forense en windows con herramientas libres - sebastian del prado
TRANSCRIPT
Reflección para comenzarReflección para comenzar
Albert Einstein “Es absurdo pensar que obtendré cosas novedosas, haciendo siempre lo mismo”.
ETIMOLOGIAETIMOLOGIA
Fuente: http://buscon.rae.es/draeI/
DEFINICIONDEFINICION
Ciencias Forenses: (Definicion)
Forensic Science (forensics) es la aplicación de un amplio espectro de ciencias para responder a preguntas de interés en el ámbito de la justicia. Puede estar en relación con un crimen o con una acción civil.
El uso del término “forense” en lugar de “ciencias forenses” se puede considerar lingüísticamente incorrecto El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado” (mientras que en Latín, significa “perteneciente o relativoal foro"). Su uso actual en estrecha relación con el campo científico hace que muchosdiccionarios le den también el significado que aquí expresamos.
Fuente: http://en.wikipedia.org/wiki/Forensic
OBJETIVOOBJETIVO
Informática Forense:
La Informática Forense es una disciplinacriminalística que tiene como objeto lainvestigación en sistemas informáticos dehechos con relevancia jurídica o para la simpleinvestigación privada.
Para conseguir sus objetivos, la InformáticaForense desarrolla técnicas idóneas para ubicar,reproducir y analizar evidencias digitales confines legales.
Fuente: (C) www.informatica-forense.es
º
LA ESCENA DEL CRIMENLA ESCENA DEL CRIMEN
- Verificar su propia Seguridad- Inventariar todo lo encontrado- Fotografiar los Equipos- Fotografiar las Conexiones entre Equipos- Fotografiar las Pantallas- Recolectar Información Volátil- Desconectar la Conectividad- Apagar las Computadoras- Guardar la Evidencia- Proteger la Cadena de Custodia- REALIZAR LA INVESTIGACION EN EL LABORATORIO
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Inventariar todo lo encontrado
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Fotografiar los Equipos
Fotografiar las Conexiones entre Equipos
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Fotografiar las pantallas
_ Registros y contenidos de la caché._ Contenidos de la memoria._ Estado de las conexiones de red, tablas de rutas._ Estado de los procesos en ejecución._ Contenido del sistema de archivos y de los discos duros._ Contenido de otros dispositivos de almacenamiento.
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Procesos necesarios para auditar. Teniendo en cuenta la volatilidad de la informacion
(según normas estándares RFC 3227)
_ Interpretar comandos en modo consola (cmd, bash)_ Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport, lsoft)_ Listar usuarios conectados local y remotamente al sistema_ Obtener fecha y hora del sistema (date, time)_ Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que los lanzaron (ps, pslist)_ Enumerar las direcciones IP del sistema y mapear la asignación de direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, net)_ Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)_ Visualizar registros y logs del sistema (reg, dumpel)_ Visualizar la configuración de seguridad del sistema (auditpol)_ Generar funciones hash de ficheros (sah1sum, md5sum)_ Leer, copiar y escribir a través de la red (netcat, crypcat)_ Realizar copias bit-a-bit de discos duros y particiones (dd, safeback, ghost)_ Analizar el tráfico de red (tcpdump, windump)
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Procesos necesarios para auditar.
