Informática Forense

vtroger.blogspot.
com
jueves, febrero 18, 2010

Alvaro Paz
Herramienta para analizar pginas Web con cdigo malicioso.

FileInsight es una herramienta gratuita de McAfee ideal para analizar pginas con cdigo malicioso. Entres sus caractersticas destaca: servir para: test de penetracin, auditoria, romper contraseas, anlisis forense y Honeypots. Katana incluye las siguientes distribuciones y herramientas:
Permite analizar e importar estructuras en C y C++. Decodifica cdigos en IA-32. Decodifica scripts en JavaScript. Contiene plugins de anlisis automatizado y un plugin para enviar el fichero a Virustotal para un anlisis completo. Es una herramienta ideal para investigar pginas con cdigo malicioso, tanto para un anlisis forense como para una auditoria. FileInsight solo est disponible para la plataforma Windows. Descarga de FileInsight: http://www.webwasher.de/download/fileinsight/ Tutorial de uso de FileInsight: http://www.webwasher.de/download/fileinsight/ tutorial.html
Instalacin de Katana. Es necesaria una memoria USB de 8GB con 6GB de espacio libre. Y despus seguir los siguientes pasos:
Click here to send your feedback
1. Descargar el archivo katana-v1.rar y descomprimirlo. 2. Crear una carpeta de nombre boot en el USB y copiar en ella los archivos descomprimidos. 3. Hacer arrancable el USB. En Linux ejecutar el script boostinst.sh de la carpeta boot y en Windows ejecutar boostinst.bat de la carpeta boot. Ms informacin de Katana: http://www.hackfromacave.com/katana.html Descargar Katana: http://mirror.cc.vt.edu/pub/katana/katana-v1.rar
joliprint
Varias distribuciones de seguridad en un solo USB.

Con Katana un conjunto de distribuciones de seguridad y herramientas agrupadas en una sola distribucin arrancable en USB. Katana es la mejor opcin para tener a mano herramientas que pueden
Herramienta anlisis forense sistema de archivos.

Se trata de Digital Forensics Framework es una herramienta de anlisis forense de sistema de archivos, de arquitectura modular. Al estar dividida en mdulos esta herramienta permite realizar varias tareas
Printed with
http://vtroger.blogspot.com/search/label/Inform%C3%A1tica%20Forense
Page 1
vtroger.blogspot.com
a la vez y as agilizar el anlisis forense. Adems est diseada para trabajar sobre la imagen previamente realizada al disco (como en todo buen anlisis forense no corromper la escena es muy importante). Entre sus caractersticas destaca:
Anlisis forense de cola de impresin de Windows.

Es posible recuperar el ltimo archivo impreso en Windows y visualizarlo. Para realizar esta tcnica es necesario saber el funcionamiento de la cola de impresin en Windows. En el momento que se enva un archivo a imprimir, se crea un archivo de almacenamiento intermedio en formato EMF, donde se almacena lo que se enva a la impresora y las opciones de impresin, su extensiones son: *.SPL y *.SHD. Cuando la impresin finaliza, Windows borra estos archivos que se
Recuperacin potente de archivos borrados. Permite analizar el sistema de archivos de telfonos mviles y recuperar archivos borrados. Descifra el contenido y metadatos de SMS para mostrarlos como en un telfono mvil. Tiene un editor hexadecimal. Posee un interfaz grafico y consola de comandos. Posee un modulo de autodeteccin basado en estructuras de archivos para localizar archivos con extensiones cambiadas.
Digital Forensics Framework es una herramienta de cdigo abierto multiplataforma, muy til para anlisis forense de memorias USB, PDA, tarjetas de memoria y telfonos mviles, ya que solo soporta FAT 12/16/32. Ms informacin y descarga de Digital Forensics Framework: http://www.digital-forensic.org/download-en.html Gua de uso de Digital Forensics Framework: http://wiki.digital-forensic.org/wiki/dff/DFF_guide
almacenan en: c:\windows\system32\spool\printers Para hacer un anlisis forense del ltimo documento impreso, hay que usar un software de recuperacin para obtener los archivos *.SPL y *.SHD. Una vez recuperado estos archivos con la herramienta EMF Spool Viewer es posible: descifrar estos archivos, visualizar el ltimo archivo impreso y obtener las propiedades de impresin utilizadas Para la cronologa de la escena podemos usar los metadatos del archivo o la fecha de eliminacin ya que corresponde con la fecha de impresin. Esta tcnica funciona para Windows NT/2000/XP/VISTA.
Printed with
joliprint
Page 2
Ms informacin y descarga de EMF Spool Viewer: http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx Ms informacin sobre la cola de impresin y archivos EMF: http://www.microsoft.com/india/msdn/articles/130. aspx
da que se encuentra en la parte derecha de la barra de herramientas. webappsstore.sqlite: Almacena las sesiones. Estos archivos segn el sistema operativo se almacenan para cada usuario en los siguientes destinos:
Anlisis forense de Mozilla Firefox 3.X.

