prev
next
out of 19

analisis forense_entregable

Embed Size (px)

Citation preview

Universidad Nacional Autnoma de MxicoFacultad de Contadura y AdministracinLicenciatura en Informtica

SEGURIDAD EN INFORMTICA 2

Investigacin forense de sistemas Microsoft WindowsEquipo 6: Salas Tllez Julio C. Servn Resndiz Sandra L. Sols Galicia Fernando Vzquez Ortz Luis Alberto Vieyra Lizbeth

2012

Resumen

Este documento hace referencia a la Investigacin o anlisis forense de sistemas informticos en Microsoft Windows y que ante un incidente de seguridad, se debe tener el conocimiento de saber cmo reaccionar. Para ello: Se explica cmo afrontar la adquisicin de los datos, as como su anlisis e investigacin, se menciona el entorno legal y las herramientas que pueden utilizarse para dicha tarea.

Abstract

2

ContenidoResumen............................................................................................................................................ 2 Abstract .............................................................................................................................................. 2 Introduccin ........................................................................................................................................ 4 Qu es el anlisis forense? ................................................................................................................ 5 Para qu sirve? .................................................................................................................................. 5 En qu consiste? ................................................................................................................................ 5 Cul es la forma correcta de proceder? Y, por qu? ....................................................................... 5 Qu es un incidente de seguridad? ................................................................................................... 5 Metodologa en un incidente de seguridad ........................................................................................ 6 a) b) c) d) e) f) Preparacin y prevencin ........................................................................................................... 6 Deteccin del incidente............................................................................................................... 6 Respuesta inicial .......................................................................................................................... 7 Formulacin de una estrategia de respuesta.............................................................................. 8 Investigacin del incidente.......................................................................................................... 8 Redaccin del informe ................................................................................................................ 8

Tipos de anlisis forense ..................................................................................................................... 8 1. 2. 3. Anlisis forense de sistemas ....................................................................................................... 8 Anlisis forense de redes ............................................................................................................ 8 Anlisis forense de sistemas embebidos..................................................................................... 8

Panorama Legal ................................................................................................................................... 9 Metodologa y fases de un anlisis forense ........................................................................................ 9 1. 2. 3. 3.1. 3.2. Adquisicin o recoleccin de datos........................................................................................... 10 Anlisis e investigacin.............................................................................................................. 12 Redaccin del informe .............................................................................................................. 13 Informe ejecutivo .................................................................................................................. 14 Informe tcnico ..................................................................................................................... 14

Herramientas de investigacin forense ............................................................................................ 15 Obtencin de evidencia, obteniendo informacin ........................................................................... 17 Bibliografa ........................................................................................................................................ 19

3

IntroduccinEl anlisis forense es un rea perteneciente al mbito de la seguridad informtica surgida a raz del incremento de los diferentes incidentes de seguridad. En el anlisis forense se realiza un anlisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se est realizando un anlisis forense se intenta responder a las siguientes preguntas: Quin ha realizado el ataque? Cmo se realiz? Qu vulnerabilidades se han explotado? Qu hizo el intruso una vez que accedi al sistema? El rea de la ciencia forense es la que ms ha evolucionado dentro de la seguridad, ya que los incidentes de seguridad han incrementado en los ltimos aos. Adems, los ataques son diferentes y por tanto hay que actualizar las tcnicas de anlisis en cada momento. El procedimiento utilizado para llevar a cabo un anlisis forense es el siguiente: 0. Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentacin entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar. 1. Adquisicin de datos. Se realiza una obtencin de los datos e informaciones esenciales para la investigacin. Se duplican o clonan los dispositivos implicados para un posterior anlisis. En esta fase habr que tener mucho cuidado en la adquisicin de los datos puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante. 2. Anlisis e investigacin. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase tambin habr que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante. 3. Realizacin del informe. En esta fase se elabora el informe que ser remitido a la direccin de la organizacin o empresa. Posteriormente, se podr usar para acompaar la denuncia que realicemos a la autoridad competente.

4

Qu es el anlisis forense?El anlisis forense en un sistema informtico permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Para qu sirve?Para garantizar la efectividad de las polticas de seguridad y la proteccin tanto de la informacin como de las tecnologas que facilitan la gestin de esa informacin.

