Sei sulla pagina 1di 144

Traducido por Sykrayo España

Traducido por Sykrayo España WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A
Traducido por Sykrayo España WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A
Traducido por Sykrayo España WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL

sykrayo@hotmail.com

Traducido por Sykrayo España

Traducido por Sykrayo España DEFT 7 MANUAL DIGITAL EVIDENCIA FORENSE Y HERRAMIENTAS Stefano Fratepietro y Alessandro

DEFT 7 MANUAL

DIGITAL EVIDENCIA FORENSE Y HERRAMIENTAS

Stefano Fratepietro y Alessandro Rossetti & Paolo Dal Checco

Versión Inglese por Jade Dell'Erba, Nicodemo Gawronski (traductores) Neil Torpey (revisión técnica y corrección)

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

LOS AUTORES

STEFANO "YO UN G ST ER" F RA RO TEPIET

Stefano se graduó en 2006 con una licenciatura en Tecnología de la Información y Gestión (Ciencia de Internet) de la Universidad de Bolonia. Su tesis en informática forense se tituló "Un estudio de caso virus Vierika." Es OSCP ofensivo Certificado en Seguridad y ISECOM OPST. Stephen es actualmente un especialista en seguridad en la oficina del CSE de seguridad informática (Asociación Bancaria), donde realiza tareas de los expertos de los tribunales, las fuerzas policiales y particulares, y ha participado como consultor técnico en casos de hambre nacional: como "Good mañana! vitamínico "y" Pirelli-Telecom-Ghioni. " Desde 2005 es el creador y líder del proyecto del sistema de DEFT. De vez en cuando realiza actividades docentes en informática forense para diversas universidades italianas y privadas cursos.

SA N D RO "B Y O U SB" SS O R E C T S

Alessandro Rossetti vive y trabaja en Roma. Él tiene un gran interés en temas tales como: tecnología de la información, seguridad informática y análisis forense digital. Él es un IACIS miembros y también miembro del "CyberWorld" Trabajar Grupo de OSN (Observatorio Nacional de Seguridad) de Ministerio de Defensa italiano.

P A O LO "J E ST E R" D A L C H E C O C

Pablo recibió su doctorado en 2006 en la Universidad de Turín, en el Grupo de Seguridad del Departamento de Ciencias de la Computación. Ha impartido clases en diferentes universidades, empresas y entornos TIC en las adiciones a las cooperativas con otras empresas que operan en el campo de la seguridad y la privacidad de las comunicaciones. También es socio fundador de la empresa de informática forense "Oficina Forense Digital" ( www.difob.it ) De Turin.He es director asociado de la Ley Digit Ltd (www.digitlaw.it.) También Pablo ha actuado como asesor técnico asistir los fiscales en las causas judiciales, los organismos encargados de hacer cumplir la ley y las entidades del sector privado.

1
1

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

LICENCIA DE USUARIO FINAL AGR EEMENT

D eft 7 Manual 2012 LICENCIA DE USUARIO FINAL AGR EEMENT Reconocimiento - NoComercial 3.0 Italia

Reconocimiento - NoComercial 3.0 Italia

Usted es libre de copiar, distribuir, comunicar al público, mostrar públicamente, representar, actuar y hacer obras derivadas Bajo las condiciones siguientes:

Atribución - Debes atribuir el trabajo de la manera especificada por el autor o el licenciador (pero no de cualquier manera que eso sugiere que usted o su uso de la obra avalan).

No comercial - No puede utilizar esta obra para fines comerciales.

Renuncia - Alguna de estas condiciones puede no aplicarse bajo la autorización del titular de los derechos de autor.

Dominio Público - Cuando la obra o alguno de sus elementos se halle en el dominio público según la legislación aplicable, la situación no es en absoluto afectada por la licencia.

Otros derechos - De ninguna manera cualquiera de los siguientes derechos afectados por la licencia:

De usos legítimos o derechos de uso justo u otras excepciones de copyright aplicables y limitaciones

Los derechos morales de los autores;

Otras personas pueden tener derechos, ya sea en la propia obra o en cómo se utiliza el trabajo: como la publicidad o derechos de privacidad.

Aviso - Al reutilizar o distribución, usted debe hacerlo bajo los términos de esta licencia, que debe ser comunicada con claridad.

Esto es un resumen fácilmente legible del texto legal (la licencia completa):

http://creativecommons.org/licenses/by-nc/3.0/it/legalcode

2
2

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Dedicado a Ele y Silvia por su paciencia infinita.

También Dedicado a Esteban y Alejandro,

Que la esperanza de que tomen más después de finalizada su Sus madres que padres.

3
3

Para Samantha y Kim.

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Agradecimientos

Nos gustaría dar las gracias a todos aquellos que en los últimos años han contribuido a nuestro crecimiento personal.

También agradecemos a los que trabajó entre bastidores para la producción de DEFT también indirectamente contribuir a la creación del manual de usuario.

Massimiliano Dal Cero

Valerio Leomporra

David "Rebus" Gabrini

Marco Giorgi

Bartolomeo "Meo" Bogliolo

Emanuele Gentili

Un enorme "gracias" También va a Simone e Iván por su ayuda en el doble control de este manual.

Queremos agradecer Architecture Technology Corporation por permitirnos insertar "Dropbox Reader " en este distribución.

Por último, pero no menos importante: la versión Inglese ha sido realizada por Jade Dell'Erba, Nicodemo Gawronski (traductor) y Neil Torpey (revisión técnica y corrección)

4
4

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

PRÓLOGO

El propósito de este manual es ofrecer al lector una idea de las principales características y potenciales de la DEFT distribución, un punto de partida para estimular el crecimiento de sus conocimientos técnicos con el DEFT.

En estas páginas no encontrará explicaciones exhaustivas sobre el uso de todas las aplicaciones y comandos actualmente en la distribución DEFT.

Para tratar de facilitar el estudio, hemos incluido algunos ejemplos que indican cómo realizar algunas de las principales actividades de análisis forense digital.

la consolidación y preservación de los dispositivos de almacenamiento (discos duros, memorias

1
1

USB, reproductores MP3, teléfonos inteligentes, etc

análisis de casos y su manejo.

) o tráfico telemático a través de redes IP;

Feliz lectura!

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

TABLA DE CONTENIDO

Los Autores

Stefano "joven" Fratepietro

Sandro "camarero" Rossetti

Paul "Jester" Dal Checco

Acuerdo de licencia de usuario final

Agradecimientos

Prefacio

Tabla de

Capítulo 1: Introducción

1.1 ¿Qué es

1.2 ¿Por DEFT se puede utilizar en el análisis forense digital?

Capítulo 2: Requisitos del sistema

2.1

2.2

DART

Capítulo 3: Lista de aplicaciones

3.1

DEFT Linux

3.2

DART 1.0

Capítulo 4: Comenzar DEFT Linux en vivo

4.1 Verificar la integridad del archivo de imagen DEFT después de haber descargado.

12

4.2 Burning DEFT Linux en óptica

4.3 Creación de un stick USB de arranque que contiene DEFT Linux

13

4.4 Configuración de la BIOS y / o de la selección de arranque de popups / Menú

2
2

15

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

4.5 Parámetros de arranque de DEFT

4.6 Instalación DEFT Linux 7

3
3

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Capítulo 5: Modo texto Linux DEFT

5.1 Gestión de Medios de Almacenamiento

5.1.1

Comandos útiles

5.1.2

Monte de los dispositivos de almacenamiento

 

5.1.3

Montaje de un dispositivo (disco duro, memoria USB, disquete, CD-ROM, etc

)

 

22

5.1.4

Montar una DD / archivo de imagen RAW

 

5.1.5

Montar a DD / RAW archivo de imagen dividida en varios archivos (dividida en bruto)

 

24

5.1.6

Tipo de archivo EWF / Encajar

 

5.1.7

Tipo de archivo AFF

 
 

5.2

Cálculo Hash

5.2.1

5.2.2

SHA1SUM

5.2.3

MD5 y sha

5.2.4

Dhash

 

5.3

Captura de Medios de Almacenamiento

5.3.1

dd

5.3.2

ddrescue

5.3.3

dcfldd

5.3.4

Dhash

 

5.4

Creación de una línea de tiempo

5.4.1

fls

5.4.2

 

5.5

Creación de un

 

5.6

Búsqueda de archivos y carpetas

5.6.1

Localizar

5.6.2

Encontrar

4
4

Traducido por Sykrayo España

D eft 7 Manual

2012
2012
5
5

5.7 Talla de

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5.7.1

Principal

 

Capítulo 6: DEFT Linux GUI

6.1

Introducción

 

6.2

Gestión de la memoria de masas

6.3

Administrador de Montaje

 

6.4

Cálculo Hash

 

6.5

Adquisición de la memoria de masas

6.5.1

Dhash

6.5.2

Guymager

6.6

Búsqueda de archivos y carpetas

6.6.1

Bagre

 

6.7

Findwild

 

6.8

Carving GUI archivos

6.9

La gestión de un caso de autopsia

 

06.10

6.10.1

Creación de una casa

 

06.11

06.12

13.06

Maltego

Capítulo 7: Mobile

7.1

Androide

 

7.2

Breve descripción de Google

7.2.1

Gmail

7.2.2

Mercado

7.2.3

Sistema de archivos en uso

7.2.4

Sistema de archivos EXT4

7.2.5

Política de uso de almacenamiento masivo

 
6
6

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

7.2.6

El acceso al sistema de archivos del sistema operativo

 

72

 

7.3

Samsung Galaxy S i9000 - características de hardware

7.3.1

Procedimientos de enraizamiento

 

7.3.2

Samsung Galaxy S - la adquisición de la memoria flash interna

75

7.4 Samsung Galaxy S - la adquisición de la memoria externa

78

7.4.1 Trabajar directamente en el smartphone

7.4.2 Localización y análisis de aplicaciones y archivos de interés común

7.4.3 Ejemplo de análisis de Google Maps

78

Capítulo 8: DART - Digital Respuesta Toolkit avanzada

7
7

Capítulo 9: Profundizar

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

CAPÍTULO 1: Introduct ION

1,1 W H A T I S D E F T?

El distribution1 Linux Efdi2 se compone de un sistema GNU / Linux y DART (Digital Toolkit Respuesta Avanzada), la suite dedicada a forensics3 digitales y intelligence4 actividades.

Actualmente FreeBSD es desarrollado y mantenido por Stefano Fratepietro, con el apoyo de Massimo Dal Cero, Sandro Rossetti, Paolo Dal Checco, David Gabrini, Bartolomé Bogliolo, Leomporra Valerio y Marco Giorgi.

La primera versión de DEFT Linux fue creado en 2005 gracias a la Informática Forense Curso de la Facultad de Derecho de la Universidad de Bolonia.

Esta distribución se utiliza actualmente laboratorio durante las horas del curso de Informática Forense celebrado en el

Universidad

entidades privadas.

También es una de las principales soluciones empleadas por las fuerzas de seguridad durante las investigaciones forenses informáticos.

de

Bolonia

y

en

otras

muchas

universidades

italianas

y

las

En adiciones a un número considerable de aplicaciones de Linux y scripts, hábil también cuenta con la suite de DART que contiene aplicaciones de Windows (tanto abierta source5 y de código cerrado) ¿Qué son todavía viables ya que no hay equivalente en el mundo Unix.

DEFT se distribuye de forma gratuita y sin garantías sobre.

1 GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel de Linux con el sistema GNU y otros programas de desarrollo de GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel Linux con el sistema GNU y el software desarrollado y distribuido bajo la GNU GPL o cualquier otro licenses.Wikipediaoped libre y se distribuye bajo la GNU GPL o cualquier otro licenses.Wikipedia libre

2 Acrónimo de Digital Evidencia y Forensic Toolkit.

3 Que la ciencia estudia la identificación, preservación, protección, recuperación, documentación y cualquier otra forma de procesamiento de datos de la computadora con el fin de ser evaluado y estudiado en un proceso legal, a efectos probatorios, las técnicas y las herramientas metodológicas para el estudio de los sistemas informáticos. (Wikipedia)

8
8

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

4 Este aspecto de la distribución se tratará en otro documento.

5 El término se refiere a permitir que el software libre cuyos autores del estudio y / o para realizar otros cambios por programadores independientes.

9
9

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

1.2 WHYCANDEFTBE USO DINDIGITALFO RE N SI CS?

Software Informática Forense debe ser capaz de garantizar la integridad de las estructuras de archivos y metadata6 en el sistema que está siendo investigado con el fin de proporcionar un análisis detallado. También es necesario analizar con fiabilidad el sistema está investigando sin alterar, borrar, sobrescribir o cambiar la fecha de otra manera.

