Análisis Forense

+

Análisis Forense

Prof. Reinaldo Mayol

2

+Conceptos InicialesParte 1

Reinaldo Mayol Arnao

3+¿Qué es el Análisis Forense?

Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos de un sistema computacional:

Preservación Identificación Extracción Documentación Interpretación


4+ RFC3227. Recolección y manejo de evidencias

RFC 322

7

Principios para la

recolección de

evidencias

Orden de volatilida

d

Cosas a evitar

Consideraciones relativas

a la privacidad

de los datos


5+ RFC3227. Recolección y manejo de evidencias

RFC3227

Procedimiento de

recolección

Transparencia

Pasos de la recolección

Cadena de custodia

Como archivar una evidencia

Herramientas necesarias y medios de

almacenamiento de éstas


6+ Orden de Jerarquía

Registros y contenidos de la caché.

Contenidos de la memoria.

Estado de las conexiones de red, tablas de rutas.

Estado de los procesos en ejecución.

Contenido del sistema de archivos y de los discos duros.

Contenido de otros dispositivos de almacenamiento.


+

-

7+ Equipo para Análisis Forense


8+ Ciclo de Vida del Análisis Forense

Diseño de Evidencia

Producción de la

Evidencia

Recolección de la

Evidencia

Análisis de la Evidencia

Reporte y Presentación

Determinación de

Relevancia


HB171:2003 Handbook Guidelines for the management of IT Evidence.]

+ Manipulación de la Evidencia

Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.

9

+ Manipulación de la Evidencia

Uno de los elementos que se utilizan son las Cadenas de Custodia

Una adecuada Cadena de Confianza debe responder, para cada evidencia, las siguientes interrogantes: ¿Quién colectó la evidencia? ¿Cómo y donde fue colectada? ¿Quiénes tuvieron posesión y acceso a la evidencia? ¿Cómo fue almacenada y protegida? ¿Quién la ha manipulado?

10

+ Autentificación de la Evidencia

El objetivo de este paso es proveer un mecanismo que garantice la evidencia colectada no pueda ser modificada o sustituida sin que el investigador pueda notarlo.

Por lo general, se recomienda utilizar algoritmos de HASH (SHA2!!!!!) capaces de crear un hash de la evidencia que garantice su integridad.

Se puede firmar digitalmente el hash de cada evidencia garantizando de esta forma que la misma no pueda ser sustituida.

11

+ Características de la evidencia forense digital Si alguien intenta destruir las evidencias, podemos

tener copias igual de válidas lejos del alcance del criminal.

El proceso de autenticación siempre siembra dudas sobre la veracidad de la prueba.

Adquirir una copia de la evidencia puede ser un proceso difícil y delicado.

Las pruebas pueden ser modificadas incluso durante su recolección.

12

+ Características de la evidencia forense digital No solo hay que validar las copias sino incluso el

momento en que se realizan. La autentificación de la evidencia requiere mecanismos

externos como: certificados digitales, autoridades de certificación y cadenas de certificación acordes a las leyes de un país o incluso de una organización.

13

+ Características de la evidencia forense digital Pueden ser duplicadas de forma exacta y la copia

puede examinarse como si fuera el original. Con las herramientas adecuadas “es muy fácil”

determinar si la evidencia ha sido modificada o falsificada comparándola con la original.

Es relativamente difícil de destruir, incluso borrándola, la evidencia digital puede ser recuperada de un disco.

14

+ ¿Hasta Donde ?

Es posible definir con

exactitud el 80 % de lo que ha

hecho un sospechoso el…20% del

TIEMPO

15

+ Conociendo el sistema de ArchivosParte 2

Reinaldo Mayol Arnao 16

+ Organización de los Datos

FAT, NTFS: Clusters EXT? (*nix): Blocks


17

Los SO agrupan varios sectores consecutivos

1 sector: Aprox. 512 bytes

18+ Niveles del Sistema de Archivos

• File Name Nombre de los Archivos

• Metadata Información de la Estructura del F.

