23417423 forense en windows con herramientas libres sebastian del prado

Refleccin para comenzarRefleccin para comenzar

Albert Einstein Es absurdo pensar que obtendr cosas novedosas, haciendo siempre lo mismo.

ETIMOLOGIAETIMOLOGIA

Fuente: http://buscon.rae.es/draeI/

DEFINICIONDEFINICION

Ciencias Forenses: (Definicion)

Forensic Science (forensics) es la aplicacin de un amplio espectro de ciencias para responder a preguntas de inters en el mbito de la justicia. Puede estar en relacin con un crimen o con una accin civil.

El uso del trmino forense en lugar de ciencias forenses se puede considerar lingsticamente incorrecto El trmino "forense" se tiene que entender como un sinnimo de legal o relativo al juzgado (mientras que en Latn, significa perteneciente o relativoal foro"). Su uso actual en estrecha relacin con el campo cientfico hace que muchosdiccionarios le den tambin el significado que aqu expresamos.

Fuente: http://en.wikipedia.org/wiki/Forensic

OBJETIVOOBJETIVO

Informtica Forense:

La Informtica Forense es una disciplinacriminalstica que tiene como objeto lainvestigacin en sistemas informticos dehechos con relevancia jurdica o para la simpleinvestigacin privada.

Para conseguir sus objetivos, la InformticaForense desarrolla tcnicas idneas para ubicar,reproducir y analizar evidencias digitales confines legales.

Fuente: (C) www.informatica-forense.es

LA ESCENA DEL CRIMENLA ESCENA DEL CRIMEN

- Verificar su propia Seguridad- Inventariar todo lo encontrado- Fotografiar los Equipos- Fotografiar las Conexiones entre Equipos- Fotografiar las Pantallas- Recolectar Informacin Voltil- Desconectar la Conectividad- Apagar las Computadoras- Guardar la Evidencia- Proteger la Cadena de Custodia- REALIZAR LA INVESTIGACION EN EL LABORATORIO

PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR

Inventariar todo lo encontradoPASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR

PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADORFotografiar los Equipos

Fotografiar las Conexiones entre Equipos


PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADORFotografiar las pantallas

_ Registros y contenidos de la cach._ Contenidos de la memoria._ Estado de las conexiones de red, tablas de rutas._ Estado de los procesos en ejecucin._ Contenido del sistema de archivos y de los discos duros._ Contenido de otros dispositivos de almacenamiento.


Procesos necesarios para auditar. Teniendo en cuenta la volatilidad de la informacion

(segn normas estndares RFC 3227)

_ Interpretar comandos en modo consola (cmd, bash)_ Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport, lsoft)_ Listar usuarios conectados local y remotamente al sistema_ Obtener fecha y hora del sistema (date, time)_ Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que los lanzaron (ps, pslist)_ Enumerar las direcciones IP del sistema y mapear la asignacin de direcciones fsicas MAC con dichas IP (ipconfig, arp, netstat, net)_ Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)_ Visualizar registros y logs del sistema (reg, dumpel)_ Visualizar la configuracin de seguridad del sistema (auditpol)_ Generar funciones hash de ficheros (sah1sum, md5sum)_ Leer, copiar y escribir a travs de la red (netcat, crypcat)_ Realizar copias bit-a-bit de discos duros y particiones (dd, safeback, ghost)_ Analizar el trfico de red (tcpdump, windump)


Procesos necesarios para auditar.

Recolectar Informacin Voltil

Fecha y Hora con: date /t && time /t



Conexiones de Red activas con: netstat na



Configuracin de Red con: ipconfig /all


PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADORRecolectar Informacin Voltil