En qu consiste?Consiste en la investigacin de los sistemas de informacin con el fin de detectar evidencias de la vulneracin de los sistemas.

Cul es la forma correcta de proceder? Y, por qu?Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningn momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

Qu es un incidente de seguridad?Un incidente de seguridad es cualquier accin fuera de la ley o no autorizada: ataques de denegacin de servicio, extorsin, posesin de pornografa infantil, envo de correos electrnicos ofensivos, fuga de informacin confidencial dentro de la organizacin, en el cual est involucrado algn sistema telemtico de nuestra organizacin. Las fuentes de informacin que se utilizan para realizar un anlisis forense son: -

Correos electrnicos. IDS/IPS. Archivo de logs de los cortafuegos. Archivo de logs de los sistemas.

5

Metodologa en un incidente de seguridadLos incidentes de seguridad normalmente son muy complejos y su resolucin presenta muchos problemas. A continuacin se muestran las siguientes fases en la prevencin, gestin y deteccin de incidentes: a) Preparacin y prevencin: En esta fase se toman acciones para preparar a la organizacin antes de que ocurra un incidente. Por tanto, se deber empezar por tratar de analizar qu debe ser protegido y qu medidas tcnicas y organizativas tienen que implementarse. Una vez hechos los diversos anlisis se podr considerar que la organizacin ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas. Pero aun hecho dicho anlisis, siempre hay situaciones que no van a poder ser protegidas, por lo que se tendr que elaborar un plan de continuidad de negocio. Dicho plan est formado por un conjunto de planes de contingencia para cada una de las situaciones que no estn controladas.

b) Deteccin del incidente: La deteccin de un incidente de seguridad es una de las fases ms importante en la securizacin de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difcil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organizacin. La clasificacin es la siguiente: Accesos no autorizados: un usuario no autorizado accede al sistema. Cdigo malicioso: ha habido una infeccin de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema. Denegacin de servicio: incidente que deja sin dar servicio (DNS, web, correo electrnico, etc.) a un sistema. Phishing: consiste en suplantar la identidad de una persona o empresa para estafar. Dicha estafa se realiza mediante el uso de ingeniera social consiguiendo que un usuario revele informacin confidencial (contraseas,cuentas bancarias, etc.). El atacante suplanta la imagen de una empresa u organizacin y captura

6

ilcitamente la informacin personal que los usuarios introducen en el sistema. Recogida de informacin: un atacante obtiene informacin para poder realizar otro tipo de ataque (accesos no autorizados, robo, etc.). Otros: engloba los incidentes de seguridad que no tienen cabida en las categoras anteriores. La deteccin de un incidente de seguridad se realiza a travs de diversas fuentes. A continuacin se enumeran algunas de ellas: Alarma de los antivirus. Alarmas de los sistemas de deteccin de intrusin y/o prevencin (IDS y/o IPS). Alarmas de sistemas de monitorizacin. Avisos de los propios usuarios al detectar que no funcionan correctamente los sistemas informticos. Avisos de otras organizaciones que han detectado el incidente. Anlisis de los registros de los sistemas.

Una vez detectado el incidente a travs de cualquier va, para poder gestionarlo es recomendable tener al menos los siguientes datos: Hora y fecha en la que se ha notificado el incidente. Quin ha notificado el incidente. Clasificacin del incidente (accesos no autorizados, phishing, denegacin de servicio, etc.). Hardware y software involucrado en el incidente (si se pueden incluir los nmeros de serie, es recomendable). Contactos para gestionar el incidente. Cundo ocurri el incidente.

c) Respuesta inicial: En esta fase se trata de obtener la mxima informacin posible para determinar qu tipo de incidente de seguridad ha ocurrido y as poder analizar el impacto que ha tenido en la organizacin. La informacin obtenida en esta fase ser utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha informacin ser fruto como mnimo de: Entrevistas con los administradores de los sistemas. Revisin de la topologa de la red y de los sistemas. Entrevistas con el personal de la empresa que hayan tenido algo que ver con el incidente con el objetivo de contextualizarlo. Revisar los logs de la deteccin de la intrusin.

