Академический Документы
Профессиональный Документы
Культура Документы
INFORMATICA FORENSE
CODIGO: 233012
Iniciando el caso
Para iniciar por primera vez una recolección y análisis de evidencia digital, es importante
previamente haber obtenido la réplica o imagen del disco donde reside la evidencia. Una vez
iniciada la interfaz gráfica de autopsy, se procede a la creación de un nuevo caso, dando
click en la opción creando nuevo caso (Create New Case)
Al dar click en créate newcase, se despliega un formulario para diligenciar los datos básicos
del nuevo caso (Nombre del caso, descripción, investigador), como se observa en la
siguiente figura. El caso le pondrémos imagen_clonzilla_6 y creamos o seleccionamos una
carpeta donde se valla a almacenar el caso.
En la siguiente pantalla nos pide el número del caso y el nombre del investigador:
Una vez creado el caso nos pide la fuente de donde vamos a analizar el caso, existen 3
opciones:
1. Adicionar desde un archivo de imagen
2. Adicionar un disco local
3. Adicionar archivos lógicos (Para escoger una partición o el sitio donde hayamos
colocado la información analizar).
En este caso voy a escoger analizar un Imagen File que la realizaría con la práctica 1 pero
no funcionó así que se creó una imagen con Osforensics, llamada
SoniaErasoHanrryr_233012.img, que la guardé en la unidad G:
2. Configuramos los
módulos que se
necesitarán para
realizar el análisis:
Cada módulo significa:
Hash Lookup: permite agregar bases de datos con valores de hash para archivos
conocidos, como los archivos del sistema operativo o de aplicaciones instaladas.
Exif Image Parser: Esto provee información acerca de la cámara con que se tomó
la imagen, fecha y hora o la geolocalización, entre otras cosas.
ARCHIVOS ELIMINADOS
ARCHIVOS RECIENTES
TIPO DE
ARCHIVOS ENCONTRADOS
Ultimo archivo creado y accedido: shadow.txt fecha : 2014-05-07
Fecha del archivo más antiguo: 2012-11-10 y la primer carpeta accedida y borrada 2012-11-
16. Relacionada directamente con el volumen de la unidad.
2. OSFORENSYCS
Es un programa que permite realizarun análisis forense de un ordenador, se utiliza en
sistemas windows, y permite observar la actividad realizada en una computadora. Se trata de
una herramienta que nos pueda dar información sobre cómo se utiliza la computadora,
también información de contraseñas, como son gestionadas, así como la información del
sistema. Permite también crear hashes para que se valide la integridad de un sistema,
analizar discos duros y monitorear las actividades recientes, incluyendo chats, registros de
sesión, descargas, archivos guardados, creados, eliminados, etc.
En este programa se debe tener en cuenta que se usa el indexado de datos puede que
tome un tiempo dependiendo del tamaño del folder o disco que se haya seleccionado. Una
vez que toda esta información haya sido indexada por el programa, será capaz de buscar en
ficheros específicos y realizar el análisis más rápidamente.
3. 3.
Montamos el archivo de imagen que tenemos guardada, mediante la opción Mount Drive
Imagin
En este caso nos quedo montado en una unidad virtual M, donde analizaremos los diferentes
archivos. Como en este caso montamos la imagen del disco, damos click en el botón open y
nos mostrará todos los archivos de la imagen.
4. Una vez creado el caso, procedemos a mirar los archivos eliminados, la actividad reciente,
el tipo de sistema, las claves utilizadas, etc.
ARCHIVOS ELIMINADOS:
Y actividades recientes donde encontramos el archivo shadow.txt
Archivos
más
antiguos:
Se lo
busca
desde
una
gráfica o
time line
que nos
indica
desde
que
fecha se
creó o modifico el primer archivo.
1
2
3. AUTOPSY Y CAINE
3. Luego damos click en New Case y nos aparecerá la siguiente pantalla donde nos informa
las rutas donde quedará almacenado el caso:
4. Click en Add Host para ingresar el nombre del equipo y damos click en el botón Ad Host:
5. Luego nos aparecerá la ruta donde esta almacenado el caso y la opción de adicionar la
imagen que queremos analizar. Previamente se habia copiado la imagen en el escritorio del
Caine, por lo tanto se le dará la ruta correspondiente.
6. Sale los detalles de la imagen, en que sistema está si es NFTS, Fat32, la ubicación y nos
pregunta si queremos calcular la integrity data, damos click en el botón Add, una vez
montada la imagen nos da los datos del nombre del archivo y procedemos a hacer el análisis
dando click en el botón Analyze:
7. Al dar click en el botón Analyze salen los datos
de la imagen con todos los archivos, eliminados, creados, ultimo acceso:
Archivos más antiguos
Archivos borrados
VENTAJAS - Extrae la actividad reciente que Es un software eficaz para la Diseñado para análisis Permite a través de
se ha realizado en una creación de imágenes forense en sistemas diversas herramientas
computadora involucrando forenses. Windows y Linux realizar una copia de
documentos, cookies, dispositivos, A través de la herramienta imagen bit a bit
etc. OSFMount podemos montar Viene instalado por
imágenes de disco sin alterar su defecto en caine y Es gratuito
- Agrega bases de datos con contenido. funciona como un
valores de hash para archivos del navegador web Permite restaurar y
sistema operativo o de Nos permite funcionar como una revisar imágenes de
aplicaciones instaladas. versión gratuita. permite al investigador disco, compatible con
llevar una bitácora de SO Windows
- Permite descubrir contraseñas, Permite una verificación de todas las pistas
claves para una investigación hashes para la comprobación de encontradas para su Tiene una salida más
forense. la integridad. posterior análisis práctica, informando
sobre la tasa de
-Analiza información disponible de Excelente interfaz gráfica Contiene una interfaz transferencia de la
los archivos de imagen que se web muy amigable y operación
encuentran en el disco y da Fácil de conseguir y descargar a fácil de usar.
información de la cámara con que través de un sitio web. Permite escribir
se tomo la imagen, fecha, hora, et. Al trabajar en S.O Linux distintos logsen
Su versión gratuita tiene permite trabajar con fichero (hash,
- Viene con una lista de limitantes licencia libre verificación, errores),
expresiones para la búsqueda de Permite recuperar
números telefónicos, direcciones archivos eliminados Incorpora
Ip, direccioens de correo funcionalidad de
electrónico y URL. A mi parecer realiza un particionado y
análisis más exhaustivo posibilita la escritura
Permite ver archivos eliminados bajo Linux que bajo de la imagen a
Windows múltiples medios
Permite la generación
de reportes que son de
gran utilidad en hallar
las pistas encontradas y
realizar su respectivo
análisis.
CONCLUSIONES
- El análisis se lo hizo bajo dos sistemas operativos, cada uno tiene sus ventajas, el
sistema Osforensics utiliza una interfaz gráfica muy útil y fácil para su manejo, los
sistemas bajo Linux, también utilizan ambiente web, pero generan mejores resultados.
- Es bueno combinar todas estas herramientas para tener certeza de la evidencia que
se va a entregar, así como en Backtrack podemos generar imágenes bit a bit que son
mucho más confiables, tenerlas como base para hacer cualquier tipo de análisis
forense.
BIBLIOGRAFIA