S• Datos Clúster, Blocks

• Sistema de Archivos Información de Particiones

• Físico Disco Físico


+

Particiones D.O.S

20+ Particiones DOS

Las particiones tipo DOS se utilizan en la mayoría de los sistemas operativos, incluyendo Linux.

Reinaldo Mayol ArnaoSólo 4 entradas

Imag

en to

mad

a de

: Car

rier B

. F.S

For

ensic

Ana

lysis

, 200

5. m

odifi

cada

por

R.

May

ol

21+ Particiones Extendidas (E. P) Con 4 entradas

solamente no es posible cubrir las necesidades de los sistemas modernos.

Una partición extendida contiene una segunda tabla de particiones y puede describir 2 particiones. ( una para el F. S y otra para otra E.P)

Reinaldo Mayol ArnaoImagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol

MBR Partition Table

ExtendedPartition Table

22+ Tabla de Particiones

Posición

Longitud en Bytes

Contenido

0 1 Estado de la partición 00h no activa, 80h activa

1 1 Comienzo de la partición ( cabezal)2 2 Sector y Cilindro donde comienza la

partición4 1 Tipo de Partición5 1 Cabezal donde la partición termina6 2 Sector y Cilindro donde la partición

termina8 4 Distancia, en sectores (por omisión

512B/sector) desde la tabla de particiones al primer sector de la partición

12 4 Longitud ( en sectores) de la partición Reinaldo Mayol Arnao

23+ Ej. Partición de 40 GB Tabla de Particiones


Byte 446

24+ Continuación


80 01 01 00 07 FE F8 FF 38 00 00 00 10 B3 FF 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

Partición activaSector 1, Cilindro 0Partición NTFS

Termina: Sector F8(248) cilindro FF La partición

inicia 56 sectores desde el inicio de la tabla

83866384 Sectores * 512B= 40GB

Fin de la Tabla de Particiones

25+ Algunos Tipos de Particiones

Hex Valor

Tipo

0C FAT 3283 Linux82 Linux Swap07 NTFSa8 MacOSX


+ Metadata

Todos los sistemas de archivos dedican algunos archivos a contener información que describe a otros archivos.

NTFS : MFT ( Master File Table)*nix :Inodos

FAT: Entradas de Directorio.


26

27+ Metadata

Los archivos de Metadatos contienen información como:

MAC times,permisos, propietarios, tamaño de los archivos, localización, etc.


28+ Slack Space

La unidad mínima de direccionamiento son los clusters.

El S.O no puede direccionar sino clusters. Si un archivo es menor que el tamaño del cluster el

espacio sobrante se pierde. Este espacio es interesante, desde el punto de vista

forense, ya que normalmente puede contener datos de otros archivos que utilizaron anteriormente el cluster.


+

NTFS

New Technologies File System

+ Sistema de Archivos de NTFS Durante la creación del volumen es creado el Master File Table (MFT),

además de otros archivos de control. Existe una entrada de 1KB en la MFT por cada archivo o directorio en el

volumen. El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos)

y el resto son atributos no previamente definidos.


Reinaldo Nicolás Mayol Arnao

Aquí nos referiremos a la mas utilizada de las implementaciones de NTFS: la realizada por Microsoft.

31+ Sistema de Archivos NTFS cont.. La localización del MFT está definido en el Boot Sector

del F.S Un MFT almacena los atributos de los archivos y

subdirectorios incluyendo el nombre, MAC, permisos, flags de estado, entre otros.

Si un archivo no puede contener todos sus atributos en una sóla entrada utiliza entradas consecutivas.

Adicionalmente el MFT almacena parte ( o su totalidad) de la data (dependiendo del tamaño del archivo, menor a 1500Bytes)


32+ Boot Sector Partición NTFS


Boot Sector

Cluster: Grupo de Sectores Consecutivos.

+ Estructura del $MFT

Cada entrada al MFT es direccionada usando un valor de 48 bits, comenzando por 0.

Cada entrada MFT tiene también un número de secuencia de 16 bits que es incrementado cuando la entrada es utilizada. Este número nunca es decrementado.

Combinando ambos valores se forma una dirección de 64 bits (llamada File Reference)

El uso del File Reference permite determinar en algunas ocasiones cuando el FS está corrupto.


