Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Utilizar software específico para analizar evidencias digitales desde diferentes niveles de abstracción para facilitar su correcta interpretación. Luego de obtener la evidencia mediante cadena de custodia, se procede a su análisis. Esta es la fase más técnica, se utiliza hardware y software específicamente diseñados para el análisis forense. En esta fase, es muy importante saber qué es lo que se está buscando, esto dará un enfoque más preciso a la hora de obtener las pruebas. El estudio de la línea de tiempo (timeline), logs de accesos y un volcado de la memora RAM son muy útil para la mayoría de las pericias. Es muy importante evaluar la criticidad del incidente y los actores involucrados. Reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento, es decir, correlacionar los hechos. Contestar a las interrogantes: ▪ ¿Qué? ▪ ¿Cómo? ▪ ¿Con qué? ▪ ¿Por qué? ▪ ¿Cuándo? ▪ ¿Quién? CONSIDERACIONES ANTES DE REALIZAR EL ANÁLISIS ▪ NUNCA trabajar con datos ORIGINALES, evidencias, dispositivos, etc. ▪ Respetar la legislación y las políticas de la Organización ▪ Documentación ▪ Resultados Verificables y Reproducibles ▪ No existe un procedimiento estándar. Preparación del entorno forense: ▪ Laboratorio forense. ▪ El Sistema de análisis ▪ Entorno limpio ▪ Aislado de la red ▪ Herramientas limpias y esterilizadas ▪ Sistema de Simulación ▪ Sistema de Pruebas en caliente Crear una línea temporal de sucesos • Marcas de tiempo. • Ruta completa. • Tamaño en bytes y tipo de fichero. • Usuarios y grupos a quien pertenece. • Permisos de acceso. • Si fue borrado o no. Determinar cómo se realizó el incidente • Determinar la entrada en el sistema. • Descubrir la vulnerabilidad o fallo de administración que causó el agujero de seguridad. • Averiguar las herramientas que usó el atacante. Identificar los autores del incidente • Revisar conexiones, puertos y direcciones IP de origen. • Revisar logs de conexiones. Evaluar el impacto causado en el Sistema • Descubrir que hicieron los atacantes luego de ingresar al sistema. • Estimar el impacto causado. La línea de tiempo es importante en el inicio de una investigación. Es el marco de trabajo que permite al investigador indagar en base a un criterio de tiempo determinando que ficheros pueden o no ser importantes para el caso. La línea de tiempo se define en dos momentos dentro de una investigación: 1. La línea previa, surge con la entrevista inicial, muestra la pauta para iniciar los análisis y hace referencia a los detalles de tiempos y sucesos iniciales proporcionados por las personas que encargan la investigación. Aquí un ejemplo: 2. La línea de investigación, se inicia con la fase del análisis, las conclusiones previas permitirían establecer un inicio, pero la línea de tiempo más exacta se establece durante la fase del análisis. Esta línea de tiempo se hace con las evidencias encontradas dentro del análisis. Ejemplo. Cada detalle que se registre debe tener sus respectivas evidencias, de esta forma se podrá recrear el delito. Entre los elementos que deben delimitar la línea de tiempo tenemos los siguientes: ▪ Ficheros creados, modificados o eliminados dentro de una ventana de tiempo cercana a las fechas identificadas en la línea previa. ▪ Posibles ficheros modificados posteriormente pero que pueden ser objeto de la acción en la ventana temporal fijada para la investigación. ▪ En base a las investigaciones preliminares, fijar posibles ventanas temporales posteriores a los hechos identificados previamente. ▪ Determinar ficheros anteriores a la línea temporal de acción. Aunque nunca debe despreciarse de forma inicial ningún tipo de ficheros, deberán ser analizados con menor rigurosidad, que aquellos enmarcados en los tiempos más críticos. ▪ Detectar posibles ficheros discordantes con las fechas existentes. Estas discordancias podrían proporcionar datos