Para un anlisis forense de Mozilla Firefox 3.X es necesario saber, cmo y dnde, el navegador guarda la informacin del historial de navegacin, correspondiente a cada usuario del sistema. Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas informacin de inters para un anlisis forense. Los archivos de bases de datos que utiliza son los siguientes:
Linux : /home/nombre usuario/.mozilla/ firefox// Windows XP: C:\Documents and Settings\nombre usuario\Application Data\Mozilla\Firefox\Profiles\carpeta perfil\ Windows Vista: C:\Users\nombre usuario\AppData\Roam ing\Mozilla\Firefox\ Profiles\carpeta perfil\ Hay que tener en cuenta un factor muy importante para realizar la lnea de tiempo en este anlisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronologa se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: 1221842272303080 que se descifrara 16:37:52 19/09/2008 UTC. Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un mtodo ms lento, es ms transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas estn disponibles para: Windows, Linux y Mac OS X. Descarga de herramientas SQLite: http://www.sqlite.org/download.html Documentacin de herramientas SQLite:
content-prefs.sqlite: Las preferencias individuales para pginas. downloads.sqlite: Historial de descargas. formhistory.sqlite: Contiene los formularios memorizados. permissions.sqlite: Contiene los sitios a los que se le permiti abrir pop-ups. cookies.sqlite: Las Cookies. places.sqlite: Los datos de los marcadores e historial de navegacin. search.sqlite: Historial del motor de bsque-
joliprint
Printed with
Page 3
http://www.sqlite.org/sqlite.html Tambin podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite: Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas. Crear un informe del historial de navegacin sacado de places.sqlite en formato CSV o HTML. Descifrar el PRTime. Firefox 3 Extractor solo est disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa. Ms informacin y descarga de Firefox 3 Extractor: http://www.firefoxforensics.com/f3e.shtml
mapas con sus nmeros de serie. Localizaciones: Lugar marcado como casa, una lista de destinos reci entes y antiguos viajes. Listas de llamadas y mensajes de texto: Cuando est instalado en un telfono mvil puede contener informacin sobre: llamadas realizadas, llamadas recibidas y mensajes de texto enviados y recibidos. Contactos: Aunque no est instalado en un telfono mvil permite agregar datos de contactos. En el caso de estar instalado en un telfono mvil aadir la agenda del telfono como contactos. Informacin conexiones Bluetooth: Nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC. Informacin del usuario. Tambin hay que tener en cuenta las posibles filosofas de trabajo distintas que puede tener los dispositivos GPS TomTom, que son:
Tambin hay que tener en cuenta que este anlisis es intrusivo y previamente hay que realizar la adquisicin de imagen del disco y la recuperacin de datos que hayan sido borrados.
Anlisis forense de dispositivos GPS TomTom.

Para justificar un anlisis de un dispositivo GPS es necesario saber que informacin podemos extraer de l. En el caso de TomTom podemos extraer:
Printed with
Informacin del dispositivo: Nmero de serie del dispositivo, el nmero de modelo, la versin del programa y la versin del los
Modelos TomTom con ranura de tarjeta SD: La informacin que queremos extraer se guarda en tarjetas de memoria SD. La aplicacin y los mapas se almacenan en la tarjeta SD ya que no poseen otro medio de almacenamiento. Dentro de este grupo podemos incluir las PDA y los telfonos mviles con GPS. Modelos de TomTom con disco duro interno: Toda la informacin se guarda en un disco duro interno y la nica forma de acceder es conectando el dispositivo a un PC.
joliprint
Page 4
Para empezar el anlisis tenemos que tener en cuenta, basndonos en los datos relativos a la filosofa de trabajo del dispositivo, dos metodologas concretas: Cuando se trata de un TomTom con ranura de tarjeta SD:
No se debe encender el dispositivo debido a que sobrescribir datos sobre su posicin y se corromper el escenario. En caso de PDA o telfonos mviles con no cargar la aplicacin es suficiente. Retirar la tarjeta SD y protegerla contra escritura, para evitar as que se pueda corromper el escenario. Realizar una imagen de la misma. Cuando se trata de un TomTom con disco duro interno:
Printed with
La mayora de los datos son fciles de interpretar, pero el ltimo viaje realizado tiene una peculiariDespus de tener en cuenta estas recomendaciones, dad basada en el funcionamiento de la aplicacin. la informacin se extrae de los siguientes archivos: Cuando se traza un viaje, existe un punto origen y un punto destino, si se sigue la ruta marcada eses datos quedaran grabados y son fciles de interpretar. Pero cuando en el viaje el usuario se equivoca *.cfg: Los nombres de los ficheros dependen y la aplicacin recalcula la ruta, el punto origen
Para extraer la informacin es necesario encender el dispositivo. Como consecuencia corre el peligro de activar la aplicacin y al recibir la seal de los satlites corromper el escenario. Entonces hay que inhibir la seal de los satlites con una jaula de Faraday, se puede emplear para tal efecto, papel de aluminio, envolviendo completamente el dispositivo. Realizar una imagen del disco duro.
de la versin y se encuentra en la carpeta del mapa. Suele llamarse Mapsettings.cfg o (nombre del mapa).cfg. Puede haber ms de un mapa instalado, el mapa actual se puede encontrar en el archivo currentmap. dat. Ests archivos cfg contienen: localizacin marcada como casa, favoritos, direcciones manualmente incorporadas, viajes recientes, detalles de antiguos viajes, ltima posicin antes de apagarlo (solo en modelos antiguos). CurrentLocation.dat: ltima posicin antes de apagarlo. ttgo.bif o ttnavigator.bif: Informacin general del dispositivo, nmero de modelo, nmero de serie, contrasea de usuario. Settings.dat: Conexiones Bluetooth: nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC. Informacin introducida por el usuario como: nombre, nmero de telfono, direccin Called.txt: Llamadas realizadas, en el caso de que se trate de un telfono mvil GPS. Hechas a travs de la aplicacin TomTom. Callers.txt: Llamadas recibidas, en el caso de que se trate de un telfono mvil GPS. Recibidas a travs de la aplicacin TomTom. Contacts.txt: Informacin acerca de los contactos. Inbox.txt: Mensajes de texto que ha recibido a travs de la aplicacin TomTom. Outbox.txt: Mensajes de texto enviados a travs de la aplicacin TomTom, en el caso de que se trate de un telfono mvil GPS.
joliprint
Page 5
varia y seria el lugar donde se ha recalculado la ruta. Esta situacin puede ser engaosa, a la hora de realizar el anlisis forense, porque el punto origen grabado no sera el original. Para evitar esto, hay que recuperar todos los archivos borrados del disco o tarjeta. Gracias a ellos podremos saber la ltima ruta exactamente y tambin otras rutas anteriormente realizadas. Existe una herramienta gratuita para anlisis forense de TomTom se trata de TomTology y con ella podemos descifrar: localizacin marcada como casa, los favoritos, destinos recientes, ltimos viajes, gua telefnica, contactos, llamadas recibidas y llamadas enviadas. TomTology tambin analiza los archivos borrados para realizar un correcto informe. Adems presenta los informes en formato HTML e incluye la posibilidad de exportar los datos a Google Earth. Ms informacin y descarga de TomTology: http://www.forensicnavigation.com/#/pro ducts/4527490520
Esta herramienta simplifica un anlisis de conexiones de una aplicacin ya que no hay que capturar el trfico y separarlo, como seria en el caso de usar un sniffer. Esta tcnica se puede utilizar para analizar procesos sospechosos de malware. Pero tambin para anlisis forense de malware, ya que se detectan las acciones del malware en el sistema, las conexiones de red que establece y a que direcciones las establece. Ms informacin y descarga de oSpy: http://code.google.com/p/ospy/
Anlisis forense router Cisco.