Recolectar Información Volátil
Fecha y Hora con: “date /t && time /t”
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Recolectar Información Volátil
Conexiones de Red activas con: “netstat –na”
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Recolectar Información Volátil
Configuración de Red con: “ipconfig /all”
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Recolectar Información Volátil
Información del Sistema con: “systeminfo”
Recolectar Información Volátil
Histórico de Comandos: “doskey /history”
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Recolectar Información Volátil
http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx
Usuarios Logueados al Sistema con: “psloggedon.exe”
http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx
Listar Procesos Corriendo con: “pslist.exe”
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Recolectar Información Volátil
Desconectar la Conectividad
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Apagar las Computadoras
Apagar las Computadoras
• DOS: Tirar del Cable• Windows 3.1: Tirar del Cable• Windows 95: Tirar del Cable• Windows NT Workstation: Tirar del Cable• Windows NT Server: Apagar Normalmente• Windows 98/Me: Tirar del Cable• Windows 2000: Apagar Normalmente• Windows 2000 Server: Apagar Normalmente• Windows XP: Tirar del Cable• Windows 2003 Server: Apagar Normalmente• Linux/Unix: Apagar Normalmente• Macintosh: Tirar del Cable• Mac OS X: Apagar Normalmente
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Guardar la Evidencia- utilizar bolsas anti-estática
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Guardar la Evidencia- utilizar goma espuma
PASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADOR
Proteger la Cadena de Custodia
- ¿ Qués es la evidencia ?- ¿ Cómo se la obtuvo ?- ¿ Cuando fue obtenida ?- ¿ Quién la obtuvo ?- ¿ Donde viajo y donde fue guardada ?
http://www.csoonline.com/read/120105/sample_chain_custody.pdf
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
Tableau T35e
Tableau T35e
http://www.tableau.com
Adquisición de Discos Rígidos y Dispositivos USB
Equipo de Clonado HW: Logicube Forensics MD5
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
ADQUISICIÓN DE EVIDENCIA CON DDADQUISICIÓN DE EVIDENCIA CON DD
¿ Qué es DD ?
- Una famosa herramienta para hacer copias bit a bit.- http://www.forensicswiki.org/wiki/Dd
¿ Qué es FAU ?- Conjunto de programas específicos con fines de auditoria- Forensic Acquisition Utilities- http://www.gmgsystemsinc.com/fau/- DD, Netcat, Wipe, fmdata, volume_dump
ADQUISICIÓN DE EVIDENCIA CON DDADQUISICIÓN DE EVIDENCIA CON DD
dd.exe if=“ENTRADA” of=“SALIDA”
Microsoft Windows:
Disco rígido: “\\.\PhysicalDriveX”Volumen de disco: “\\.\C”Memoria física: “\\.\PhysicalMemory”
dd.exe if=\\.\PhysicalDrive0 of=d:\images\Imagen.img
UNIX/Linux:
Disco rígido: “/dev/hda”Volumen de disco: “/dev/hda1”Memoria física: “/dev/mem”
dd if=/dev/hda of=Imagen.img bs=65536 conv=noerror,sync
ADQUISICIÓN DE EVIDENCIA SOBRE LA REDADQUISICIÓN DE EVIDENCIA SOBRE LA RED
¿ Qué es Netcat ?
- La Navaja Suiza para conexiones de red.- http://en.wikipedia.org/wiki/Netcat
Escuchamos en el puerto TCP 9000:
nc.exe -l 9000 > WinXPvolumeC.img
Redirigimos una imagen con DD a un sistema en la red:
dd.exe if=\\.\C | nc.exe 10.1.1.22 9000
Redirigimos una imagen de la memoria:
dd.exe if=\\.\PhysicalMemory | nc.exe 10.1.1.22 9000
AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASHHASH
¿ Qué es un Hash ?
- Método para generar una firma que represente de manera unívoca a un archivo.- Algunos algoritmos criptográficos usados: MD5 o SHA-1.- Gran cantidad de programas, como md5sum o md5deep.- http://www.forensicswiki.org/index.php?title=Hashing
¿ Para qué sirve ?
- Verificar que la evidencia no se ha modificado.- Identificar unívocamente a un archivo.- Realizar búsquedas de Hashes.
AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASHHASH
Hashing de una Imagen de Disco:
dd.exe if=\\.\PhysicalDrive0 of=d:\images\Imagen.img --md5sum --verifymd5 --md5out=d:\images\Imagen.img.md5
Hashing de un Archivo:
AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASHHASH
Hashing de un Archivo desde el explorador
ANALIZANDO LA PAPELERA DE RECICLAJEANALIZANDO LA PAPELERA DE RECICLAJE
¿ Cómo trabaja el archivo INFO2 ?
