ADACSI Ardita Analisis Forense Informaticov2

Metodologa de Anlisis
Forense Informtico
MSc. J ulio C. Ardita, CISM. MSc. J ulio C. Ardita, CISM.
jardita@cybsec.com jardita@cybsec.com
11 de J ulio de 2007 11 de J ulio de 2007
Buenos Aires Buenos Aires - - ARGENTINA ARGENTINA
2
2007
Metodologa de Anlisis Forense
Informtico
Temario
Temario
Qu es el anlisis forense informtico?
Metodologa
Identificar, preservar, analizar y presentar
Aspectos legales bsicos
Identificacin y recoleccin de evidencia
Anlisis de la evidencia
Metodologas de investigacin
3
2007
Informtico
Anlisis Forense
Informtico
4
2007
Informtico
Crecimiento de incidentes
0
20000
40000
60000
80000
100000
120000
140000
160000
180000
1
9
8
9
1
9
9
0
1
9
9
1
1
9
9
2
1
9
9
3
1
9
9
4
1
9
9
5
1
9
9
6
1
9
9
7
1
9
9
8
1
9
9
9
2
0
0
0
2
0
0
1
2
0
0
2
2
0
0
3

(
E
s
t
)
Network Incidents Reported
Network
Incidents
Reported
Source: CMU Computer Emergency Response Team
5
2007
Informtico
Ha tenido incidentes de Seguridad

