UTPL-SEMINARIO DE COMPUTACION II-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
Seminario de computacion forense
-
Upload
richard-rivas -
Category
Documents
-
view
226 -
download
2
description
Transcript of Seminario de computacion forense
![Page 1: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/1.jpg)
Seminario Computación Forense
![Page 2: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/2.jpg)
• Es común encontrar estas preguntas , cuando
se ha perpetrado un ataque
• Que fue lo que hicieron ..... ?
• Como fue que lo hicieron .... ?
• Es donde la recolección de eventos en la red
juega un papel importante al igual que su
análisis
![Page 3: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/3.jpg)
Investigación de la Escena del Crimen
![Page 4: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/4.jpg)
Definición Técnica: Computación Forense
“Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital
PLUS data recovery
![Page 5: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/5.jpg)
Definición para las masas
Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento
nunca es eliminada completamente…
La computación Forense es el conjunto de herramientas y técnicas diseñadas para
recuperar esta información de manera que sea aceptable por el Sistema Jurídico.
05/07/2012 5Germinal Isern Universidad Nacional de Piura
![Page 6: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/6.jpg)
Definiciones Básicas
Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computadorque soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)
Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sidocometido o que suministre un enlace entre el crimen y la víctima o entre el crimen ysu perpetrador. (Casey 2000)
Evidencia Digital. Cualquier información de valor probatorio que sea almacenada otransmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)
Evidencia Digital. Información almacenado o transmitida de manera binaria quepueda ser confiable en una corte. (IOCE. International Organization of ComputerEvidence )
05/07/2012 6Germinal Isern Universidad Nacional de Piura
![Page 7: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/7.jpg)
Motivación
• Los archivos eliminados no son eliminados de forma segura
• Recuperar el archivo eliminado y la fecha!• Cambiar el nombre de los archivos para evitar
la detección , no tiene sentido• El formateo de los discos no elimina mucha
información• Email sobre el Web puede ser recuperado
directamente de su computador( de forma parcial)
• Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.
05/07/2012 7Germinal Isern Universidad Nacional de Piura
![Page 8: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/8.jpg)
Motivación (2)
• Desinstalar las aplicaciones es mas difícil de lo que parece…• Data “volátil” permanece en el sistema por mucho tiempo (aun
después de múltiples arranques y cargas)• Remanentes de aplicaciones previas• El usar la codificación (encryption) adecuadamente es difícil,
ya que la información no es útil hasta que sea decodificada.• El software anti-forense (incremento de la privacidad) es
violado frecuentemente.• Imanes grandes generalmente no funcionan• La mutilación de medios (excepto en casos extremos) no
funciona.• Premisa básica: la información es muy difícil de
destruir.
05/07/2012 8Germinal Isern Universidad Nacional de Piura
![Page 9: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/9.jpg)
Investigación en computación forense tradicional
• ¿Qué se puede hacer?– Recuperar data borrada– Descubrir cuando los archivos fueron modificados,
creados, eliminados, organizados.– Determinar que dispositivo de almacenamiento fue
conectado a un computador especifico– Que aplicaciones fueron instaladas, aun si estas
fueron desinstaladas por el usuario– Que sitios web fueron visitados por el usuario…
05/07/2012 9Germinal Isern Universidad Nacional de Piura
![Page 10: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/10.jpg)
Tradicional (2)• Que no…
– Si un medio físico esta físicamente destruido por completo, la recuperación es imposible.
– Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.
05/07/2012 10Germinal Isern Universidad Nacional de Piura
![Page 11: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/11.jpg)
Privacidad mediante la mutilación del dispositivo
degausser
o
oEliminación segura a nivel forensePero este seguro que funciona
o
05/07/2012 11Germinal Isern Universidad Nacional de Piura
![Page 12: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/12.jpg)
¿Quién la necesita?
• Agencias policiales o de seguridad del estado– Persecución de crímenes que involucran
computadoras u otros medios digitales– Defensa del inocente– Enjuiciamiento del culpable– Debe seguir directrices muy estrictas durante el
proceso forense completo para garantizar que la evidencia sea admisible en corte.
• Fuerzas militares– Persecución de crímenes internos relacionados con
computación.– Sigue líneas propias, normas legales regulares no
aplican.
05/07/2012 12Germinal Isern Universidad Nacional de Piura
![Page 13: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/13.jpg)
Quién (2)
• Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD)– Fuerzas anti-terroristas– Una orden de búsqueda o cateo le permite a un
individuo saber que esta siendo investigado.– Patriot Act minimiza las exigencias requeridas para
hacer búsquedas o cateos.
05/07/2012 13Germinal Isern Universidad Nacional de Piura
![Page 14: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/14.jpg)
Quién (3)
• General– Mala conducta de un empleado en casos corporativos– ¿Qué le pasa a este computador?– En caso de eliminación accidental o maliciosa de data por
parte de usuario ( o por un programa), ¿ Qué puede ser recuperado?