Hay ciertas características inherentes para reducir al mínimo el riesgo de DEFT que la alteración de la fecha de ser sometida a análisis. 7

Algunas

características son:

de

estas

1. Al arrancar, el sistema no utiliza las particiones de intercambio en el sistema que está siendo analizada.

2. Durante el inicio del sistema, no hay secuencias de comandos de montaje automáticas.

3. No hay sistemas automatizados para cualquier actividad durante el análisis de las pruebas;

4. Todo el almacenamiento masivo y las herramientas de adquisición de tráfico de red no alteran los datos

sean adquiridos.

6 RFC 3227: "Minimizar los cambios en los datos a medida que se está recogiendo Esto no se limita a los cambios en el contenido, que debe evitar la actualización de los tiempos de acceso del archivo o directorio.".

10
10

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

7 El artículo 247, apartado 1 bis, con los cambios realizados por la ratificación de la Convención de Budapest sobre la Ley 18 de marzo de 2008 no.

48: "[

manipulación"

]

La adopción de medidas técnicas destinadas a garantizar la conservación de los datos originales y para evitar la

11
11

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

CAPÍTULO 2: REQUISITOS DE SISTEMA DE RE

2.1 D E F T

Usted puede utilizar completamente las capacidades de gran alcance de la guía DEFT Arrancar desde un CD- ROM o una memoria USB DEFT cualquier sistema con las características siguientes:

DEFT cualquier sistema con las características siguientes: CD / DVD-ROM o puerto USB desde el que

CD / DVD-ROM o puerto USB desde el que el BIOS puede soportar el arranque.

X86 CPU (Intel, AMD o Citrix) 166 Mhz o superior para ejecutar DEFT Linux en modo texto, 200Mhz para ejecutar DEFT Linux en modo gráfico;puerto USB desde el que el BIOS puede soportar el arranque. 64 MB de RAM para

texto, 200Mhz para ejecutar DEFT Linux en modo gráfico; 64 MB de RAM para ejecutar DEFT

64 MB de RAM para ejecutar DEFT Linux en modo texto o 128 MB para ejecutar el DEFT GUI.

DEFT soporta también las nuevas arquitecturas basadas en Intel de Apple.

2.2 A RT D

La suite DART ejecuta en todos los sistemas de 32 bits de Microsoft Windows. Algunas limitaciones menores se encontraron resultados para herramientas que no garantizan el pleno apoyo a los sistemas de 64 bits.

DART se puede ejecutar directamente en DEFT Linux usando Wine8 .

8 El vino es un marco para Linux que permite ejecutar aplicaciones de Windows pueden ser instalados o que se lanzó

12
12

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

directamente en una distribución de Linux (www.winehq.org)

13
13

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

CAPÍTULO 3: APLICACIÓN DE LISTA

3.1 LI N T E D F UX

Sleuthkit 3.2.3

hex dump

sha512sum

autopsia 02:24

ser más

md5deep

dff 1.2

astuto que

sha1deep

ptk forense 1.0.5

0.2

sha256deep

Maltego CE KeepNote 0.7.6

base de datos SQLite

pdfcrack craqueo

archivo hunchbackeed

navegador 2.0b1 BitPim 1.0.7

herramienta fcrackzip

tallador 0.6

bbwhatsapp

Findwild 1.3

convertidor de base

Granel Extractor 1.2

de datos

Emule Forensic 1.0

Dropbox lector

Dhash 2.0.1

analizador de backup iphone

libewf 20120304

10/2012

Analizador

AFF lib 3.6.14

Utilidad de Discos

iphone

2.30.1 guymager

espeluznante

0.6.5-1 dd rescate

0.1.9 xprobe2

0.3

1,14 dcfldd

1.3.4.1 dc3dd 7

xmount 0.4.6trID 02:11 DEFT edición

1.5.6 todo

readpst

photorec 06.13

chkrootkit

Administrador de

rkhunter 1.3.8

montaje 0.2.6 bisturí

0.6.41 1.7.8

2

catfish john

Limpie veintiuno después de las doce

pasco 1.0

md5sum

sha1sum

sha224sum

sha256sum

14
14

craqueo herramienta

almeja Antivirus 0.97.3

mc 4.7.0.9

dmraid

TestDisk 6.11

GHEx, luz gtk hex editor

Vinetto 0.6

Xplico 1.0 Edición DEFT

Wireshark

0.7.3

nmap

ettercap

1,6

21,5

Hydra 7.1

log2timeline 0.60

residuos2

Wine 1.3.28

mobius forense

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

3.2 A RT D 1 0,0

WinAudit 2.28.2

AlternateStreamView 01.15

CurrPorts 1.83 (x86/x64)

MiTeC

ChromeCacheView 25.01

CurrProcess 01.13

Del Registro de Windows

FoldersReport 01.21

Recuperación

IE Cache View 01:32

1.5.1.0

 

Las cookies de IE Ver 1,74

Zeroview 1.0

 

IE History View 01:50

FTK Imager 3

Portapapeles 1.11 Dentro

Nigilant32 0.1

Contactos en Vivo Ver 7.1

Ventanas Forense Toolchest

3.0.05

MoonSols Win32dd

1.0.2.20100417

MoonSols Win64dd

1.0.2.20100417

Analizador de archivos de Windows 1.0

UltraSearch uno y cuarenta

Pre-Search xx.08

XnView 1.97.8

X-AgentRansackk 2010 (compilación

762)

Index.dat Analyzer 2.5

AccessEnum 1.2

Autoruns 10.03

DiskView 2.4

Filemon

Process Explorer 12.04

RAM Map 1.1

Regmon

Rootkit Revealer 1.71

VMMap 2.62

WinObj 02.15 15
WinObj 02.15
15

Mozilla Cache View 1.30

Mozilla Historia View 1.25

Mozilla Galletas Ver 1,30

Archivos abiertos View 1:46

Opera Cache View 01:37

Vista de Outlook Attack 1.35

(x86/x64)

Process Activity View 1.11

(x86/x64)

Archivos recientes Ver 1,20

RegScanner 1.82 (x86/x64 y win98)

ServiWin 1:40

MUI Cache View 1.1

MyEventView 1:37

SkypeLogView 1.15 SmartSniff 1.71 (x86/x64)

StartupRun 01.22

MyLastSearch una y cuarenta y cuatro

Mozilla Galletas Ver 1,30

Archivos abiertos View 1:46

Opera Cache View 01:37

Vista de Outlook Attack 1.35

(x86/x64)

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Process Activity View

1.11 (x86/x64)

Archivos recientes Ver 1,20

RegScanner 1.82 (x86/x64 y

win98)

ServiWin 1:40

USBDeview 1.80

(x86/x64) Ver Usuario

Assist 1.1

Ver perfil del usuario 1.1

Vídeo Cache View 1.78

WhatInStartup 01.25

WinPerfectView 10.01

Password Tool

ChromePass 01.10

Dialupass 10.03

IE PassView 1.20

LSA Secretos Dump

1.21 (x86/x64)

LSA Secretos View 1.21

(x86/x64) Mail PassView 1.65

MessenPass 1:35

Red PassRecovery 1.30

(x86/x64)

Opera PassView 1.1

PasswordFox 01.25

PC AnyPass 01.12

Pass View 1.63 Protegida

01:12 PST Password

Remote Desktop PassView 1.1

VNC PassView 2.1

Win9x PassView 1.1

WirelessKeyView 1.34

(x86/x64) 16
(x86/x64)
16

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

AviScreen Portable 3.2.2.0

PCTime

Espartaco 1.0

HoverDesk 0.8

LTFViewer 5.2

TestDisk 6.11.3

File Restore Plus 3.0.1.811

Sophos Anti-Rootkit 1.5.4

Photorec 6.11.3

WinVNC 3.3.3.2

Terminal con herramientas de

TreeSizeFree 02:40

línea de comandos

17
17

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

CAPÍTULO 4: START DEF T Linux Live DVD

4.1 DEFTI MA GEFI LE: INTEG RI TYCHECKOFTHEDOWN LO ADEDFI LE.

Es una buena idea para comprobar la integridad de la versión descargada antes de realizar el análisis forense digital. Esto asegura que tiene una coincidencia exacta de la copia que se alojan en línea que no ha cambiado o alterado estado durante el proceso de descarga.

Esto se puede hacer mediante el cálculo del hash MD5 value9 en la imagen o archivo en el archivo que ha descargado y, posteriormente, compararlo con los valores en md5.txt en el directorio raíz de la descarga.

valores en md5.txt en el directorio raíz de la descarga. DEFT / DART: Download Directory Por

DEFT / DART: Download Directory

Por "deft7.iso" archivo de imagen, por ejemplo, el cálculo del valor hash MD5 debe dar el mismo resultado que el que está en el archivo md5.txt recomendado, valor similar al "d98307dc53ca83358a2dfdb33afc2672."

valor hash MD5 de un archivo, puede utilizar diferentes herramientas: por ejemplo

md5summer10 o hashmyfiles11 (Windows) o la herramienta de línea de comando md5sum en Linux / MacOS.

Si el valor hash del archivo que ha descargado no coincide con el que está en el sitio WEW, podría significar que hubo errores durante el proceso de descarga que ha corrompido el archivo. Esto es posible incluso si su El tamaño del archivo descargado es el mismo como el tamaño de archivo original.

Para

calcular

el

descargado es el mismo como el tamaño de archivo original. Para calcular el 4.2 B URN

4.2

B URN INGDEFT LI NUXONOPTICAL ME DIA

12
12

Traducido por Sykrayo España

D eft 7 Manual 2012

D eft 7 Manual

2012
2012

10 http://www.md5summer.org/ 11 http://www.nirsoft.net/utils/hash_my_files.htm . Ya Esta aplicación está incluida en DART.

13
13

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

DEFT Linux 7 (la versión en vivo que se utiliza en las máquinas físicas) se distribuye como una imagen ISO que luego debe ser quemado en un DVD con el fin de bootable12.

Para grabar la imagen ISO que usted necesitará software de grabación de disco que está disponible gratuitamente en Internet. La mayoría de estas aplicaciones son muy fácil de usar, sólo tienes que seguir los pasos que se indican Dentro del programa para grabar la imagen ISO en un disco.

Imágenes ISO funcionan como una instantánea de todo el sistema.

Esto incluye los sistemas de archivos del disco duro. La imagen ISO es una plataforma para el análisis forense del sistema de destino. El diestro ISO debe ser quemado con la instantánea original.

Cómo grabar imágenes ISO es posible con casi todos los quema software13, simplemente seleccionando la opción para las imágenes.

simplemente seleccionando la opción para las imágenes. ImgBurn puede escribir archivos de imagen en un disco

ImgBurn puede escribir archivos de imagen en un disco

Online Hay miles de enlaces y HowTo que explican cómo grabar imágenes ISO en un CD / DVD con muchos sistemas operativos diferentes.

4.3 C RE ATINGABOOTAB LA EE.UU. B ST ICKCONTAININGDEFT LI N UX

12 Dado su pequeño tamaño, DEFT 6 y versiones anteriores también pueden grabar en un CD. 13 En Windows sugerimos que usted utilice, por conveniencia, herramientas gratuitas, tales como: InfraRecorder o ImgBurn.

14
14

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

En Linux la quema K3B software tiene la funcionalidad necesaria para quemar el archivo de imagen. En Mac OS es suficiente uso de la aplicación Utilidad de Discos.

15
15

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Una alternativa al uso de medios ópticos, es la creación de una unidad flash USB de arranque que contiene DEFT Linux como si se tratara de un Live CD / DVD (sólo en equipos que soportan el arranque desde un dispositivo USB).

Hay varias formas de crear dispositivos de almacenamiento masivo USB que contiene DEFT Linux Live. Para Windows, Linux y Los sistemas Mac se recomienda utilizar la aplicación universal y gratuita UNetbootin14.

Se lleva a cabo la operación de escritura después de que el usuario seleccione la imagen ISO para ser puesto en la memoria USB y la letra de la unidad del sistema adquirirá.

Recomendamos que formatee la memoria USB con el sistema de archivos FAT32. También puede establecer por "etiqueta de volumen" para recordarle que su distribución y la versión se encuentra en la unidad flash USB.

y la versión se encuentra en la unidad flash USB. Preparación de la unidad flash USB

Preparación de la unidad flash USB

Inicio UNetbootin - no requiere instalación - y, al permitir que el botón de radio "DiskImage", seleccione el archivo ISO que desea convertir en un arranque de Live USB, seleccione la letra de unidad de la memoria USB que desee utilizar.