Informtica en el l timo ao?
46%
53%
43%
35%
27%
42%
18% 20%
15%
0%
50%
100%
150%
Ao 2002 Ao 2003 Ao 2004
NO SABE
NO
SI
Incidentes en Latinoamrica
6
2007
Informtico
Por qu se generan ms incidentes que antes?
- Crecimiento de la dependencia tecnolgica.
- Amplia disponibilidad de herramientas.
- No hay leyes globales.
- Internet es un laboratorio.
- Falsa sensacin de que todo se puede hacer.
- Gran aumento de vulnerabilidades de seguridad
(8.064 nuevas en 2006 segn CERT).
7
2007
Informtico
Desde 1999 a Desde 1999 a
hoy hubo m hoy hubo m s de s de
21.000 ataques 21.000 ataques
exitosos a exitosos a
p p ginas Web ginas Web
en Argentina. en Argentina.
http://www.zone-h.org
8
2007
Informtico
Qu son los delitos informticos?
Son actos criminales en los cuales se encuentran involucrados
las computadoras.
1. Delitos directamente contra computadoras.
2. Delitos donde la computadora contiene evidencia.
3. Delitos donde la computadora es utilizada para cometer
el crimen.
9
2007
Informtico
Robo de propiedad
intelectual.
Pornografa infantil.
Fraude
Distribucin de virus.
Denegacin de
servicios
Extorsin.
Estafa.
Acceso no autorizado.
Robo de servicios.
Abuso de privilegios.
Tipos de incidentes
10
2007
Informtico
Qu hacer ante un incidente informtico?
Vale la pena investigarlo?
Qu puedo lograr?
Qu ofrece el Anlisis Forense Informtico?
El anlisis forense informtico se aplica
una vez que tenemos un incidente y queremos
investigar qu fue lo que pas, quin fue
y cmo fue.
11
2007
Informtico
Evidencia Digital
La evidencia computacional es nica, cuando se la compara con
otras formas de evidencia documental.
A diferencia de la documentacin en papel, la evidencia
computacional es frgil y una copia de un documento almacenado
en un archivo es idntica al original.
Otro aspecto nico de la evidencia computacional es el potencial
de realizar copias no autorizadas de archivos, sin dejar rastro de
que se realiz una copia.
12
2007
Informtico
Qu significa la evidencia?
Requiere tener un conocimiento general profundo.
Cmo la evidencia es creada.
Se puede falsificar.
Qu informacin se puede perder.
Qu puede estar mal.
- Caso log UNIX wtmp Acceso de usuarios.
- Caso DHCP Asignacin de direcciones.
13
2007
Informtico
Anlisis Forense Informtico
Es la tcnica de capturar, procesar e investigar
informacin procedente de sistemas informticos
utilizando una metodologa con el fin de que pueda
ser utilizada en la justicia.
Rodney McKennish, report, 1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing (Australia)
La Informtica Forense se encarga de analizar
sistemas informticos en busca de evidencia que
colabore a llevar adelante una causa judicial o
una negociacin extrajudicial.
14
2007
Informtico
Usos de la informtica forense
1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para
procesar una variedad de crmenes, incluyendo homicidios, fraude financiero,
trfico y venta de drogas, evasin de impuestos o pornografa infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio,
pueden ser ayudados por la informtica forense.
3. Investigacin de Seguros: La evidencia encontrada en computadores, puede
ayudar a las compaas de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos que tratan
sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o
propietaria, o an de espionaje industrial.
15
2007
Informtico
Parte del
proceso judicial
en relacin al
anlisis forense
informtico
16
2007
Informtico
Problemticas
Los sistemas son grandes, complejos y cambiantes.
Es posible esconder cosas en cualquier lugar.
Existe una gran variedad de tecnologas disponibles.
No existe una gran cantidad de software.
Conocimiento y experiencia es muy importante.
Obtener y preservar la evidencia es relativamente fcil,
el anlisis es complejo y consume mucho tiempo.
Aunque la evidencia pueda ser admitida correctamente,
existe un gran desconocimiento por parte de los jueces.
17
2007
Informtico
Metodologa utilizada
El primer paso es identificar los equipos que pueden contener
evidencia, reconociendo la frgil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daos
accidentales o intencionales, usualmente esto se realiza efectuando
una copia o imagen espejada exacta del medio analizado.
18
2007
Informtico
Metodologa utilizada
El tercer paso es analizar la imagen copia de la original,
buscando la evidencia o informacin necesaria.
Finalmente una vez terminada la investigacin se debe realizar
el reporte de los hallazgos a la persona indicada para tomar
las decisiones, como puede ser un juez o un CEO.
19
2007
Informtico
Documentar la Escena
Secuestrar
voltiles?
Capturar voltiles
Es necesario