33

34+ Estructura $MFT

Formalmente las primeras 16 entradas ( en la práctica 24) son para localizar los archivos de metadata del F. S

Los archivos de metadata se encuentran en la raiz del F. S y comienzan por $


35+ Metadata FilesÍndice $MFT

Nombre del Archivo Descripción

0 $MFT MFT

1 $MFTmirr Archivo de Respaldo del MFT

2 $LogFile Registro de las transacciones de metadata

3 $Volume Información sobre el volumen

4 $AttrDef Información sobre atributos

5 $Root Directorio Root del F.S

6 $Bitmap Mapa de disponibilidad de cada cluster

7 $Boot Boot Sector

8 $BadClus Mapa con clusters que contienen sectores dañados

9 $Secure Información de Seguridad

10 $Upcase Versión de cada carácter Unicode

11 $Extend Contiene file para extensiones opcionales. Reinaldo Mayol Arnao

36+ Metadata FILES


37+ Entradas MFT

Cada entrada es secuencialmente numerada usando un valor de 48 bits.

Cada entrada tiene además un número de Secuencia de 16 bits que es incrementado cuando la entrada es localizada.

Ambos valores se combinan para formar un valor de 64 bits que se utiliza como reverenciador de los archivos.


38+ Entradas MFT ( Ejemplo)


Header MFT Atributos Entrada MFT

Atribute Header Espacio no utilizado

Atribute Header: • Tipo• Tamaño• Nombre

Header MFT

$STANDARD_INFORMATION $FILE_NAMESTANDARD_INFORMATIO

N $DATA

+ Formato Simplificado de una ENTRADA a la MFT Para un archivo:

Header $FILE_NAME(48) $ STANDART_INFORMATION(16) $DATA(128)

Para un subdirectorio: Header $INDEX_ROOT $INDEX_ALLOCATION


40+ Atributos ( algunos, sólo algunos)

• Información general, tales como flags, MAC Times, ID del propietario$STANDARD_INFORMATION:

• Nombre del Archivo en Unicode,MAC TIME del nombreSFILE_NAME

• Contenido del Archivo$DATA:

• Nodo Raíz del árbol de índices$INDEX_ROOT

• Nodos del árbol de índices$INDEX_ALLOCATION

• Mapa de Bits del MFT $BITMAT


+ Sistemas de Archivo de LinuxExt*

Reinaldo Mayol Arnao 41

42+ Ext

El F.S comienza con un área reservada y el resto está dividido en sectores llamados grupos de bloques.

Todos los grupos de bloques, excepto el último contienen la misma cantidad de bloques.

Un bloque es un conjunto de sectores consecutivos (1024,2048,4096 bytes)

La información de la estructura del F.S es almacenada en una estructura llamada SuperBlock la cual se encuentra localizada el inicio del F.S

Los metadatos de cada archivo o directorio son almacenados en estructuras llamadas inodos


43+ Ext cont…

Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits)

Existe un inodo por cada archivo o directorio existente Existe una tabla de inodos para cada grupo de bloques. Los primeros 10 inodos tienen funciones fijas y están siempre

localizados. El inodo 11 se utiliza para el subd lost +found

Los nombres de archivos son almacenados en las entradas de los directorios que los contienen.

Esas entradas de directorio son estructuras simples que contienen el nombre de los archivos y un puntero al inodo correspondiente.


44+ Inodos

Cada inodo tiene un número fijo de campos . Un inodo contiene:

Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096 1019)

Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups)

Información temporal ( último acceso, modificación, borrado, cambio de la metadata)

Permisos Tipo de archivos Los tiempos son almacenados en la cantidad de segunsos

desde 1ro Enero 1970.


Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero 1970.