– La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario
• Garantía de la privacidad– ¿Qué se puede hacer para garantizar la privacidad?– Premisa: Los individuos tienen el derecho de la privacidad,
como pueden estar garantizar que su data es privada.– Muy difícilmente a menos que una codificación muy fuerte sea
usada, y luego el problema pasa a ser el almacenamiento de las llaves.
05/07/2012 14Germinal Isern Universidad Nacional de Piura
![Page 15: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/15.jpg)
Computación Forense: Metas (1)
• Identificación de evidencia digital potencial– ¿Dónde puede estar? ¿Qué dispositivos uso el
sospechoso?• Preservación de la evidencia
– En la escena del crimen…– Primero estabilizar la evidencia…prevenir la perdida
y la contaminación– Documentación cuidadosa de todo, que se agarro y
como…– Si es posible, hagan una copia idéntica a nivel de
bits de la evidencia para su revision.
05/07/2012 15Germinal Isern Universidad Nacional de Piura
![Page 16: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/16.jpg)
Computación Forense: Metas (2)
• Extracción cuidadosa y revisión de la evidencia.– Análisis de archivos y directorios
• Presentación de los resultados de la investigación ( si es apropiado)– “La FAT fue fubared, pero usando un editor a hexadecimal
cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…”
– “El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”
• Legal: Investigación debe satisfacer los criterios de privacidad
05/07/2012 16Germinal Isern Universidad Nacional de Piura
![Page 17: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/17.jpg)
Restricciones: Computación Forense
• Orden de volatilidad– Algún tipo de data es mas volátil– RAM > swap > disk > CDs/DVDs– Idea: capture L evidencia mas volátil primero
• Cadena de custodia– Mantenimiento de los registros de posesión para
todo– Debe ser capaz de hacer seguimiento a la evidencia
hasta su fuente original.– “Pruebe” que la fuente no ha sido modificada.
05/07/2012 17Germinal Isern Universidad Nacional de Piura
![Page 18: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/18.jpg)
Aspectos Legales• Admisibilidad en los juzgados
– Generalmente si , pero hay precedentes.– Disparándole a un objetivo en movimiento. Si se es
consistente y no se crea evidencia, debe estar bien.• Legalidad de la obtención
– Si (con una orden apropiada de la corte) y si para otras circunstancias especiales
– Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores.
– Network sniffing se considera como wire tap. Sea cuidadoso• Requiere una orden titulo III de una corte (18 USC 2510-2521) • Muy difícil de obtener en EEUU• Lo mismo sucede con mensajes de texto en teléfonos celulares
Consulte a un abogado
05/07/2012 18Germinal Isern Universidad Nacional de Piura
![Page 19: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/19.jpg)
Aspectos Legales (2)
• Las necesidades de la investigación vs. El derecho a la privacidad
• Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución
• Quinta enmienda y Codificación ( Encryption)• Leyes sobre grabaciones (wiretaps)• Cadena de custodia• Admisibilidad de la evidencia en corte: Daubert
– Esencia:• ¿Ha sido esta teoría o técnica probada? • ¿ Se conoce la tasa de error? • ¿ Es ampliamente aceptado dentro de una comunidad científica
relevante? • Patriot Act
– Expande el poder del gobierno de forma amplia05/07/2012 19Germinal Isern Universidad Nacional de Piura
![Page 20: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/20.jpg)
El proceso investigativo: necesidades
• Aceptación– Pasos y métodos son aceptados como validos
• Confiabilidad– Puede probarse que los métodos apoyan los
hallazgos.– Por ejemplo puede probarse que el método para
recuperar una imagen del espacio de swap puede ser exacto.
• Repetitividad– Los procesos pueden ser repetidos por agentes
independientes.
05/07/2012 20Germinal Isern Universidad Nacional de Piura
![Page 21: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/21.jpg)
Proceso de investigación (2)
• Integridad– Evidencia no es modificada ( si es posible al
máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)
• Causa y efecto– Puede mostrar conexiones fuertes entre individuos,
evnetos y evidencias.
• Documentación– Todo el proceso documentado, con cada paso
explicado y con la justificación apropiada.
05/07/2012 21Germinal Isern Universidad Nacional de Piura
![Page 22: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/22.jpg)
El principio: Alerta por incidente• El administrador del sistema nota un comportamiento
extraño en el servidor (lento, se cuelga, no responde)• IDS alerta al administrador de un trafico de red
sospechoso.• La compañía repentinamente pierde muchas ventas• Algún ciudadano reporta una actividad criminal
– Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.
• Asesinato, hay un computador en la escena del crimen.• Asesinato, la victima tiene un PDA• Agencias de Seguridad del estado y la policía deben
investigar• Corporación/militares: pueden investigar, dependiendo
de la severidad del caso, otras prioridades.