En este post se van a tratar las prcticas forenses que se deben aplicar a un router Cisco o basados en Cisco. En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes: Porque atacar un router:
Ingeniera inversa de procesos que corren en Windows.

Podemos realizar ingeniera inversas de procesos en Windows a nivel de API con la herramienta oSpy. Al trabajar a nivel de API permite una vista muy profunda de los procesos, sus comportamientos y ver su cdigo. Con esta herramienta podemos monitorizar los accesos a la red de los procesos: puertos que abre, servicios que emplea Adems podemos simular como afectara un entorno firewall en un proceso con una funcin llamada softwalling que permite aplicar reglas firewall al proceso monitorizado.
Printed with
joliprint
Realizar un ataque de denegacin de servicios (DoS) al router y a la red a la que pertenece. Comprometer otros routers a travs de el. Desviar firewalls de red, IDS o otros servicios. Monitorizar y grabar el trfico entrante o saliente de la red. Redirigir el trfico de la red a otro punto.
Tambin hay que tener claro la filosofa de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:
Page 6
Las memorias son: Memoria RAM: Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo. En ella se almacena:
Configuracin activa. Tablas dinmicas: ARP, Routing, NAT, Violaciones ACL, estadsticas protocolos Memoria Flash: Es persistente, aun apagando el equipo, esta memoria no se borra. En esta memoria se almacena:
pero despus de recoger informacin, para monitorizar si la actividad continua. Conectarse para realizar el anlisis forense a travs del puerto consola del router y no a travs de la red, porque se corrompera la escena. Grabar la sesin completa de anlisis de la consola en un archivo de log. Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuracin del router. Una vez extrada la informacin voltil, podemos analizar las vulnerabilidades del router y escanear sus servicios a travs de la red.
Despus de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuracin activa y las tablas dinmicas. La sesin de consola en la que se ejecuten ests comandos, debe ser grabada. Los comandos son:
Configuracin de arranque. Archivos del sistema IOS. Para empezar el anlisis tenemos que tener en cuenta, basndonos en los datos relativos a la filosofa de trabajo del router, una metodologa concreta, que consiste en:
Printed with
No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el anlisis, sin ests datos, el anlisis no tiene sentido. Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentacin. En algunas casos se puede realizar sin aislar
show clock detail show version show running-config show startup-config show reload show ip route show ip arp show users show logging show ip interface show interfaces show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp user show snmp group
joliprint
Page 7
show clock detail Tambin podemos utilizar una herramienta automatizada para recabar esta informacin, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta informacin, ejecutando estos comandos: # terminal length 0 # dir /all # show clock detail # show ntp # show version # show running-config # show startup-config # show reload # show ip route # show ip arp # show users # show logging # show interfaces # show ip interfaces # show access-lists # show tcp brief all # show ip sockets # show ip nat translations verbose # show ip cache flow # show ip cef # show snmp users # show snmp groups # show clock detail # exit Despus de obtener est informacin pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router. Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper. Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool
Ms informacin y descarga de CREED (Cisco Router Evidence Extraction Disk): http://web.archive.org/web/20040214172413/http:// cybercrime.kennesaw.edu/creed/ Ms informacin y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post Herramientas para asegurar dispositivos Cisco: http://vtroger.blogspot.com/2008/07/herramientaspara-asegurar-dispositivos.html Ms informacin y descarga de Nipper en el post Auditar seguridad en dispositivos Cisco: http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
Anlisis forense de elementos enviados a la papelera de reciclaje.