significativos. Entre estos ficheros deberá considerarse: ▪ Ficheros existentes con fechas posteriores a la investigación. ▪ Ficheros de documentos con fechas previas a la instalación de la máquina. ▪ Si la respuesta ante una incidencia ha sido rápida, podrán evaluarse ficheros logs alterados e identificar horarios significativamente incoherentes para la organización, como ficheros abiertos o modificados en horario nocturno cuando no hay actividad normal. ▪ Determinar las horas de actividad de una máquina en función del análisis de los ficheros de logs y la modificación de los ficheros del sistema. Las dificultades que se encuentra el investigador a la hora de analizar determinadas evidencias digitales es que los atacantes emplean cada vez herramientas más sofisticadas para realizar sus delitos. Por lo tanto, el investigador puede dispone de un conjunto de herramientas específicas para el análisis de evidencias, tales como: ▪ HELIX CD ▪ F.I.R.E. Linux ▪ KALI LINUX ▪ CAINE ▪ OSFORENSICS Análisis de los ficheros corrientes del sistema: ▪ Comprobación de integridad de los binarios del sistema, ROOTKITS y Virus. ▪ Archivos temporales. ▪ Archivos o directorios “ocultos”: Nombres camuflados ▪ Archivos borrados ▪ Slack space ▪ Partición swap ▪ Esteganografía, cifrado, etc. Del griego steganos (oculto) y graphos (escritura), la esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. No nace con la Informática, lleva siendo usada desde hace miles de años para transmitir mensajes de forma segura: ▪ Pelo de animales y esclavos ▪ Zumo de limón visible al fuego Valiosa por su fortaleza pero peligrosa a la vez por ser difícil determinar si se ha empleado o no. Activistas, militares, terroristas… La esteganografía estudia el conjunto de técnicas cuyo fin es insertar información sensible dentro de otro fichero. A este fichero se le denomina fichero contenedor (gráficos, documentos, programas ejecutables, etc.). De esta forma, se consigue que la información pase inadvertida a terceros, de tal forma que sólo sea recuperada por un usuario legítimo que conozca un determinado algoritmo de extracción de la misma. Esta ciencia ha suscitado mucho interés en los últimos años debido a que ha sido utilizada por organizaciones criminales y terroristas. EL mensaje que viaja por canal inseguro dentro del Camuflaje, empleando la Estego-función y la Estego- clave (a veces) tanto para ocultar como para revelar la información Estego-terna. Se suele cumplir una terna para mantener el equilibrio de la ocultación: ▪ A mayor cantidad de información la técnica es menos robusta y no pasan tan desapercibidas. ▪ Por el contrario a mayor robustez menor cantidad de información normalmente. Por ejemplo basándonos en el tamaño del archivo, al ocultar más información normalmente será mayor (técnica EOF). ▪ Esteganografía pura: ▪ No emplea estego-clave ▪ Difícilmente distinguible de un objeto corriente por lo que el guardián no puede distinguirlo. ▪ Por ejemplo una imagen que cambiando de extensión es un archivo comprimido y oculta otros archivos. ▪ Esteganografía de clave secreta ▪ Se necesita una clave que tanto emisor como receptor deben conocer para revelar la información ▪ Por ejemplo el programa jphs ocultando texto en una imagen empleando una clave para revelar el texto ▪ Tipos de Esteganografía ▪ Esteganografía en texto ▪ Esteganografía en SOs y sistemas de ficheros ▪ Esteganografía en formato de ficheros ▪ Esteganografía hardware ▪ Esteganografía en tecnologías web ▪ Esteganografía en protocolos de comunicación ▪ Esteganografía en contenido multimedia Esteganografía en texto ▪ Consiste en ocultar información en texto de forma que algunas o todas las palabras de dicho texto sirvan para descifrar el mensaje Codificaciónde palabras (Ej: Casa = a, Caballo = b, Luz = c…) ▪ Ocultar información en texto spam (http://www.spammimic.com) ▪ Codificar letras como notas