Investigar ONSITE?
Investigar ON-SITE
Hacer imgenes
Investigar en el Laboratorio
Volver a buscar ms
informacin?
Generar
Conclusiones
S
S
S
20
2007
Informtico
Casos donde se aplic el
Anlisis Forense Informtico
21
2007
Informtico
CASO 1: Denegacin de servicio
Descripcin del incidente:
El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada
por un intruso que impidi la continuidad del negocio en sus casi 120
sucursales.
En un anlisis preliminar de la situacin determin que un intruso haba
dejado un programa que se ejecut el da viernes a las 19:00 horas
y que bloqueaba el acceso al sistema de Ventas.
Se comenz a trabajar en dos lneas:
- Volver a la operacin normal.
- Deteccin, anlisis y rastreo del intruso.
22
2007
Informtico
Metodologa de Investigacin:
En relacin a la vuelta a la operacin normal:
1. Anlisis forense inmediato de los equipos afectados.
2. Deteccin de programas que impedan el normal funcionamiento del
Sistema de Ventas.
3. Anlisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicacin masiva de cambios y vuelta a la operacin normal.
23
2007
Informtico
En relacin a la deteccin, anlisis y rastreo del intruso:
1. Ingeniera reversa de los programas que dej el intruso
2. Determinacin de las actividades que realiz el intruso.
3. Deteccin de rastros de pruebas 4 das antes.
4. Determinacin de pruebas que podran indicar el perfil del intruso.
5. Anlisis de los sistemas de acceso remoto.
6. Evaluacin de las computadoras personales de los potenciales
sospechosos.
24
2007
Informtico
7. En el equipo de Jos se detectaron varios elementos (repeticin del
patrn de comportamiento del intruso por la forma en que ejecutaba
los comandos).
8. Se detect que otra computadora que contena evidencia y se
encontraba al lado del equipo de Jos misteriosamente fue formateada
y re-instalada dos das despus del incidente y en la misma se detect
el patrn de comportamiento del intruso.
25
2007
Informtico
Resultados obtenidos :
Se logr detectar la intrusin y se volvi la operacin normal en el
plazo inmediato.
De acuerdo a las caractersticas detectadas del patrn de
comportamiento, informacin encontrada, re-instalacin de un
equipo, conocimiento de las claves de acceso
necesarias, existe una gran probabilidad de que
el intruso fuera Jos.
26
2007
Informtico
CASO 2: Extorsin
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no
hacer circular entre los Clientes de la misma informacin confidencial que
haba obtenido.
El intruso se comunicaba a travs de mensajes de correo electrnico y
en dos oportunidades envi dos documentos de Word escritos por el.
27
2007
Informtico
CASO 2: Extorsin
1. Se investigaron los mensajes de correo electrnico enviados por el
intruso y se determinaron que venan de Locutorios y/o Cybercafes.
2. En dos oportunidades el intruso realiz envos de mensajes de correo
electrnico conteniendo documentos de Word.
3. Se analizaron los documentos de Word con herramientas para anlisis
a nivel binario y se obtuvo informacin sobre nombres de archivos
internos, fechas de creacin, unidades donde fue copiado (apareca
una unidad A:) y apareca el directorio donde fue almacenado.
28
2007
Informtico
CASO 2: Extorsin
4. El usuario que apareca como Autor del documento en el anlisis era x
y la Organizacin x, eso implicaba que el archivo fue generado con un
Microsoft Word registrado a ese nombre.
5. Se analiz el nombre del directorio y apareci lo siguiente:
C:\Documents and Settings\oalvarez\Mis documentos\
6. Una de las personas que haban desvinculado de mala manera unos
meses antes era Omar Alvarez.
29
2007
Informtico
CASO 2: Extorsin
Resultados obtenidos:
Se logr determinar que el intruso fue Omar Alvarez, ya que escribi los
documentos con su computadora personal.
30
2007
Informtico
CASO 3: Phishing a un Banco
Un Banco Argentino comenz a recibir llamados de Clientes alertando
sobre un mensaje que estaban recibiendo pidiendo que se actualizaran
sus datos a las 9:30 am de un jueves de febrero de 2006.
En el anlisis preliminar de uno de los mensajes recibidos va correo
electrnico por parte de un Cliente, se determin que el Banco estaba
sufriendo un ataque de Phishing.
A las 10:20 am se comenz a investigar el incidente.
31
2007
Informtico
1. Se analiz el mensaje de correo electrnico que estaba siendo recibido
por los Clientes. Dentro del mail figuraba un link al sitio web del Banco.
El link que apareca era correcto, pero la referencia apuntaba a otro
sitio web que se encontraba en Singapur.
2. Se determin que una vez que se realizaba un click sobre el link, el
sitio falso del intruso explotaba una vulnerabilidad en el Explorer que