05/07/2012 22Germinal Isern Universidad Nacional de Piura
![Page 23: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/23.jpg)
Escena del crimen• Documente, documente, documente• Fotografías que describan la organización de los
equipos, cableados• Inventario detallado de la evidencia• Procedimientos adecuados, prenda, deje las reglas
apagadas por cada tipo de dispositivo• Por ejemplo, para computador:
– Fotografíe la pantalla, luego desconecte la alimentación de energía.
– Coloque cinta de marca de evidencia sobre cada dispositivo.– Fotografíe/diagrame y etiquete la parte posterior del
computador con los componentes y sus conexiones existentes.– Etiquete todos los conectores y cables de manera de poder re-
ensamblar cuando sea necesario.– Si requiere de transportar, empaque los componentes y
transpórtelos como mercancía frágil.
05/07/2012 23Germinal Isern Universidad Nacional de Piura
![Page 24: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/24.jpg)
Ejemplos de evidencia digital
• Computadores cada vez mas involucrados en investigaciones corporativas y criminales.
• La evidencia digital puede jugar un rol preponderante o ser una nube de humo.
• Correo electrónico– Acoso o amenaza– Chantaje– Transmisión ilegal de documentos corporativos
internos.
05/07/2012 24Germinal Isern Universidad Nacional de Piura
![Page 25: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/25.jpg)
Ejemplos (2)
• Puntos de encuentro/horas de encuentro para trafico de drogas
• Cartas de suicidas• Información técnica para construir bombas• Archivos con imágenes o video digital (por
ejemplo pornografía infantil)• Evidencia sobre el uso inapropiado de los
recursos del computador o ataques– Uso de una maquina como un generador de correo
spam – Uso de una maquina para distribuir copias ilegales
de software.
05/07/2012 25Germinal Isern Universidad Nacional de Piura
![Page 26: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/26.jpg)
Delitos Informáticos
05/07/2012 Germinal Isern Universidad Nacional de Piura 26
![Page 27: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/27.jpg)
Pornografía Infantil
05/07/2012 Germinal Isern Universidad Nacional de Piura 27
![Page 28: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/28.jpg)
Delitos Financieros
05/07/2012 Germinal Isern Universidad Nacional de Piura 28
![Page 29: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/29.jpg)
Clonadores de atrjetas de credito
05/07/2012 Germinal Isern Universidad Nacional de Piura 29
![Page 30: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/30.jpg)
Fuentes de Evidencia digital
• Computadores– Email– Imágenes digitales– Documentos– Hojas de calculo– Bitácoras de conversaciones (Chat logs)– Software copiado ilegalmente u otro material con
derechos restringidos de copia
05/07/2012 30Germinal Isern Universidad Nacional de Piura
![Page 31: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/31.jpg)
Evidencia digital en un disco
• Archivos– Activos– Eliminados– Fragmentos
• Metadata de archivos• Espacio ocioso (Slack space)• Swap file• Información del sistema
– Registry– Bitácora (Logs)– Data de configuración
05/07/2012 31Germinal Isern Universidad Nacional de Piura
![Page 32: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/32.jpg)
Mas fuentes (1)
• Teléfonos celulares– Números dicados– Llamadas recibidas– Números de correo de voz accedidos– Números de tarjeta de crédito/debito– Direcciones de correo electrónico– Llamadas a números forward
• PDAs/ Teléfonos inteligentes– Contactos, mapas, fotos, palabras clave,
documentos,…
05/07/2012 32Germinal Isern Universidad Nacional de Piura
![Page 33: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/33.jpg)
Mas fuentes (2)
• Teléfonos internos/Contestadoras telefónicas– Mensajes entrantes/mensajes salientes– Números llamados– Información de la llamada entrante– Códigos de acceso para los sistemas de correos de
voz entrantes– Copiadoras– Especialmente copiadoras digitales, que pueden
almacenar trabajos enteros.
05/07/2012 33Germinal Isern Universidad Nacional de Piura
![Page 34: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/34.jpg)
Mas fuentes (3)
• Sistemas de video juego• Básicamente sistemas computacionales como
la XBox.• Dispositivos GPS
– Rutas, puntos de camino
• Cámaras Digitales– Fotos, video, archivos en tarjetas de almacenamiento
(SD, memory stick, CF, …)
05/07/2012 34Germinal Isern Universidad Nacional de Piura
![Page 35: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/35.jpg)
Preservación de la Evidencia• Estabilizar la evidencia• Depende del tipo de dispositivo, pero debe mantener
felices a los dispositivos volátiles.• Cuando sea posible haga copias de la evidencia
original.• Dispositivos de bloqueo de escritura y alguna otra
tecnologia para garantizar que la información no sea modificada, son usados comúnmente.
• Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan
• Evidencia original debe ir luego a lugar controlado, lugar seguro
• “Alimentación” de los dispositivos volátiles continúan en almacenamiento
• Estas copias serán usadas en la próxima fase de la investigacion.