7

d) Formulacin de una estrategia de respuesta: Una vez recabada la informacin de la fase anterior, hay que analizarla para despus tomar una decisin sobre cmo actuar. Las estrategias a utilizar dependern de varios factores: criticidad de los sistemas afectados, si el incidente ha salido a la luz pblica, la habilidad del atacante, cmo de sensible es la informacin a la que se ha tenido acceso, si el sistema de informacin est cado y la repercusin que esto tiene, etc. e) Investigacin del incidente. En esta fase se determina quin, cundo, dnde, qu, cmo y por qu ha ocurrido el incidente. Para investigar dicho incidente se divide el proceso en dos fases: 1. Adquisicin de los datos. La obtencin de los datos es la acumulacin de pistas y hechos que podran ser usados durante el anlisis forense de los ordenadores para la obtencin de evidencias. 2. Anlisis forense. En esta fase se revisan todos los datos adquiridos en la fase anterior. f) Redaccin del informe: En esta ltima fase se redacta un informe que ser entregado a la direccin de la organizacin as como a los cuerpos de polica del Estado o al juzgado si el incidente se denuncia. Dicho informe puede ser de dos clases: ejecutivo y tcnico.

Tipos de anlisis forenseDependiendo del punto de vista nos vamos a encontrar diferentes tipos de anlisis forense. Si lo vemos desde el punto de vista de lo que se va a analizar, nos encontraremos los siguientes tipos: 1. Anlisis forense de sistemas: en este anlisis se tratarn los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.). 2. Anlisis forense de redes: en este tipo se engloba el anlisis de diferentes redes (cableadas, wireless, bluetooth, etc.). 3. Anlisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en mviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal.8

Panorama LegalApenas legislada esta materia, diversos ordenamientos legales se limitan a otorgarles valor probatorio a los documentos o instrumentos que se obtengan por medios electrnicos (Cdigo de Comercio, Ley de Instituciones de Crdito, Ley del Mercado de Valores). El Cdigo Federal de Procedimientos Civiles expresamente reconoce como prueba la informacin generada o comunicada que conste en medios electrnicos, pticos o en cualquier otra tecnologa, debindose estar a la fiabilidad del mtodo con el que haya sido generada, comunicada, recibida o archivada y si es posible atribuir a las personas obligadas el contenido de la misma, siendo accesible para su ulterior consulta. En este caso, adems de la necesidad de unificar las diversas legislaciones del pas tanto en materia penal como civil, se requiere ser ms especficos ya que no se dice qu determina "la fiabilidad del mtodo con el que haya sido generada", por lo que es necesario remitir a estndares internacionales como son el ISO (International Standard Organization) y el IEEE (Institute of Electric and Electronic Engineers). Pero adems sera conveniente establecer ciertas obligaciones para los proveedores del servicio de Internet, y para los titulares de nombres de dominio, como el establecer cuentas abuse (para recibir quejas de los usuarios), llevar de manera organizada logs o bitcoras y tener identificables los nmeros de telfono, IP asignada y tiempo de conexin de los usuarios, para que sea ms fcil en determinado momento para un perito en cmputo, reunir los documentos que deban aceptarse como prueba en un juicio.

Metodologa y fases de un anlisis forenseEn el anlisis forense nos vamos a encontrar con 3 fases bien diferenciadas a pesar de que, dependiendo del enfoque y del tipo que sea, dicho anlisis se podr dividir en ms fases. Parte del proceso judicial en relacin al anlisis forense informtico se resume en la siguiente imagen:

9

1. Adquisicin o recoleccin de datosLa adquisicin de datos es una de las actividades ms crticas en el anlisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el anlisis e investigacin posterior no sera vlido debido a que la informacin saldra con impurezas, es decir, la informacin que creemos que es del origen no lo es realmente. Una vez que se ha detectado un incidente de seguridad, uno de los primeros problemas del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o no.10