Informacin del Sistema con: systeminfo


Histrico de Comandos: doskey /history


PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADORRecolectar Informacin Voltil

http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx

Usuarios Logueados al Sistema con: psloggedon.exe

http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx

Listar Procesos Corriendo con: pslist.exe



Desconectar la Conectividad



Apagar las Computadoras

Apagar las Computadoras

DOS: Tirar del Cable Windows 3.1: Tirar del Cable Windows 95: Tirar del Cable Windows NT Workstation: Tirar del Cable Windows NT Server: Apagar Normalmente Windows 98/Me: Tirar del Cable Windows 2000: Apagar Normalmente Windows 2000 Server: Apagar Normalmente Windows XP: Tirar del Cable Windows 2003 Server: Apagar Normalmente Linux/Unix: Apagar Normalmente Macintosh: Tirar del Cable Mac OS X: Apagar Normalmente



Guardar la Evidencia- utilizar bolsas anti-esttica


Guardar la Evidencia- utilizar goma espuma


Proteger la Cadena de Custodia

- Qus es la evidencia ?- Cmo se la obtuvo ?- Cuando fue obtenida ?- Quin la obtuvo ?- Donde viajo y donde fue guardada ?

http://www.csoonline.com/read/120105/sample_chain_custody.pdf

ADQUISICIN DE EVIDENCIA POR HARDWAREADQUISICIN DE EVIDENCIA POR HARDWARE

Tableau T35e

Tableau T35e

http://www.tableau.com

Adquisicin de Discos Rgidos y Dispositivos USB

Equipo de Clonado HW: Logicube Forensics MD5


ADQUISICIN DE EVIDENCIA CON DDADQUISICIN DE EVIDENCIA CON DD

Qu es DD ?

- Una famosa herramienta para hacer copias bit a bit.- http://www.forensicswiki.org/wiki/Dd

Qu es FAU ?- Conjunto de programas especficos con fines de auditoria- Forensic Acquisition Utilities- http://www.gmgsystemsinc.com/fau/- DD, Netcat, Wipe, fmdata, volume_dump

ADQUISICIN DE EVIDENCIA CON DDADQUISICIN DE EVIDENCIA CON DD

dd.exe if=ENTRADA of=SALIDA

Microsoft Windows:

Disco rgido: \\.\PhysicalDriveXVolumen de disco: \\.\CMemoria fsica: \\.\PhysicalMemory

dd.exe if=\\.\PhysicalDrive0 of=d:\images\Imagen.img

UNIX/Linux:

Disco rgido: /dev/hdaVolumen de disco: /dev/hda1Memoria fsica: /dev/mem

dd if=/dev/hda of=Imagen.img bs=65536 conv=noerror,sync

ADQUISICIN DE EVIDENCIA SOBRE LA REDADQUISICIN DE EVIDENCIA SOBRE LA RED

Qu es Netcat ?

- La Navaja Suiza para conexiones de red.- http://en.wikipedia.org/wiki/Netcat

Escuchamos en el puerto TCP 9000:

nc.exe -l 9000 > WinXPvolumeC.img

Redirigimos una imagen con DD a un sistema en la red:

dd.exe if=\\.\C | nc.exe 10.1.1.22 9000

Redirigimos una imagen de la memoria:

dd.exe if=\\.\PhysicalMemory | nc.exe 10.1.1.22 9000

AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASHHASH

Qu es un Hash ?

- Mtodo para generar una firma que represente de manera unvoca a un archivo.- Algunos algoritmos criptogrficos usados: MD5 o SHA-1.- Gran cantidad de programas, como md5sum o md5deep.- http://www.forensicswiki.org/index.php?title=Hashing

Para qu sirve ?

- Verificar que la evidencia no se ha modificado.- Identificar unvocamente a un archivo.- Realizar bsquedas de Hashes.


Hashing de una Imagen de Disco:

dd.exe if=\\.\PhysicalDrive0 of=d:\images\Imagen.img --md5sum --verifymd5 --md5out=d:\images\Imagen.img.md5

Hashing de un Archivo:


Hashing de un Archivo desde el explorador

ANALIZANDO LA PAPELERA DE RECICLAJEANALIZANDO LA PAPELERA DE RECICLAJE

Cmo trabaja el archivo INFO2 ?

Los archivos borrados van a la Papelera a menos que se use la tecla SHIFT. El archivo es renombrado a DC#.EXT # es un nmero entero. EXT es la extensin original. Santiago.txt se renombrara a DC1.txt. # es incremental.