05/07/2012 35Germinal Isern Universidad Nacional de Piura
![Page 36: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/36.jpg)
Preservación de la escena del crimen
Sala Sotano, aramario
Conexion inalambrica
“Querida Susana,
No es tu culpa
Solo jala el cable Mueve el mouse para una mirada rapida
Tripwires
tick…tick…tick…
Computo volatil
![Page 37: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/37.jpg)
Documentación cuidadosa es esencial
05/07/2012 37Germinal Isern Universidad Nacional de Piura
![Page 38: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/38.jpg)
Preservacion de la imagen
• Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.
• Bloqueadores de escritura ; buen plan.
• Herramientas para obtener imagenes:– dd bajo Linux– Floppies de arranque DOS– Soluciones propietarias
Drivelock write blocker
![Page 39: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/39.jpg)
Investigar
![Page 40: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/40.jpg)
Análisis: Arte, Ciencia, Experiencia
• Conocer donde se puede encontrar la evidencia
• Entender las técnicas usadas para esconder o destruir la data digital
• Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida
• Habilidad para manipular gigantesca cantidad de data digital…
• Ignorar lo irrelevante, apuntar a lo relevante• Comprender completamente las
circunstancias que hacen a la evidencia no confiable– Ejemplo: Creación de nuevos usuarios bajo
Windows 95/9805/07/2012 40Germinal Isern Universidad Nacional de Piura
![Page 41: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/41.jpg)
Computadores Tradicionales: ¿Dónde está la evidencia?
• Archivos no eliminados, espere que los nombres sean incorrectos
• Archivos eliminados• Windows registry• Archivos de impresión del spool• Archivos en Hibernación • Archivos temporales (todos los .TMP en Windows!)• Espacio ocioso (Slack space)• Swap files• Browser caches• Particiones alternas u ocultas• Otra variedad de medios removibles como (floppies,
ZIP, tapes, …)
05/07/2012 41Germinal Isern Universidad Nacional de Piura
![Page 42: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/42.jpg)
Análisis (1)
• Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible
• Descubrimiento de archivos eliminados• Descubrimiento de archivos renombrados• Recuperación de bloques de datos para archivos
grandes eliminados• Descubrimiento de material codificado• Creación de índices de claves para realizar
búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado.
• Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos
05/07/2012 42Germinal Isern Universidad Nacional de Piura
![Page 43: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/43.jpg)
Análisis (2)• Tallado de archivos para recuperar archivos eliminados,
fragmentos del espacio no asignado• Descubrimiento de los archivos conocidos usando
diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, …
• Categorización de evidencia– x Archivos JPEG – y Archivos Word – z Archivos codificados ZIP – …
• Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado
• Muchos de estos procesos pueden ser automatizados
05/07/2012 43Germinal Isern Universidad Nacional de Piura
![Page 44: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/44.jpg)
Análisis (3)• Creación de un archivo de ilustración de las fechas de
creación, modificación y eliminación de archivos.• Para el sistema de archivos de Unix : inode # “timelines”• La actividad inusual saltara en el diagrama de tiempos
(timeline)• Cuidado! Problemas del reloj, confusiones con los
husos horarios , batería del CMOS muerta…• Revisión de data no eliminada y recuperada con cumpla
con ciertos criterios.– Por ejemplo, en un caso de pornografía infantil, busque
imágenes JPEG/GIF recuperadas en cualquier archivo multimedia
– Probablemente no investigue Excel o documentos financieros• Formulación de hipótesis y búsqueda de evidencia
adicional para justificar o refutar la hipótesis.
05/07/2012 44Germinal Isern Universidad Nacional de Piura
![Page 45: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/45.jpg)
Proceso ForenseAutorización y Preparación
Identificación
Documentación, Recolección yPreservación
Examinación y Análisis
Reconstrucción
Reportes y Resultados
05/07/2012 45Germinal Isern Universidad Nacional de Piura
![Page 46: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/46.jpg)
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
Flag(Forensic and
Log Analysis GUI )www.dsd.gov.au/library/software/flag/ *nix L
Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS
Sleuth9 www.deepnines.com/sleuth9.html *nix CSR
Dragon IDS www.enterasys.com/products/ids/ *nix CLSR
NSM Incident
responsewww.intellitactics.com Windows CLSRW
neuSecure www.guarded.net *nix CLSRW
NetIntercept www.sandstorm.net Linux box CSRA
NetWitness www.forensicexplorer.com Windows CLSRA
OSSIM www.ossim.net *nix CLSRA
SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
05/07/2012 46Germinal Isern Universidad Nacional de Piura
![Page 47: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/47.jpg)
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
TCPDump,Windumphttp://windump.polito.it
http://www.tcpdump.orgLinux, Windows C
Ngrep http://ngrep.sourceforge.net *nix C
Network Stumbler http://netstumbler.com Windows C
Kismet www.kismetwireless.net Windows, Linux C
Argus www.qosient.com/argus7/ *nix CL
Flow-tools www.splintered.net/sw/flow-tools/ *nix CL
Flow extract, Flow
Scripts
http://security.uchicago.edu/tools/net-
forensics/*nix L
Etherape http://etherape.sourceforge.net *nix C
Ethereal www.ethereal.com Windows-Linux CLS
Etherpeek www.wildpackets.com Windows CLS
05/07/2012 47Germinal Isern Universidad Nacional de Piura
![Page 48: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/48.jpg)
Herramientas utilizadas en el proceso
• Algunas otras herramientas que ayudan en el proceso de
recolección de la información.