Apagar o no el equipo? Esta decisin, aunque pueda parecer trivial, no lo es tanto, porque las consecuencias pueden ser varias: perder evidencias que estn en la memoria voltil, ver los usuarios conectados, ver los procesos en ejecucin, conocer las conexiones existentes, etc. Otro de los problemas que se pueden encontrar a veces y dependiendo del tipo de organizacin es la obtencin de los siguientes datos: nombre y apellidos del responsable del equipo y usuario del sistema. Otros datos que se deben obtener como mnimo seran: modelo y descripcin del sistema, nmero de serie, sistema operativo que est corriendo, as como el coste econmico aproximado que tiene dicho incidente (por ejemplo, si ha sido atacado el sistema de gestin de un lser y para su equilibrado se precisa de tcnicos que tienen que desplazarse, sera un coste axial como el tiempo de estar parado). A continuacin se deben localizar los dispositivos de almacenamiento que estn siendo utilizados por el sistema: discos duros, memorias (USB, RAM, etc.). Una vez que se han localizado, se debe recabar la siguiente informacin: marca, modelo, nmero de serie, tipo de conexin (IDE, SCSI, USB, etc.), conexin en el sistema (si est conectado en la IDE1, si es el primario o el secundario, etc.). Una vez localizadas todas las partes del sistema, es recomendable hacer fotografas de todo el sistema as como de su ubicacin adems de fotografiar los dispositivos de almacenamiento. Cuando se hayan hecho las fotos se contina con la clonacin bit a bit de los dispositivos de almacenamiento del sistema. Dicha clonacin tiene que ser realizada en un dispositivo que haya sido previamente formateado a bajo nivel, ya que este proceso garantiza que no queden impurezas de otro anlisis anterior. Por tanto, la realizacin de dicha clonacin deber hacerse mediante un LIVECD. Una vez realizada dicha clonacin, es recomendable realizar una verificacin de que el dispositivo de almacenamiento de origen y destino son idnticos, as comprobamos la integridad de los datos. Finalmente, se tienen que transportar dichos dispositivos a un centro, donde se realizar el anlisis y la investigacin. Dependiendo de si existe informacin con datos de carcter personal, hay que tener en cuenta el marco legal. De todas maneras es obvio que las leyes se deben tener en cuenta siempre, ya que su desconocimiento no exime de su cumplimiento.

11

2. Anlisis e investigacinLa fase de anlisis e investigacin de las evidencias digitales es un proceso que requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de informacin en esta fase son varias: Registros de los sistemas analizados Registro de los detectores de intrusin Registro de los cortafuegos Ficheros del sistema analizado

En el caso de los ficheros del sistema analizado, hay que tener cuidado con las carpetas personales de los usuarios. Dichas carpetas estn ubicadas en el directorio /home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas Windows con tecnologa NT (Windows 2000, XP, etc.). Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalacin del sistema operativo, por ejemplo, las cuentas de administrador. De todas formas, siempre es recomendable asesorarse con un jurista ante la realizacin de un anlisis forense para prevenir posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por incumplir la legislacin). Por tanto, toda la investigacin tiene que ir siempre encaminada a encontrar las evidencias en todos aquellos datos que no contengan informacin personal. Solo se puede acceder a esta informacin disponiendo de una resolucin judicial que lo autorice. Cuando se accede a la informacin podemos encontrar dos tipos de anlisis: Fsico: informacin que no es interpretada por el sistema operativo ni por el de ficheros. Lgico: informacin que s es interpretada por el sistema operativo. En este nivel, por tanto, podremos obtener: estructura de directorios, ficheros que se siguen almacenando as como los que han sido eliminados, horas y fechas de creacin y modificacin de los ficheros, tamaos, utilizacin de los HASH para reconocer los tipos de archivos, contenido en los sectores libres, etc.

En un dispositivo de almacenamiento nos encontraremos con tres tipos de datos recuperados: Allocated: inodo y nombre del fichero intactos, con lo que dispondremos del contenido integro.

12

-

-

Deleted/Reallocated: inodo y nombre del fichero intactos aunque han sido recuperados porque haban sido borrados, con lo que dispondremos del contenido ntegro. Unallocated: inodo y nombre de fichero no disponibles, con lo que no tendremos el contenido integro del archivo aunque s algunas partes. A veces, realizando una labor muy laboriosa se puede obtener parte de la informacin e incluso unir las partes y obtener casi toda la informacin del archivo.