le hacia aparecer en la direccin del navegador el sitio original del
Banco.
32
2007
Informtico
3. Se analizaron los scripts que se ejecutaban y se determin que el sitio
falso peda el usuario y la clave del sistema de Home Banking y luego
enviaba esa informacin a una cuenta determinada de Gmail. Finalmente
lo rediriga al sitio original del Banco con un mensaje para que vuelva a
ingresar los datos.
4. Ante esta situacin, se trabaj en dos lneas:
- Generacin de datos falsos para el intruso.
- Tomar contacto con la Empresa del sitio web afectado.
33
2007
Informtico
4.1 Generacin de datos falsos para el intruso.
Para confundir y sobrecargar la cuenta de mail del intruso, se generaron
lotes de datos que cumplan con los requerimientos formales, pero que no
eran vlidos. Se enviaron unos 37.000 mensajes de forma automatizada.
4.2 Contacto con Singapur.
Debido a la diferencia horaria, cerca de las 19:00hs (GMT-3) pudimos
contactarnos telefnicamente y va mail con el proveedor de hosting
que colabor activamente, dando de baja los scripts del intruso del
sitio web y envindonos la informacin de los logs de acceso.
34
2007
Informtico
5. Con la informacin de los logs de acceso, se filtr la informacin
basura que habamos generado a propsito y junto con otra
informacin se entrecruzaron los datos determinando qu Clientes
haban ingresado sus datos.
6. Paralelamente se comenz a investigar el origen del intruso.
35
2007
Informtico
Resultados obtenidos:
En pocas horas se logr frenar el ataque de phishing y determinar
cules haban sido los Clientes del Banco afectados. Se detect que el
intruso haba accedido solamente a dos cuentas.
Se logr rastrear el origen del intruso. Provena de Colombia.
36
2007
Informtico
Aspectos legales
37
2007
Informtico
Medidas Legales
Es muy importante tomar contacto y tener charlas informativas
con los abogados del Departamento Legal de la Empresa.
Es clave que los abogados estn al da de esta nueva problemtica,
ya que llegado el caso de actuar, ellos decidirn qu pasos legales
seguir.
38
2007
Informtico
Problemas jurisdiccionales
El hecho dnde ocurri?
El Intruso dnde se encuentra?
El pas donde ocurri posee legislacin?
El pas donde estamos posee legislacin?
Dnde se juzga el hecho?
39
2007
Informtico
Aspectos Legales Legislacin en el Mundo
http://www.hfernandezdelpech.com.ar/DerechoInfoInter.htm
40
2007
Informtico
Anlisis de Caso
Anlisis del fallo de un juez sobre una intrusin
en la Pgina Web de la Corte Suprema de Justicia.
Investigacin tcnica.
Tcnicas de anlisis forense informtico.
Ley.
41
2007
Informtico
El sistema legal y la informtica forense
En una causa, hay que tener en cuenta lo siguiente:
La credibilidad del investigador va a ser cuestionada.
El otro lado tendr un equipo de anlisis forense.
Utilizar software validado.
Mantener la cadena de custodia.
Asegurarse que el anlisis est completo.
42
2007
Informtico
Metodologa
43
2007
Informtico
Identificar la evidencia
Qu tipo de informacin est disponible?
Cmo la podemos llevar de forma segura?.
Qu puede formar parte de la evidencia?
44
2007
Informtico
Discos rgidos.
- Archivos de SWAP.
- Archivos temporales.
- Espacio no asignado en el disco.
- Espacio File-Slack.
Memoria y procesos que se encuentran
ejecutando.
Diskettes, CD-ROMS, DVDs, ZIP, Jazz, Tapes.
Archivos de logs.
Backups.
PDAs.
Memory Sticks.
45
2007
Informtico
Preservar la evidencia
Se debe tratar de no realizar ningn cambio sobre la misma.
Se deben registrar y justificar todos los cambios.
Realizar un by-pass del sistema operativo y crear por fuera
un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rgido o
CD-ROM.
Se debe realizar una documentacin de todo el proceso de la
generacin de imgenes.
Se deben autenticar todos los archivos e imgenes utilizadas
con hashes MD5 o SHA.
46
2007
Informtico
Orden de volatilidad
Se debe preservar la evidencia ms volatil al principio:
Registros, caches, memoria de perifricos.
Memoria (kernel, fsica)
Estado de las conexiones de red.
Procesos que se estn ejecutando.
Discos rgidos.
Diskettes, archivos de backups
CD-ROMs, impresiones.
47
2007
Informtico
Analizar la evidencia
Se debe extraer la informacin, procesarla e interpretarla.
Extraerla producir archivos binarios.
Procesarla generar informacin entendible.
Interpretarla es la parte ms importante del proceso.
El proceso debe poder re-hacerse y producir el mismo
resultado.
48
2007
Informtico
Presentar la evidencia
A la empresa, abogados, la corte, etc.
La aceptacin de la misma depender de:
Forma de presentacin.
Antecedentes y calificacin de la persona que
realiz el anlisis.
La credibilidad del proceso que fue utilizado para la