– Nessus. www.nessus.org
– Nmap. www.insecure.org
• También existen las llamadas distribuciones booteables, que son
definidas como el conjunto de herramientas en el proceso forense.
FIRE,Sleuth,Helix,Plan-B
• Dentro del conjunto de herramientas existen dos herramientas que
se consideran vitales para el manejo de incidentes y análisis
forense.
– IDS/IPS
– Honeytrap05/07/2012 48Germinal Isern Universidad Nacional de Piura
![Page 49: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/49.jpg)
Demostración FTK
05/07/2012 Piura Abril 200849Germinal Isern Universidad Nacional de Piura
![Page 50: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/50.jpg)
FTK pantallas: Caso nuevo
05/07/2012 50Germinal Isern Universidad Nacional de Piura
![Page 51: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/51.jpg)
FTK : Comienza la investigación
05/07/2012 51Germinal Isern Universidad Nacional de Piura
![Page 52: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/52.jpg)
FTK : Sumario del caso
05/07/2012 52Germinal Isern Universidad Nacional de Piura
![Page 53: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/53.jpg)
FTK : Thumbnail
05/07/2012 53Germinal Isern Universidad Nacional de Piura
![Page 54: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/54.jpg)
Una muestra de investigacion
• Windows Registry• Swap File• Hibernation File• Recycle Bin• Print Spool Files• Filesystem Internals• File Carving • Slack Space• (Estructuras similares Linux, Mac OS X, etc.)
05/07/2012 54Germinal Isern Universidad Nacional de Piura
![Page 55: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/55.jpg)
Acceso al Registry (en vivo
Image the machine
-- or –
Use “Obtain Protected Files”in the FTK Imager
05/07/2012 55Germinal Isern Universidad Nacional de Piura
![Page 56: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/56.jpg)
FTK Registry Viewer
05/07/2012 56Germinal Isern Universidad Nacional de Piura
![Page 57: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/57.jpg)
NTUSER.dat file
05/07/2012 57Germinal Isern Universidad Nacional de Piura
![Page 58: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/58.jpg)
NTUSER.dat file
05/07/2012 58Germinal Isern Universidad Nacional de Piura
![Page 59: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/59.jpg)
NTUSER.dat file
05/07/2012 59Germinal Isern Universidad Nacional de Piura
![Page 60: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/60.jpg)
NTUSER.dat file
05/07/2012 60Germinal Isern Universidad Nacional de Piura
![Page 61: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/61.jpg)
NTUSER.dat file
05/07/2012 61Germinal Isern Universidad Nacional de Piura
![Page 62: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/62.jpg)
NTUSER.dat file
05/07/2012 62Germinal Isern Universidad Nacional de Piura
![Page 63: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/63.jpg)
SAM file
05/07/2012 63Germinal Isern Universidad Nacional de Piura
![Page 64: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/64.jpg)
SOFTWARE file
05/07/2012 64Germinal Isern Universidad Nacional de Piura
![Page 65: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/65.jpg)
SOFTWARE file
05/07/2012 65Germinal Isern Universidad Nacional de Piura
![Page 66: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/66.jpg)
** VERY IMPORTANT **
“Select” key chooseswhich control set is current,which is “last known good” configuration
SYSTEM file
05/07/2012 66Germinal Isern Universidad Nacional de Piura
![Page 67: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/67.jpg)
SYSTEM file
05/07/2012 67Germinal Isern Universidad Nacional de Piura
![Page 68: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/68.jpg)
750GB USB harddrives (same type)
Two JumpdriveElite thumbdrives
SYSTEM file
05/07/2012 68Germinal Isern Universidad Nacional de Piura
![Page 69: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/69.jpg)
Mas del Registry
• Otra información :– Tipo de CPU – Información Interfaz de Red
• IP addresses, default gateway, DHCP configuration, …– Software instalado– Hardware instalado
• Información del registry tipo “aja te agarre”– redundante, información no documentada– profile cloning on older versions of Windows (95/98)
• (e.g., typed URLs, browser history, My Documents, …)
05/07/2012 69Germinal Isern Universidad Nacional de Piura
![Page 70: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/70.jpg)
Sistema de ArchivosEsencial conocerlo
FAT 12, 16, 32NTFS
EXT 2, 3 …………..
