Fuente: http://buscon.rae.es/draeI/
DEFINICION
Fuente: http://en.wikipedia.org/wiki/Forensic
OBJETIVO
Informática Forense:
º
PASOS A SEGUIR POR EL EXAMINADOR
http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx
PASOS A SEGUIR POR EL EXAMINADOR
Recolectar Información Volátil
http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx
PASOS A SEGUIR POR EL EXAMINADOR
Desconectar la Conectividad
PASOS A SEGUIR POR EL EXAMINADOR
Guardar la Evidencia
- utilizar goma espuma
PASOS A SEGUIR POR EL EXAMINADOR
- ¿ Qués es la evidencia ?
- ¿ Cómo se la obtuvo ?
- ¿ Cuando fue obtenida ?
- ¿ Quién la obtuvo ?
- ¿ Donde viajo y donde fue guardada ?
http://www.csoonline.com/read/120105/sample_chain_custody.pdf
ADQUISICIÓN DE EVIDENCIA POR HARDWARE
Tableau T35e
Adquisición de Discos Rígidos y
Dispositivos USB
Tableau T35e
http://www.tableau.com
ADQUISICIÓN DE EVIDENCIA POR HARDWARE
¿ Qué es DD ?
¿ Qué es FAU ?
- Conjunto de programas específicos con fines de auditoria
- Forensic Acquisition Utilities
- http://www.gmgsystemsinc.com/fau/
- DD, Netcat, Wipe, fmdata, volume_dump
ADQUISICIÓN DE EVIDENCIA CON DD
Microsoft Windows:
UNIX/Linux:
¿ Qué es Netcat ?
¿ Qué es un Hash ?
- “cd RECYCLER”
- “dir /ah”
ANALIZANDO LA PAPELERA DE RECICLAJE
http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip
ANALIZANDO ARCHIVOS DE LINK
- “lnk –o archivo.lnk”
http://www.rootkitdetector.com
DESCUBRIENDO LAS PASSWORD DE WINDOWS
tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux
gracias a las libretrías GTK.
Ophcrack Live CD 0.9 es una distribución linux, basada en la Ubuntu 5.04, en formato Live CD
que está preparado para acceder a las particiones de Windows, copiar temporalmente en el
sistema y analizar el archivo SAM, el que gestiona las contraseñas de Windows, para luego
descomprimirlo y descifrarlo.
Con ello podremos obtener la contraseña de nuestro sistema Windows y permitirnos acceder a él.
DESCUBRIENDO LAS PASSWORD DE WINDOWS
VIDEO
>>>OPHCRACK.wmv<<<
ANALIZANDO ARCHIVOS DE DOCUMENTOS
Documentos, tales como, Word, Excel, Powerpoint, etc.
Contienes información sensible a la hora de realizas análisis.
Metavier, de PINPOINT es una aplicación gratuita que nos muestra los metatags que
estan incrustrados dentro de estos archivos veamos un ejemplo
Tomar nota de este link, aca dice como borrar a “mano” todo lo que queda en evidencia
cuando abrimos con un editor de texto en modo binario
http://support.microsoft.com/kb/290945/es
ANALIZANDO ARCHIVOS DE DOCUMENTOS
(Continuación)
ANALIZANDO ARCHIVOS DE DOCUMENTOS
PDF (Portable Document Format)
Objetivo: Crear un documento que no sea modificable y cumpla con estándares de
compatibilidad y seguridad.
Pagefile.sys
El archivo Pagefile.sys es un archivo utilizado por Windows para almacenar
temporalmente aquella información que se intercambia entre el sistema y la
memoria física de la computadora, conocida como Memoria RAM. Así se
amplia la capacidad de memoria de la computadora a través de una memoria
virtual, la que no dispone de un componente tangible, sino que es creada por
Windows para mejorar el funcionamiento del equipo.