Qu informacin guarda ?

La ruta original del archivo. El tamao del archivo. La fecha y hora en la que se movi el archivo a la Papelera. El nmero de ID nico que tiene en la Papelera.

Cmo funciona la Papelera de Reciclaje ? Directorio oculto RECYCLER. Directorios con el SID de cada usuario. Posee un archivo oculto llamado INFO2.

Dnde se guarda el archivo INFO2 ?

Windows 95/98/ME c:\Recycled\INFO2 Windows NT/2k/XP/2k3/V c:\Recycler\


- cd RECYCLER- dir /ah


- Vamos a usar Rifiuti de Foundstone.- rifiuti INFO2

http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip


ANALIZANDO ARCHIVOS DE LINKANALIZANDO ARCHIVOS DE LINK

Qu son los archivos de LINK ?

Son shortcuts que tienen la extensin .lnk.

Apuntan a aplicaciones, directorios, documentos o archivos de datos.

Tambin los podemos encontrar en la carpeta Recent, Start, Desktop y Sent To Folders.

Qu informacin importante podemos encontrar ?

La ruta original del archivo.

El serial number del volumen del disco.

Fecha y Hora de Creacin, Ultimo Acceso y Modificacin.

ANALIZANDO ARCHIVOS DE LINKANALIZANDO ARCHIVOS DE LINK

http://www.rootkitdetector.com

- lnk o archivo.lnk

DESCUBRIENDO LAS PASSWORD DE WINDOWSDESCUBRIENDO LAS PASSWORD DE WINDOWS

Ophcrack, recupera tusContraseas de Windows.

Ophcrack 3.0 es una aplicacin que permite obtener las contraseas de tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux gracias a las libretras GTK.

Ophcrack Live CD 0.9 es una distribucin linux, basada en la Ubuntu 5.04, en formato Live CD que est preparado para acceder a las particiones de Windows, copiar temporalmente en el sistema y analizar el archivo SAM, el que gestiona las contraseas de Windows, para luego descomprimirlo y descifrarlo.Con ello podremos obtener la contrasea de nuestro sistema Windows y permitirnos acceder a l.

DESCUBRIENDO LAS PASSWORD DE WINDOWSDESCUBRIENDO LAS PASSWORD DE WINDOWS

>>>OPHCRACK.wmv

ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOSDocumentos, tales como, Word, Excel, Powerpoint, etc.Contienes informacin sensible a la hora de realizas anlisis.Metavier, de PINPOINT es una aplicacin gratuita que nos muestra los metatags que estan incrustrados dentro de estos archivos veamos un ejemplo

NOTA MUY INTERESANTE: http://www.kriptopolis.org/docs/metadatos.pdf

ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOS

Tomar nota de este link, aca dice como borrar a mano todo lo que queda en evidencia cuando abrimos con un editor de texto en modo binario

http://support.microsoft.com/kb/290945/es

ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOS(Continuacin)

ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOSPDF (Portable Document Format)PDF (Portable Document Format)

Objetivo: Crear un documento que no sea modificable y cumpla con estndares de compatibilidad y seguridad.

(Dur poco, este slogan)

http://pdfhammer.com/ Herramienta que sirve para modificar a voluntad archivos con esta extensin, inclusive pasarlo a .doc

Comments on PDF filesFrom the Portable Document Format Reference Manual Version 1.3:5.14 BodyThe body of a PDF file consists of a sequence of indirect objects representing a document. The objects, which are of the basic types described in Chapter 4, represent components of the document such as fonts, pages, and sampled images.Comments can appear anywhere in the body section of a PDF file. Comments have the same syntax as those in the PostScript language; they begin with a % character and may start at any point on a line. All text between the % character and the end of the line is treated as a comment. Occurrences of the % character within strings or streams are not treated as comments.

ANALIZANDO archivos de intercambioANALIZANDO archivos de intercambio

Pagefile.sysEl archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella informacin que se intercambia entre el sistema y la memoria fsica de la computadora, conocida como Memoria RAM. As se amplia la capacidad de memoria de la computadora a travs de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo.