Una tcnica de anlisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:
Windows 95/98/ME en C:\Recycled\ Windows NT/2000/XP/ en C:\Recycler\ Un ejemplo en de la estructura en un Windows XP con dos usuarios: C : \ R E C Y C L E R \S-1-5-21-1417001333-343818398-1801674531-1004 C:\RECYCLER\ S-1-5-21-1417001333-3438183981801674531-500 Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados
Printed with
joliprint
Page 8
de cada uno. Adems de estos archivos se encuentra tambin un archivo llamado INFO2 donde se almacena la informacin sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta informacin con un editor hexadecimal, aunque es ms fcil utilizar la herramienta rifiuti. Ejemplo: Entramos en la carpeta de usuario en la ruta C:\ RECYCLER. C : \ R E C Y C L E R \S-1-5-21-1417001333-343818398-1801674531-500> Y ejecutamos rifiuti: rifiuti INFO2>e:\analisis.txt Y el resultado se genera en el archivo analisis.txt donde aparecer: la fecha y hora de eliminacin, la ruta de donde se eliminaron y el tamao, de todos los archivos que se enviaron a la papelera de reciclaje. Rifiuti tambin esta disponible para Linux.
Exif), gif, png, bmp, avi, mpg, exe, rar, wav, riff, wmv, mov, pdf, ole (estructura usada por PowerPoint, Word, Excel, Access y StarWriter), doc (es mas eficiente usar la herramienta para estructuras ole), zip, htm y cpp. Foremost esta disponible para Linux y entre sus principales caractersticas destaca la posibilidad de trabajar con imgenes de disco, caracterstica que la convierte en una herramienta til para informtica forense. Ms informacin y descarga de foremost: http://foremost.sourceforge.net/ Manual de uso de foremost: http://foremost.sourceforge.net/foremost.html
Extraccin y uso de metadatos.

Los metadatos, es la informacin insertada en los archivos por el software de edicin o creacin de los mismos, ests metadatos contienen informacin acerca de la creacin del archivo como: nombre de autor, autores anteriores, nombre de compaa, cantidad de veces que el documento fue modificado, fecha de creacin Los metadatos pueden tener varias aplicaciones como:
Ms informacin y descarga de rifiuti: http://www.foundstone.com/us/resources/proddesc/ rifiuti.htm
Recuperar archivos basndose en su estructura.

Con la herramienta foremost, que nos permite recuperar archivos basndose en su estructura interna. Esta tcnica permite una eficiente recuperacin de archivos donde otro software no es capaz de recuperar. Las estructuras de archivos que reconoce y recupera son: jpg(soporta JFIF y
Printed with
En informtica forense: Para demostrar en un juicio que unos archivos de imgenes pertenecen a una determinada cmara de fotos. En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red para despus realizar un ataque de fuerza bruta. Aqu dejo una lista de herramientas de adquisicin
joliprint
Page 9
de metadatos muy tiles: hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y esta disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD. Ms informacin y descarga: http://hachoir.org/wiki/hachoir-metadata ExifTool, la mejor herramienta para extraer metadatos de imgenes ya que puede trabajar con EXIF e IPTC (estndares utilizados por cmara de fotos para intercambiar ficheros d e imgenes con compresin JPEG). Adems reconoce metadatos insertados por cmaras: Canon, Casio, FujiFilm, HP, JVC/ Victor, Kodak, Leaf, Minolta/Konica-Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/ Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux. Ms informacin y descarga: http://www.sno.phy.queensu.ca/~phil/exiftool/ Metagoofil, diseada para extraer archivos: pdf, doc, xls y ppt de un sitio web a travs de google, y analizar los metadatos de los archivos. Para obtener informacin y realizar un ataque o un test de intrusin. Esta escrita en python. Ms informacin y descarga: http://www.edge-security.com/metagoofil.php Pinpoint Metaviewer, permite a los usuarios extraer rpidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores hash. Destaca que puede obtener anti-
guos usurarios, en el caso de que fuera varias veces modificado por diferentes personas. Ms informacin y descarga: http://www.pinpointlabs.com/free_tools/metaviewer/
Recoleccin de evidencias forenses sistema vivo.