musicales… Esteganografía en texto: Código abierto ▪ Código abierto: textos que aparentemente no entrañan ningún secreto ya que pueden tratar de cualquier tema, pero que si se conoce la estego-clave, se puede extraer la información que oculta. ▪ Señales o pistas: son ciertas palabras que aparecen en un texto para avisar a alguien de una acción que debe realizar ▪ Cifradores nulos o Null ciphers: consiste en emplear un algoritmo de ocultación a las letras de las palabras que se desea esconder distribuyéndolas por todo el texto de una manera concreta. Acrósticos Esteganografía en SOs y ficheros. ▪ Se aprovecha de la limitación del sistema de archivos basándose en la forma que ocupan espacio los archivos en los sistemas de almacenamiento según el filesystem con el que esté formateado. Ejemplos: ▪ FAT 16 y 32 => 32KB ▪ EXT2 => de 512 bytes a 4KB ▪ Emplea la “fragmentación interna” (no se ocupa un bloque completo por lo que hay una parte del bloque sin usar en la que se puede ocultar información) ▪ Ventaja y desventaja: Si el archivo se mueve a un almacenamiento con filesystem distinto se pierde lo que hubiéramos ocultado por la reorganización de bloques. Lo mismo pasa si el fichero cambia de tamaño Esteganografía en formato de ficheros Aprovecha las limitaciones propias de ficheros y de los elementos de control de los mismos, como la Técnica de Final de Fichero (EOF) que se puede emplear para ocultar información después de la marca eof de un fichero. Un archivo consta, muy básicamente hablando, de: (1) Cabecera, (2) Código, (3) Marca final de fichero ▪ "copy /b xxx.jpg + yyy.txt resultado.jpg“ ▪ "copy /b xxx.jpg + yyy.zip resultado.jpg“ ▪ "type xxx.jpg >> yyy.png“ Revisable con un editor hexadecimal Automatizado con la herramienta OurSecret (©SecureKit.net) que agrega además una contraseña para acceder a los datos Esteganografía hardware. Aprovecha las limitaciones y fallos de seguridad de los elementos físicos, para ocultar información. Esteganografía hardware BadBIOS Mediante infección por USB es capaz de entrar en dispositivos externos como el teclado, y de este modo saltarse la seguridad de la BIOS o la UEFI y poder entrar en el arranque del sistema sin problemas por lo que no tendría necesidad de adaptarse a un SO determinado. Esteganografía hardware. BadUSB Aprovecha una vulnerabilidad en el firmware de fábrica de los pendrives para modificar la información sobre su funcionalidad. Así se puede modificar un pendrive haciéndolo pasar por un adaptador de red ethernet que responda a todas las peticiones DHCP sin modificar la puerta de enlace, modificando las peticiones DNS que realicemos pudiendo ser redirigidos a sitios web ilegítimos sin darnos cuenta. Se puede realizar con más dispositivos que se conecten al puerto USB como un móvil, un teclado o una webcam. Esteganografía en tecnologías web ▪ Consiste en ocultar mediante características del lenguaje web empleado la información deseada ▪ Poner el texto del mismo color del fondo ▪ Modificar las etiquetas, que en html no son case sensitive ▪ Modificar el orden de los atributos Poner comentarios en el código Esteganografía en protocolos de comunicación. Similar a las técnicas EOF solo que con el formato de los protocolos. Protocolo UDP: se emplea para transporte de información, no necesitando entonces conexión previa y por tanto no asegurando que la información llegue al receptor en perfecto estado. Hay dos formas: ▪ Manipulando el Puerto Origen del paquete: se lleva a cabo cuando se necesita una comunicación unidireccional. Así se podría ocultar información en esa parte del paquete (16 bits) ya que no se realizaría la comprobación. ▪ Manipular la Suma de verificación: se lleva a cabo cuando la comunicación es entre un emisor y un receptor previamente configurados. Esto hace que la suma de verificación no sea imprescindible para validar el paquete ya que está previamente configurado, así