Seminario computacion forense_piura_abril_2008

Seminario Computación Forense

• Es común encontrar estas preguntas , cuando

se ha perpetrado un ataque

• Que fue lo que hicieron ..... ?Que fue lo que hicieron ..... ?

• Como fue que lo hicieron .... ?Como fue que lo hicieron .... ?

• Es donde la recolección de eventos en la red Es donde la recolección de eventos en la red

juega un papel importante al igual que su juega un papel importante al igual que su

análisisanálisis

Investigación de la Escena del Crimen

Definición Técnica: Computación Forense

“Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital

PLUS data recovery

Definición para las masas

Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento

nunca es eliminada completamente…

La computación Forense es el conjunto de herramientas y técnicas diseñadas para

recuperar esta información de manera que sea aceptable por el Sistema Jurídico.

13/04/23 5Germinal Isern Universidad Nacional de Piura

Definiciones Básicas

Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)

Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000)

Evidencia Digital. Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)

Evidencia Digital. Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )


Motivación

• Los archivos eliminados no son eliminados de forma segura

• Recuperar el archivo eliminado y la fecha!• Cambiar el nombre de los archivos para evitar

la detección , no tiene sentido• El formateo de los discos no elimina mucha

información• Email sobre el Web puede ser recuperado

directamente de su computador( de forma parcial)

• Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.


Motivación (2)

• Desinstalar las aplicaciones es mas difícil de lo que parece…• Data “volátil” permanece en el sistema por mucho tiempo (aun

después de múltiples arranques y cargas)• Remanentes de aplicaciones previas• El usar la codificación (encryption) adecuadamente es difícil,

ya que la información no es útil hasta que sea decodificada.• El software anti-forense (incremento de la privacidad) es

violado frecuentemente.• Imanes grandes generalmente no funcionan• La mutilación de medios (excepto en casos extremos) no

funciona.• Premisa básica: la información es muy difícil de

destruir.


Investigación en computación forense tradicional

• ¿Qué se puede hacer?– Recuperar data borrada

– Descubrir cuando los archivos fueron modificados, creados, eliminados, organizados.

– Determinar que dispositivo de almacenamiento fue conectado a un computador especifico

– Que aplicaciones fueron instaladas, aun si estas fueron desinstaladas por el usuario

– Que sitios web fueron visitados por el usuario…


Tradicional (2)

• Que no…– Si un medio físico esta físicamente destruido por

completo, la recuperación es imposible.

– Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.


Privacidad mediante la mutilación del dispositivo

degausser

o

oEliminación segura a nivel forensePero este seguro que funciona

o


¿Quién la necesita?

• Agencias policiales o de seguridad del estado– Persecución de crímenes que involucran

computadoras u otros medios digitales– Defensa del inocente– Enjuiciamiento del culpable– Debe seguir directrices muy estrictas durante el

proceso forense completo para garantizar que la evidencia sea admisible en corte.

• Fuerzas militares– Persecución de crímenes internos relacionados con

computación.– Sigue líneas propias, normas legales regulares no

aplican.


Quién (2)

• Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD)– Fuerzas anti-terroristas

– Una orden de búsqueda o cateo le permite a un individuo saber que esta siendo investigado.

– Patriot Act minimiza las exigencias requeridas para hacer búsquedas o cateos.


Quién (3)

• General– Mala conducta de un empleado en casos corporativos– ¿Qué le pasa a este computador?– En caso de eliminación accidental o maliciosa de data por

parte de usuario ( o por un programa), ¿ Qué puede ser recuperado?

– La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario

• Garantía de la privacidad– ¿Qué se puede hacer para garantizar la privacidad?– Premisa: Los individuos tienen el derecho de la privacidad,

como pueden estar garantizar que su data es privada.– Muy difícilmente a menos que una codificación muy fuerte sea

usada, y luego el problema pasa a ser el almacenamiento de las llaves.


Computación Forense: Metas (1)

• Identificación de evidencia digital potencial– ¿Dónde puede estar? ¿Qué dispositivos uso el

sospechoso?