• Los archivos borrados van a la Papelera a menos que se use la tecla SHIFT.• El archivo es renombrado a DC#.EXT• “#” es un número entero.• “EXT” es la extensión original.• “Santiago.txt” se renombraría a “DC1.txt”.• “#” es incremental.
¿ Qué información guarda ?
• La ruta original del archivo.• El tamaño del archivo.• La fecha y hora en la que se movió el archivo a la Papelera.• El número de ID único que tiene en la Papelera.
¿ Cómo funciona la Papelera de Reciclaje ? • Directorio oculto “RECYCLER”.• Directorios con el SID de cada usuario.• Posee un archivo oculto llamado INFO2.
¿ Dónde se guarda el archivo INFO2 ?
• Windows 95/98/ME c:\Recycled\INFO2• Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2>
ANALIZANDO LA PAPELERA DE RECICLAJEANALIZANDO LA PAPELERA DE RECICLAJE
- “cd RECYCLER”- “dir /ah”
ANALIZANDO LA PAPELERA DE RECICLAJEANALIZANDO LA PAPELERA DE RECICLAJE
- Vamos a usar Rifiuti de Foundstone.- “rifiuti INFO2”
http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip
ANALIZANDO LA PAPELERA DE RECICLAJEANALIZANDO LA PAPELERA DE RECICLAJE
ANALIZANDO ARCHIVOS DE LINKANALIZANDO ARCHIVOS DE LINK
¿ Qué son los archivos de LINK ?
• Son shortcuts que tienen la extensión “.lnk”.
• Apuntan a aplicaciones, directorios, documentos o archivos de datos.
• También los podemos encontrar en la carpeta Recent, Start, Desktop y “Sent To Folders”.
¿ Qué información importante podemos encontrar ?
• La ruta original del archivo.
• El serial number del volumen del disco.
• Fecha y Hora de Creación, Ultimo Acceso y Modificación.
ANALIZANDO ARCHIVOS DE LINKANALIZANDO ARCHIVOS DE LINK
http://www.rootkitdetector.com
- “lnk –o archivo.lnk”
DESCUBRIENDO LAS PASSWORD DE WINDOWSDESCUBRIENDO LAS PASSWORD DE WINDOWS
Ophcrack, recupera tusContraseñas de Windows.
Ophcrack 3.0 es una aplicación que permite obtener las contraseñas de
tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux gracias a las libretrías GTK.
Ophcrack Live CD 0.9 es una distribución linux, basada en la Ubuntu 5.04, en formato Live CD que está preparado para acceder a las particiones de Windows, copiar temporalmente en el sistema y analizar el archivo SAM, el que gestiona las contraseñas de Windows, para luego descomprimirlo y descifrarlo.Con ello podremos obtener la contraseña de nuestro sistema Windows y permitirnos acceder a él.
DESCUBRIENDO LAS PASSWORD DE WINDOWSDESCUBRIENDO LAS PASSWORD DE WINDOWS
>>>OPHCRACK.wmv<<<
VIDEOVIDEO
ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOSDocumentos, tales como, Word, Excel, Powerpoint, etc.Contienes información sensible a la hora de realizas análisis.Metavier, de PINPOINT es una aplicación gratuita que nos muestra los metatags que estan incrustrados dentro de estos archivos veamos un ejemplo
NOTA MUY INTERESANTE: http://www.kriptopolis.org/docs/metadatos.pdf
ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOS
Tomar nota de este link, aca dice como borrar a “mano” todo lo que queda en evidencia cuando abrimos con un editor de texto en modo binario
http://support.microsoft.com/kb/290945/es
ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOS(Continuación)
ANALIZANDO ARCHIVOS DE DOCUMENTOSANALIZANDO ARCHIVOS DE DOCUMENTOSPDF (Portable Document Format)PDF (Portable Document Format)
Objetivo: Crear un documento que no sea modificable y cumpla con estándares de compatibilidad y seguridad.