se puede introducir información oculta (16 bits) en el paquete y aunque la suma dé error el paquete se acepta. Esteganografía en contenido multimedia ▪ Consiste en ocultar archivos de poco tamaño en fotos, vídeos, audio; Las técnicas más utilizadas son mediante inserción que oculta la información en el código, de forma que actuará a modo de ruido adicional en la imagen, vídeo o audio que albergue aquello que queremos ocultar, intentando que sea el menor posible. ▪ Emplea técnicas para modificar zonas con gran variedad de colores, ya que si la parte que modificamos es de un color uniforme al modificar los píxeles para introducir la información el ruido sería más visible y por tanto detectable. ▪ También se tiende a modificar principalmente zonas del interior de la imagen ya que en los contornos es más fácil advertir algún cambio. Esteganografía en contenido multimedia Herramientas de esteganografía: MSU StegoVideo, Xiao Steganography, Oleg, Mp3stego, Jsteg, Outgues 0.2, F5, MB1, MB2, steghide,YASS. Herramientas de estegoanálisis: stego suite, stegsecret, stegkit, stegAlyzer AS, stegspy, stegdetect, etc. El estegonanálisis es la ciencia que permite detectar la información ocultada mediante esteganografía. Principalmente se basa en el ataque pasivo (guardián pasivo) y se puede dividir en tres fases: ▪ Detección de posible información oculta en el camuflaje. ▪ Estimación del tamaño de la información ocultada. ▪ Extracción y recuperación de la información enmascarada. Si se han tomado las medidas adecuadas, resulta inviable recuperar la información oculta puesto que en las técnicas actuales primero se cifra la información y después se oculta, por lo que para su obtención primero debería revertirse el algoritmo empleado para ocultar los datos, que suele ser pseudoaleatorio, y luego descifrar los datos intentando romper un algoritmo de cifrado cuya seguridad está asegurada por la comunidad científica. ▪ Stego-only attack: Se dispone únicamente del posible camuflaje, el estego- objeto, para realizar sobre él los estudios que desee. Es el caso más común. ▪ Known cover attack: Se dispone del camuflaje original y el camuflaje con la información oculta, pero no el algoritmo empleado o el tipo de información oculta. ▪ Known message attack: Conocemos la información ocultada en un momento determinado en un camuflaje concreto, por tanto se podrían deducir patrones correspondientes a ese mensaje/información para emplearlos en futuros ataques contra el mismo sistema de ocultación pero con otra información ▪ Chosen stego attack: Basándose en el anterior, se debe conocer el funcionamiento del algoritmo empleado así como otros ejemplos de camuflajes empleados. ▪ Chosen message attack: Se tienen mensajes conocidos y procedimientos para obtener estego-objetos para poder determinar patrones característicos de un patrón concreto, y así detectar información oculta en otros camuflajes y en última instancia el empleo de algoritmos de detección más precisos para las herramientas conocidas. ▪ Known stego attack: Se dispone de la herramienta empleada, así como el camuflaje original y el estego-objeto resultante. https://www.youtube.com/watch?v=6KVrsKG5CVg https://www.youtube.com/watch?v=h5K-xNTmTcM https://www.youtube.com/watch?v=6KVrsKG5CVg https://www.youtube.com/watch?v=h5K-xNTmTcM Crear esteganografia usando cmd windows, y descomprimir usando IZArc Crear esteganografia usando Xiao Steganography. En un ámbito informático, Wipe hace referencia a borrar una partición o "limpiar" una partición. Al realizar un Wipe estamos borrando datos de nuestro dispositivo., datos que se encuentran dentro de su memoria interna. Un algoritmo de eliminación de datos (en inglés disk wiping), en informática, es el usado para el borrado del contenido de dispositivos de almacenamiento, tales como discos duros, memorias flash, memorias USBetc., de forma segura. El algoritmo