05/07/2012 Piura Abril 200870Germinal Isern Universidad Nacional de Piura
![Page 71: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/71.jpg)
Mejor Auditoria
05/07/2012 71Germinal Isern Universidad Nacional de Piura
![Page 72: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/72.jpg)
Criminales en la computacion…
05/07/2012 72Germinal Isern Universidad Nacional de Piura
![Page 73: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/73.jpg)
Wireshark (….. Ethereal)
Detailed packet data at various protocol levels
Packet listing
Raw data05/07/2012 73Germinal Isern Universidad Nacional de Piura
![Page 74: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/74.jpg)
Wireshark: Siguiendo un flujo TCP
05/07/2012 74Germinal Isern Universidad Nacional de Piura
![Page 75: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/75.jpg)
Wireshark: control flujo FTP
05/07/2012 75Germinal Isern Universidad Nacional de Piura
![Page 76: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/76.jpg)
Wireshark: flujo de datos FTP
05/07/2012 76Germinal Isern Universidad Nacional de Piura
![Page 77: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/77.jpg)
Wireshark: Flujo de datos FTP
05/07/2012 77Germinal Isern Universidad Nacional de Piura
![Page 78: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/78.jpg)
Wireshark: Sesion HTTP
save, then trim awayHTTP headers to retrieve image
Use: e.g., WinHex
05/07/2012 78Germinal Isern Universidad Nacional de Piura
![Page 79: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/79.jpg)
Psinfo (Detección , análisis)
05/07/2012 79Germinal Isern Universidad Nacional de Piura
![Page 80: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/80.jpg)
pslist
05/07/2012 80Germinal Isern Universidad Nacional de Piura
![Page 81: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/81.jpg)
handle
05/07/2012 81Germinal Isern Universidad Nacional de Piura
![Page 82: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/82.jpg)
filemon
05/07/2012 82Germinal Isern Universidad Nacional de Piura
![Page 83: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/83.jpg)
psfile
05/07/2012 83Germinal Isern Universidad Nacional de Piura
![Page 84: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/84.jpg)
promiscdetect
05/07/2012 84Germinal Isern Universidad Nacional de Piura
![Page 85: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/85.jpg)
promiscdetect (Wireshark está corriendo)
05/07/2012 85Germinal Isern Universidad Nacional de Piura
![Page 86: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/86.jpg)
psloggedon
05/07/2012 86Germinal Isern Universidad Nacional de Piura
![Page 87: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/87.jpg)
netstat -a
Ataque al corazon?!
05/07/2012 87Germinal Isern Universidad Nacional de Piura
![Page 88: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/88.jpg)
netstat –a -b
fuiiii!
05/07/2012 88Germinal Isern Universidad Nacional de Piura
![Page 89: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/89.jpg)
Linux Listado de procesos
Salida parcial# ps aux | less
05/07/2012 89Germinal Isern Universidad Nacional de Piura
![Page 90: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/90.jpg)
Linux: lsof
Salida parcial# lsof | less
05/07/2012 90Germinal Isern Universidad Nacional de Piura
![Page 91: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/91.jpg)
Linux: Informacion de procesos detallada
05/07/2012 91Germinal Isern Universidad Nacional de Piura
![Page 92: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/92.jpg)
Linux:
05/07/2012 92Germinal Isern Universidad Nacional de Piura
![Page 93: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/93.jpg)
05/07/2012 93Germinal Isern Universidad Nacional de Piura
![Page 94: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/94.jpg)
Linux:
05/07/2012 94Germinal Isern Universidad Nacional de Piura
![Page 95: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/95.jpg)
Linux:
05/07/2012 95Germinal Isern Universidad Nacional de Piura
![Page 96: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/96.jpg)
Análisis Forense en vivo
05/07/2012 96Germinal Isern Universidad Nacional de Piura
![Page 97: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/97.jpg)
Crear consulta
05/07/2012 97Germinal Isern Universidad Nacional de Piura
![Page 98: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/98.jpg)
Crear
05/07/2012 98Germinal Isern Universidad Nacional de Piura
![Page 99: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/99.jpg)
Objetivo
05/07/2012 99Germinal Isern Universidad Nacional de Piura
![Page 100: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/100.jpg)
Confirmar informacion
05/07/2012 100Germinal Isern Universidad Nacional de Piura
![Page 101: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/101.jpg)
Password
05/07/2012 101Germinal Isern Universidad Nacional de Piura
![Page 102: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/102.jpg)
Adquisicion inicial
05/07/2012 102Germinal Isern Universidad Nacional de Piura
![Page 103: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/103.jpg)
05/07/2012 103Germinal Isern Universidad Nacional de Piura
![Page 104: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/104.jpg)
05/07/2012 104Germinal Isern Universidad Nacional de Piura
![Page 105: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/105.jpg)
Informacion General
05/07/2012 105Germinal Isern Universidad Nacional de Piura