16
16

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

14 http://unetbootin.sourceforge.net/

17
17

Traducido por Sykrayo España

D eft 7 Manual

2012
2012
Traducido por Sykrayo España D eft 7 Manual 2012 UNetbootin: Pantalla principal Al final de la

UNetbootin: Pantalla

principal

Al final de la operación de escritura obtendrá una versión Live USB que se utilizará para iniciar DEFT Linux en cualquier PC Que soporta el arranque desde el puerto USB, características comunes en la mayoría de las máquinas más nuevas.

4.4 A ju TH EBIOSAND / ORTHEBOOT SI CTIONPOP ARRIBA / ME NU

Es importante asegurarse de que el BIOS del sistema está siendo analizado para arrancar desde CD-ROM / DVD- ROM

/ BD-ROM o desde dispositivos de almacenamiento externos (según los medios que contienen DEFT). En

cualquier otra circunstancia, configurar la BIOS, guardar y reiniciar el sistema, ya sea con el DVD Ya insertada en la unidad de CD

/ DVD, ya sea con el stick USB Ya connected15.

Se recomienda cambiar el orden de arranque de los dispositivos de la BIOS directamente para evitar un reinicio accidental de su PC (por ejemplo, para subidas de tensión).

18
18

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

15 En general, durante el arranque se indica qué tecla pulsar para ver el menú de arranque, a menudo llamado "Boot Selection emergente" o "Boot Device Menu". Las teclas dedicadas habitualmente al menú de arranque son F8, F9 y F12, pero en algunas arquitecturas también al menú de inicio se puede acceder pulsando ESC.

19
19

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

4.5 B O O T A P Í T U RS RA ME O C D E F T

Después de haber iniciado el gestor de arranque DEFT, verá una pantalla con varias opciones de arranque. La primera opción le pedirá que seleccione un idioma para el DEFT16.

opción le pedirá que seleccione un idioma para el DEFT16. Selección del idioma Después de seleccionar

Selección del idioma

Después de seleccionar el idioma, puede utilizar las teclas de arriba / abajo para desplazarse por el menú desplegable. Mediante el uso de las teclas de función, puede septiembre parámetros adicionales: por ejemplo:

Ayuda (F1)puede septiembre parámetros adicionales: por ejemplo: Idioma (F2) Keyboard (F3) Mode (F4) Accesibilidad (F5) Otras

Idioma (F2)septiembre parámetros adicionales: por ejemplo: Ayuda (F1) Keyboard (F3) Mode (F4) Accesibilidad (F5) Otras opciones

Keyboard (F3)parámetros adicionales: por ejemplo: Ayuda (F1) Idioma (F2) Mode (F4) Accesibilidad (F5) Otras opciones (F6) La

Mode (F4)por ejemplo: Ayuda (F1) Idioma (F2) Keyboard (F3) Accesibilidad (F5) Otras opciones (F6) La tecla de

Accesibilidad (F5)por ejemplo: Ayuda (F1) Idioma (F2) Keyboard (F3) Mode (F4) Otras opciones (F6) La tecla de

Otras opciones (F6)(F1) Idioma (F2) Keyboard (F3) Mode (F4) Accesibilidad (F5) La tecla de función F6 Le permite

La tecla de función F6 Le permite personalizar algunos de los parámetros de inicio de DEFT. Usted puede elegir entre varias opciones preestablecidas en el menú, o personalizar su propia cuenta.

16 Es accesible pulsando F2 en la ventana de configuración de inicio.

20
20

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Los parámetros del kernel disponibles pulsando la tecla F6 son:

acpi = off En Funciones ACPI arranque no se utilizan para la gestión de la
acpi = off
En Funciones ACPI arranque no se utilizan para la gestión de la electricidad
utilizada por el sistema. Útil en caso de problemas al iniciar la transmisión en
vivo, en el caso de que el PC no es compatible con ACPI o si el ACPI causa
problemas de reinicio o bloqueos del sistema.
noapic
Desactiva el controlador de interrupciones APIC (Advanced Programmable
Interrupt
nolapic
nolapic, desactiva las funciones de APIC para arquitecturas de CPU basados en
edd = on
Permite la unidad de disco mejorada.
nodmraid
nodmraid, desactiva la configuración del kernel para dmraid tipo de RAID de
Establece la resolución framebuffer si su tarjeta de vídeo está en modo VESA
Puede elegir entre los siguientes modos:
vga = xxx
Parámetros en desuso en rojo, fundada parámetros en negro sin avería. Para
obtener más información sobre los parámetros ajustables en el momento del
arranque, se puede consultar el Apéndice 1.
nomodeset
Para arrancar DEFT Linux en un Mac Book Air es necesario añadir el
nomodeset17parameter. Este parámetro le permite manejar correctamente los
controladores de vídeo y utilizar el sistema sin problemas de pantalla.

17

Tomado

de

/

doc

/

Documentation

/

kernel-

parameters.txt

Esta es una opción de arranque del kernel que le dice al kernel que no active el modo de configuración del kernel (KMS). El soporte de video suele ser una combinación de un controlador DRM núcleo y los controladores Xorg trabajando juntos. KMS se utiliza con Intel, Nouveau, y módulos del núcleo Radeon. KMS es necesaria para Intel y Nouveau, y opcional para Radeon (aunque con características diferentes).

Si desea utilizar el controlador vesa Xorg, y usted tiene el hardware que utiliza el Intel, Nouveau o módulos del núcleo Radeon, puede que tenga que arrancar con nomodeset o lista negra el módulo de juego, o simplemente eliminar

21
21

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

los módulos module.The serán que se encuentra en / lib / modules / <kernel-version> / kernel / drivers / gpu / drm /

22
22

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Requiere (cuando sea posible) para cargar toda la imagen de DEFT de RAM, lo que permite extraer el DVD o el dispositivo USB. La velocidad de ejecución es mucho mayor porque haces las operaciones de lectura desde el disco o la unidad no es necesario flash. También puede utilizar el reproductor de DVD para las adquisiciones forenses (por ejemplo, con guymager18) o para grabar la fecha (por ejemplo, con el programa de grabación de Xfburn19 en el menú "Sound & Video".) El parámetro "toram" se activa sólo si la RAM es suficiente para contener la imagen de la DEFT DVD / USB20.The distribución DEFT 7 ocupa alrededor de 1,4 GB, por lo tanto le recomendamos que inicie en el modo "toram" sólo cuando el PC tiene al menos 2 GB de memoria. El DEFT distribución 6, sin embargo, sólo ocupa 700 MB, por lo que es de arranque en "toram" incluso

toram

Eso

PC

en

sólo

tienen

1

GB

de

memoria.

 

Para seleccionar los parámetros del kernel que se muestran en el menú, pulse la barra espaciadora o la tecla Intro a los elegidos:

Se le colocará una 'X' para confirmar las Adiciones al kernel.

Si desea especificar parámetros adicionales del núcleo, después de pulsar F6, pulse la tecla "Esc" para borrar el menú y la vista en el fondo de la línea de arranque del kernel donde se puede escribir en los parámetros elegidos, manteniéndolos separados entre sí con espacios.

18 http://guymager.sourceforge.net/

18
18

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

20 Se recomienda en cualquier caso, para dejar una parte de memoria RAM libre para las actividades normales del sistema

19
19

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

4.6 El LLI N ST A LI S P N D E F UX T 7

Por la séptima Release, DEFT se puede instalar en cualquier sistema x86.

Los siguientes son los requisitos del sistema mínimos y recomendados para la instalación:

* Requisitos mínimos

X86 CPU 200Mhzy recomendados para la instalación: * Requisitos mínimos 128 MB RAM Disco duro de 20 GB

para la instalación: * Requisitos mínimos X86 CPU 200Mhz 128 MB RAM Disco duro de 20

128 MB RAM

Disco duro de 20 GB* Requisitos mínimos X86 CPU 200Mhz 128 MB RAM Vesa 16 MB compatible Tarjeta de Video

Vesa 16 MB compatible Tarjeta de Videomínimos X86 CPU 200Mhz 128 MB RAM Disco duro de 20 GB Adaptador de red 10/100

Adaptador de red 10/100Disco duro de 20 GB Vesa 16 MB compatible Tarjeta de Video Interfaces USB 2.0 Reproductor

Interfaces USB 2.016 MB compatible Tarjeta de Video Adaptador de red 10/100 Reproductor de DVD Requisitos óptimos Intel

Reproductor de DVDTarjeta de Video Adaptador de red 10/100 Interfaces USB 2.0 Requisitos óptimos Intel de doble núcleo

Requisitos óptimos

Intel de doble núcleo de la CPUInterfaces USB 2.0 Reproductor de DVD Requisitos óptimos 2 GB de RAM Disco duro SATA de

de DVD Requisitos óptimos Intel de doble núcleo de la CPU 2 GB de RAM Disco

2 GB de RAM

Disco duro SATA de 500 GBóptimos Intel de doble núcleo de la CPU 2 GB de RAM Memoria withdedicated IntelVideocard Tarjeta

Memoria withdedicated IntelVideocardnúcleo de la CPU 2 GB de RAM Disco duro SATA de 500 GB Tarjeta de

Tarjeta de red 10/100/1000 - WiFi Nduro SATA de 500 GB Memoria withdedicated IntelVideocard USB 3.0 y la interfaz e-SATA Reproductor de

USB 3.0 y la interfaz e-SATAIntelVideocard Tarjeta de red 10/100/1000 - WiFi N Reproductor de DVD El sistema se instala a

Reproductor de DVDde red 10/100/1000 - WiFi N USB 3.0 y la interfaz e-SATA El sistema se instala

El sistema se instala a través de un asistente estándar donde el usuario debe responder a unas cuantas

preguntas. La operación que se mantienen conectados mayor atención es la partición de la memoria masiva en

el sistema host.

A pesar de los cambios que demanda sobre la base de la experiencia y la forma en que el usuario trabaja, nos

gustaría darle algunos consejos sobre la manera de obtener una instalación óptima:

Mantenga por lo menos 20 GB de espacio en el disco duro;sobre la manera de obtener una instalación óptima: Particiones en el disco según sus necesidades funcionales

Particiones en el disco según sus necesidades funcionales mediante la creación de una partición swap con un nivel de swappiness21 de 10. Esto reducirá las desaceleraciones repentinas causadas por el uso de la partition22 intercambio;Mantenga por lo menos 20 GB de espacio en el disco duro; Crear un usuario durante

Crear un usuario durante la instalación, sin embargo, siempre recordando al hábil uso de Linux con el usuario root para evitar dos problemas a la demanda de ciertas aplicaciones con permiso;causadas por el uso de la partition22 intercambio; o Para habilitar la cuenta de root mediante

o Para habilitar la cuenta de root mediante el establecimiento de la contraseña, escriba el comando "sudo passwd" y responder a las preguntas;

o Para ello, escriba "sudo su -" (se requiere la contraseña) o "su -" (se le pedirá la contraseña de root);

No retire FOR UnNY REASON la congelación en la actualización de algunos paquetes deliberadamente bloqueados: son parte R UnNY REASON la congelación en la actualización de algunos paquetes deliberadamente bloqueados: son parte de un proceso de personalización de todos los mecanismos de seguridad de los dispositivos de almacenamiento conectados al sistema.

de personalización de todos los mecanismos de seguridad de los dispositivos de almacenamiento conectados al sistema.
de personalización de todos los mecanismos de seguridad de los dispositivos de almacenamiento conectados al sistema.
20
20

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

21 Para obtener más información https://help.ubuntu.com/community/SwapFaq

22 Si el equipo tiene moras de 4GB de RAM, una solución podría ser considerado como no crear una partición de intercambio: de esta manera se evitará retrasos inesperados causados por el uso de la partición de intercambio.

21
21

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

CAPÍTULO 5: DEFT Linu X MODO TEXTO

Una vez que el proceso de arranque ha terminado, el sistema presenta unas sesiones basadas en texto (con seis terminales accesibles a través de la combinación de teclas ALT + F1 -> ALT + F6) con un shell bash con la raíz

permissions23.

ALT + F6) con un shell bash con la raíz permissions23. DEFT: Sesión de interfaz de

DEFT: Sesión de interfaz de texto

5.1 PERO A G N I P A Ñ O ST RA G IN ME D IA

DEFT es compatible con dispositivos de almacenamiento masivo y sistemas de archivos populares. Como ya se ha mencionado, DEFT no se monta automáticamente como en la típica distribución en directo (por ejemplo

Knoppix, Ubuntu, etc

El contenido de la memoria almacenada todavía pueden ser alterados por la operación de montaje realizado en el modo de lectura / escritura, un DEFT acción que no se ejecuta automáticamente.