ejecuta la sobrescritura de los datos almacenados en el dispositivo varias veces y de un modo aleatorio. El más común y aprobado por la NSA consiste en 3 iteraciones. En la primera escriben unos (1), en la segunda ceros (0) y en la tercera el código designado por el gobierno 246. Hay diferentes versiones comerciales del algoritmo, diferenciándose entre ellas el número de iteraciones y los datos escritos. https://es.wikipedia.org/wiki/NSA Instalar los softwares DiskWipe y DeleteOnClick Se tiene extraída un imagen de una unidad de almacenamiento (disco duro, flash memory, sd card, etc.) la cual será analizada con el fin de buscar evidencias. Para esto, existen diversos programas free, freeware o propietario. Todas ellas tienen el mismo objetivo que es analizar las imágenes forenses. La diferencia radica en el número de características que los diferencie. Según el tipo de análisis se podrá usar una u otra herramienta, esto queda a criterio del forense, según el incidente o delito que se investiga. Análisis del caso: ▪ El Sr. Luis Hoyos de la empresa ERCU dedicada a la distribución al por mayor de repuestos para vehículos, detectó el día 30 de enero del 2008 que un archivo de Excel que se encontraba alojado el computador de su oficina ya no existía. Este archivo con nombre EUROCONFIDENCIAL.xls contenía información muy delicada de proveedores y clientes de la empresa. ▪ Comenta el Sr. Hoyos, que el día 15 de ese mes despidió a un empleado que laboró normalmente hasta su salida acordada que fue el 29 de Enero del 2008. Al día siguiente de su salida ya no estaba la información faltante. Nos comenta que sospecha de esta persona ya que conoce que actualmente está trabajando en una empresa similar que ha puesto su hermano. ▪ El Sr. Hoyos levantó una denuncia de robo de información, llevando el caso a la justicia, la cual incauto y realizó el secuestro de un equipo informático de la empresa del hermano del ex- empleado y del flash memory que era propiedad del ex-empleado, que adicionalmente auguraba no conocer nada del tema. ▪ Dentro del proceso legal fuimos nombrados para la investigación y análisis de evidencia de la memoria flash del acusado. La cual ha sido entregada bajo cadena de custodia con el siguiente código de seguridad: MD5: d823eb7d7e24c4644233ab8acdc6e8b5 Para realizar la practica debe usar el software FTKImager, Autopsy, OSForensic, y usar el archivo flashevidencia.dd El proceso forense, tiene dos tipos de investigaciones. Investigación en sistemas vivos y en sistemas muertos. Trabajar con sistemas vivos es trabajar con equipos en funcionamiento, puede ser un entorno de red o una captura de evidencia volátil que puede perderse una vez apagado el equipo. Obtener las evidencias volátiles lo más rápido posible es fundamental. La obtención de evidencias volátiles se puede realizar en los siguientes lugares: ▪ Registros y cache del procesador ▪ Tablas de rutas ▪ Cache ARP ▪ Tabla de procesos ▪ Estadísticas del kernel y módulos ▪ Memoria RAM ▪ Ficheros temporales del sistema ▪ Estado de la red ▪ Ficheros abiertos ▪ Tiempos de los ficheros (tiempos MAC: modificación, acceso y creación) ▪ Documentos abiertos. Usar el software AccessData, Photorec y OSForensics para cargar y analizar la imagen del volcado de memoria. ▪ El archivo pagefile.sys es un fichero de variable tamaño que forma parte del sistema Windows 10 desde el momento de su instalación. Esto significa que no es un virus ni es instalado por ningún otro programa externo. Pagefile.sys es utilizado por el sistema para poder almacenar de forma temporal parte de los datos que se encuentran almacenados en la memoria RAM física de nuestro equipo. ▪ Esto significa que este archivo es como una especie de copia de seguridad de los archivos contenidos en la memoria RAM. Pagefile.sys está ubicado en la raíz de la unidad C: y tienen el estatus de super oculto, es decir, solamente