Con la herramienta Evidence Collector se puede hacer una recoleccin de evidencias forenses en sistema vivo de la plataforma Windows, de una forma muy rpida. Es ideal para un primer anlisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados. Con esta herramienta podemos extraer las siguientes evidencias:
Printed with
Informacin de sistema: Usuarios, IP y MAC . Recursos compartidos y las polticas que se aplicaron a los recursos: Muy prctico para detectar si a travs de que recursos compartidos se pudo acceder a la maquina. Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados. Software instalados: Listado del software instalado en la maquina. Actualizaciones instaladas: Enumeracin de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad
joliprint
Page 10
potencialmente explotable. Enumeracin de procesos: Enumera los procesos que se cargan al inicio del sistema. Registros de sucesos: Se recogen los registros de aplicacin, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones. Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administracin remota y troyanos. Seguimiento de procesos: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. til para ver si existen procesos sospechosos. Programas que se aaden al inicio: Al reiniciar las computadoras, muchos malware se aaden en el registro para ser recargados otra vez. Mdulos sospechosos: Explora mdulos en busca rootkit. Historia USB: Muestra informacin sobre los dispositivos USB que fueron conectados al sistema. Polticas de usuarios: Recoge lo usuarios del sistema y las polticas. Para utilizar esta herramienta se necesitan permisos de administrador. Os recomiendo que para usar la herramienta copiis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.
sistemas operativos, las sesiones, los nombres de equipo, los puertos abiertos NetworkMiner hace uso de bases de datos de la huellas del sistema operativo para identificarlos y tambin utiliza la listas de Mac fabricantes para identificar dispositivos de red. Esta herramienta puede extraer los archivos que fluyen a travs de una red, excepto los archivos multimedia (tales como archivos audios o video) almacenndolos en carpetas clasificadas por IP de las que provienen. Otra caracterstica muy til es que el usuario puede buscar los datos interceptados o almacenados por palabras claves. Tambin utiliza mtodos estadsticos para la identificacin de una sesin de TCP o UDP, identificando el protocolo correcto basado en el contenido del paquete de TCP/UDP. De esta manera NetworkMiner puede identificar protocolos incluso si el servicio funciona en un puerto no estndar. Con esta herramienta se puede hacer un sencillo anlisis forense de las capturas de trafico guardadas en archivos PCAP. Ms informacin y descarga de NetworkMiner: http://sourceforge.net/projects/networkminer/
Anlisis forense de accesos no autorizados en NTFS.
Ms informacin y descarga de Evidence Collector: Podemos averiguar accesos no autorizados en NTFS http://www.security-database.com/evidence.php usando las herramientas en lnea de comandos gratuitas de Forensic ToolKit. Este Kit de herramienAnlisis de red con sniffer pasivo. tas incluye: Utilizando la herramienta NetworkMiner es un sniffer pasivo para Windows, con un interfaz fcil de utilizar. Puede detectar: los AFind: Herta que lista vos por el ramienlos architiempo
Printed with
joliprint
Page 11
de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido. Sintaxis: AFind v2.0 - Copyright(c) 2000, Foundstone, Inc. NTFS Last Access Time Finder Command Line Switches [dirname] Directory to search -f [filename] List last access time of file -s [seconds] Files accessed less than x seconds ago -m [minutes] Files accessed less than x minutes ago -h [hours] Files accessed less than x hours ago -d [days] Files accessed less than x days ago -a [d/m/y-h:m:s] Files accessed after this date/time -ns Exclude sub-directories - or / Either switch statement can be used -? Help Additional time frame usage: afind /s 2-4 Files accessed between 2 and 4 seconds ago afind /m 2-4 Files between 2 and 4 minutes ago afind /s 2-4 Files between 2 and 4 seconds ago afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates HFind: Explora el disco buscando archivos ocultos. Encontrar cualquiera archivo oculto incluso los ocultados por el sistema, usando el atributo archivos del sistema. ste es el mtodo que utiliza Internet Explorer para ocultar datos. HFind tambin enumera los tiempos de acceso pasados. Sintaxis: HFind v3.0 - Copyright(c) 2000, Foundstone, Inc. Hidden file finder with last access times Usage - hfind [path] /ns [dirpath] Directory to search - none equals current -ns Skip sub-directories
- or / Either switch statement can be used -? Help SFind: Explora el disco buscando secuencias de datos ocultas y enumera los tiempos de acceso pasados. Sintaxis: SFind v2.0 - Copyright(c) 1998, Foundstone, Inc. Alternate Data Stream Finder Usage - sfind [path] /ns [dirpath] Directory to search - none equals current -ns Skip sub-directories - or / Either switch statement can be used -? Help FileStat: Muestra todas los permisos de los archivo. Trabaja solamente con un archivo a la vez. Tambin enumera tiempos de acceso pasados clasificado por usuarios. Sintaxis: FileStat v2.0 Copyright(c) 1998, Foundstone, Inc. Dumps NTFS security, file, and stream attributes Command Line Switches [Filename] Name of file to list -? Help DACLchk: Muestra las ACL con la informacin de accesos pasados, de todos los archivos de un directorio, en orden inverso. Sintaxis: DACLchk v2.0 - Copyright(c) 1999, Foundstone, Inc. NTFS DACL ACE Order Detector Dumps any ACL that has Denied and Allowed ACEs in reverse order Usage - sfind [path] /ns [dirpath] Directory to search - none equals current -d Dump all DACLs - Dont detect reversed ACEs -ns Skip sub-directories - or / Either switch statement can be used
Printed with
joliprint
Page 12
-? Help Audited: Esta herramienta combina la informacin de acceso a ficheros con la informacin de auditoria de Windows. Solo funciona si se tiene habilitado las polticas de auditoria. Sintaxis: Audited v2.0 - Copyright(c) 1998, Foundstone, Inc. NTFS SACL Reporter - Finds audited files Usage - audited [path] /ns [dirpath] Directory to search - none equals current -d Dump file audit attributes -r [hivekey] Dump registry audit attributes -s [subkey] Optional sub-key to search -v Verbose mode -ns Skip sub-directories/sub keys - or / Either switch statement can be used Reg key constants are - HKLM, HKCR, HKCU, HKU, HKCC Dumps entire reg if no keyname is specified -? Help Hunt: Es una herramienta para mostrar si un sistema revela demasiada informacin va NULL sessions. Sintaxis: Hunt v2.0 - Copyright(c) 1998, Foundstone, Inc. SMB share enumerator and admin finder Usage - hunt \\servername /? = Help Estas herramientas solo funcionan si se usan con privilegios de administrador. Ms informacin y descarga de Forensic ToolKit: http://www.foundstone.com/us/resources/proddesc/ forensictoolkit.htm
Ver todos los dispositivos USB que fueron conectados en Windows.