• Preservación de la evidencia– En la escena del crimen…– Primero estabilizar la evidencia…prevenir la perdida

y la contaminación– Documentación cuidadosa de todo, que se agarro y

como…– Si es posible, hagan una copia idéntica a nivel de

bits de la evidencia para su revision.


Computación Forense: Metas (2)

• Extracción cuidadosa y revisión de la evidencia.– Análisis de archivos y directorios

• Presentación de los resultados de la investigación ( si es apropiado)– “La FAT fue fubared, pero usando un editor a hexadecimal

cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…”

– “El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”

• Legal: Investigación debe satisfacer los criterios de privacidad


Restricciones: Computación Forense

• Orden de volatilidad– Algún tipo de data es mas volátil– RAM > swap > disk > CDs/DVDs– Idea: capture L evidencia mas volátil primero

• Cadena de custodia– Mantenimiento de los registros de posesión para

todo– Debe ser capaz de hacer seguimiento a la evidencia

hasta su fuente original.– “Pruebe” que la fuente no ha sido modificada.


Aspectos Legales

• Admisibilidad en los juzgados– Generalmente si , pero hay precedentes.– Disparándole a un objetivo en movimiento. Si se es

consistente y no se crea evidencia, debe estar bien.• Legalidad de la obtención

– Si (con una orden apropiada de la corte) y si para otras circunstancias especiales

– Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores.

– Network sniffing se considera como wire tap. Sea cuidadoso• Requiere una orden titulo III de una corte (18 USC 2510-2521) • Muy difícil de obtener en EEUU• Lo mismo sucede con mensajes de texto en teléfonos celulares

Consulte a un abogado


Aspectos Legales (2)

• Las necesidades de la investigación vs. El derecho a la privacidad

• Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución

• Quinta enmienda y Codificación ( Encryption)• Leyes sobre grabaciones (wiretaps)• Cadena de custodia• Admisibilidad de la evidencia en corte: Daubert

– Esencia:• ¿Ha sido esta teoría o técnica probada? • ¿ Se conoce la tasa de error? • ¿ Es ampliamente aceptado dentro de una comunidad científica

relevante?

• Patriot Act– Expande el poder del gobierno de forma amplia


El proceso investigativo: necesidades

• Aceptación– Pasos y métodos son aceptados como validos

• Confiabilidad– Puede probarse que los métodos apoyan los

hallazgos.– Por ejemplo puede probarse que el método para

recuperar una imagen del espacio de swap puede ser exacto.

• Repetitividad– Los procesos pueden ser repetidos por agentes

independientes.


Proceso de investigación (2)

• Integridad– Evidencia no es modificada ( si es posible al

máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)

• Causa y efecto– Puede mostrar conexiones fuertes entre individuos,

evnetos y evidencias.

• Documentación– Todo el proceso documentado, con cada paso

explicado y con la justificación apropiada.


El principio: Alerta por incidente

• El administrador del sistema nota un comportamiento extraño en el servidor (lento, se cuelga, no responde)

• IDS alerta al administrador de un trafico de red sospechoso.

• La compañía repentinamente pierde muchas ventas• Algún ciudadano reporta una actividad criminal

– Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.

• Asesinato, hay un computador en la escena del crimen.• Asesinato, la victima tiene un PDA• Agencias de Seguridad del estado y la policía deben

investigar• Corporación/militares: pueden investigar, dependiendo

de la severidad del caso, otras prioridades.


Escena del crimen

• Documente, documente, documente• Fotografías que describan la organización de los

equipos, cableados• Inventario detallado de la evidencia• Procedimientos adecuados, prenda, deje las reglas

apagadas por cada tipo de dispositivo• Por ejemplo, para computador:

– Fotografíe la pantalla, luego desconecte la alimentación de energía.

– Coloque cinta de marca de evidencia sobre cada dispositivo.– Fotografíe/diagrame y etiquete la parte posterior del

computador con los componentes y sus conexiones existentes.– Etiquete todos los conectores y cables de manera de poder re-

ensamblar cuando sea necesario.– Si requiere de transportar, empaque los componentes y

transpórtelos como mercancía frágil.


Ejemplos de evidencia digital

• Computadores cada vez mas involucrados en investigaciones corporativas y criminales.