preservacin y anlisis de la evidencia.
49
2007
Informtico
Secuestrar
voltiles?
Capturar voltiles
Es necesario
Investigar ONSITE?
Investigar ON-SITE
Hacer imgenes
Volver a buscar ms
informacin?
Generar
Conclusiones
S
S
S
50
2007
Informtico
Realizar un mapa de la ubicacin fsica de los componentes.
Realizar un mapa con las conexiones fsicas de los equipos.
Etiquetar todos los elementos de forma unvoca de forma
permanente.
51
2007
Informtico
Fotografiar o videograbar todo el procedimiento.
Fotografiar la disposicin de los equipos.
Conexiones de las computadoras, redes, etc.
El display de los equipos involucrados.
52
2007
Informtico
Asegurar los equipos
Analizar si existen diskettes y cd-roms puestos en las
unidades. Extraer los discos y etiquetarlos.
Desenchufar las computadoras (PC y MAC). En las
Minis y Mainframe se debe utilizar el proceso de
apagado estndar).
Abrir el equipo para identificar las partes internas
(discos rgidos, etc):
Fotografiar la parte interna de los equipos abiertos.
Identificar cada componente, etiquetarlo y documentarlo
(discos rgidos, etc).
Colocar el switch de on/off en OFF de la Computadora.
53
2007
Informtico
Secuestrar
voltiles?
Capturar voltiles
Es necesario
Investigar ONSITE?
Investigar ON-SITE
Hacer imgenes
Volver a buscar ms
informacin?
Generar
Conclusiones
S
S
S
54
2007
Informtico
Llevar la evidencia volatil?
La evidencia volatil es aquella que desaparecer rpido,
como ser conexiones activas de red, procesos en la
memoria, archivos abiertos, etc.
Lo que se haga, tcnicamente va a afectar la evidencia.
Ejecutar el comando ps en UNIX sobreescribir partes
de la memoria.
Se puede sobreescribir la historia de comandos.
Se pueden afectar las fechas de acceso a los archivos.
Existe el riesgo de programas troyanos.
55
2007
Informtico
Qu llevar?
Memoria, swap y contenido de directorios temporales.
Conexiones de red actuales, puertos abiertos, interfaces
promiscuas, archivos relacionados con los puertos.
Procesos, archivos abiertos por los procesos.
- En lo posible se deben utilizar herramientas seguras para
analizar el sistema.
- Se deben utilizar herramientas conocidas y ampliamente
utilizadas.
- Herramientas propias en un CD-ROM, diskette, USB Drive.
56
2007
Informtico
WINHEX
Editor de discos, memorias, procesos.
Posee muchos usos en informtica forense
(Clonacin de discos, Captura de RAM,
bsqueda de archivos ocultos, etc).
Puede entrar en un diskette.
57
2007
Informtico
Informacin de conexiones a la red
netstat an
TCPVIEW
58
2007
Informtico
Conexiones a nivel Netbios
59
2007
Informtico
Procesos
Process
Explorer
60
2007
Informtico
Secuestrar
voltiles?
Capturar voltiles
Es necesario
Investigar ONSITE?
Investigar ON-SITE
Hacer imgenes
Volver a buscar ms
informacin?
Generar
Conclusiones
S
S
S
61
2007
Informtico
Proceso de copia de la Imagen
62
2007
Informtico
Realizando imgenes
Dos posibilidades:
Imgenes bit a bit (dd, WinHEX).
Imgenes bit a bit o compactadas (Ghost).
63
2007
Informtico
MD5
Se utiliza para generar un checksum, a travs
de una funcin hash de un archivo.
Funciona bajo Windows y bajo UNIX (md5sum).
C:\md5 autoruns.exe
6CEEBF54C840854415163A186E172D02 autoruns.exe
64
2007
Informtico
Secuestrar
voltiles?
Capturar voltiles
Es necesario
Investigar ONSITE?
Investigar ON-SITE
Hacer imgenes
Volver a buscar ms
informacin?
Generar
Conclusiones
S
S
S
65
2007
Informtico
Comienzo de la investigacin
Primero se trabaja utilizando herramientas sobre la imagen.
Luego se pasa la imagen al formato original y se comienza a
aplicar las tcnicas antes descriptas.
Se requiere de tiempo para realizar una investigacin seria.
66
2007
Informtico
Correlacin de eventos
Se puede obtener un caso ms slido si se puede
mostrar logs de varias fuentes que tienen una
relacin.
Qu se debe buscar?:
Buscar entradas en los logs por usuario.
Buscar entradas en los logs por direccin IP.
Buscar entradas en los logs por tiempo.
67
2007
Informtico
Problemticas de los LOGS
Siempre utilizamos la fecha de los logs para correlacionar
eventos de diferentes logs de diferentes Sistemas.
Los principales problemas son:
Sincronizacin de relojes de los sistemas.
Zona horaria.
Orden cronolgico de eventos.
Saltos de eventos.
68
2007
Informtico
Sincronizacin de relojes
Muchas veces inferimos la hora de los eventos de los logs.
En un Servidor vemos en los logs del Web Server una
conexin al puerto 80 en T1.
Luego vemos en los logs de la aplicacin, un acceso de un
usuario xxxx en T2. (Sabemos que es el mismo usuario).
Existe una diferencia: T2-T1. Si se utiliza la misma zona
horaria.