![Page 106: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/106.jpg)
Informacion Interfaz IP
05/07/2012 106Germinal Isern Universidad Nacional de Piura
![Page 107: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/107.jpg)
Analisis de datos
05/07/2012 107Germinal Isern Universidad Nacional de Piura
![Page 108: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/108.jpg)
Puertos
vmware phoninghome to check for updates
SMB file server
05/07/2012 108Germinal Isern Universidad Nacional de Piura
![Page 109: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/109.jpg)
Procesos en ejecucion
05/07/2012 109Germinal Isern Universidad Nacional de Piura
![Page 110: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/110.jpg)
Conexiones
05/07/2012 110Germinal Isern Universidad Nacional de Piura
![Page 111: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/111.jpg)
Archivos abiertos
05/07/2012 111Germinal Isern Universidad Nacional de Piura
![Page 112: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/112.jpg)
Analisis vaciados de memoria
05/07/2012 Piura Abril 2008112Germinal Isern Universidad Nacional de Piura
![Page 113: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/113.jpg)
FATKIT / Volatools
Python-based system for examining physical memory dumps
C:\VolatoolsBasic-1.1.1>python volatools
usage: volatools cmd [cmd_opts]
Supported Commands:connections Print list of open connectionsdatetime Get date/time information for imagedlllist Print list of loaded dlls for each processfiles Print list of open files for each processident Identify image properties such as DTB and VM
typemodules Print list of loaded modulespslist Print list of running processessockets Print list of open socketsstrings Match physical offsets to virtual addressesvaddump Dump the VAD sections to filesvadinfo Dump the VAD infovadwalk Walk the VAD tree05/07/2012 113Germinal Isern Universidad Nacional de Piura
![Page 114: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/114.jpg)
C:\VolatoolsBasic-1.1.1>python volatools pslist -f d:\MEMDUMP.1GB
Name Pid PPid Thds Hnds TimeSystem 4 0 65 262 Thu Jan 01 00:00:00 1970smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007
05/07/2012 114Germinal Isern Universidad Nacional de Piura
![Page 115: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/115.jpg)
C:\VolatoolsBasic-1.1.1>python volatools sockets -f d:\memdump.bluelu
Pid Port Proto Create Time1828 500 17 Wed Mar 28 02:22:36 20074 445 6 Wed Mar 28 02:22:20 2007736 135 6 Wed Mar 28 02:22:25 2007468 1900 17 Wed Mar 28 02:22:58 2007196 1031 6 Wed Mar 28 02:22:54 20071936 1025 6 Wed Mar 28 02:22:35 20074 139 6 Wed Mar 28 02:22:20 20071828 0 255 Wed Mar 28 02:22:36 20071112 123 17 Wed Mar 28 02:22:39 20071804 1029 17 Wed Mar 28 02:22:37 2007384 1028 6 Wed Mar 28 02:22:36 2007384 1032 6 Wed Mar 28 02:22:56 20074 137 17 Wed Mar 28 02:22:20 20071936 1026 6 Wed Mar 28 02:22:35 2007316 1030 6 Wed Mar 28 02:22:44 20071164 3793 6 Wed Mar 28 02:22:28 2007468 1900 17 Wed Mar 28 02:22:58 20071828 4500 17 Wed Mar 28 02:22:36 20074 138 17 Wed Mar 28 02:22:20 2007196 1037 6 Wed Mar 28 02:23:03 20071936 1027 6 Wed Mar 28 02:22:35 20074 445 17 Wed Mar 28 02:22:20 20071112 123 17 Wed Mar 28 02:22:39 2007
05/07/2012 115Germinal Isern Universidad Nacional de Piura
![Page 116: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/116.jpg)
C:\VolatoolsBasic-1.1.1>python volatools files -f d:\MEMDUMP.1GB************************************************************************Pid: 4File \Documents and Settings\Administrator.HE00\NTUSER.DATFile \Documents and Settings\Administrator.HE00\NTUSER.DAT.LOGFile \System Volume Information\_restore{1625C426-0868-4E67-8C21-
25BB305F7E1E}\RP228\change.logFile \TopologyFile \pagefile.sysFile \WINDOWS\system32\config\SECURITYFile \WINDOWS\system32\config\SECURITY.LOGFile \WINDOWS\system32\config\softwareFile \WINDOWS\system32\config\software.LOGFile \hiberfil.sysFile \WINDOWS\system32\config\systemFile \WINDOWS\system32\config\system.LOGFile \WINDOWS\system32\config\defaultFile \WINDOWS\system32\config\default.LOGFile \WINDOWS\system32\config\SAMFile \WINDOWS\system32\config\SAM.LOGFile \Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DATFile \Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOGFile \File \Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOGFile \Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DATFile \WINDOWS\CSC\00000001************************************************************************Pid: 436File \WINDOWSFile \WINDOWS\system32…… 05/07/2012 116Germinal Isern Universidad Nacional de Piura
![Page 117: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/117.jpg)
Analisis de la muerte de un computador
FTK Interlude
05/07/2012 Piura Abril 2008117Germinal Isern Universidad Nacional de Piura
![Page 118: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/118.jpg)
Email en el computador de Daryl
05/07/2012 118Germinal Isern Universidad Nacional de Piura
![Page 119: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/119.jpg)
Analisis en vivo del computador
05/07/2012 Piura Abril 2008119Germinal Isern Universidad Nacional de Piura
![Page 120: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/120.jpg)
Command: pslist > pslist.txt
? Nada interesante
05/07/2012 120Germinal Isern Universidad Nacional de Piura
![Page 121: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/121.jpg)
Command: pmdump –list > pmdump-list.txt
?Nada interesante?