45+ Inodos Cada inodo puede almacenar las direcciones de los

primeros 12 bloques de un archivo. (bloques directos) Si un archivo requiere mas de 12 bloques se localiza un

bloque para almacenar los punteros a otros bloques( bloques indirectos)


+ 46

Entradas de directorio, inodos y bloques de datos


archivo1

MetadataMetadataMetadataMetadataMetadataMetadata

Entradas de Directorio

Inodos Bloques de Contenido

+ 47

Inodos


48+ Ext cont…

Ext tiene un grupo de opciones organizadas en 3 categorías basadas en que debe hacer el sistema operativo si alguna de ellas no es soportada. Las opciones compatibles son aquellas que pueden ser

ignoradas por el S.O que monta un F. S incluso si no las soporta. EJ. Journals

Las opciones incompatibles si no son soportadas el F. S no será montado. Ej. Cifrado

Las compatibles de solo lectura implican que el F. S será montado pero solo en modo Read-Only. Ej. Estructuras en arbol en lugar de listas.


49+ Superblock y Descriptor de Bloques El Superblock es localizado al inicio del F. S ocupando los

primeros 1024 bytes ( aunque utiliza sólo unos pocos) Contiene la estructura del F. S ( similar al BootSector en

NTFS) y de configuración. Copias de respaldo pueden ser encontradas en el primer

bloque de cada grupo de bloques. Información contenida:

Tamaño de los bloques Número total de bloques por grupo de bloques Número de bloques reservados antes del primer grupo de

bloques.


50+ Superblock y Descriptor de Bloques


También puede incluir: Nombre del volumen Fechas de montaje y escritura Sitio del último montaje Consistencia del F. S Número total de inodos y

bloques disponibles Opciones habilitadas.

51+ Superblock y Descriptor de Bloques

En Linux una opción llamada Sparse Superblock está siempre habilitada y hace que sólo algunos grupos de bloques contengan copias del Superblock.

El Superblock tiene una firma ( 0xef53) en los bytes 56 y 57, desafortunadamente es demasiado pequeña y buscarla conduce a gran cantidad de falsos positivos


52+ Buscando la firma..

root@bt:~# sigfind -o 56 -l ef53 /dev/sda1Block size: 512 Offset: 56 Signature: 53EFBlock: 2 (-) Block: 262144 (+262142) Otras aparicionesBlock: 346505 (+84361)


Primera aparición de la firma

53+ Tabla de Descriptores de grupos de bloque En el bloque siguiente del superblock se encuentra la

tabla descriptora de grupos de bloque. Comúnmente existe copias de tabla en los bloques de

grupo ( ver figura inferior) Un F.S en linux tiene igual número de bloques por

grupo que bits en un block. Por lo tanto el BlockBitmap requiere un bloque.


BackupSuperB.

Tabla desc.

De grupos

BlockBitma

p

Inode Bitma

p

Tabla de

InodosDatos Datos

54+ Estructuras Ext: SuperBlock (selección de campos)Byte Descripción0-3 Número de Inodos en el FS4-7 Número de Bloques en el F. S8-11 Número de bloques reservados12-15 Número de bloques disponibles ( no usados)16-19 Número de inodos disponibles ( no usados)20-23 Bloque donde el Grupo de Bloques 0 comienza24-27 Tamaño del bloque ( número de lugares para

desplazar 1024 a la izquierda) Ej: 0-1024, 2-409632-35 Número de bloques en cada grupo de bloques40-43 Número de inodos en cada grupo de bloques44-47 Fecha del último montaje48-51 Fecha de la última escritura


55+ Estructuras Ext: SuperBlock (selección de campos) cont..Bytes Descripción52-53 Contador de montajes54-55 Máximo número de montajes sin chequeo56-57 Firma del F.S (0xef53)58-59 Estado del F.S ( limpio, con errores, con archivos

perdidos)104-109

ID del Volumen

136-199

Subdirectorio donde fue montado por última vez


Recuerde que esta no es la tabla entera de los campos del Superblock. Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystem implementor's guide, Part 8.

RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES

http://www.ibm.com/developerworks/linux/library/l-fs8.html




56+ Una mirada al SuperBlock


1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe comenzar en el bit 1024 (0x400).2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos3-Los bytes del 4-7 informan el número de bloques=240254 bloques4- Los bytes 56-57 (0x38) contienen la firma 0xef53

57+ Tabla descriptora de grupos Tiene una entrada por cada grupo de bloques existente

en el F. S Comienza en el segundo bloque


byte Descripción0-3 Dirección de inicio del bloque del

bitmap del bloque4-7 Dirección de inicio del bloque del

bitmap de inodos8-11 Dirección de inicio del bloque de la

tabla de inodos12-13 Número de bloques disponibles en el

grupo14-15 Número de inodos disponibles en el

grupo16-17 Número de directorios en el grupo18-31 No usados

58+ Cuando se crea un archivo

El SO debe utilizar un inodo para el nuevo archivo. Trata de hacerlo en el mismo grupo de bloques del

directorio que contiene el archivo Si no es posible se busca un nuevo grupo para localizar

el inodo.


59+ Cuando se crea un directorio

Se trata de localizar en un grupo que no haya sido utilizado mucho ( equilibrando el uso del disco)( mucho es cantidad de inodos ocupados no veces!)

Para encontrarlo el S.O puede obtener del superblock el número de inodos y bloques libres.

Con este valor se comienza a buscar por los grupos de bloques hasta encontrar a uno que tenga un valor por debajo del valor promedio de utilización.


60+ Los inodos y la creación

Cuando un inodo es localizado toda su información anterior es borrada.

Un atributo llamado link count es puesto a 1 ( en caso de archivos) y 2 para directorios

Cuando se borra un archivo el contador es decrementado, si llega a 0 el inodo es considerado libre.

Si un archivo es borrado y alguna aplicación lo tiene todavía abierto pasa a ser considerado un orphan file y es inscrito en una lista en el superblock.

Cuando la aplicación cierra el archivo o cuando el sistema se reinicia el inodo es liberado.


61+

Pero recuerdeHay muchos otros sitios donde buscarY sobre todo:LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS RESULTADOS OBTENIDOS POR UN INVESTIGADOR:-ENTRENADO-PACIENTE-DISCIPLINADO-CREATIVO


+ Otros sitios donde buscar en *nix?

• contiene los mensajes generales del sistema

/var/log/messages

• guarda los sistemas de autenticación y seguridad /var/log/secure

• guarda un historial de inicio y cierres de sesión pasadas

/var/log/wmtp

• guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp

• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)

/var/log/btmp


+ Sistema de Archivos

# fdisk –l /dev/hda

Disk /dev/hda: 64 heads, 63 sectors, 789 cylinders

Units = cylinders of 4032* 512 bytes

Device Boot Start End Blocks IdSystem

/dev/hda1 1 9 18112 83 Linux


DiscoIDE A

Partición:1

Tipo de SA

+ Permisología UNIX


R: Lectura W: EscrituraX: Ejecución

111 110 111

Resto

Permiso Negado

Permiso Otorgado

Grupo

Propietario

+ Archivos Ocultos

En UNIX los archivos ocultos se distinguen por comenzar por un “. “

# ls –a

.home

.stach

.gnome$


+ Casos típicos de intrusión ( ejemplos)

• Apache :23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh

• Un usuario “demonio” no debe tener shell válido ( /bin/shell)

Usuarios del Sistema con Shell Válido

• User:23wedjg”jf:0:0:Usuario General:/home/user:/bin/csh

• El UID 0 está reservado SOLO para el root

Más de un superusuario

• User:23wedjg”jf:500:500:Usuario General:/var/www:/bin/csh

• ¿Por qué un usuario general tiene como HOME el subdirectorio de Apache?

Usuarios con HOME

incorrectoReinaldo Mayol Arnao

+ SUID y SGID

_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at

_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport


SUID

SGID

+Syslog


+ Servicios Disponibles

Revisar todo el árbol /etc/ rc* Ejecutar (si es posible) alguna herramienta de búsqueda de

puertos abiertos. Tener en cuenta que muchos servicios pueden ser manejados

por Superdemonios (inetd)


+ Ejemplo típico de Intrusión

Servicios Arrancados

fuera de orden

Scripts de Arrancada

“ Adulterados”

Bibliotecas o Binarios

AlteradosReinaldo Mayol Arnao

+ Cuentas de Usuarios

Revisar /etc/passwd

Si existe /etc/shadow


+ Trabajos temporizados

Revisar los archivos relacionados con el cron del sistema


73

+ Y en Windows??Algunos sitios donde buscar información adicional en Windows


+ Otras fuentes de información

Los archivos de acceso directo

Index.dat

Thumbs.db

Entradas del registro


+ Index.dat


+ Index.dat


+ Análisis de Temporales


+ Análisis de Atajos


El registro Los registros se

encuentran en varios archivos ocultos en: %systemroot%\system32\config y NTUSER.DAT.