Muchas veces no se puede realizar este anlisis, depende
de la cantidad de fuentes que tengamos.
69
2007
Informtico
Zona horaria
No se puede comparar manzanas con naranjas.
Se debe pedir la zona horaria (Time Zone) de cada Log.
En una investigacin global, se debe utilizar GMT como
referencia.
Es realmente muy complejo tratar con estas diferencias.
70
2007
Informtico
Saltos de eventos
Cuando estamos investigando entre diferentes LOGS, lo que
se debe hacer es analizar un log, relacionarlo con los otros,
investigar en los otros, para luego poder volver a investigar
nuevamente en el primer log nuevas posibilidades.
Otras sesiones (anteriores o posteriores).
Analizando usuario, direccin IP, servicios, etc.
71
2007
Informtico
Investigar on-line
Nivel de red
Nivel Sistema Operativo Windows.
Nivel Sistema Operativo UNIX
Nivel Sistema Operativo AS/400
72
2007
Informtico
Analizar el trfico de red
Se puede capturar todo el trfico de red.
Es difcil para el intruso poder detectarlo.
Simplemente loguear las conexiones es muy til.
Si se loguea el contenido, es necesario espacio en disco.
El Servidor donde funciona el analizador de protocolos debe
estar protegido.
Existen problemas con las conexiones encriptadas.
73
2007
Informtico
Ethereal
74
2007
Informtico
DHCP
La computadora cuando bootea le pide al DCHP Server
que le asigne una direccin IP y la utiliza durante un
tiempo.
Una vez que el leasing termin, otra computadora puede
utilizar esa direccin IP.
Deben almacenarse los LOGS del DHCP Server.
Tomar fotos o Print-Screens
75
2007
Informtico
Correo Electrnico
Estos protocolos de correo electrnico (POP/IMAP)
generan los logs bsicos en el archivo syslog en UNIX.
El logging es bsico.
A qu hora alguien se conect y desconect.
Hay que activarlo extra si se quiere conocer qu actividad
se realiz sobre el Servidor.
Exchange/Groupwise/Lotus Notes generan sus propios
LOGS.
76
2007
Informtico
LOGS de Web Servers
Problemtica del protocolo HTTP.
Tamao.
Anlisis y separacin de una conexin.
LOGS de Proxy.
Cache Proxy intermedios de Proveedores.
HTTP/S
77
2007
Informtico
Anlisis Windows
Se realiza ON-SITE o en el Laboratorio.
78
2007
Informtico
Objetivo de la investigacin
Foco en el uso tpico de la computadora.
Foco en posibles actividades no autorizadas.
- Material no autorizado.
- Hacking.
Foco en la informacin.
- Contactos.
- Passwords.
- Nmeros de cuenta.
79
2007
Informtico
Configuracin:
Informacin del sistema.
Configuracin de la red.
Programas instalados.
Cosas estndares:
Documentos.
Mensajes de correo electrnico.
Archivos zipeados.
Msica archivos grficos.
Archivo borrados:
Papelera de reciclaje.
Anlisis de la registry.
Archivos ocultos:
Slack Space.
Archivos encriptados.
Tipos de archivos alterados.
Qu busco?
80
2007
Informtico
Fechas MAC en Windows
81
2007
Informtico
Informacin del sistema
Aplicacin:
Computer
Management
82
2007
Informtico
Cosas especficas a buscar
Sitios Web (Si es un IIS).
Sitios FTP (Si es un IIS).
Terminal Services
Si se utiliza como DNS o Servidor de Mail.
Log propios de Windows
EventViewer
C:\WINNT\system32\LogFiles\
83
2007
Informtico
Event Viewer
84
2007
Informtico
LOGS IIS
85
2007
Informtico
Servicios activos
86
2007
Informtico
Bsqueda con el Regedit
87
2007
Informtico
Bsqueda de archivos
88
2007
Informtico
Informacin borrada
Papelera de reciclaje.
Norton.
Utilizando el WINHEX.
89
2007
Informtico
WINHEX Anlisis de la informacin
90
2007
Informtico
Informacin relacionada con Internet
- Historia de navegacin (Ver el browser).
C:\Documents and Settings\jardita.ADCYBSEC\Configuracin
local\Historial
- Cache
C:\Documents and Settings\USER\Configuracin local\Archivos
temporales de Internet
C:\Documents and Settings\jardita.ADCYBSEC\Configuracin
local\Temp
- Cookies.
91
2007
Informtico
http://www.cftt.nist.gov
92
2007
Informtico
Software que ya ha pasado pruebas del NIST
dd FreeBSD
Encase 3.20
Safeback 2.18
Safeback (Sydex) 2.0
dd GNU fileutils 4.0.36, Provided with Red Hat Linux 7.1
RCMP HDL VO.8.
93
2007
Informtico
ENCASE
Lder en el mercado de productos de anlisis forense en
Estados Unidos.
De la empresa Guidance Software.
Permite realizar adquisicin y anlisis de evidencia
Para sistemas operativos FAT, NTFS, HPFS y EXT2.
http://www.youtube.com/watch?v=O4ce74q2zqM
94
2007
Informtico
ENCASE
Preguntas?
www.cybsec.com
Muchas gracias por
acompaarnos
www.cybsec.com

ADACSI Ardita Analisis Forense Informaticov2

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ADACSI Ardita Analisis Forense Informaticov2

Загружено:

Авторское право:

Доступные форматы

Metodologa de Anlisis

Ha tenido incidentes de Seguridad

Вам также может понравиться