• La evidencia digital puede jugar un rol preponderante o ser una nube de humo.

• Correo electrónico– Acoso o amenaza– Chantaje– Transmisión ilegal de documentos corporativos

internos.


Ejemplos (2)

• Puntos de encuentro/horas de encuentro para trafico de drogas

• Cartas de suicidas• Información técnica para construir bombas• Archivos con imágenes o video digital (por

ejemplo pornografía infantil)• Evidencia sobre el uso inapropiado de los

recursos del computador o ataques– Uso de una maquina como un generador de correo

spam – Uso de una maquina para distribuir copias ilegales

de software.


Delitos Informáticos

13/04/23 Germinal Isern Universidad Nacional de Piura

26

Pornografía Infantil


27

Delitos Financieros


28

Clonadores de atrjetas de credito


29

Fuentes de Evidencia digital

• Computadores– Email

– Imágenes digitales

– Documentos

– Hojas de calculo

– Bitácoras de conversaciones (Chat logs)

– Software copiado ilegalmente u otro material con derechos restringidos de copia


Evidencia digital en un disco

• Archivos– Activos– Eliminados– Fragmentos

• Metadata de archivos• Espacio ocioso (Slack space)• Swap file• Información del sistema

– Registry– Bitácora (Logs)– Data de configuración


Mas fuentes (1)

• Teléfonos celulares– Números dicados– Llamadas recibidas– Números de correo de voz accedidos– Números de tarjeta de crédito/debito– Direcciones de correo electrónico– Llamadas a números forward

• PDAs/ Teléfonos inteligentes– Contactos, mapas, fotos, palabras clave,

documentos,…


Mas fuentes (2)

• Teléfonos internos/Contestadoras telefónicas– Mensajes entrantes/mensajes salientes– Números llamados– Información de la llamada entrante– Códigos de acceso para los sistemas de correos de

voz entrantes– Copiadoras– Especialmente copiadoras digitales, que pueden

almacenar trabajos enteros.


Mas fuentes (3)

• Sistemas de video juego

• Básicamente sistemas computacionales como la XBox.

• Dispositivos GPS – Rutas, puntos de camino

• Cámaras Digitales– Fotos, video, archivos en tarjetas de almacenamiento

(SD, memory stick, CF, …)


Preservación de la Evidencia

• Estabilizar la evidencia• Depende del tipo de dispositivo, pero debe mantener

felices a los dispositivos volátiles.• Cuando sea posible haga copias de la evidencia

original.• Dispositivos de bloqueo de escritura y alguna otra

tecnologia para garantizar que la información no sea modificada, son usados comúnmente.

• Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan

• Evidencia original debe ir luego a lugar controlado, lugar seguro

• “Alimentación” de los dispositivos volátiles continúan en almacenamiento

• Estas copias serán usadas en la próxima fase de la investigacion.


Preservación de la escena del crimen

Sala Sotano, aramario

Conexion inalambrica

“Querida Susana,

No es tu culpa

Solo jala el cable Mueve el mouse para una mirada rapida

Tripwires

tick…tick…tick…

Computo volatil

Documentación cuidadosa es esencial


Preservacion de la imagen

• Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.

• Bloqueadores de escritura ; buen plan.

• Herramientas para obtener imagenes:– dd bajo Linux– Floppies de arranque DOS– Soluciones propietarias

Drivelock write blocker

Investigar

Análisis: Arte, Ciencia, Experiencia

• Conocer donde se puede encontrar la evidencia

• Entender las técnicas usadas para esconder o destruir la data digital

• Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida

• Habilidad para manipular gigantesca cantidad de data digital…

• Ignorar lo irrelevante, apuntar a lo relevante• Comprender completamente las

circunstancias que hacen a la evidencia no confiable– Ejemplo: Creación de nuevos usuarios bajo

Windows 95/9813/04/23 40Germinal Isern Universidad Nacional de

Piura

Computadores Tradicionales: ¿Dónde está la evidencia?