Un auditor forense debe hacer copias de los archivos del registro y visualizarlos en otro editor.


+ ¿Cuál es la estructura del registro?


+ Logs

Los archivos Log de una máquina, son una fuente de información importantísima en un

análisis forense.

SysEvent.Evt. Registra los

sucesos relativos al sistema

SecEvent.Evt. Registra los sucesos

relativos a la seguridad

AppEvent.Evt. Registra los sucesos relativos a

aplicaciones


+ Log con Visor Externo


+ Más donde buscar: Archivos Recientes


+ Más donde buscar: SystemInfo

C:\>systeminfo

Nombre de host: MEFISTONombre del sistema operativo: Microsoft Windows XP ProfessionalVersión del sistema operativo: 5.1.2600 Service Pack 2 Compilación 2600Fabricante del sistema operativo: Microsoft CorporationConfiguración del sistema operativo: Estación de trabajo independienteTipo de compilación del sistema operativo: Uniprocessor FreePropiedad de: Reinaldo Mayol ArnaoOrganización registrada: ULAId. del producto: 55274-640-4467482-23960Fecha de instalación original: 20/11/2007, 10:27:26 p.m.Tiempo de actividad del sistema: 0 días, 12 horas, 28 minutos, 33 segundosFabricante del sistema: CLEVO Co.Modelo el sistema: M550SE/M660SETipo de sistema: X86-based PC


+ Más donde buscar: SystemInfo Cont…Procesador(es): 1 Procesadores instalados. [01]: x86 Family 6 Model 14 Stepping12 GenuineIntel ~1861 MhzVersión del BIOS: MSTEST - 6040000Directorio de Windows: C:\WINDOWSDirectorio de sistema: C:\WINDOWS\system32Dispositivo de inicio: \Device\HarddiskVolume1Configuración regional del sistema: 0c0aIdioma: 0000040AZona horaria: N/DCantidad total de memoria física: 894 MBMemoria física disponible: 168 MBMemoria virtual: tamaño máximo: 2.048 MBMemoria virtual: disponible: 2.004 MBMemoria virtual: en uso: 44 MBUbicación(es) de archivo de paginación: C:\pagefile.sysDominio: INICIOMSServidor de inicio de sesión: \\MEFISTORevisión(es): 170 revisión(es) instaladas. Reinaldo Mayol Arnao

+ Estado de los servicios

C:\>sc query >>scSERVICE_NAME: ALGDISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0

SERVICE_NAME: AudioSrvDISPLAY_NAME: Audio de Windows TYPE : 20 WIN32_SHARE_PROCESS STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0

………


+ Conexiones Establecidas

C:\>netstat

Conexiones activas

Proto Dirección local Dirección remota Estado

TCP mefisto:2852 bd07f3d2.virtua.com.br:https ESTABLISHED

TCP mefisto:2855 wr-in-f189.google.com:http ESTABLISHED

TCP mefisto:2856 by1msg3275906.phx.gbl:1863 ESTABLISHED

TCP mefisto:2876 eo-in-f147.google.com:http CLOSE_WAIT

TCP mefisto:2879 by1msg5082501.phx.gbl:1863 ESTABLISHED

TCP mefisto:2890 wx-in-f83.google.com:http CLOSE_WAIT


+ En muchos otros sitios ….

Imágenes ( esteganografía )


Vaya al manual de prácticas de criptografía y encontrará una práctica

+

Y mucho mas…

Prof. Reinaldo Mayol Arnao


89

Documents

Análisis Forense