podremos verlo si utilizamos por ejemplo el navegador de archivos de WinRAR u otro. Lectura del archivo PageFile.sys usando el software HxD, y WinHex. ¿Qué son los Metadatos? La definición más simple sería: “Son los datos sobre los datos” Son datos que describen otros datos. El metadato puede ser texto, voz o imagen. El metadato ayuda a clarificar y encontrar datos. Por ejemplo, el metadato podría documentar atributos (nombre, tamaño, tipo de dato, etc), las estructuras de los datos (longitud, columnas, campos, etc), y datos sobre datos (donde está localizado, cómo está asociado, etc). Los metadatos sirven para: ▪ Para localizar recursos ▪ Para describir recursos ▪ Para controlar el acceso a los recursos ▪ Para identificar versiones ▪ Para preservar la información Realizar las siguientes actividades para obtener los metadatos de la imagen Cateyes.jpg: 1. Buscar la imagen Cateyes.jpg en google para encontrar información. 2. Revise los metadatos mediante la opción de windows, clic derecho Propiedades. 3. Obtener los metadatos del archivo mediante el web site http://exif.regex.info/exif.cgi http://exif.regex.info/exif.cgi Mediante el uso del software FOCA escanear un web site en busca de metadatos ▪ La recuperación de datos es el conjunto de técnicas y procedimientos utilizados para acceder y extraer la información almacenada en medios de almacenamiento digital que por daño o avería no pueden ser accesibles de manera usual. ▪ La recuperación de datos es necesaria por distintos motivos, por ejemplo daños físicos en el medio de almacenamiento (averías electrónicas, averías mecánicas, golpes, incendios, inundaciones, etc.) o averías lógicas (daños en el sistema de archivos, daño en las particiones, archivos eliminados, formateos accidentales, etc.). ▪ Existen distintos métodos y herramientas que se pueden ejecutar para realizar la recuperación de datos y todo dependerá de la avería que el dispositivo presente, desde software especializado hasta herramientas de hardware diseñadas específicamente para esta labor. PhotoRec Data Recovery EaseUS Data Recovery Wizard PC Inspector File Recovery ▪ File carving es utilizado para extraer información a partir de una cantidad de datos en bruto sin necesidad de conocer el sistema de ficheros con el cual fueron creados los ficheros. ▪ Todos los tipos de ficheros tienen características comunes. Por ejemplo, los ficheros JPG/JFIF empiezan por FF D8 FF E0 y terminan por FF D9, como se puede observar en la siguiente imagen. ▪ Sabiendo esto, en bloques de datos, se pueden localizar aquellos que correspondan a JPGs en base al comienzo y fin de su estructura. Todos los tipos de ficheros tienen una estructura similar. Utilizan una constante conocida como Magic Number, la cual permite identificar el correspondiente tipo de fichero. En la siguiente tabla se indican una serie de magics numbers representativos con el tipo de fichero asociado. Es posible consultar un listado más extenso en el siguiente enlace. Tipo de Archivo Cabecera HEX En ASCII .ZIP 50 4B 03 04 PK .RAR 52 61 72 21 Rar! .TAR 1F 8B 08 00 .TGZ 1F 9D 90 70 .DOC D0 CF 11 E0 ÐÏ.à .XLS D0 CF 11 E0 .PDF 25 50 44 46 %PDF .WMV 30 26 B2 75 .FLV 46 4C 56 01 FLV .BMP 42 4D F8 A9/ 62 25 / 76 03 BM, BMp% , BMv .GIF 47 49 46 38 39 61 / 37 61 GIF89a GIF87a .ICO 00 00 01 00 .JPEG FF D8 FF E0 / FE JFIF .PNG 89 50 4E 47 PNG .SFW 43 57 53 06 / 08 Cws .MP3 49 44 33 2E /03 ID3 .EXE 4D 5A 50 00 /90 00 MZP / MZ .DLL 4D 5A 90 00 MZ Linux bin 7F 45 4C 46 ELF http://www.garykessler.net/library/file_sigs.html Existen diferentes técnicas de «file carving»: ▪ Basadas en la cabecera de un fichero y en el final o, si se desconoce éste, en el tamaño máximo de archivo (dato disponible en la cabecera). ▪ Basadas en la estructura de un fichero: cabecera, pie, cadenas significativas, tamaño, etc. ▪ Basadas en el contenido del fichero: entropía, reconocimiento del lenguaje, atributos