05/07/2012 121Germinal Isern Universidad Nacional de Piura
![Page 122: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/122.jpg)
Command: handle > handle.txt
!!
05/07/2012 122Germinal Isern Universidad Nacional de Piura
![Page 123: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/123.jpg)
Command: dd if=\\.\PhysicalMemory of=PhysicalMemory.ddCommand: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt
05/07/2012 123Germinal Isern Universidad Nacional de Piura
![Page 124: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/124.jpg)
El archivo “log.txt” en directorio c:\taxes en Word Para resaltar las sesiones importantes
DARYL_EVIDENCE\log.doc
Examen c:\taxes directorio:
turbotax97.exe era realmente un keylogger
05/07/2012 124Germinal Isern Universidad Nacional de Piura
![Page 125: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/125.jpg)
05/07/2012 125Germinal Isern Universidad Nacional de Piura
![Page 126: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/126.jpg)
¡Algo es sospechoso!
• Inmediatamente se conectan e ingresan a la red corporativa
• Atención especial al trafico de “sparelaptop3”• Se inicia la investigación de sparelaptop3, que
se encuentra en la sala de impresión de la compania
05/07/2012 126Germinal Isern Universidad Nacional de Piura
![Page 127: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/127.jpg)
WiresharkInterlude
05/07/2012 Piura Abril 2008127Germinal Isern Universidad Nacional de Piura
Analisis de red
![Page 128: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/128.jpg)
Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare
• bobotie-notes.txt.bfe:– Directory info enumerated at packet 2029-2030.– 662 bytes (entire file) transferred in packet 2202.
• pate.txt (un-encrypted):– choose any packet in stream and follow TCP stream,
e.g., packet 3360.– data transfer is actually at packet 3479.
• pistachio-macaroons.txt.bfe:– 246 bytes (entire file) transferred in packet 4693.
05/07/2012 128Germinal Isern Universidad Nacional de Piura
![Page 129: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/129.jpg)
Historia de inserción de USB (análisis de laptop flotante) HKEY_LOCAL_MACHINE/SYSUSBSTOR
Almacenamiento USB perteneciente a Niles Boudreaux,otro empleado de TurboChef.
05/07/2012 129Germinal Isern Universidad Nacional de Piura
![Page 130: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/130.jpg)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR
¡Concordo!
05/07/2012 130Germinal Isern Universidad Nacional de Piura
Historia USB
![Page 131: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/131.jpg)
En la computadora de Niles
• Copias de recetas codificadas y no codificadas (eliminadas)
• E-mail original de Ignatius Q. Riley (eliminado)
05/07/2012 131Germinal Isern Universidad Nacional de Piura
![Page 132: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/132.jpg)
Email original de Ignatius ( Maquina N. Boudreaux’s)
05/07/2012 132Germinal Isern Universidad Nacional de Piura
![Page 133: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/133.jpg)
A Closer Look at Email on Daryl Popper’s Computer
05/07/2012 133Germinal Isern Universidad Nacional de Piura
![Page 134: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/134.jpg)
Una vista mas cerca del e-mail en el computador de Daryl(HTML SOURCE)
05/07/2012 134Germinal Isern Universidad Nacional de Piura
![Page 135: Seminario de computacion forense](https://reader031.fdocuments.ec/reader031/viewer/2022020221/568c48fb1a28ab4916925e9e/html5/thumbnails/135.jpg)
La historia real
1. Niles infeliz, contacta a Lick-My-Spoon2. Niles instala un key logger en la maquina de Daryl while she’s at lunch,
and enables guest account and file sharing3. Key logger records Daryl’s encryption passwords4. Niles digs up unused, spare laptop5. Niles gets keystroke log remotely using spare laptop / file sharing6. Niles copies some recipes to spare laptop using file sharing7. Niles copies stolen recipes from spare laptop to USB disk8. Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius9. Ignatius sends reply to Niles10. Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops)11. Niles deposits forged reply on Daryl’s machine12. Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO,
investigation begins13. Niles continues periodically to copy recipes from Daryl’s machine to
spare laptop14. (These transfers were captured during network logging)15. Facing mounting evidence, Niles confesses
05/07/2012 135Germinal Isern Universidad Nacional de Piura