) a fin de evitar la alteración accidental de almacenamiento conectado.

23 Esta aplicación es muy útil cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un

22
22

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

aprovechamiento óptimo de la interfaz gráfica o para el usuario avanzado que prefiere trabajar directamente desde la línea de comandos

23
23

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5. 1. 1

F U E S C O M U L A N D S

Aquí hay algunos comandos útiles para realizar tareas relacionadas con la gestión de dispositivos de almacenamiento:

fdisk-l: listas de todas las particiones y dispositivos de almacenamiento conectados a la red; listas de todas las particiones y dispositivos de almacenamiento conectados a la red;

MMLS / dev / xxx o MMLS filename.dd: enumera las particiones en el dispositivo o en la imagen cruda que o MMLS filename.dd: enumera las particiones en el dispositivo o en la imagen cruda que indica el desplazamiento inicial de cada partición y los espacios no asignados;

hdparm-Ig / dev / xxx: muestra las características de CA del xxx memoria masiva.inicial de cada partición y los espacios no asignados; Esta aplicación es muy útil cuando termine

Esta aplicación es muy útil cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un aprovechamiento óptimo de la interfaz gráfica o para el usuario avanzado que prefiere trabajar desde el símbolo dispositivos directamente linestorage.muestra las características de CA del xxx memoria masiva. montar: muestra el tipo de sistema de

montar: muestra el tipo de sistema de archivos de dispositivos de almacenamiento conectados a la red muestra el tipo de sistema de archivos de dispositivos de almacenamiento conectados a la red y la manera en que éstas se han montado (sólo lectura / lectura-escritura);

df-h: muestra información sobre el tamaño de los dispositivos montados y su espacio libre. muestra información sobre el tamaño de los dispositivos montados y su espacio libre.

5. 1. 2

M U N T O S T O F O R A G E D E V I C E S

El comando mount Le permite conectar al sistema de archivos - presente en un dispositivo o en un archivo almacenado en el disco - en un directorio del sistema.

En caso de que quiera montar un dispositivo: como un disco duro, memoria USB, CD / DVD / CD-ROM, disquete, que va a utilizar, como la fuente, el dispositivo identifica Que. En este caso:

Dev/fdX24 de disquetes (normalmente con un solo disquete tiene / dev/fd0); de disquetes (normalmente con un solo disquete tiene / dev/fd0);

Dev / hdX para discos duros IDE; para discos duros IDE;

Dev / sdX para unidades de disco duro SATA o dispositivos USB; para unidades de disco duro SATA o dispositivos USB;

Dev / cdrom de CD-ROM. de CD-ROM.

/

/

/

/

En medicina forense, el montaje del directo de una prueba (es decir, un disco, una unidad flash USB, etc

debe hacer como de sólo lectura y sólo cuando necessary25. Esto asegura que la integridad de la evidencia puede ser garantizada.

El sistema de archivos seleccionado, así como de ser almacenado en un dispositivo, puede estar contenido dentro de un archivo en el disco, que contiene el volcado o la imagen de flujo de bits de la device.We adquirido tendrá, en este caso, las imágenes:

) se

en la "imagen de flujo de bits" formato (dd o crudo) 26;adquirido tendrá, en este caso, las imágenes: ) se en el formato "Encajar" (EWF); en el

en el formato "Encajar" (EWF);"imagen de flujo de bits" formato (dd o crudo) 26; en el formato de "Advanced Forensic

en el formato de "Advanced Forensic Format" (AFF).(dd o crudo) 26; en el formato "Encajar" (EWF); 2 4 La X indica el número

24 La X indica el número de dispositivos en el sistema, que sabe que tendrá / dev / sda para el primer disco y / dev / sdb para el segundo, mientras que el número observado después de que el dispositivo con el comando "fdisk-l" (/ dev

/ sda1, / 21
/ sda1, /
21

dev/sda2, etc

) identificar el número de partición dentro del dispositivo

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

25 Las mejores prácticas indican claramente que nunca se debe trabajar en la memoria masiva original, pero siempre y sólo en una copia. 26 A menudo, el formato de flujo de bits se divide en archivos de menor tamaño (2-4 Gigabytes cada uno) con el fin de ser salvo en sistemas de archivos con el límite de tamaño del archivo (eg.FAT32), en este caso se define como la fracción cruda.

22
22

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5. 1. 3

MOUNTINGADEVICE (disco duro, USBSTICK, disquete, CD-ROM, etc

)

Para montar un sistema de archivos como de sólo lectura sólo tiene que escribir un comando como:

mount-t opciones de tipo de código o punto_montaje

donde

tipo es el tipo de sistema de ficheros, generalmente vfat, ntfs-3g, ext3 es el tipo de sistema de ficheros, generalmente vfat, ntfs-3g, ext3

, cuando termine un

coche o no está seguro del tipo de archivo system27 (Si se omite esta opción, el monte intentará

Reconocer Independientemente del tipo de sistema de archivos, y por lo general Tiene éxito);

etc

fuente puede ser una partición: por ejemplo, / dev/hda1 o / dev/sda1; puede ser una partición: por ejemplo, / dev/hda1 o / dev/sda1;

de punto de montaje suele ser un directorio en / media - que debe ser creada b yfory La suele ser un directorio en / media - que debe ser creada byfory La ejecución del montaje command28 .

Los parámetros que se utilizan con frecuencia (que debe seguir la opción-o del comando mount) son:

ro - de sólo lectura: montar como de sólo lectura; montar como de sólo lectura;

rw - read-write: montar como escribir mode29 [29] ; montar como escribir mode29 [29] ;

bucle - Para montar un archivo de imagen; - Para montar un archivo de imagen;

noatime - No cambie la hora del último acceso; - No cambie la hora del último acceso;

noexec - No permite la ejecución de archivos; - No permite la ejecución de archivos;

offset = N - Al montar un archivo de imagen de disco (tema tratado en profundidad en la - Al montar un archivo de imagen de disco (tema tratado en profundidad en la siguiente sección) que indica el número de bytes para saltar al punto al principio de la partición lógica para montar (o MMLS recuperables fdisk-lu).

Ejemplo 1: montar una partición NTFS con acceso de escritura en el que se guardará el volcado de un dispositivo (el resultado de una adquisición forense):

mount-t ntfs-3g-o rw / dev/sdb1 / media / dest

Ejemplo 2: montar una partición NTFS de un disco duro que desea adquirir como de sólo lectura y g Durante las actividades de trabajo de campo en los archivos de vista previa (es essential utilizar la opción-o ro para evitar cualquier accidente, escribe en el disco):

mount-t ntfs-3g-o ro / dev/sdb1 / media / pruebas

27 Por lo general, si se omite, el comando mount puede identificar el tipo de sistema de archivos independiente.

28 Por ejemplo con el comando mkdir / media / NameOfTheFolderIWantToCreate

29 23
29
23

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Para ser utilizado para el directorio donde guardar la copia

24
24

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5. 1. 4

O M U N T O C A D D / W R I M A G E F I L E

Para montar un archivo de imagen como de sólo lectura (que contiene el volcado de un disco entero, not de una sola partición) puedes usar el siguiente comando:

mount-t tipo-o ro, loop, offset = $ ((512 * partición de arranque)) Opciones image_file.dd punto_montaje

Las opciones y la sintaxis del comando de montaje son los mismos que los indicados en el párrafo anterior.

En este caso, sin embargo, a partir de un método de montaje de dispositivo de bucle "conversos" (prácticamente sin alteración de la fuente) a (estática) archivo de imagen en un dispositivo Linux (dinámico), lo que permite al kernel montar como si fuera un dispositivo real.

La opción Continuo permite este tipo de abstracción y se deriva de la aplicación implícita y automática a la capa de abajo del comando losetup, a través del cual se puede asociar un dispositivo de bucle a la imagen image.dd.

De este modo se pueden ejecutar aplicaciones de trabajo en los dispositivos también en las imágenes de almacenamiento masivo.

Si desea evitar el uso-o loop, deberá, antes de montar, crear un dispositivo de bucle con el comando:

losetup-r / dev/loop0 / media/disk1/dump.dd

Este dispositivo de bucle se puede utilizar como si se tratara de un disco de origen para ser montado de la manera descrita previously30 .

Por lo tanto, la posibilidad de utilizar directamente el o-loop a evitar la creación de un dispositivo de bucle que usted debe recordar para cerrar con el comando "losetup-d / dev/loop0".

La otra opción esencial a la hora de terminar montar un archivo de imagen que contiene la adquisición de un disco entero (y, por tanto, not de una sola partición) es "contrarrestar".

A través de la utilidad MMLS se encuentra el desplazamiento inicial de una partición de disco:

La salida resultante será similar a:

MMLS dump.dd

DOS tabla de particiones

Sector Offset: 0

Las unidades se encuentran en sectores de 512 bytes

 

Espaci Iniciar

Final

Longitud

Descripción

00:

o

0000000000

0000000000

0000000001

Cuadro Principal (#

01:

----- 0000000000

0000002047

0000002048

Sin asignar

02:

00:00 0000002048

0000032255

0026624000

Desconocido Tipo

03:

00:01 0000032256

0086598247

0000204800

NTFS (0x07)

05:

----- 0086598248

0976773167

0000002048

Sin asignar

25

25

25
25
25
25

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

30 Usted tendrá que escribir un comando como mount-o ro / dev/loop0 / mnt / dest

26
26

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Monte la partición 03, señalados por las MMLS Especificación de la salida de desplazamiento multiplicado por 51.231:

mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 dump.dd / media / dest

En lugar de realizar el cálculo de la compensación multiplicando por 512 el punto "de partida" de la partición obtenida con MMLS, puede utilizar un shell operadores matemáticos mediante la inclusión como un desplazamiento, el valor de $ ((512 * partición de arranque)) , donde "partición de arranque" Indica el desplazamiento de bytes de la partición que desea montar (en el ejemplo anterior, el valor de 33.256).

Por lo tanto con el comando mount:

mount-t ntfs ro, loop, noatime, noauto, noexec, offset = $ ((512 * 32,256)) dump.dd / media / dest

Has completado todas las operaciones en los dispositivos de memoria, antes de desconectar el dispositivo del sistema, es necesssary utilizar el comando umount:

umount / media / mntpoint.

Como se mencionó anteriormente en el manual, Estos comandos pueden utilizarse para montar un archivo que contiene el volcado de un disco entero. En el caso de que - raro pero posible - se hizo el volcado de una sola partición, no es necesario utilizar el parámetro "desplazamiento" como el comienzo de la partición coincide con la del archivo.

el comienzo de la partición coincide con la del archivo. 5. 1. 5 MOUNTA DD /

5. 1. 5

MOUNTA DD / RAWIMAGEFILESPLITINTO MULTIPLEFIL ES (SPLITRAW)

En el caso de que los archivos de imagen RAW (tanto flujo de bits o una imagen poco a poco de un disco) dd / se divide en varios archivos, es necesario preparar el archivo que se va a montar con el comando mount se muestra en la sección anterior.

Supongamos que tenemos una imagen compuesta por dump.001, dump.002, dump.003, dump.004 y dump.005 archivos. No se puede aplicar directamente a las instrucciones que se indican en el párrafo anterior, porque en este caso no tiene un solo archivo de imagen en el que se ejecutará el comando mount, pero five32.

Para montar archivos de imagen RAW, formato división dividida prima, usted tiene tres posibilidades.

El primer método consiste en la concatenación de los archivos individuales en un solo archivo de imagen, trayendo de vuelta al caso descrito en el párrafo anterior de un solo archivo dump.dd mounting.The desventaja obvia es que, en este caso, el espacio necesario para la operación será igual a la ocupada por la suma de los archivos individuales, ya que tendría hacer una copia, concatenar en un único file33 [33] .

El comando a ejecutar es la siguiente:

dump gato. *> image.raw

27
27

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

31 512 bytes es el tamaño predeterminado de un sector que constituye una memoria de almacenamiento

32 De hecho, en el caso de adquisiciones de discos de gran tamaño, el número se elevará a decenas o cientos de personas.

33 Esta solución se ilustra únicamente con fines explicativos, ya que uno de los dos siguientes se prefiere generalmente.

28
28

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

El resultado es un único archivo que contiene toda la image.raw disco obtiene por la concatenación de segmentos de imagen individuales.

En este archivo se procederá como se indica en el párrafo anterior. El

segundo método es utilizar la affuse mando de la Afflib suite34.