Suele tener 1,5 veces el tamaño de la memoria RAM que posea el equipo. Si tiene
un Giga de Ram, el archivo pagefile.sys tendrá un tamaño de 1.5 gigas. Se trata de
un archivo oculto, por lo que sólo puedes verlo si des activas la opción de ocultar
archivos protegidos del sistema.
ANALIZANDO archivos de intercambio
Index.dat
Internet explorer guarda una copia de las páginas visitadas en tu disco duro. Si vas a una página
ya visitada, internet explorer busca primero en la cache, y la compara con la página del servidor,
mostrandote la página desde tu disco duro, si no ha habido actualizaciones.
Puedes borrar el cache de disco desde el propio internet explorer (herramientas, opciones de
internet, eliminar archivos). El problema es que esta opción borra todo el contenido del historial de
internet (los archivos html, los gráficos, etc) pero no borra el indice de referencia que internet
explorer usa para buscar dentro de su historial: el archivo index.dat.
Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema;
Desde el DOS
C:\Documents and Settings\tu_user_name\Configuración local\Historial\History.IE5>
find /i "http://" index.dat | sort > C:\historial.txt
ANALIZANDO archivos de intercambio
ANALIZANDO archivos de intercambio
ANALIZANDO prefetch
El Prefetch analiza los programas que ejecutas habitualmente en tu PC, de tal forma
que, para que tengan mejor rendimiento, Windows puede precargar (prefetching) ciertas
partes de los programas en la memoria durante la carga inicial, para que así tengan un
mejor comportamiento y rapidez al usar dichos programas.
Los ficheros .pf graban la fecha y hs. de cuando fue utilizado por ultima vez
El archivo LAYUOT:INI
En este archivo guarda los programas con sus paquetes mas usados. Cada 3 días
actualiza, y en segundo plano hace una desfragmentacion, para que el cabezal no tenga
que desplazarse tanto en el disco
http://www.fermu.com/content/view/110/2/lang,es/
ANALIZANDO periféricos USB
¿Sabias que cada vez que pones un dispositivo USB queda registrado?
¿ QUÉ ES EL SLACK ?
Es el espacio que se encuentra desde el final de un archivo
lógico hasta el final de un sector o cluster.
web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/
www.dragonjar.org/analisis-forense-a-un-router-cisco.xhtml#more-2862
Herramientas para realizar la auditoria forense
Empecemos con lo mas simple, se hace uso del comando copy con los
parámetros /b primerarchivo.jpg + segundoarchivo.rar
imagendondeseocultarán.jpg
StegHide
OpenStego
Hide In Picture 2.1
http://www.viciao2k3.net/services/cryptimg/ (EN LINEA)
Herramientas para realizar la auditoria forense
VIDEO
Algunas, gratuitas otras pagas, entorno windows o linux veamos cuales son:
http://www.dragonjar.org/herramientas-para-realizar-analisis-forense-en-telefonos-moviles-y-tarjetas-sim.xhtml
ADQUISICIÓN DE EVIDENCIA POR HARDWARE
http://www.guidancesoftware.com/products/neutrino.aspx
ADQUISICIÓN DE EVIDENCIA POR HARDWARE
• Live CD
• Basado en Knoppix
• Especializado para Forenses
http://www.e-fense.com/helix/
>>Farc.pdf<<<
“Cualquier intento exitoso efectuado por un individuo o proceso que impacte de
manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la
evidencia digital en un proceso forense”.
Limitar la detección de un evento que haya ocurrido.
Distorsionar la información residente en el sitio.
Incrementar el tiempo requerido para la investigación del caso.
Generar dudas en el informe forense o en el testimonio que se presente.
Engañar y limitar la operación de las herramientas forenses informáticas.
Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.
The Metasploit Project
Timestomp - First ever tool that allows you to modify all four NTFS timestamp values:
modified, accessed, created, and entry modified.
Sacker - First ever tool that allows you to hide files within the slack space of the NTFS
file system.
Sam Juicer - A Meterpreter module that dumps the hashes from the SAM, but does it
without ever hitting disk.