Como ya he comentado en anteriores post, los dispositivos USB de almacenamiento, son muy prcticos, pero puede resultar un problema de seguridad, porque a travs de ellos pueden infectar nuestro sistema o ser usados para llevar informacin crtica del sistema. Con la herramienta USBDeview podemos ver que dispositivos USB fueron conectados al sistema y cuando. Esta herramienta puede mostrar la siguiente informacin sobre el dispositivo: nombre, descripcin, tipo de dispositivo, letra de unidad, nmero de serie, fecha de instalacin, fecha de ltima conexin y desconexin. Tambin permite bloquear los dispositivos que seleccionemos, desinstalarlos o bloquear todos los dispositivos USB que se conecten al sistema. Es una aplicacin que apenas ocupa 84 Kb lo que la convierte en una herramienta para aadir a nuestra coleccin de software portable de seguridad. Ms informacin y descarga de USBDeview: http://www.nirsoft.net/utils/usb_devices_view.html Auditar uso de dispositivos USB, FireWire y PCMCIA: http://vtroger.blogspot.com/2006/09/auditar-usode-dispositivos-usb.html
joliprint
Recuperar correos electrnicos borrados en Outlook.

Los correos electrnicos que eliminamos de la bandeja de elementos eliminados se pueden recuperar, debido a que Microsoft Outlook no
Printed with
Page 13
borra la informacin definitivamente en el fichero de almacenamiento de buzones (*.PST), solo hace una marca, para que no aparezcan. Para recuperar ests correos usamos una herramienta que viene oculta en Outlook, para repara archivos PST daados, la Herramienta de Reparacin de la Bandeja de Entrada, su ejecutable es SCANPST.EXE y se encuentra en la ruta: Versiones posteriores a Office 2007: C:\Archivos de programa\Archivos comunes\System\ MSMAPI\3082 En Office 2007: C:\Archivos de programa\Microsoft Office\Office12 Pero esta herramienta solo funciona con PST daados, para poder usarla para recuperar correos debemos daar nuestro PST sin tocar los correos, solo modificando la cabecera. Para daar el archivo PST lo modificamos con un editor hexadecimal y cambiamos el primer byte introduciendo cualquier valor (para mayor seguridad podemos hacer una copia del PST). El archivo PST se encuentra en todas las versiones de Outlook en: C:\Documents and Settings\nombre de usuario\ Configuracin local\Datos de programa\Microsoft\ Outlook Una vez daado el PST podemos usar la Herramienta de Reparacin de la Bandeja de Entrada, esta herramienta recuperara todos los correos quitando las marcas de borrado que encuentre, y de esta forma aparecern todos los correos incluso los borrados definitivamente.
Esta tcnica se puede usar tambin para Outlook Express. Outlook Express usa archivos DBX para almacenar correos en vez de PST y estn almacenados en la ruta: C:\Documents and Settings\nombre de usuario\ Configuracin local\Datos de programa\Identities\ {BB4C88D8-ABD9-4A94-801D-5F2A28712F57}\Microsoft\Outlook Express Siguiendo el mismo proceso para corromper PST, corrompemos los DBX y despus utilizamos la herramienta DBX Backup para recuperar los correos electrnicos. No se pueden recuperar todos los archivos borrados solo los ms recientes ya que Outlook cada cierto limpia sus PST, de todas formas estas tcnica es muy eficaz. Descarga de herramienta DBX Backup: http://www.mailnavigator.com/recupexpress.html
Recuperacin de datos en CD y DVD daados.