Se utilizará más adelante para montar la imagen en el formato de AFF. Este comando creará un tipo de imagen "virtual" (y por lo tanto visible por el sistema, pero no existente en reality35) que se monta como se describe en el párrafo anterior. El comando a ejecutar, después de crear el directorio / mnt / prima, será:

affuse dump.001 / mnt / RAW

Este comando va a producir, en el directorio / mnt / prima, un archivo "virtual" que contiene el dd / imagen en bruto hecha por la concatenación de los diversos archivos conformarán el image.This verdadera Ese archivo aparecerá como dump.001.raw y se puede utilizar como un parámetro de la montura en la sección anterior.

mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 / mnt/raw/dump.001.raw / media / dest

Usted debe recordar que, cuando termine el juego con el comando mount affuse, es necesario desmontarlo montado Adiciones al archivo "virtual" que contiene la imagen con el comando:

fusermount-u / mnt / RAW

El tercer método para montar una imagen dividida en bruto es usar la herramienta de línea de comandos xmount36. Al igual que el comando affuse, xmount Crea un archivo virtual que contiene la imagen hecha por la concatenación de los distintos segmentos que componen la imagen real.

El comando en este caso es:

xmount - dd -. a dump * dd / mnt / RAW

Un archivo "virtual", llamado "basura", sin extensión se creará en el directorio / mnt / raw. Este archivo puede ser montado, como se muestra en el caso anterior, Selección de la deseada de desplazamiento del sistema de archivos en modo de sólo lectura.

5. 1. 6

F I L E T E S P EW F / N C E

A S E

Montaje adquiridos en la memoria. Formato EWF se lleva a cabo con el programa mount_ewf application.This es capaz de convertir prácticamente archivos EWF al formato RAW que permite que el dispositivo se monta como si se adquirió en el formato dd.

Ejemplo:

la

disk01

memoria

se

divide

en

los

siguientes

archivos

disk01.E01 disk01.E07 disk01.E13 disk01.E19 disk01.E02 disk01.E08 disk01.E14 disk01.E20 disk01.E03 disk01.E09 disk01.E15 disk01.info disk01.E04 disk01.E10 disk01.E16 disk01.E05 disk01. E11 disk01.E17 disk01.E06 disk01.E12

disk01.E18 29
disk01.E18
29

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

35 De manera similar a lo que ocurre con los archivos en la carpeta de sistema de archivos / proc del

36 http://www.forensicswiki.org/wiki/Xmount

30
30

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Con el comando

mount_ewf / media/case1/disk01.E * / mnt / RAW

es posible concatenar la imagen dividida y perfom una conversión virtual en el formato RAW.

La operación dará lugar a la creación del fichero de datos brutos / mnt/raw/disk01, en la carpeta / mnt / raw /.

Se identifica por el sistema de archivos como un solo dd, bien virtual, y puede ser montado Siguiendo los procedimientos indicados en el párrafo anterior.

Ejemplo:

mount-t ntfs-o ro, loop, offset = $ ((512 * 63)) / mnt/raw/disk01 / mnt / c

5. 1. 7

F I L E T E S P A FF

En cuanto al formato de EWF, los recuerdos adquiridos en el formato PAC se pueden montar con el affuse utilidad mount.

Affuse Le permite utilizar la adquisición en el formato de AFF, ya que eran imágenes en bruto.

La sintaxis del comando es:

affuse / media/disk/disk01.aff / mnt / RAW

El archivo de salida será / mnt/raw/disk01.aff.raw que se puede montar Siguiendo los procedimientos para montar la imagen en bruto, que se muestra anteriormente.

5.2 SH H A M A C I O N LC ULA

El hash de un bloque de datos (por ejemplo, un archivo) es una secuencia de caracteres alfanuméricos de longitud fija calculada por una función matemática.

Esta función matemática es mono-direccional: es imposible reconstruir el bloque que tiene su origen en una cadena de hash.

Cualquier alteración de la fecha, aunque sea mínimo, se traducirá en un hash completamente diferente.

Con los sistemas Linux se puede utilizar una de las siguientes aplicaciones para generar una cadena de hash:

md5sum;una de las siguientes aplicaciones para generar una cadena de hash: sha1sum; MD5, SHA1 y SHA256

sha1sum;una de las siguientes aplicaciones para generar una cadena de hash: md5sum; MD5, SHA1 y SHA256

MD5, SHA1 y SHA256 profunda;Linux se puede utilizar una de las siguientes aplicaciones para generar una cadena de hash: md5sum;

Dhash.una de las siguientes aplicaciones para generar una cadena de hash: md5sum; sha1sum; MD5, SHA1 y

31
31

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5. 2. 1

D 5 S U M

M

El acrónimo MD537 (Mensaje algoritmo Digest 5) identifica un algoritmo hash criptográfico desarrollado por Ronald Rivest en 1991 y estandarizada con la solicitud de comentarios RFC 1321.

Este algoritmo, tomando como entrada una cadena de longitud arbitraria (como un archivo), que produce como salida de otra cadena de 128 bits que se utilizan para calcular la firma digital de la entrada. El cálculo es muy rápido y el resultado devuelto (también conocido como "MD5 checksum" o "Hash MD5") es tal que es muy poco probable que se producirá un conflicto entre los valores hash de dos archivos diferentes. Finalmente, como para la mayoría de los algoritmos de hash, la posibilidad de derivar la cadena inicial a partir del hash resultante es casi

nonexistent38.

Por ejemplo, para calcular el comando:

md5sum / dev / sda

valor hash MD5 de un disco utilice

el

md5sum / dev / sda valor hash MD5 de un disco utilice el 5. 2. 2

5. 2. 2

A 1 H S S U

M

El SHA term39 Indica una familia de cinco funciones hash criptográficas desarrollado desde 1993 por la National Agencia de Seguridad (NSA) y publicado por el NIST como estándar por el gobierno federal de los EE.UU

Al igual que cualquier algoritmo hash SHA genera un valor de longitud fija a partir de un mensaje de longitud variable mediante el uso de una función mono-direccional.

Los algoritmos de esta "familia" se les llama SHA-1, SHA-224, SHA-256, SHA-384 y SHA-512. El primer tipo, SHA- 1 Calcula una cadena de sólo 160 bits, mientras que otros calculan el resumen de una longitud en bits igual al número indicado en su acronym40.

En este momento el algoritmo empleado más ampliamente de la familia SHA es el SHA-1 y se utiliza en muchas aplicaciones y protocolos.

Para calcular el valor hash SHA-1 de un disco, por ejemplo, utilice el comando:

sha1sum / dev / sda

disco, por ejemplo, utilice el comando: sha1sum / dev / sda 5. 2. 3 D 5

5. 2. 3

D 5 M A N D S H A D E

E P

MD5, SHA1, SHA256 y SHA512 profunda permiten calcular el valor hash de los archivos de moras

recursiva. Ejemplo:

md5deep-l / root / pruebas /> hash_device.txt

La sintaxis mencionado anteriormente Calcula el hash md5 de todos los archivos en / root / pruebas / y guarda los valores hash en el archivo hash_device.txt.

27
27

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

38 El rango de posibles valores de salida es de hecho igual a 2 a la potencia de 128.

40 Por ejemplo: SHA-256 produce un resumen de 256 bits.

27
27

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5. 2. 4

D A H S

H

Dhash, disponible en Inglés y Inglese, permite calcular los valores hash de los archivos y dispositivos de almacenamiento, proporcionando información en tiempo real: como el tiempo estimado antes del final de la operación y el progreso de la operación.

Además, puede generar un informe en html

format41.

A partir de ensayos de laboratorio Dhash resultó ser 10% más rápido que las

herramientas mencionadas anteriormente. Ejemplo:

Dhash-t-f / dev / sda - md5 - sha1-l dhashlog.html

La sintaxis mencionado Le permite calcular simultáneamente el hash sha1 y md5 del dispositivo / dev / sda y guardar los valores en el archivo dhashlog.html.

5.3 M A S T O P T URE RA ME D I A G E

La adquisición de una memoria de masa es el proceso que le permite clonar una memoria física, objeto del análisis. Dentro de los sistemas Linux, esta operación es posible mediante el uso de herramientas lo siguiente:

dd;es posible mediante el uso de herramientas lo siguiente: ddrescue; dcfldd; Dhash. En adiciones a estos

ddrescue;es posible mediante el uso de herramientas lo siguiente: dd; dcfldd; Dhash. En adiciones a estos

dcfldd;mediante el uso de herramientas lo siguiente: dd; ddrescue; Dhash. En adiciones a estos comandos, el

Dhash.el uso de herramientas lo siguiente: dd; ddrescue; dcfldd; En adiciones a estos comandos, el equipo

En adiciones a estos comandos, el equipo ha creado DEFT Cyclone, un ejecutable de asistente de la terminal para hacer una adquisición guiada a través de la simple respuesta a las preguntas que aparecen en la pantalla.

5. 3. 1

DD

dd Toma como entrada un archivo o un dispositivo y vuelve, en un archivo o dispositivo diferente, la secuencia binaria exacta que lo compone.

Ejemplo:

dd if = / dev / sda of = / media / diskimage.img

El comando toma como entrada los dispositivos de almacenamiento / dev / sda y retornos masivos como salida de

su clon Dentro del archivo diskimage.img en el directorio / media / carpeta.

Puede hacer que la adquisición de la memoria masiva en un archivo o en un dispositivo de almacenamiento masivo (y vice versa) 42.

Ejemplo: 28
Ejemplo:
28

dd if = / dev / sda of = / dev

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

/ sdb

41 También Dhash es capaz de ejecutar al mismo tiempo las actividades de adquisición y el cálculo del valor hash.

42 Esta práctica se utiliza mucho menos en el campo de la informática forense.

29
29

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Es importante prestar atención a este mandato porque el desestañoación devlaallí (en this antiguoampla /dev/sdb) esdelectrónicoand y orverwritten para el tamaño del dispositivo de origen (en este ejemplo, / dev / SDA).

Esto significa que si / dev / sda es el disco duro de 60GB y / dev / sdb es un disco duro de 250 GB, el comando anterior se sobrescribirá el primero 60GB del disco de destino (/ dev / sdb) con el bit-a-bit entero contenido del disco de origen (/ dev / sda), por lo que su contenido totalmente irrecuperables, lo comprometer los datos en el disco que no se sobrescribe.

5. 3. 2

D D R E S E

C U

Como dd, ddrescue te permite clonar el contenido de un disco y guardarlo directamente a otro dispositivo de

memoria. ddrescue es una evolución de dd: le permite adquirir los dispositivos de memoria de masa que

contienen errores al suministrado para acceder determinado por la adquisición sectors.The disco puede ddrescue abarca también a aquellos sectores dañados que serán adquiridas por puesta a cero toda la bits.During leer la ddrescue proceso de adquisición Proporciona información actualizada sobre el número de bytes son leídos y escritos, ¿cuántos errores han encontrado Sido y el tipo de adquisición calculado en bytes / s.

Ejemplo:

ddrescue / dev / sda / media / disk.img

5. 3. 3

D C D E P

F

dcfldd es otra versión mejorada de dd que se puede utilizar para calcular el valor hash (MD5 y SHA1, individualmente o en

conjunto) Durante la adquisición de la memoria. Durante la adquisición se proporciona información detallada sobre lo que se ha leído y escrito.

Ejemplo:

dcfldd if = / dev / sda of = / media / disk.img hash = md5 hash = sha1

5. 3. 4

D A H S H

Este software permite la adquisición en formato dd y el cálculo simultáneo del hash. Resultó

ser más de 10% más rápido que otros programas disponibles.

Ejemplo:

Dhash-t-f / dev / sda - md5 - sha1-o disco.dd

La sintaxis mencionado anteriormente le permiten adquirir y calcular simultáneamente el valor hash sha1 y md5 del / Dev / sda dispositivo y guardar las cuerdas dhashlog.html resultantes en el archivo de registro.

30
30

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5.4 RE C A C I O N A C I O N E F I L ME

Una de las herramientas más populares para la creación de líneas de tiempo es mac-tiempo, la aplicación de la suite Sleuthkit desarrollado y mantenido por Brian Carrier.

Hay dos comandos principales para generar líneas de tiempo del sistema de archivos:

fls43 toma como entrada un archivo RAW derivado de la adquisición de una memoria de masa toma como entrada un archivo RAW derivado de la adquisición de una memoria de masa (una sola partición ya sea una imagen cruda de un disco con varias particiones), y devuelve una lista de todos los archivos (quién asignado o no, sin embargo, el registro sigue siendo que figura en la tabla de asignación de archivos), para su uso con Mac en tiempo posterior;

mactime44 Toma como entrada una lista, creada por fls, con todos los datos contenidos en el Toma como entrada una lista, creada por fls, con todos los datos contenidos en el sistema de archivos que se analiza y proporciona una línea de tiempo en formato ASCII.