(Duró poco, este slogan)
http://pdfhammer.com/ Herramienta que sirve para modificar a voluntad archivos con esta extensión, inclusive pasarlo a .doc
Comments on PDF filesFrom the “Portable Document Format Reference Manual” Version 1.3:5.14 BodyThe body of a PDF file consists of a sequence of indirect objects representing a document. The objects, which are of the basic types described in Chapter 4, represent components of the document such as fonts, pages, and sampled images.Comments can appear anywhere in the body section of a PDF file. Comments have the same syntax as those in the PostScript language; they begin with a % character and may start at any point on a line. All text between the % character and the end of the line is treated as a comment. Occurrences of the % character within strings or streams are not treated as comments.
ANALIZANDO archivos de intercambioANALIZANDO archivos de intercambio
Pagefile.sysEl archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora, conocida como Memoria RAM. Así se amplia la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo.
Suele tener 1,5 veces el tamaño de la memoria RAM que posea el equipo. Si tiene un Giga de Ram, el archivo pagefile.sys tendrá un tamaño de 1.5 gigas. Se trata de un archivo oculto, por lo que sólo puedes verlo si des activas la opción de ocultar archivos protegidos del sistema.
ANALIZANDO archivos de intercambioANALIZANDO archivos de intercambio
Index.dat
Desde el DOSC:\Documents and Settings\tu_user_name\Configuración local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\historial.txt
Internet explorer guarda una copia de las páginas visitadas en tu disco duro. Si vas a una página ya visitada, internet explorer busca primero en la cache, y la compara con la página del servidor, mostrandote la página desde tu disco duro, si no ha habido actualizaciones.
Puedes borrar el cache de disco desde el propio internet explorer (herramientas, opciones de internet, eliminar archivos). El problema es que esta opción borra todo el contenido del historial de internet (los archivos html, los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat.
Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema;
ANALIZANDO archivos de intercambioANALIZANDO archivos de intercambio
ANALIZANDO archivos de intercambioANALIZANDO archivos de intercambio
ANALIZANDO prefetchANALIZANDO prefetch
El Prefetch analiza los programas que ejecutas habitualmente en tu PC, de tal forma que, para que tengan mejor rendimiento, Windows puede precargar (prefetching) ciertas partes de los programas en la memoria durante la carga inicial, para que así tengan un mejor comportamiento y rapidez al usar dichos programas.
Esta hubicado en x:\windows\prefetch
Los ficheros .pf graban la fecha y hs. de cuando fue utilizado por ultima vez
La clave del registro para modificar es:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management\PrefetchParameters
El archivo LAYUOT:INI En este archivo guarda los programas con sus paquetes mas usados. Cada 3 días actualiza, y en segundo plano hace una desfragmentacion, para que el cabezal no tenga que desplazarse tanto en el disco
http://www.fermu.com/content/view/110/2/lang,es/
ANALIZANDO periféricos USBANALIZANDO periféricos USB
¿Sabias que cada vez que pones un dispositivo USB queda registrado?
¿ QUÉ ES EL SLACK ?¿ QUÉ ES EL SLACK ?
Es el espacio que se encuentra desde el final de un archivo lógico hasta el final de un sector o cluster.
¿ QUÉ ES EL ESPACIO NO ASIGNADO ?¿ QUÉ ES EL ESPACIO NO ASIGNADO ?
Cuando DOS o Windows borra un archivo, en realidad el contenido del mismo queda intacto y pasa a ocupar un área llamada “Unallocated Space”.
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
Los principales motivos son los siguientes:
¿Porque atacar un router?
• Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.• Comprometer otros routers a través de el. • Desviar firewalls de red, IDS o otros servicios. • Monitorizar y grabar el tráfico entrante o saliente de la red. • Redirigir el tráfico de la red a otro punto.
web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/www.dragonjar.org/analisis-forense-a-un-router-cisco.xhtml#more-2862
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:# terminal length 0# dir /all# show clock detail# show ntp# show version# show running-config# show startup-config# show reload# show ip route# show ip arp# show users
Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…
# show logging# show interfaces# show ip interfaces# show access-lists# show tcp brief all# show ip sockets# show ip nat translations verbose# show ip cache flow# show ip cef# show snmp users# show snmp groups# show clock detail# exit
Existen herramientas que sirven para recuperar muy
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
Algunas alternativas son: ISOBUSTER (versión trial)
CD/DVD RECOVERY (comercial 100%)
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
Según la wikipedia “La esteganografía es la rama de la criptología que trata sobre la ocultación de mensajes, para evitar que se perciba la existencia del mismo.”