• Archivos no eliminados, espere que los nombres sean incorrectos

• Archivos eliminados• Windows registry• Archivos de impresión del spool• Archivos en Hibernación • Archivos temporales (todos los .TMP en Windows!)• Espacio ocioso (Slack space)• Swap files• Browser caches• Particiones alternas u ocultas• Otra variedad de medios removibles como (floppies,

ZIP, tapes, …)


Análisis (1)

• Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible

• Descubrimiento de archivos eliminados• Descubrimiento de archivos renombrados• Recuperación de bloques de datos para archivos

grandes eliminados• Descubrimiento de material codificado• Creación de índices de claves para realizar

búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado.

• Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos


Análisis (2)

• Tallado de archivos para recuperar archivos eliminados, fragmentos del espacio no asignado

• Descubrimiento de los archivos conocidos usando diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, …

• Categorización de evidencia– x Archivos JPEG – y Archivos Word – z Archivos codificados ZIP – …

• Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado

• Muchos de estos procesos pueden ser automatizados


Análisis (3)

• Creación de un archivo de ilustración de las fechas de creación, modificación y eliminación de archivos.

• Para el sistema de archivos de Unix : inode # “timelines”• La actividad inusual saltara en el diagrama de tiempos

(timeline)• Cuidado! Problemas del reloj, confusiones con los

husos horarios , batería del CMOS muerta…• Revisión de data no eliminada y recuperada con cumpla

con ciertos criterios.– Por ejemplo, en un caso de pornografía infantil, busque

imágenes JPEG/GIF recuperadas en cualquier archivo multimedia

– Probablemente no investigue Excel o documentos financieros• Formulación de hipótesis y búsqueda de evidencia

adicional para justificar o refutar la hipótesis.


Proceso ForenseAutorización y Preparación

Identificación

Documentación, Recolección yPreservación

Examinación y Análisis

Reconstrucción

Reportes y Resultados


Herramientas utilizadas en el proceso

Nombre Suministrada por Plataforma Características

Flag(Forensic and

Log Analysis GUI )www.dsd.gov.au/library/software/flag/ *nix L

Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS

Sleuth9 www.deepnines.com/sleuth9.html *nix CSR

Dragon IDS www.enterasys.com/products/ids/ *nix CLSR

NSM Incident

responsewww.intellitactics.com Windows CLSRW

neuSecure www.guarded.net *nix CLSRW

NetIntercept www.sandstorm.net Linux box CSRA

NetWitness www.forensicexplorer.com Windows CLSRA

OSSIM www.ossim.net *nix CLSRA

SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR



Nombre Suministrada por Plataforma Características

TCPDump,Windumphttp://windump.polito.it

http://www.tcpdump.orgLinux, Windows C

Ngrep http://ngrep.sourceforge.net *nix C

Network Stumbler http://netstumbler.com Windows C

Kismet www.kismetwireless.net Windows, Linux C

Argus www.qosient.com/argus7/ *nix CL

Flow-tools www.splintered.net/sw/flow-tools/ *nix CL

Flow extract, Flow

Scripts

http://security.uchicago.edu/tools/net-

forensics/*nix L

Etherape http://etherape.sourceforge.net *nix C

Ethereal www.ethereal.com Windows-Linux CLS

Etherpeek www.wildpackets.com Windows CLS



• Algunas otras herramientas que ayudan en el proceso de

recolección de la información.

– Nessus. www.nessus.org

– Nmap. www.insecure.org

• También existen las llamadas distribuciones booteables, que son

definidas como el conjunto de herramientas en el proceso forense.

FIRE,Sleuth,Helix,Plan-B

• Dentro del conjunto de herramientas existen dos herramientas que

se consideran vitales para el manejo de incidentes y análisis

forense.

– IDS/IPS

– Honeytrap13/04/23 48Germinal Isern Universidad Nacional de

Piura

Demostración FTK

13/04/23 Piura Abril 200849Germinal Isern Universidad Nacional de Piura

FTK pantallas: Caso nuevo


FTK : Comienza la investigación


FTK : Sumario del caso


FTK : Thumbnail


Una muestra de investigacion

• Windows Registry• Swap File• Hibernation File• Recycle Bin• Print Spool Files• Filesystem Internals• File Carving • Slack Space• (Estructuras similares Linux, Mac OS X, etc.)


