Click here to load reader

Análisis Forense con The Sleuth Kit & Autopsy · PDF filemagnetizado pasa por el aro de alambre que induce ... Una tarea típica y básica es utilizar “dd” para realizar la copia

  • View
    214

  • Download
    0

Embed Size (px)

Text of Análisis Forense con The Sleuth Kit & Autopsy · PDF filemagnetizado pasa por el...

  • AnlisisForenseconTheSleuthKit&Autopsy

    AlonsoEduardoCaballeroQuezadaConsultordeNPROSPerSAC

    ConsultordeiDevConsultoresenTISACGIACSSPCNSA

    BrainbenchComputerForensics(U.S.)

    Pginaweb:http://www.ReYDeS.com

    Correoelectrnico:[email protected]

    Trujillo,Per24deAbrildel2010

  • AlonsoEduardoCaballeroQuezada/ReYDeS

    Temario

    *ComputerForensics?*ElementosdeunbuenprocesoForense*ProcesoForense*Todoes0y1*UnDiscoFlexible*QuesTheSleuthKit?*QuesAutopsy?*Demostracin*Preguntas,comentarios,sugerencias?

    AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    2

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    ComputerForensics?

    Esunaramadelacienciaforensepertinentealaevidencialegalencontradaencomputadorasymediosdealmacenamientodigitales.ElcmputoForensetambinseconocecomoForenseDigital.

    ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.Eltrminoartefactodigitalpuedeincluirunsistemadecmputo,unmediodealmacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensajedecorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoenunareddecomputadoras.

    LaexplicacinpuedesertansimplecomoQuinformacinhayaqu?yqueseexplicacomoCualeslasecuenciadeeventosresponsablesdelasituacinactual?

    Fuente:Wikipedia.3

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    ElementosdeunbuenprocesoForense

    *Validacincruzadadeloshallazgos

    *Manejoadecuadodelaevidencia

    *Completarlainvestigacin

    *Administracindearchivos(Backups,Originales)*Competenciatcnica

    *Justificacinydefinicinexplcitadelproceso

    *Cumplimientolegal

    *Flexibilidad

    4

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    ProcesoForense

    BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciadeDescubrimientoElectrnico.

    5

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Todoes0y1

    Lascapasdeunacomputadora

    AplicacinSistemaOperativoBIOS(BasicInputOuputSystem)Hardware

    TiposdeMedios

    DiscoDuro(HardDisk)DiscoFlexible(FloppyDisk)CDROMDVDUnidadesFlashUSB

    6

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    UndiscoFlexible(FloppyDisk)

    Unapiezadeplsticocubiertadeferromagnetita,oMetalflexiblequerotabajounacabezaocabezaldeLectura/Escritura(Electromagneto)

    Enlalecturaelmaterialferromagnticomagnetizadopasaporelarodealambrequeinducecorrienteenelalambretalcomoseproducencambiosenladensidaddelflujo.

    3,5''deDimetro

    1440K=2880Bloques

    1Bloque=512Bytes

    7

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    UndiscoFlexible(FloppyDisk)[Continuacin]

    Unatareatpicaybsicaesutilizarddpararealizarlacopiabitabitdeundiscoflexible.Lageometracomndeundiscoflexiblede3.5esde:

    18Sectoresporpista2cabezas80cilindros

    Copiandoundiscoflexiblede3.5

    #ddbs=2x80x18bif=/dev/fd0of=/caso07/discoflexible.dd

    Los18bespecifican18sectoresde512bytes,2xmultiplicaeltamaodelsectorporelnmerodecabezas,yel80xesparaloscilindros.Untotalde1474560bytes.Loanterioresunasimplepeticindelecturade1474560bytesa/dev/fd0yunasimplepeticindelecturade1474560bytesa/caso0/discoflexible.dd

    8

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    QuesTheSleuthKit?

    TheSleuthKitesunacoleccindeherramientasenlneadecomandosparaanlisisforensedearchivosyvolmenesdesistema.LasherramientasdelsistemadearchivospermitenexaminarelSistemadeArchivosdeunacomputadorasospechosasincomprometerla.DebidoaquelasherramientasnoconfanenelsistemaoperativoparaprocesarelSistemadeArchivos,semuestracontenidoborradouoculto.

    Lasherramientasdevolumendelsistemapermitenqueseexamineladisposicindelosdiscosuotrosmedios.TheSleuthKitsoportaparticionesDOS,BSD,Mac,Sun,etc.Conestasherramientas,sepuedeidentificardondeestnubicadaslasparticionesparaextraerlas,aspuedenseranalizadasconlasherramientasdeanlisisdelSistemadeArchivos.

    Cuandoserealizaunanlisiscompletodeunsistema,conocertodasestasherramientasenlneadecomandopuederesultartedioso.YaquapareceAutopsyenescena.