Empecemos con lo mas simple, se hace uso del comando copy con los parámetros /b primerarchivo.jpg + segundoarchivo.rar imagendondeseocultarán.jpg
StegHide OpenStego Hide In Picture 2.1 http://www.viciao2k3.net/services/cryptimg/ (EN LINEA)
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
>>> stegano.vwm <<<
VIDEOVIDEO
Herramientas para realizar la auditoria forenseHerramientas para realizar la auditoria forense
Algunas, gratuitas otras pagas, entorno windows o linux veamos cuales son:
The Forensic ToolKit (w) www.foundstone.comWindows Forensic Toolchest (w) www.foolmoon.netThe Sleuth Kit y Autopsy (L) www.sleuthkit.orgHELIX CD (L) www.knopix.comF.I.R.E. Linux (L) biatchux.dmzs.com.ENCASE (WL) Guidance Software
OPHCRACK (WL) Guidance Software
Mobiledit! (C), versión lite disponible.Bitpim
Tulp2g frameworkSecureview ®
Celldek ®Device Seizure ®
Pilot-LinkGsm .Xry ®
Oxygen Phone Manager ®, versión lite disponible.Simis2 ®
Forensicsim ®Forensic Card Reader ®
Simcon ®Phonebase2 ®
Usimdetective ®Las herramientas con el símbolo ® al lado implican software comercial de pago.
http://www.dragonjar.org/herramientas-para-realizar-analisis-forense-en-telefonos-moviles-y-tarjetas-sim.xhtml
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
¿ Qué información podemos obtener ?
• Datos del Dispositivo- número de serial- información del fabricante- información del firmware/hardware- IMSI#- IMEI#- ubicación de la torre celular- volumen del ring, etc.
• Lista de Contactos / Agenda• Registro de Llamados
- recibidas- realizadas- pérdidas- duración
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
¿ Qué información podemos obtener ?
• Mensajes de textos SMS y MMS• Calendario• Archivos guardados en el dispositivo
- imágenes- sonidos- documentos- ring tones
• Sistema de Archivos- paquetes de Java- juegos- programas- ejecutables
• Archivos borrados de espacio no alocado (disponible con las tarjeta SIM y adquisiciones físicas únicamente)
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
Adquisición de Teléfonos Celulares utilizando NEUTRINO de Guidance Software
http://www.guidancesoftware.com/products/neutrino.aspx
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
WaveShield, bolsa bloqueadora de señales
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
Conexión directa a NEUTRINO
ADQUISICIÓN DE EVIDENCIA POR HARDWAREADQUISICIÓN DE EVIDENCIA POR HARDWARE
Correlación directa con EnCase
>>Auditando celulares<< VIDEO
CONOCIENDO A HELIXCONOCIENDO A HELIX
• Live CD• Basado en Knoppix• Especializado para Forenses
http://www.e-fense.com/helix/
>>Farc.pdf<<<
“Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense”.
Limitar la detección de un evento que haya ocurrido. Distorsionar la información residente en el sitio. Incrementar el tiempo requerido para la investigación del caso. Generar dudas en el informe forense o en el testimonio que se presente. Engañar y limitar la operación de las herramientas forenses informáticas. Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia. Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.
The Metasploit Project Timestomp - First ever tool that allows you to modify all four NTFS timestamp values: modified, accessed, created, and entry modified.
Sacker - First ever tool that allows you to hide files within the slack space of the NTFS file system.
Sam Juicer - A Meterpreter module that dumps the hashes from the SAM, but does it without ever hitting disk.