Los medios pticos como el CD y DVD guardan los datos durante un tiempo finito, aunque dependiendo de la calidad del mismo suelen durar muchos aos. El deterioro de un CD/DVD suele producirse desde la regin interna del disco hasta su regin externa. E x i s t e una herram i e nt a que nos puede ayudar a recuperar informacin de soportes pticos daados, que muchas veces no son legibles por el sistema y llegan a bloquear la unidad. Se trata de Dvdisaster una aplicacin que permite recuperar perdigadas de informacin por deterioro del soporte.
Printed with
joliprint
Page 14
Dvdisaster genera un archivo de correccin de errores ECC del disco y una imagen de dicho disco. A partir de la imagen del disco y el fichero de ECC corrige los sectores que no son legibles y el resultado lo vuelca una nueva imagen con lo que se ha podido recuperar del disco. Aunque su uso esta pensado para generar archivos ECC como copias de seguridad de CD/DVD con informacin importante, para su posterior recuperacin con Dvdisaster en caso de deterioro. Se puede usar para recuperar CD/DVD con errores, claro esta, con menos probabilidades de obtener buenos resultados. Tambin se puede usar para comprobar el estado de un CD/DVD. Esta disponible en las plataformas: FreeBSD, Linux , Mac OS X, NetBSD y Windows 2000 o XP. Soporta: CD-R, CD-RW, DVD-R, DVD+R, DVD-R DL, DVD+R DL, DVD-RW, DVD+RW y DVD-RAM. Ms informacin y descarga de Dvdisaster: http://dvdisaster.net/
se utiliza la herramienta desde otro sistema operativo y con el sistema a investigar en su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integridad de archivos, estructura de ficheros, logs del sistema y datos borrados. Un anlisis de sistema vivo ocurre cuando se est analizando el sistema sospechoso mientras est funcionando. Este anlisis se utiliza mientras que se est produciendo el incidente y se analiza bsicamente: procesos, memoria, ficheros Despus de que se confirme la amenaza, el sistema puede ser adquirido en una imagen para conservarlo sin corrupciones posteriores y as realizar anlisis de sistema muerto. Esta aplicacin posee las siguientes tcnicas de bsqueda de evidencias: Listado del archivo: Analiza los archivos y los directorios, incluyendo los nombres de archivos suprimidos. El contenido de archivos: Se puede ver en formato raw, hex o ASCII. Cuando se interpretan los datos, la autopsia los esteriliza para prevenir corrupcin por parte del anlisis del sistema local. Bases de datos de Hash: Los archivos son reconocidos como buenos o perjudiciales para el sistema basndose en la biblioteca de referencia del software NIST (NSRL) y las bases de datos creadas por el usuario. Clasificacin de tipos de archivo por extensiones: Clasifica los archivos basndose en sus firmas internas para identificar extensiones conocidas. La autopsia puede tambin extraer solamente imgenes grficas y comparar el tipo de archivo para
Suite completa para informtica forense.

Se trata de Autopsy Forensic Browser es un interfaz grfico basado en las herramientas en lnea de comandos del Sleuth Kit. La combinacin de estas herramientas instalada en un servidor utilizando un sistema basado en la plataforma Unix forman un una completa suite informtica que solo necesita de un sistema operativo con navegador para acceder a ella. Ya que Autopsy Forensic Browser proporciona una aplicacin basada en HTML que puede usarse para anlisis forenses de los sistemas Windows y UNIX soportando sistemas de ficheros (NTFS, FAT, UFS1/2, Ext2/3). Su filosofa de funcionamiento se basa en la buena prctica forense partiendo de dos tipos de anlisis:
Click here to send your feedback Printed with
joliprint
Un anlisis de sistema muerto, en este caso
Page 15
identificar posibles cambios en la extensin para ocultarlos. Lnea de tiempo de la actividad del archivo: En algunos casos, tener una lnea de tiempo de la actividad del archivo puede ayudar a identificar reas de un sistema de ficheros que puedan contener evidencias. La autopsia puede crear la lnea de tiempo que contienen los registros de: modificacin, acceso, y cambios de fechas en los archivos. Bsqueda de palabra clave: Las bsquedas de palabra clave de la imagen del sistema de ficheros se pueden realizar usando secuencias del ASCII y expresiones regulares. Las bsquedas se pueden realizar en la imagen completa del sistema de ficheros. Anlisis de los meta datos: Las estructuras de los meta datos contienen los detalles sobre archivos y directorios. La autopsia permite una visin los detalles de cualquier estructura de los meta datos en el sistema de ficheros. Esto es til para recuperar el contenido eliminado. La autopsia buscar los directorios para identificar la trayectoria de los archivo.
iguales a los del usuario original. Cada anfitrin puede contener unas o ms imgenes del sistema de ficheros para analizar. Secuenciador de acontecimientos: Los acontecimientos se pueden agregar de los log de un IDS o de un cortafuegos. La autopsia clasifica los acontecimientos para poder determinar ms fcilmente la secuencia de los acontecimientos del incidente. Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrin y investigador. Esto permite hacer notas rpidas sobre archivos y estructuras. Integridad de imagen: Es crucial asegurarse de que los archivos no estn modificados durante anlisis. La autopsia, por defecto, generar un valor MD5 para todos los archivos. Se puede validar en cualquier momento, la integridad de cualquier archivo que la autopsia utiliza. Informes: La autopsia puede crear los informes para los archivos y otras estructuras del sistema de ficheros. Registros: Los registros de la intervencin se crean en un caso, un anfitrin, y un nivel del investigador para poder recordar fcilmente las acciones y los comandos ejecutados. Entre las caractersticas de este kit hay que destacar que esta basado en una aplicacin cliente-servidor en HTML por lo tanto no hay trabajar en el mismo sistema que las imgenes del sistema de ficheros. Esto permite que mltiples investigadores utilicen el mismo servidor y conecten sus sistemas personales. Ms informacin y descarga de Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/desc.php Herramientas forenses del sistema de ficheros
Detalles de la imagen: Se pueden ver los detalles del sistema de ficheros, incluyendo la disposicin en disco y pocas de actividad. Este modo proporciona informacin til durante la recuperacin de datos. En los que se refiere a la gestin de diferentes casos y la elaboracin de informes esta suite posee mdulos como: Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o ms anfitriones. Cada anfitrin se configura para te ner su propia posicin, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean
Printed with
joliprint
Page 16
http://vtroger.blogspot.com/2006/08/herramientasforenses-del-sistema-de.html
Herramientas forenses del sistema de ficheros