    9

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    QuesAutopsyForensicsBrowser?

    AutopsyForensicsBrowseresunainterfazgrficadelasherramientasdeanlisisenlneadecomandopararealizarinvestigacindigitalincluidasenTheSleuthKit.Juntaspuedenanalizardiscosysistemasdearchivos(NTFS,FAT,Ext2/Ext3,etc.)

    TheSleuthKityAutopsysonOpenSourceyseejecutanenplataformasUnix(SepuedeutilizartambinCygwinapraejecutarambosenentornosWindows).ComoAutopsyestbasadaenHTML,sepuedeconectaralservidorAutopsydesdecualquierplataformautilizandounnavegadorweb.AutopsyproporcionaunManejadordeArchivoscomointerfazymuestradetallessobredatoseliminadosyestructurasdelsistemadearchivos.

    10

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Demostracin:Scan24/http://old.honeynet.org/scans/scan24/

    Sumisinesanalizarundiscoflexiblerecuperadoyresponderlaspreguntasformuladas.Senecesitaleerelreporteantesdecontinuarelreto.Comounainvestigacindelmundorealsenecesitateneralgunainformacinadicionalyalgunaevidencia,peroeslapersonaysusconocimientoslosquerespondernlaspreguntas.

    NombredelArchivo:image.zipHashMD5delArchivo:b676147f63923e1f428131d59b1d6a72

    Preguntas:QuineselproveedordemarihuanadeJoeJacobsycualesladireccinlistadadelproveedor?Qudatocrucialestdisponibledentrodecoverpage.jpgyporqueeldatoescrucial?Qu(sihay)otrasescuelasvecinasaSnithHillJoeJacobsfrecuenta?Paracadaarchivo,queprocesoshizoelsospechosoparaenmascarardeotros.Quprocesos(ustedcomoanalista)realizparaexaminarelcontenidocompletodecadaarchivo?

    11

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Demostracin

    Descargadelarchivoimage.zipVerificacindesuhashMD5.

    Descomprimirelarchivocon:#unzipimage.zipElarchivoresultantees:image

    12

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Demostracin

    LaversinmsrecientedeTheSleuthKitesla3.1.1YlaversinmsrecientedeAutopsyesla2.24

    13

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    IniciandoAutopsy

    14

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    CreacindelcasoCreatingCase:FLISOL2010Casedirectory(/media/hda3/EvidenciaCasos/FLISOL2010/)createdConfigurationfile(/media/hda3/EvidenciaCasos/FLISOL2010/case.aut)createdWemustnowcreateahostforthiscase.

    15

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    CreacindelHostAddinghost:DiscoFlexibletocaseFLISOL2010HostDirectory(/media/hda3/EvidenciaCasos/FLISOL2010/DiscoFlexible/)createdConfigurationfile(/media/hda3/EvidenciaCasos/FLISOL2010/DiscoFlexible/host.aut)created.Wemustnowimportanimagefileforthishost

    16

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Aadiendounaimagen(I)

    Seindicadondeestubicadoelarchivoimageaanalizar

    17

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Aadiendounaimagen(II)Losdiscosflexiblesdemaneratpicasonvolmenessimples,sinembargoelinvestigadorpuedeseleccionarmanualmenteVolumeImageconunVolumeSystemTypedeDOS.

    18

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    DetallesdelArchivodeimagenCalculatingMD5(thiscouldtakeawhile)CurrentMD5:AC3F7B85816165957CD4867E62CF452BTestingpartitions|Linkingimage(s)intoevidencelocke|ImagefileaddedwithIDimg1Volumeimage(0to0fat12A:)addedwithIDvol1

    19

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Iniciodelanlisis

    Esmomentodeiniciarelanlisis

    20

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Creacindelosndicesdebsqueda

    Antesdelproceso

    21

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Creacindelosndicesdebsqueda(II)

    Despusdelproceso

    22

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    AnlisisdeArchivos

    Esnecesarioexaminarcadaunodelosarchivos.

    23

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Archivocoverpage.jpgc(I)

    AutopsynohareconocidoestearchivocomoJPEG.(FFD8)

    24

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Archivocoverpage.jpgc(II)VisualizandoMetaDatosSereportauntamaodelarchivode15585bytes,perosoloseasignaunsector(451)de512bytes.Locualnoesconsistente.

    25

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Archivocoverpage.jpgc(III)SeprocedearealizarunabsquedadelafirmaJPEG(JFIF).Seencuentraunacoincidenciaenelsector73.

    26

  • AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

    AlonsoEduardoCaballeroQuezada/ReYDeS

    Archivocoverpage.jpgc(IV)Senecesitan31sectoresparaalmacenar15585bytes.Peroestnasignados(36sectores)del73hastael108.Perosolo31estnasociadosconelarchivo;comoseverificamsadel