivo archivollamado“index. llamado“index.

cheros:NTFS, NTFS,FAT, FAT,FFS, FFS,

Aunque un usuario borre el historial, la

una computadora sossos pechosa de un ataque informático.Lasherramientas están didi-

cache cach e y la las s coo cooki kies es este chero man-

señadasparaextraer datosdelasestructurasinternasdelsistemade-

tiene un registro que no se puede borrar en modo normal,

cheros. Porque las herramientas no confían en el sistemaoperativoparaprocesarelcontenidosuprimidoyocultadodelossistemasdecheros.Con esta herramienta podemos obtener datos como:

dat”enelquealmacenalaspaginasvisitadaspor el usuario, las cookies y la cach ca che e de c che hero ros. s.

soloenmodoseguro.Estecherotambiénguarda


t n i r p i l o j


un registro de las palabras usadas cuando la opción autocompletarestaactiva.Paraleerelregistropue den usar herramientas como: IndexDatSpypermitebuscarestésarchivosleerlos y eliminarlos. Index.datsuitetambiénpermiteleerlosyeliminar los. Index.datAnalyzerqueademásdeposeerlasmis ma opciones que los otros, tiene la opción borrar

entradasespecicas. Estearchivoesusadoporelmalwareparaobtener informaciónsobrenuestroshábitosdenavegación. ActualmenteInternetExplorer7tienesolucionado dicho problema de seguridad.

EXT2FSyEXT3FSde

fechaenquesehanmodicado,creadooaccedido cualquieradeloscherosdeunsistemadecheros.

DescargaTheSleuthKit2.05: http://www.net-security.org/software.php?id=215

EjemplodeusodeTheSleuthKit2.05enlapagina 9apartado1.4: http://www.seguridad.unam.mx/eventos/reto/uno_ http://www.seguridad.unam.mx/event os/reto/uno_ tecnico.pdf

IndexDatSpy: http://www.stevengould.or http://www.st evengould.org/softwar g/software/indexdatspy/ e/indexdatspy/

index.datsuite: h t t p : / / s u p p o r t . i t - m a t e .

co.uk/?mode=Products&p=index.datsuite Index.datAnalyzer: http://www.systenance.com/indexdat.php


Informática Forense

Recommend Documents