5. 4. 1

S

F L

Aquí un ejemplo de cómo utilizar FLS en el caso en el que la imagen imagen-1.DD contiene un único archivo

system/partition45:

fls-z GMT-s 0-m C:-f ntfs-r / images / hard-c.dd> / workdir / disco duro-c.body

En el ejemplo, los siguientes han sido los parámetros utilizados:

-Z: zona horaria en el sistema utilizado para analizar; zona horaria en el sistema utilizado para analizar;

-S: falta de coincidencia en segundos de tiempo del sistema con el tiempo real 4 6 falta de coincidencia en segundos de tiempo del sistema con el tiempo real 46;

-M: Que el texto tiene que ser puesto antes de la ruta y el nombre del Que el texto tiene que ser puesto antes de la ruta y el nombre del archivo en el Timeline47 ;

-F: el sistema de archivos de la memoria adquirida; el sistema de archivos de la memoria adquirida;

Images / disco c.dd: la imagen tomada como entrada para la extracción de la línea de tiempo; la imagen tomada como entrada para la extracción de la línea de tiempo;

Workdir / disco duro-c.body: el archivo, en el bodyfile formato que contiene la línea de tiempo el archivo, en el bodyfile formato que contiene la línea de tiempo

/

/

Dado extraído de la entrada.

En el caso de que la imagen contiene dd moras particiones, debe utilizar el parámetro-o al fls dadas al sector offset (ynot byusteds,como en el caso del parámetro offset del comando mount), el punto de la partición que se va a analyse.To obtener una lista de particiones y sus valores de desplazamiento (Expresado en sectores y no en bytes) de partida, se recomienda utilizar MMLS el mando del comando fdisk privado TSK o "-lu" parameters.In el caso de una imagen que contiene un disco con una partición a partir del sector 63 (Por lo general, las particiones individuales y la primera partición de un disco siempre comenzar en el sector 63):

fls-o 63-z GMT-s 0-m C:-f ntfs-r / images / disco c.dd> / workdir / disco c.body

En esta pasantía tiene un archivo (por conveniencia con la extensión del cuerpo.) En el cuerpo format48 que contiene la línea de tiempo del sistema bajo análisis.

44 http://wiki.sleuthkit.org/index.php?title=Mactime

30
30

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

45 Cabe señalar la ausencia del parámetro "Offset".

46 La diferencia entre la hora del sistema y en tiempo real se obtiene de bios, durante la adquisición.

47 Se puede comprobar Obtener la diferencia entre el tiempo de BIOS y el tiempo real (Durante la etapa de adquisición).

48 Generalmente se establece la carta en la que se monta la unidad "C", "D" y así sucesivamente.

30
30

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Este formato no es inmediatamente accesible por el examinador, ya que contiene las fechas y los registros codificados desordenadas. Por lo tanto, es necesario procesarlo para que sea legible, y con el fin de los elegidos

format49.

He aquí un extracto de un archivo de cuerpo que deja claro la dificultad de interpretar el contenido del examinador:

[

]

0

| C :/ windows / inf / mdmpin.PNF | 4718-128 -

3

| r / rrwxrwxrwx | 0 | 0 | 19268 | 1299255392 | 1299255392 | 1299255392 | 1299257718

0

| C :/ WINDOWS/inf/mdmpn1.inf | 804-128 -

3

| r / rrwxrwxrwx | 0 | 0 | 6376 | 1299257379 | 1092916800 | 1299257709 | 1092916800

0

| C :/ WINDOWS/inf/mdmpn1.PNF | 4717-128 -

3

| r / rrwxrwxrwx | 0 | 0 | 10424 | 1299255392 | 1299255392 | 1299255392 | 1299257718

0

| C :/ windows / inf / mdmmod.PNF | 4747-128 -

3

| r / rrwxrwxrwx | 0 | 0 | 18540 | 1299255386 | 1299255386 | 1299255386 | 1299257719

0

| C :/ windows / inf / mdmmoto.inf | 779-128 -

3

| r / rrwxrwxrwx | 0 | 0 | 96032 | 1299257378 | 1092916800 |

1299257709 | 1092916800 [

]

5. 4. 2

M A C T I

M E

Mactime es la herramienta de la suite TSK que convierte el formato de línea de tiempo desde el cuerpo al formato CSV, ordenando cosas y cambiar los parámetros de la pantalla en función del examinador necesita.

Por lo general, el comando a ejecutar es la siguiente:

MassachusettsConnecticutIME-B / Workdir / disco c.body -GM ZT -D> / Workdir / disco c.csv

-B Especifica el archivo de entrada, el Z-zona horaria,-d> / workdir / disco c.csv Representa el archivo de salida que contiene la línea de tiempo en csv format50.

El comando tiene que mactime característica informes resumen de las actividades diarias y por hora detectados en el sistema de archivos, que se añade a la función de conversión de formato CSV y para la función de ordenar los registros generados por la información fls command.This puede ser esencial para evaluar qué día - o en qué momento - las actividades de uso son detectables en el PC, mostrando picos y anomalías quizás dos de las actividades de fin de semana que casi saltan de una línea de tiempo tradicional.

Para obtener un informe de las actividades diarias se produjeron en el sistema de archivos, sólo tiene que añadir los parámetros-d-i seguido del nombre del archivo que desea guardar ese informe to.The informe sobre las actividades de tiempo se obtiene con-h-i parámetros Seguido por el nombre del archivo que desea guardar ese informe.

Obtendrás, de este modo, un archivo que contiene registros similares a los siguientes:

31
31

] Mié 12 de octubre 2011: 801 Jue 13 Oct de 2011: 987 Vie 14 Oct de 2011: 252 Dom 16 de octubre 2011: 25.352 Lun 17 de octubre 2011: 463 Mar 18 de octubre

[

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

2011: 711 [

]

49 En general, se utiliza el formato. CSV para la compatibilidad con los editores y hojas de cálculo. 50 Es preferible exportar en formato CSV para facilitar la consulta por parte de aplicaciones como OpenOffice o Excel.

32
32

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

En el ejemplo anterior se puede ver que el 16 de octubre de 2011 había 25.352 en files51 actividades. Este valor no puede ser de su interés, pero puede, en algunos casos, será de gran importance52.

Es recomendable comprobar la continuidad o el promedio de los valores de los analizados durante casi todos los días, tal vez que se apoya en un cierto valor (por ejemplo, <1,000), y llegar, como en el ejemplo, los picos de decenas de miles de personas en un día específico . El examinador debe proceder en este momento a analizar con más detalle la línea de tiempo del día en que la anomalía fue found53.

La siguiente tabla es útil para entender el significado de los valores que aparecen en la columna "Tipo de Actividad". Indicaron las acciones realizadas en archivos y carpetas en un plazo determinado.

realizadas en archivos y carpetas en un plazo determinado. Aquí es un ejemplo del resultado del

Aquí es un ejemplo del resultado del procesamiento de un archivo de mactime cuerpo generada por el comando:

] [

Vie 04 de marzo 2011 16:08:04 618 605. Ac. r / rrwxrwxrwx

0

0

10618-128-1

Vie 04 de marzo 2011 16:08:11 17672 rrwxrwxrwx

b r /

0

0

10624-128-4

Vie 04 de marzo 2011 16:11:20 3014 rrwxrwxrwx

b r /

0

0

10630-128-3

Vie 04 de marzo 2011 16:11:29 10296 rrwxrwxrwx

cb r /

0

0

10631-128-3

] [

51 La intención: el acceso, la creación o modificación de ficheros de entrada MFT o archivo.

52 Por ejemplo, si el PC que se analiza es un activo de una empresa en la que el trabajo se lleva a cabo de lunes a viernes, el Si investigador investigado por qué ya disposición de alta actividad se ha producido el domingo.

53 Mediante la realización de nuevos análisis del registro, la inserción de las memorias USB, el lanzamiento de programas,

creación 33
creación
33

de archivos LNK, etc

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

5.5 RE C A N T I G A SUP E RT I ME LI N E

La línea de tiempo, como se indica en el párrafo anterior, son muy útiles, pero limitado a las actividades detectadas en la filesystem54. En adiciones a la fecha y hora de los archivos, hay varios metadatos en el sistema de análisis que se puede integrar con la línea de tiempo del filesystem55.

Las herramientas para crear este tipo de líneas de tiempo "enriquecidos" 56are incluido en diestro.

En este caso también, el punto de partida es la imagen de un disco o un disco en sí, así como para la línea de tiempo tradicional elaborada con FLS + mactime (o con la autopsia interfaz gráfica).

La herramienta específica se utiliza log2timeline57 . El marco fue escrito por Kristinn Gudjonsson, y el desarrollo de sus plugins involucró a toda la comunidad forense de código abierto.

Procesos Log2timeline (análisis), recurrentemente, los archivos de una partición montada con unos parámetros específicos, que permiten el acceso a los metadatos del sistema de archivos. En particular, el log2timeline metadatos es capaz hasta la fecha para procesar e introducir en un supertimeline figuran en esta modos de entrada list:

1.Apache2 registro de acceso; 2.Apache2 registro de errores; Historia Chrome 3.Google; 4.Encase listado de registros; Los archivos de registro de eventos 5.Windows (EVT);

Los archivos de registro de eventos 6.Windows (evtx);

7.EXIF;

Marcadores 8.Firefox; 2 historia 9.Firefox;

10. Firefox 3 la historia;

11. FTK Imager archivos CSV listado de registros;

12. Los archivos de registro de Linux genéricos;

13. Archivos del historial de Internet Explorer, de análisis index.dat;

14. Los archivos de registro de Windows IIS W3C;

15. Exportación de texto ISA Server;

16. File cuerpo mactime;

17. McAfee AntiVirus Registros;

18. MS-SQL registro de errores;

19. Global y directo historial del navegador Opera;

20. Metadatos OpenXML (Office 2007);

21. Archivos PCAP;

22. PDF;

the registry, the link file in the LNK format, the prefetch etc

56 In the forensic jargon they are now indicated by the term "supertimeline".

33
33

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

54 Así que se limita a crear, editar o acceder a los archivos.

55 Algunos ejemplos: el registro de un navegador, las visitas a los cambios en las claves del registro del sistema, antivirus registros, la actividad de

the registry, the link file in the LNK format, the prefetch etc

56 In the forensic jargon they are now indicated by the term "supertimeline".

34
34

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

23. Directorio Prefetch de Windows;

24. Papelera de reciclaje de Windows (INFO2 o I $);

25. Punto de restauración de Windows;

26. Safari archivo historial del navegador;

27. Archivo setupapi.log Windows XP;

28. Adobe fichero objeto compartido local (SOL / LSO), también conocidos como cookies de Flash;

29. Registros de acceso Squid (httpd_emulate off);

30. TLN archivos corporales (línea de tiempo);

31. Clave UserAssist del registro de Windows;

32. Volatilidad (psscan y psscan2 salida);

33. Archivos de acceso directo de Windows (LNK);

34. Archivo de registro de Windows WMIProv;

35. Archivo de registro de Windows XP Firewall (formato W3C).

El supertimeline se pueden guardar en diferentes formatos. El formato más utilizado es el CSV format58 , compatible con varias hojas de cálculo, se pueden mostrar con sencillez y editado con un editor de texto. La lista completa de modos de salida en la que el procesamiento de la supertimeline Actualmente se puede exportar como es siguiente:

BeeDocs;la supertimeline Actualmente se puede exportar como es siguiente: CEF; CFTL; CSV; Mactime; SIMILAR; SQLite; TLN;

CEF;supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CFTL; CSV; Mactime; SIMILAR; SQLite; TLN; TLNX.

CFTL;supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CSV; Mactime; SIMILAR; SQLite; TLN; TLNX.

CSV;supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; Mactime; SIMILAR; SQLite; TLN; TLNX.

Mactime;la supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; SIMILAR; SQLite; TLN;

SIMILAR;la supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; Mactime; SQLite; TLN;

SQLite;la supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; Mactime; SIMILAR; TLN;

TLN;supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; Mactime; SIMILAR; SQLite; TLNX.

TLNX.supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; Mactime; SIMILAR; SQLite; TLN;

34
34

Traducido por Sykrayo España

D eft 7 Manual 2012

D eft 7 Manual

2012
2012

58 https://en.wikipedia.org/wiki/Comma-separated_values

35
35

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

El primer paso es generar una supertimeline-as-Poseer mencionado previamente la imagen en bruto que contiene la partición que se vaya a examinar. Se puede utilizar un dispositivo (por ejemplo / dev / sda) a dd / archivo de imagen RAW, o incluso para EWF, archivo AFF o escisión prima convertida según se explica en los párrafos anteriores.