estáticos, etc. Ejemplo: HTML, XML, etc. Existen multitud de herramientas, softwarelibre y propietario que permiten realizar el proceso de «file carving» con mayor o menor efectividad y utilidad. A continuación, se describen algunas de ellas: ▪ Foremost de código abierto. Recupera información en entornos Linux. ▪ Scalpel de código abierto, basada en Foremost. Recupera información en entornos Linux, OSX y Windows. ▪ Forensic Toolkit (FTK) AccessData suite propietaria. ▪ X-Way Forensics (WinHex) al igual que FTK es una suite completa para realizar análisis forenses. Aplicar el proceso de data carving usando Scalpel desde Caine O.S., y cargar la imagen PracticaCarving.dd como una unidad de almacenamiento para su análisis. 1. Montar la imagen PracticaCarving.dd como unidad de almacenamiento en Caine O.S. 2. Ingresar como super administrador mediante caine@caine: sudo su – ahora tiene el modo root@caine:˜# 3. Configurar el archivo scalpel.conf ubicado en /etc/scalpel/ asignando las propiedades de root@caine:˜# chmod +rwx scalpel.conf con el fin de modificar los tipos de archivos que se requieren recuperar. 4. Modificar el archivo scalpel.conf ingresando con root@caine:˜# vi scalpel.conf y descomentar las líneas de código según los tipos de archivos que se requiera recuperar. Para salir del archivo presione :wq! 5. Ejecute scapel mediante root@caine:˜# scalpel /dev/sdb1 –o resultado verifique el nombre del dispositivo. 6. Para consultar los resultados debera aplicar permisos de +rwx a la carpeta de resultados obteniedos con scalpel. Los resultados se presentan clasificados según el tipo de archivo; además se genera el archivo audit.txt con el resumen del proceso ejecutado. ▪ En Disk Editor abrir la imagen forense PracticaCarving.dd ▪ Buscar la información mediante las marcas hexadecimal según el tipo de archive, por ejemplo archivos en formato .pgn tienen la marca de inicio hex 89 50 4E 47 y marca fin hex AE 42 60 82. ▪ Una vez encontrada la información hexadecimal se procede a copiar el segmento hex y pegarlo en un nuevo documento haciendo uso de HxD HexEditor. Guardar el archivo con un nuevo nombre y la extension propia, por ejemplo recup01.png PROYECTO FINAL II-PARCIAL ▪ Forense digital de código abierto. http://www.sleuthkit.org/ ▪ CAINE computer forensics linux live distro. https://www.caine-live.net/ ▪ SysternalSuite Kit de herramientas de Microsoft de libre distribución. https://live.sysinternals.com/ ▪ AccessData. https://accessdata.com/about/who-we-are ▪ PhotoRec. https://www.cgsecurity.org/wiki/PhotoRec ▪ TestDisk. https://www.cgsecurity.org/wiki/TestDisk ▪ Foca. https://www.elevenpaths.com/es/labstools/foca-2/index.html# ▪ Pandora Recovery. https://www.pandorarecovery.com/download-disk-drill-windows.html ▪ Tabla de firmas de archivo de GCK. https://www.garykessler.net/library/file_sigs.html ▪ Foremost. http://foremost.sourceforge.net/ ▪ Scalpel. https://github.com/sleuthkit/scalpel ▪ Forensic Toolkit (FTK) AccessData. https://accessdata.com/products-services/forensic-toolkit-ftk ▪ X-Way Forensics (WinHex). http://www.x-ways.net/forensics/ ▪ Herramientas para esteganografía. http://www.jjtc.com/Steganography/tools.html http://www.sleuthkit.org/ https://www.caine-live.net/ https://live.sysinternals.com/ https://accessdata.com/about/who-we-are https://www.cgsecurity.org/wiki/PhotoRec https://www.cgsecurity.org/wiki/TestDisk https://www.elevenpaths.com/es/labstools/foca-2/index.html https://www.pandorarecovery.com/download-disk-drill-windows.html https://www.garykessler.net/library/file_sigs.html http://foremost.sourceforge.net/ https://github.com/sleuthkit/scalpel https://accessdata.com/products-services/forensic-toolkit-ftk http://www.x-ways.net/forensics/ http://www.jjtc.com/Steganography/tools.html GRACIAS! Alguna pregunta? hazl@upse.edu.ec victoria.haz@hotmail.com lidice.haz.lopez@gmail.com 0993866800
Compartir