Acceso al Registry (en vivo

Image the machine

-- or –

Use “Obtain Protected Files”in the FTK Imager


FTK Registry Viewer


NTUSER.dat file


SAM file


SOFTWARE file


** VERY IMPORTANT **

“Select” key chooseswhich control set is current,which is “last known good” configuration

SYSTEM file


SYSTEM file


750GB USB harddrives (same type)

Two JumpdriveElite thumbdrives

SYSTEM file


Mas del Registry

• Otra información :– Tipo de CPU

– Información Interfaz de Red• IP addresses, default gateway, DHCP configuration, …

– Software instalado

– Hardware instalado

• Información del registry tipo “aja te agarre”– redundante, información no documentada

– profile cloning on older versions of Windows (95/98)• (e.g., typed URLs, browser history, My Documents, …)


Sistema de Archivos

Esencial conocerlo

FAT 12, 16, 32

NTFS

EXT 2, 3 …………..


Mejor Auditoria


Criminales en la computacion…


Wireshark (….. Ethereal)

Detailed packet data at various protocol levels

Packet listing

Raw data13/04/23 73Germinal Isern Universidad Nacional de Piura

Wireshark: Siguiendo un flujo TCP


Wireshark: control flujo FTP


Wireshark: flujo de datos FTP


Wireshark: Flujo de datos FTP


Wireshark: Sesion HTTP

save, then trim awayHTTP headers to retrieve image

Use: e.g., WinHex


Análisis Forense en vivo


Crear consulta


Crear


Objetivo


Confirmar informacion


Password


Adquisicion inicial


Informacion General


Informacion Interfaz IP


Analisis de datos


Puertos

vmware phoninghome to check for updates

SMB file server


Procesos en ejecucion


Conexiones


Archivos abiertos


Analisis vaciados de memoria


FATKIT / Volatools

Python-based system for examining physical memory dumps

C:\VolatoolsBasic-1.1.1>python volatools

usage: volatools cmd [cmd_opts]

Supported Commands: connections Print list of open connections datetime Get date/time information for image dlllist Print list of loaded dlls for each process files Print list of open files for each process ident Identify image properties such as DTB and VM type modules Print list of loaded modules pslist Print list of running processes sockets Print list of open sockets strings Match physical offsets to virtual addresses vaddump Dump the VAD sections to files vadinfo Dump the VAD info vadwalk Walk the VAD tree


C:\VolatoolsBasic-1.1.1>python volatools pslist -f d:\MEMDUMP.1GB

Name Pid PPid Thds Hnds TimeSystem 4 0 65 262 Thu Jan 01 00:00:00 1970smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007


C:\VolatoolsBasic-1.1.1>python volatools sockets -f d:\memdump.bluelu

Pid Port Proto Create Time1828 500 17 Wed Mar 28 02:22:36 20074 445 6 Wed Mar 28 02:22:20 2007736 135 6 Wed Mar 28 02:22:25 2007468 1900 17 Wed Mar 28 02:22:58 2007196 1031 6 Wed Mar 28 02:22:54 20071936 1025 6 Wed Mar 28 02:22:35 20074 139 6 Wed Mar 28 02:22:20 20071828 0 255 Wed Mar 28 02:22:36 20071112 123 17 Wed Mar 28 02:22:39 20071804 1029 17 Wed Mar 28 02:22:37 2007384 1028 6 Wed Mar 28 02:22:36 2007384 1032 6 Wed Mar 28 02:22:56 20074 137 17 Wed Mar 28 02:22:20 20071936 1026 6 Wed Mar 28 02:22:35 2007316 1030 6 Wed Mar 28 02:22:44 20071164 3793 6 Wed Mar 28 02:22:28 2007468 1900 17 Wed Mar 28 02:22:58 20071828 4500 17 Wed Mar 28 02:22:36 20074 138 17 Wed Mar 28 02:22:20 2007196 1037 6 Wed Mar 28 02:23:03 20071936 1027 6 Wed Mar 28 02:22:35 20074 445 17 Wed Mar 28 02:22:20 20071112 123 17 Wed Mar 28 02:22:39 2007