Suponga que tiene un archivo image.dd que contiene la imagen de disco que desea analizar. Lo primero es montar en la forma descrita anteriormente, las particiones que desea obtener una supertimeline de.

Usted decide analizar solamente la partición NTFS del disco, situada en el sector offset y 63 identificados por la letra C: en Windows.

Con el comando:

mount-o ro, loop, show_sys_files, streams_interface = windows, offset = $ ((512 * 63)) / mnt / raw / img.dd / Mnt / c

La

log2timeline:

unidad

C:

será

montado

en

/

mnt

/

c

donde

ejecutamos

log2timeline-p-r-z-f winxp Europa / Roma / mnt / c / m-C:-w-c-log2t unsorted.csv

Los parámetros sugeridos son:

/ m-C:-w-c-log2t unsorted.csv Los parámetros sugeridos son: -P: Indica log2timeline hacer un recursivo

-P: Indica log2timeline hacer un recursivo "preprocesamiento" de que se está analizando con el fin de obtener información útil para los plugins que se ejecutará later59;

-F: Indica el tipo de sistema operativo (y por lo tanto el conjunto de plugins) que Indica el tipo de sistema operativo (y por lo tanto el conjunto de plugins) que desea aplicar al directorio dado como input60;

plugins) que desea aplicar al directorio dado como input60; -R: dice log2timeline para explorar los archivos

-R: dice log2timeline para explorar los archivos de forma recursiva lo tanto no detener a los del directorio especificado;

lo tanto no detener a los del directorio especificado; -Z: Indica los conjuntos de zona horaria

-Z: Indica los conjuntos de zona horaria en el PC bajo análisis 61;

conjuntos de zona horaria en el PC bajo análisis 6 1 ; -M: Indica la cadena

-M: Indica la cadena que se sometería a la ruta y el nombre del archivo en la creación supertimeline salida Normalmente la letra de unidad del disco en estudio (por ejemplo, "C:", "D", etc );

en estudio (por ejemplo, "C:", "D", etc ); -W: Especifica el archivo de la supertimeline generado

-W: Especifica el archivo de la supertimeline generado en formato CSV tiene que ser guardado en.

El resultado de este proceso es un archivo CSV que contiene los elementos individuales obtenidos a partir del análisis de los distintos artefactos, dispuestas en el orden en que fueron analizados.

Por lo tanto, es necesario utilizar una herramienta para ordenar las entradas y si es necesario, seleccione un período de interés y palabras clave de forma simultánea filtros de interés.

La

se log2timeline también.

Para ordenar y ver, por ejemplo, las actividades de la PC, que tuvo lugar en 2011, registrados en el c-log2t- unsorted.csv

herramienta

proporciona

con

estas

características

l2t_process,

parte

del

marco

36
36

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

arc

hivo

:

59 Por ejemplo, el nombre de host de la computadora, los usuarios, el navegador por defecto, zona horaria, etc

obtenido.

60 Podría ser omitido, lo que indica que log2timeline probar todos los plugins en todos los archivos.

61 Se puede obtener de forma automática con el parámetro "-p", pero a menudo es útil para establecer de forma manual.

puede ser

37
37

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

l2t_process-i-b-c-log2t unsorted.csv-y

2008-01-01 2008-12-31 keywords.txt-k> c-log2t-2008.csv

Algunas de las opciones útiles de l2t_process son:

-I: También se incluyen las entradas en la salida fuera del intervalo de tiempo especificado, si También se incluyen las entradas en la salida fuera del intervalo de tiempo especificado, si éstos sugieren que contienen información de las actividades sospechosas timestomping62;

-Y: forzar el formato de fecha aaaa-mm-dd en lugar del formato predeterminado dd-mm-aaaa; forzar el formato de fecha aaaa-mm-dd en lugar del formato predeterminado dd-mm-aaaa;

-B Indica Qué archivo debe ser Analizada por el guión; Indica Qué archivo debe ser Analizada por el guión;

-K: especifica el archivo que contiene las palabras clave que usted está interesado, excepto la salida especifica el archivo que contiene las palabras clave que usted está interesado, excepto la salida de los registros que no contengan ellos.

El resultado de log2timeline y l2t_process será una larga lista de actividades reconocidas en el filesystem63 y los metadatos extraídos de los tipos de archivo se ha indicado anteriormente (log, eventos, enlaces, historial de

navegación, etc

).

Las columnas del archivo de cabecera tendrán el siguiente:

1. Fechas

2. Tiempo

3. Zona Horaria

4. MACB

5. Fuente

6. SourceType

7. Tipo

8. Usuario

9. Hosts

10. Corto

11. Descripción

12. Versión

13. Nombre de archivo

14. Inode

15. Notas

16. Formato

17. Extra

62 Por ejemplo, registro MFT con el valor 0 milisegundos.

38
38

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

63 En el caso de NTFS, tendremos elementos obtenidos de la tabla MFT.

39
39

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

En esta práctica, la dificultad radica en centrarse en los artículos pertinentes Miles de Dentro de resultados.

Desde la línea de comandos grep puede proporcionar un valioso apoyo para la exclusión o la inclusión en la lista de algunos tipos de actividad.

También es posible importar el supertimeline en un spreadsheet64 para filtrar y analizar el contenido con las características típicas de este tipo de aplicaciones.

Una de las principales categorías en las que es útil aplicar filtros es el relativo al tipo de metadatos que se encuentra en la columna 6 SourceType.Among los tipos disponibles que va a tener interés para filtrar, hay NTFS

$ MFT, REG, registro de eventos, WEBHIST, XP Prefetch

navegando, inserción palos USB (USBSTOR buscar en los registros relativos al registro), los archivos abiertos (NTFS

$ MFT), o cualquier otra cosa de interés para usted.

Eso le permitirá distinguir entre Internet

5.6 SE A RC F H I L E S A N D O C L D E R S

Puede buscar archivos y carpetas mediante una de las siguientes herramientas:

localizar;y carpetas mediante una de las siguientes herramientas: encontrar. 5. 6. 1 L O C A

encontrar.mediante una de las siguientes herramientas: localizar; 5. 6. 1 L O C A T E

5. 6. 1

L O C A T E

Localizar Le permite buscar archivos en un dispositivo de almacenamiento masivo.

Primero debe actualizar la base de datos de indexación de ejecutar el

comando updatedb. Ejemplo:

localizar las

finanzas-q-i

Búsqueda, sin distinguir entre mayúsculas y minúsculas (-i), para los archivos que contienen la palabra finanzas en su propio name.Thanks opción de-q, errores suministrados para acceder a un directorio específico se informó, así como la razón de dicho error ( por ejemplo, "acceso denegado").

Ejemplo:

que buscará todos los archivos PNG.

localizar "*. png"-q

5. 6. 2

F I N D

Buscar Le permite buscar archivos sin indexación previa.

Ejemplo:

encontrar. -Iwholename "* porn *. Png"

La herramienta se encuentra todos los archivos PNG que contienen la cadena de porno en Su nombre, sin

40
40

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

distinción entre las casas.

64 Hábil ofrece la suite LibreOffice Eso incluye la hoja de cálculo Calc.

41
41

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Ejemplo:

encontrar. -CTime -2> list.txt

La herramienta se encuentra todos los archivos creados en los últimos 2 días y que le ahorrará a la lista en el archivo list.txt.

5.7 RV M U E S P A Ñ O F F I LE S

Carving es el proceso de recuperación de archivos ya no se hace referencia al sistema de archivos, a través del reconocimiento de la cabecera y el footer65 del archivo. Es un proceso largo, porque el disco se examina desde la primera hasta la última gota.

Metafóricamente hablando, se puede comparar este proceso con la lectura de una unidades de cinta.

5. 7. 1

F O R E M O S T

Foremost puede recuperar archivos borrados directamente desde dispositivos de almacenamiento, o

preferiblemente, de "flujo de bits de imagen" archivos. El comando

ante todo-o outpdir dump.img

se iniciará el proceso de tallado en dump.img basado en el archivo de configuración del archivo / etc / foremost.conf y guardar los archivos extraídos en el directorio outpdir.

El comando

todo-t-o png outpdir dump.img

se iniciará el proceso de forjar todos los archivos dump.img png en el archivo y guardar los archivos extraídos en la carpeta outpdir.

La opción-t le permitirá buscar los siguientes tipos de archivo:

65 Encabezado y pie de página son las firmas que caracterizan el comienzo y el final de un tipo de archivo determinado,

42
42

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

en detalle que consisten en un grupo de octal consecutivos o valores hexadecimales siempre presentes en una determinada posición de un archivo determinado al inicio o al final de la misma.

43
43

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

jpg

jpeg

png

bmp

exe

avi

mpg

wmv

wav

riff

44
44

mov

ole

doc

pdf

zip

rar

htm

cpp

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

CAPÍTULO 6: DEFT Linu X GUI MODE

6.1 I N T RO D UC C I Ó N

El DEFT Linux GUI se basa en la LXDE "entorno de escritorio" 66 (Lightweight X11 Desktop Environment). El elección del

gestor de escritorio cayó en este proyecto hasta la fecha porque es una de las interfaces gráficas de usuario más ligero y más eficiente del mundo Linux.

El uso del modo gráfico se solicita en los casos en que los programas, no desarrollados para el uso en la línea de comandos, se van a utilizar,: como, por ejemplo, Marco Forense Digital (DFF) 67 o bagre.

Desde la versión 6, las aplicaciones nativas de Windows, por lo que no hay equivalente para Linux más potente, integrado y emulado han sido directamente por DEFT Linux usando Wine software68.

Para iniciar la interfaz gráfica de DEFT Linux simplemente escriba hábil-gui.

gráfica de DEFT Linux simplemente escriba hábil-gui. Hábil: Linux GUI 6 6 http://www.lxde.or g 6 7

Hábil: Linux GUI

68 http://www.winehq.org/ 45
68
http://www.winehq.org/
45

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Usted puede encontrar los elementos en el escritorio lo siguiente:

1. Una guía para la obtención de pruebas

8.

De espacios de trabajo

2. Los procedimientos para instalar DEFT Linux

9.

Sistema de control de audio

3. La Terminal

4. El menú de la aplicación

10. Los administradores de red

11. Fecha y hora

5. Pcmanfm Administrador de archivos

12.

Gerente de Zona Horaria

6. Keyboard Language Manager

13.

Apagado del sistema y el botón de

7. Mostrar escritorio

El menú de aplicaciones tiene las siguientes secciones:

tiene las siguientes s e c c i o n e s : Archive Manager, Mapa

Archive

Manager, Mapa de caracteres, la Utilidad de

Discos, Administrador de archivos, calculadora, visor de imágenes, Leafpad, LXterminal, TrueCrypt y Xpad.

DEFT: Herramienta de análisis, herramientas anti-malware, tallando las herramientas, algoritmos hash herramientas, herramientas Herramienta de análisis, herramientas anti-malware, tallando las herramientas, algoritmos hash herramientas, herramientas de imagen, forenses móviles, análisis forense de redes, herramientas OSINT, recuperación de contraseñas, herramientas de reporte, Utilidad de Discos, Administrador de archivos, GParted, Midnight Commander, Mount ewf, MountManager, Barrido y Xmount.

Commander, Mount ewf, MountManager, Barrido y Xmount. Accesorios: Gráficos: Visor de documentos. Internet:

Accesorios:

Gráficos: Visor de documentos.

Gráficos: Visor de documentos.

Internet: Firefox y Sun

Internet:

Firefox y Sun

Inicio 6 de Java Web.

Servicios: Apache arranque, parada Apache, Mysql marcha, paro MySQL, Samba marcha, paro Samba, SSH marcha, paro Apache arranque, parada Apache, Mysql marcha, paro MySQL, Samba marcha, paro Samba, SSH marcha, paro SSH, Xplico inicio, parada Xplico.

Sonido y vídeo: Audaz, escritorio Recorder, VLC media player y Xfburn. Audaz, escritorio Recorder, VLC media player y Xfburn.