Suele tener 1,5 veces el tamao de la memoria RAM que posea el equipo. Si tiene un Giga de Ram, el archivo pagefile.sys tendr un tamao de 1.5 gigas. Se trata de un archivo oculto, por lo que slo puedes verlo si des activas la opcin de ocultar archivos protegidos del sistema.


Index.dat

Desde el DOSC:\Documents and Settings\tu_user_name\Configuracin local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\historial.txt

Internet explorer guarda una copia de las pginas visitadas en tu disco duro. Si vas a una pgina ya visitada, internet explorer busca primero en la cache, y la compara con la pgina del servidor, mostrandote la pgina desde tu disco duro, si no ha habido actualizaciones.

Puedes borrar el cache de disco desde el propio internet explorer (herramientas, opciones de internet, eliminar archivos). El problema es que esta opcin borra todo el contenido del historial de internet (los archivos html, los grficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat.

Estos archivos (hay varios index.dat) estn definidos como ocultos y de sistema;

ANALIZANDO prefetchANALIZANDO prefetch

El Prefetch analiza los programas que ejecutas habitualmente en tu PC, de tal forma que, para que tengan mejor rendimiento, Windows puede precargar (prefetching) ciertas partes de los programas en la memoria durante la carga inicial, para que as tengan un mejor comportamiento y rapidez al usar dichos programas.

Esta hubicado en x:\windows\prefetch

Los ficheros .pf graban la fecha y hs. de cuando fue utilizado por ultima vez

La clave del registro para modificar es:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management\PrefetchParameters

El archivo LAYUOT:INI En este archivo guarda los programas con sus paquetes mas usados. Cada 3 das actualiza, y en segundo plano hace una desfragmentacion, para que el cabezal no tenga que desplazarse tanto en el disco

http://www.fermu.com/content/view/110/2/lang,es/

ANALIZANDO perifricos USBANALIZANDO perifricos USB

Sabias que cada vez que pones un dispositivo USB queda registrado?

QU ES EL SLACK ? QU ES EL SLACK ?Es el espacio que se encuentra desde el final de un archivo lgico hasta el final de un sector o cluster.

QU ES EL ESPACIO NO ASIGNADO ? QU ES EL ESPACIO NO ASIGNADO ?

Cuando DOS o Windows borra un archivo, en realidad el contenido del mismo queda intacto y pasa a ocupar un rea llamada Unallocated Space.

Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense

Los principales motivos son los siguientes:

Porque atacar un router?

Realizar un ataque de denegacin de servicios (DoS) al router y a la red a la que pertenece. Comprometer otros routers a travs de el. Desviar firewalls de red, IDS o otros servicios. Monitorizar y grabar el trfico entrante o saliente de la red. Redirigir el trfico de la red a otro punto.

web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/www.dragonjar.org/analisis-forense-a-un-router-cisco.xhtml#more-2862


Tambin podemos utilizar una herramienta automatizada para recabar esta informacin, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta informacin, ejecutando estos comandos:# terminal length 0# dir /all# show clock detail# show ntp# show version# show running-config# show startup-config# show reload# show ip route# show ip arp# show users

Despus de obtener est informacin pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool

# show logging# show interfaces# show ip interfaces# show access-lists# show tcp brief all# show ip sockets# show ip nat translations verbose# show ip cache flow# show ip cef# show snmp users# show snmp groups# show clock detail# exit

Existen herramientas que sirven para recuperar muy


Algunas alternativas son: ISOBUSTER (versin trial)

CD/DVD RECOVERY (comercial 100%)

Segn la wikipedia La esteganografa es la rama de la criptologa que trata sobre la ocultacin de mensajes, para evitar que se perciba la existencia del mismo.