C:\VolatoolsBasic-1.1.1>python volatools files -f d:\MEMDUMP.1GB************************************************************************Pid: 4File \Documents and Settings\Administrator.HE00\NTUSER.DATFile \Documents and Settings\Administrator.HE00\NTUSER.DAT.LOGFile \System Volume Information\_restore{1625C426-0868-4E67-8C21-25BB305F7E1E}\

RP228\change.logFile \TopologyFile \pagefile.sysFile \WINDOWS\system32\config\SECURITYFile \WINDOWS\system32\config\SECURITY.LOGFile \WINDOWS\system32\config\softwareFile \WINDOWS\system32\config\software.LOGFile \hiberfil.sysFile \WINDOWS\system32\config\systemFile \WINDOWS\system32\config\system.LOGFile \WINDOWS\system32\config\defaultFile \WINDOWS\system32\config\default.LOGFile \WINDOWS\system32\config\SAMFile \WINDOWS\system32\config\SAM.LOGFile \Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DATFile \Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOGFile \File \Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOGFile \Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DATFile \WINDOWS\CSC\00000001************************************************************************Pid: 436File \WINDOWSFile \WINDOWS\system32…… 13/04/23 116Germinal Isern Universidad Nacional de

Piura

Analisis de la muerte de un computador

FTK Interlude


Email en el computador de Daryl


Analisis en vivo del computador


Command: pslist > pslist.txt

? Nada interesante


Command: pmdump –list > pmdump-list.txt

?Nada interesante?


Command: handle > handle.txt

!!


Command: dd if=\\.\PhysicalMemory of=PhysicalMemory.ddCommand: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt


El archivo “log.txt” en directorio c:\taxes en Word Para resaltar las sesiones importantes

DARYL_EVIDENCE\log.doc

Examen c:\taxes directorio:

turbotax97.exe era realmente un keylogger


¡Algo es sospechoso!

• Inmediatamente se conectan e ingresan a la red corporativa

• Atención especial al trafico de “sparelaptop3”

• Se inicia la investigación de sparelaptop3, que se encuentra en la sala de impresión de la compania


Wireshark Interlude


Analisis de red

Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare

• bobotie-notes.txt.bfe:– Directory info enumerated at packet 2029-2030.– 662 bytes (entire file) transferred in packet 2202.

• pate.txt (un-encrypted):– choose any packet in stream and follow TCP stream,

e.g., packet 3360.– data transfer is actually at packet 3479.

• pistachio-macaroons.txt.bfe:– 246 bytes (entire file) transferred in packet 4693.


Historia de inserción de USB (análisis de laptop flotante) HKEY_LOCAL_MACHINE/SYSUSBSTOR

Almacenamiento USB perteneciente a Niles Boudreaux,otro empleado de TurboChef.


HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR

¡Concordo!


Historia USB

En la computadora de Niles

• Copias de recetas codificadas y no codificadas (eliminadas)

• E-mail original de Ignatius Q. Riley (eliminado)


Email original de Ignatius ( Maquina N. Boudreaux’s)


A Closer Look at Email on Daryl Popper’s Computer


Una vista mas cerca del e-mail en el computador de Daryl

(HTML SOURCE)


La historia real

1. Niles infeliz, contacta a Lick-My-Spoon2. Niles instala un key logger en la maquina de Daryl while she’s at lunch,

and enables guest account and file sharing3. Key logger records Daryl’s encryption passwords4. Niles digs up unused, spare laptop5. Niles gets keystroke log remotely using spare laptop / file sharing6. Niles copies some recipes to spare laptop using file sharing7. Niles copies stolen recipes from spare laptop to USB disk8. Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius9. Ignatius sends reply to Niles10. Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops)11. Niles deposits forged reply on Daryl’s machine12. Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO,

investigation begins13. Niles continues periodically to copy recipes from Daryl’s machine to

spare laptop14. (These transfers were captured during network logging)15. Facing mounting evidence, Niles confesses


Seminario computacion forense_piura_abril_2008

Education

Transcript of Seminario computacion forense_piura_abril_2008