Wine.Audaz, escritorio Recorder, VLC media player y Xfburn. Herramientas del sistema: Gdebi instalador de paquetes,

Herramientas del sistema: Gdebi instalador de paquetes, GParted, Prensa, gestor de paquetes Synaptic, Perfil de Sistema y de Gdebi instalador de paquetes, GParted, Prensa, gestor de paquetes Synaptic, Perfil de Sistema y de referencia, el Administrador de tareas, hora y fecha, gestor de

46
46

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

actualizaciones, usuarios y grupos y los controladores inalámbricos de Windows. Preferencias: Los conductores adicionales, Adobe Flash Player, personalizar la apariencia, la configuración de sesión del escritorio, la Utilidad de Discos, teclado y ratón, soporte de idiomas, Lxkeymap, ajustes del monitor, Red

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

conexiones, configuración de Openbox, aplicaciones preferidas, las fuentes de software, Sun Java 6 Programas Panel de control y Sun Java 6 Herramienta Política.

6.2 SS MA ME MO MA RY N A G E ME NT

Como ya se mencionó, el sistema no realiza ninguna acción con la excepción de la detección de los dispositivos conectados al sistema.

Durante el uso del gestor de archivos, a los dispositivos de almacenamiento masivo conectados al sistema (interna y externa) no se montará automáticamente.

Haga clic en el icono del dispositivo de almacenamiento masivo, se mostrarán las políticas para el montaje:

masivo, se mostrarán las políticas para el montaje: Monte sólo lectura: Permite el acceso al dispositivo

Monte sólo lectura: Permite el acceso al dispositivo de almacenamiento en masa como de sólo lectura sin alterar los datos almacenados en el dispositivo de memoria; Montaje de volumen: Permite el acceso al dispositivo de memoria masiva con la lectura / escritura;

Volumen de expulsión: Permite la eliminación segura de la memoria del sistema. Permite la eliminación segura de la memoria del sistema.

Con la aplicación Administrador de Montaje de el examinador puede montar Establecer las políticas basadas en sus necesidades operativas.

montar Establecer las políticas basadas en sus necesidades operativas. 48 Actividades en las que utilizará PcmanFMr
48
48

Actividades en las que utilizará PcmanFMr

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6.3 MO A T M A N A G E R

Administrador de montaje Le permite crear políticas de montaje avanzadas con sólo unos clics.

En la imagen que compartimos los procedimientos para montar un dispositivo de almacenamiento de memoria como RO (sólo lectura), el bloqueo de las acciones que puedan producir alteraciones en el sistema de archivos.

que puedan producir alteraciones en el sistema de archivos. Montar la política para bloquear posibles cambios

Montar la política para bloquear posibles cambios en el sistema de archivos

Para el montaje es necesario asociar un directorio existente a una partición en la memoria asegurándose que ajuste los parámetros tienen noatime, noauto, ro, noexec, que aseguran que la memoria masiva no se altera durante usage.Only de esta manera usted tendrá acceder al sistema de archivos como de sólo lectura y utilizarlo sin tener que actualizar el tiempo de acceso inode69 .

Con el Administrador de montaje, se puede montar también archivos adquiridos en formato dd y los sistemas de archivos de red: como Samba (Windows share) y NFS.

49
49

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

69 Fecha y hora del último acceso al expediente de un sistema de archivos.

50
50

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6.4 SH H A M A C I O N LC ULA

Dhash es la única herramienta de DEFT Linux dedicada al cálculo del hash en modo gráfico.

DEFT Linux dedicada al cálculo del hash en modo gráfico. Dhash: Calcular el valor hash de

Dhash: Calcular el valor hash de un dispositivo

Después de iniciar la aplicación, haga clic en Abrir dispositivo para seleccionar un dispositivo de almacenamiento masivo o Abrir archivo para seleccionar un archivo. Seleccione el tipo de hash para calcular (MD5, SHA1 o ambos) y haga clic en Inicios. Después de terminar, puede guardar un informe HTML con los resultados, haga clic en "Guardar registro".

51
51

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6.5 MA ME MO RY SS A Q UI SI C T I O N

Como se ha demostrado anteriormente, con DEFT Linux puede adquirir memorias de almacenamiento masivo a través de interfaz gráfica o mediante el uso de Guymager Dhash. El primero es adecuado para adquisiciones en el formato dd, mientras que el último es muy recomendable para las adquisiciones paralelas en el formato ewf.

6. 5. 1

D A H S

H

En Dhash, los procedimientos para la adquisición es similar a la que para el cálculo hash.

Seleccione el dispositivo que desea adquirir haciendo clic en "dispositivo abierto"

Selección y "Adquirir".

También puede optar por adquirir y comprimir al formato gz marcando la casilla Comprimir y / o elegir si para llevar a cabo el cálculo de comprobación aleatoria de uno o más archivos.

cálculo de comprobación aleatoria de uno o más archivos. Adquisición con el cálculo simultáneo de md5

Adquisición con el cálculo simultáneo de md5 y sha1 valores hash

45
45

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

Al

adquisición.

Al final de todas las actividades, se puede guardar un informe en formato HTML, haga clic en la opción "Guardar registro".

pulsar

el

botón,

se

inicia

comienza

la

45
45

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6. 5. 2

U T A M A G

E R

Guymager les permite una administración más avanzada de las adquisiciones más Dhash.

más avanzada de las adquisiciones más Dhash. Casas gestión Guymager para la fase de adquisición Permite

Casas gestión Guymager para la fase de adquisición

Permite Guymager en adiciones a la adquisición simultánea de múltiples dispositivos de almacenamiento masivo, la inclusión de información: por ejemplo:

Código de Viviendas;masivo, la inclusión de información: por ejemplo: Evidencia de catalogación; Nombre del examinador que está

Evidencia de catalogación;de información: por ejemplo: Código de Viviendas; Nombre del examinador que está llevando a cabo las

Nombre del examinador que está llevando a cabo las operaciones;ejemplo: Código de Viviendas; Evidencia de catalogación; Descripción del objeto que está adquiriendo. El programa

Descripción del objeto que está adquiriendo.del examinador que está llevando a cabo las operaciones; El programa soporta todos los principales formatos

El programa soporta todos los principales formatos de adquisición (dd, AFF y encierran) y le permite ejecutar la comprobación de integridad, a través de la verificación MD5 o sha256 valor hash, ambos de la recién creada y la imagen del dispositivo original (incluyendo imágenes divididas) .

Para iniciar el proceso de adquisición de Guymager clic derecho sobre la memoria masiva para ser clonado y seleccione Adquirir imagen.

46
46

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

En la ventana Adquirir imagen puede especificar varios parámetros de la adquisición o gestión del caso.

47
47

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6.6 F I N D I N G F I LE S A N D E F O LD RS

6. 6. 1

F A C T I S

H

Bagre Que puede realizar las mismas operaciones se pueden ejecutar a través de comandos de línea de comandos a encontrar y localizar.

En el ejemplo que se muestra a continuación, la memoria seleccionada o la carpeta en la que desea buscar, la búsqueda se inicia para todos los archivos con extensión JPG por escrito *. Jpg en el campo de búsqueda. Cuando se complete la búsqueda, puede abrir los archivos de la lista con un simple doble clic.

abrir los archivos de la lista con un simple doble clic. Catfish: Búsqueda de archivos En

Catfish: Búsqueda de archivos

En la ventana de información de los archivos se indican: última fecha de modificación, la ubicación y el tamaño del archivo.

48
48

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6.7 F I N D I W LD

Findwild es un programa que le permite buscar palabras files.Specifying Dentro del directorio de interés y palabras clave asociadas le proporcionará una lista de los archivos que contienen las claves de búsqueda.

le proporcionará una lista de los archivos que contienen las claves de búsqueda. 48 Findwild: ¿Busca
48
48

Findwild: ¿Busca contenido

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

6.8 IU G F I LE S M U E S P RV

Jorobado 4most (H4M), disponible en Inglés y Inglese, es una interfaz gráfica para la gestión de las funciones principales del lugar y el bisturí.

A través H4M, una vez que elija el programa que se utilizará como un fichero de tallador, puede ejecutar el tallado con unos simples clics.

tallador, puede ejecutar el tallado con unos simples clics. 4most Jorobado: Archivo Talla con Foremost H4M,

4most Jorobado: Archivo Talla con Foremost

H4M, una vez que usted ha indicado en el archivo o dispositivo en el que desea buscar, y la carpeta donde desea almacenar los archivos recuperados, búsquedas y guarda todos los archivos con el encabezado y pie de página especificado por el examinador.

49
49

Traducido por Sykrayo España

D eft 7 Manual

2012
2012
Traducido por Sykrayo España D eft 7 Manual 2012 4most Jorobado: Talla de archivo con bisturí

4most Jorobado: Talla de archivo con bisturí

En adiciones a los formatos de archivo tradicionales apoyados por Foremost y Scalpel, usted puede personalizar su búsqueda indicando un nuevo archivo de configuración que contiene encabezado y pie de página de su interés.

6.9 MA N I N G A G A C A SE W I T H A UT O P SY

El navegador forense Autopsy es una interfaz gráfica para la gestión de la línea de herramientas de investigación digitales comando en el Kit70 Sleuth.

Se utiliza principalmente para el tratamiento de los casos en que se requiere un análisis de los

dispositivos de almacenamiento masivo. Autopsia permite:

Directamente utilice el dispositivo o las adquisiciones en el formato dd, AFF y encierran;los dispositivos de almacenamiento masivo. Autopsia permite: ver la información sobre el tipo de sistema de

ver la información sobre el tipo de sistema de archivos;o las adquisiciones en el formato dd, AFF y encierran; analizar e identificar el contenido de

analizar e identificar el contenido de archivos y directorios y sus referencias de tiempo;el formato dd, AFF y encierran; ver la información sobre el tipo de sistema de archivos;

recuperar archivos borrados;tipo de sistema de archivos; analizar e identificar el contenido de archivos y directorios y sus

50
50

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

70 http://www.sleuthkit.org/

51
51

Traducido por Sykrayo España

D eft 7 Manual

2012
2012

gestionar una base de datos de los valores hash de los archivos del caso bajo análisis;Traducido por Sykrayo España D eft 7 Manual 2012 crear y analizar líneas de tiempo; buscar

crear y analizar líneas de tiempo;de los valores hash de los archivos del caso bajo análisis; buscar los archivos por palabra

buscar los archivos por palabra clave;del caso bajo análisis; crear y analizar líneas de tiempo; analizar los metadatos; creado informes de

analizar los metadatos;líneas de tiempo; buscar los archivos por palabra clave; creado informes de resultados; creado en los

creado informes de resultados;los archivos por palabra clave; analizar los metadatos; creado en los hogares. Una vez que comenzó

creado en los hogares.analizar los metadatos; creado informes de resultados; Una vez que comenzó desde la sección de disco

Una vez que comenzó desde la sección de disco forense Autopsy, solicitará al examinador que especifican si tiene la intención de crear un nuevo hogar o abrir uno existente.

En este ejemplo, haga clic en Nuevo para crear un caso de prueba y coloque la fecha en su posesión para la catalogación: como el nombre, la descripción y los nombres de los examinadores:

nombre, la descripción y los nombres de los examinadores: Creación de un nuevo caso Una vez

Creación de un nuevo caso

Una vez que haya confirmado sus datos, en / root / pruebas / casename se crea un directorio que contiene toda la fecha casas.

En el caso de que uno o más objetos (ya sea de pie para los miembros de cualquiera de los sistemas) se pueden agregar haciendo clic Agregar host dentro de la caja y al ingresar los datos requeridos:

52
52

Traducido por Sykrayo España

D eft 7 Manual

2012
2012
Traducido por Sykrayo España D eft 7 Manual 2012 Adición de hogares anfitriones Uno o más

Adición de hogares anfitriones

Uno o más dispositivos de almacenamiento masivo se pueden añadir a cada objeto: simplemente clic en el archivo imagen adicional, escriba la ubicación campo sea el enlace directo a un dispositivo de almacenamiento masivo (por ejemplo / dev / SDX) o la ruta que contiene el archivo adquirida (por ejemplo:

/ Media/forensic/disco001.dd) y especifique la memoria si va a añadir una partición o un almacenamiento de toda la masa; En cuanto al método de importación, para facilitar su uso, se recomienda encarecidamente que deje los enlaces simbólicos por defecto.

52
52

Traducido por Sykrayo España

D eft 7 Manual

2012
2012
Traducido por Sykrayo España D eft 7 Manual 2012 Adición de una memoria de masa del

Adición de una memoria de masa del objeto

Después de la adición de la memoria, se preguntó si se debe calcular, o introduzca manualmente si se ha calculado ya, el hash md5 value71 y especifique el nombre simbólico de la partición y sistema de archivos.

53
53

Traducido por Sykrayo España

D eft 7 Manual 2012

D eft 7 Manual

2012
2012

71 Autopsia sólo admite el algoritmo de hash MD5.

54