Empecemos con lo mas simple, se hace uso del comando copy con los parmetros /b primerarchivo.jpg + segundoarchivo.rar imagendondeseocultarn.jpg

StegHide OpenStego Hide In Picture 2.1 http://www.viciao2k3.net/services/cryptimg/ (EN LINEA)



>>> stegano.vwm


Algunas, gratuitas otras pagas, entorno windows o linux veamos cuales son:

The Forensic ToolKit (w) www.foundstone.comWindows Forensic Toolchest (w) www.foolmoon.netThe Sleuth Kit y Autopsy (L) www.sleuthkit.orgHELIX CD (L) www.knopix.comF.I.R.E. Linux (L) biatchux.dmzs.com.ENCASE (WL) Guidance Software

OPHCRACK (WL) Guidance Software

Mobiledit! (C), versin lite disponible.Bitpim

Tulp2g frameworkSecureview

Celldek Device Seizure

Pilot-LinkGsm .Xry

Oxygen Phone Manager , versin lite disponible.Simis2

Forensicsim Forensic Card Reader

Simcon Phonebase2

Usimdetective Las herramientas con el smbolo al lado implican software comercial de pago.

http://www.dragonjar.org/herramientas-para-realizar-analisis-forense-en-telefonos-moviles-y-tarjetas-sim.xhtml


Qu informacin podemos obtener ?

Datos del Dispositivo- nmero de serial- informacin del fabricante- informacin del firmware/hardware- IMSI#- IMEI#- ubicacin de la torre celular- volumen del ring, etc.

Lista de Contactos / Agenda Registro de Llamados

- recibidas- realizadas- prdidas- duracin


Qu informacin podemos obtener ?

Mensajes de textos SMS y MMS Calendario Archivos guardados en el dispositivo

- imgenes- sonidos- documentos- ring tones

Sistema de Archivos- paquetes de Java- juegos- programas- ejecutables

Archivos borrados de espacio no alocado (disponible con las tarjeta SIM y adquisiciones fsicas nicamente)


Adquisicin de Telfonos Celulares utilizando NEUTRINO de Guidance Software

http://www.guidancesoftware.com/products/neutrino.aspx


WaveShield, bolsa bloqueadora de seales


Conexin directa a NEUTRINO


Correlacin directa con EnCase

>>Auditando celulares

CONOCIENDO A HELIXCONOCIENDO A HELIX

Live CD Basado en Knoppix Especializado para Forenses

http://www.e-fense.com/helix/

>>Farc.pdf

Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificacin, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.

Limitar la deteccin de un evento que haya ocurrido. Distorsionar la informacin residente en el sitio. Incrementar el tiempo requerido para la investigacin del caso. Generar dudas en el informe forense o en el testimonio que se presente. Engaar y limitar la operacin de las herramientas forenses informticas. Disear y ejecutar un ataque contra el investigador forense que realiza la pericia. Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.

The Metasploit Project Timestomp - First ever tool that allows you to modify all four NTFS timestamp values: modified, accessed, created, and entry modified.

Sacker - First ever tool that allows you to hide files within the slack space of the NTFS file system.

Sam Juicer - A Meterpreter module that dumps the hashes from the SAM, but does it without ever hitting disk.

Pgina 1Pgina 2Pgina 3Pgina 4Pgina 5Pgina 6Pgina 7Pgina 8Pgina 9Pgina 10Pgina 11Pgina 12Pgina 13Pgina 14Pgina 15Pgina 16Pgina 17Pgina 18Pgina 19Pgina 20Pgina 21Pgina 22Pgina 23Pgina 24Pgina 25Pgina 26Pgina 27Pgina 28Pgina 29Pgina 30Pgina 31Pgina 32Pgina 33Pgina 34Pgina 35Pgina 36Pgina 37Pgina 38Pgina 39Pgina 40Pgina 41Pgina 42Pgina 43Pgina 44Pgina 45Pgina 46Pgina 47Pgina 48Pgina 49Pgina 50Pgina 51Pgina 52Pgina 53Pgina 54Pgina 55Pgina 56Pgina 57Pgina 58Pgina 59Pgina 60Pgina 61Pgina 62Pgina 63Pgina 64Pgina 65Pgina 66Pgina 67Pgina 68Pgina 69Pgina 70Pgina 71Pgina 72Pgina 73Pgina 74Pgina 75Pgina 76Pgina 77Pgina 78