El Sleuth Kit 2.05 es una coleccin de herramientas forenses del sistema de ficheros que podemos usar en Linux, y nos permite investigar los sistemas de ficheros: TFS, AT, FS, N F F EXT2FS y EXT3FS de una computadora sospechosa de un ataque informtico. Las herramientas estn diseadas para extraer datos de las estructuras internas del sistema de ficheros. Porque las herramientas no confan en el sistema operativo para procesar el contenido suprimido y ocultado de los sistemas de ficheros. Con esta herramienta podemos obtener datos como: fecha en que se han modificado, creado o accedido cualquiera de los ficheros de un sistema de ficheros. Descarga The Sleuth Kit 2.05: http://www.net-security.org/software.php?id=215 Ejemplo de uso de The Sleuth Kit 2.05 en la pagina 9 apartado 1.4: http://www.seguridad.unam.mx/eventos/reto/uno_ tecnico.pdf
Averiguar las pginas visitadas en IE aunque se borre el historial.

Internet Explorer genera un archivo llamado index. dat en el que almacena las paginas visitadas por el usuario, las cookies y la cache de ficheros. Aunque un usuario borre el historial, la cache y las cookies este fichero mantiene un registro que no se puede borrar en modo normal, solo en modo seguro. Este fichero tambin guarda un registro de las palabras usadas cuando la opcin autocompletar esta activa. Para leer el registro pueden usar herramientas como: Index Dat Spy permite buscar ests archivos leerlos y eliminarlos. Index.datsuite tambin permite leerlos y eliminarlos. Index.dat Analyzer que adems de poseer las misma opciones que los otros, tiene la opcin borrar entradas especificas. Este archivo es usado por el malware para obtener informacin sobre nuestros hbitos de navegacin. Actualmente Internet Explorer 7 tiene solucionado dicho problema de seguridad. Index Dat Spy: http://www.stevengould.org/software/indexdatspy/ index.datsuite: h t t p : / / s u p p o r t . i t - m a t e . co.uk/?mode=Products&p=index.datsuite Index.dat Analyzer: http://www.systenance.com/indexdat.php
Printed with
joliprint
Page 17

Informática Forense

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Informática Forense

Caricato da

Copyright:

Formati disponibili

vtroger.blogspot.

jueves, febrero 18, 2010

Herramienta para analizar pginas Web con cdigo malicioso.

Click here to send your feedback

Varias distribuciones de seguridad en un solo USB.

Herramienta anlisis forense sistema de archivos.

jueves, febrero 18, 2010

Anlisis forense de cola de impresin de Windows.

Click here to send your feedback

jueves, febrero 18, 2010

Anlisis forense de Mozilla Firefox 3.X.

Click here to send your feedback

jueves, febrero 18, 2010

Anlisis forense de dispositivos GPS TomTom.

jueves, febrero 18, 2010

Click here to send your feedback

jueves, febrero 18, 2010

Anlisis forense router Cisco.

Click here to send your feedback

Ingeniera inversa de procesos que corren en Windows.

jueves, febrero 18, 2010

Click here to send your feedback

jueves, febrero 18, 2010

Anlisis forense de elementos enviados a la papelera de reciclaje.

Click here to send your feedback

jueves, febrero 18, 2010

Extraccin y uso de metadatos.

Ms informacin y descarga de rifiuti: http://www.foundstone.com/us/resources/proddesc/ rifiuti.htm

Recuperar archivos basndose en su estructura.

jueves, febrero 18, 2010

Recoleccin de evidencias forenses sistema vivo.

Click here to send your feedback

jueves, febrero 18, 2010

Click here to send your feedback

Anlisis forense de accesos no autorizados en NTFS.

jueves, febrero 18, 2010

Click here to send your feedback

jueves, febrero 18, 2010

Ver todos los dispositivos USB que fueron conectados en Windows.

Click here to send your feedback

Recuperar correos electrnicos borrados en Outlook.

jueves, febrero 18, 2010

Recuperacin de datos en CD y DVD daados.

Click here to send your feedback

jueves, febrero 18, 2010

Suite completa para informtica forense.

Un anlisis de sistema muerto, en este caso

jueves, febrero 18, 2010

jueves, febrero 18, 2010

Herramientas forenses del sistema de ficheros

Averiguar las pginas visitadas en IE aunque se borre el historial.

Click here to send your feedback

Potrebbero piacerti anche