Una de las primeras acciones que vamos a tener que efectuar es determinar la configuracin horaria del sistema. Con dicha opcin podremos validar las fechas y las horas que podemos identificar para que no sean cuestionadas ante otro peritaje por ejemplo. Despus de identificar la configuracin horaria, podremos realizar el estudio de la lnea de tiempo tambin conocida como timeline y conocer cules han sido las acciones realizadas desde la instalacin hasta el momento que se ha clonado el disco. Las herramientas por excelencia para esta fase de anlisis e investigacin son el EnCase y el Sleunth kit & Autopsy. El EnCase es una aplicacin propietaria para la realizacin de anlisis forense mientras que Sleunth kit & Autopsy es un conjunto de herramientas de software libre creadas por Dan Farmer y Wietse Venema. Estas aplicaciones funcionan sobre Windows y GNU/Linux respectivamente, pero son capaces de analizar sistemas Unix, Linux, Mac OS X y Microsoft.

3. Redaccin del informeLa redaccin del informe es una tarea ardua a la par que compleja, porque no slo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, adems, hay que explicarlos de una manera clara y sencilla. Hay que tener en cuenta que muchas veces dichos informes van a ser ledos por personas sin conocimientos tcnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habr que explicar minuciosamente cada punto. Todo informe deber tener perfectamente identificada la fecha de finalizacin de ste, as como a las personas involucradas en su desarrollo. En ciertas situaciones se pueden unificar tanto un informe ejecutivo como un tcnico dependiendo del caso y de la situacin, aunque no es recomendable.

13

3.1. Informe ejecutivoLos principales lectores de estos informes son la alta direccin de las empresas, es decir, personas que no tienen un perfil tcnico. Por tanto, el lenguaje del informe debe ser lo ms claro posible y, si se utiliza alguna jerga tcnica, tiene que ser explicada de una manera clara. Este informe consta de los siguientes puntos: Introduccin: se describe el objeto del informe as como el coste del incidente acaecido. Descripcin: se detalla que ha pasado en el sistema de una manera clara y concisa sin entrar en cuestiones muy tcnicas. Hay que pensar que dicho informe ser ledo por personal sin conocimientos tcnicos o con muy escasos conocimientos. Recomendaciones: se describen las acciones que se deben realizar una vez comprobado que se ha sufrido una incidencia para evitar otra incidencia del mismo tipo, as como si debe ser denunciado.

-

3.2. Informe tcnicoEn este tipo de informe sus principales lectores son personas con un perfil tcnico, siendo el objetivo del informe describir qu ha ocurrido en el sistema. El informe debe contener al menos los siguientes puntos: Introduccin: donde se describe el objeto principal del informe y se detallan los puntos fundamentales en que se disecciona el informe. Preparacin del entorno y recogida de datos: se describen los pasos a seguir para la preparacin del entorno forense, la adquisicin y verificacin de las imgenes del equipo afectado, etc. Estudio forense de las evidencias: en este punto se describe la obtencin de las evidencias as como de su significado. Conclusiones: donde se describen de una manera detallada las conclusiones a las que se han llegado despus de haber realizado el anlisis.

-

Sin embargo, un informe tcnico, para ser ms completo, debe tener: Antecedentes del incidente. Recoleccin de los datos. Entorno del anlisis. Descripcin de las herramientas. Anlisis de la evidencia.

14

-

formacin del sistema analizado ( as del SO, aplicaciones, servicios, vulnerabilidades, metodologa). (Huellas de la intrusin, usadas por el atacante, , el origen del ataque).

Recomendaciones especficas. Referencias.

Herramientas de investigacin forenseAntes de enumerar las diferentes herramientas que pueden ser necesarias a la hora de realizar un anlisis forense, es necesario hablar del Instituto Nacional de los Estndares y la Tecnologa (National Institute of Standards and Technology, tambin conocido como NIST). El NIST fue fundado en 1901 como una agencia federal que forma parte del Departamento de Comercio de los Estados Unidos. Su misin es elaborar y promover patrones de la medicin, los estndares y la tecnologa con el fin de crear productividad, facilitar el comercio y mejorar la calidad de vida. Este instituto lleva a cabo un proyecto para el testeo de herramientas de anlisis forense de ordenadores (computer forensic tool testing, CFTT). Su principal objetivo es la certificacin de herramientas de hardware y software con el fin de asegurar que su uso ofrece resultados fiables. Hablar de anlisis forense sin revisar algunas ideas sobre herramientas es hablar en un contexto terico de procedimientos y formalidades legales. Las herramientas informticas, son la base esencial de los anlisis de las evidencias digitales en los medios informticos. Sin embargo, es preciso comentar que stas requieren de una formalidad adicional que permita validar tanto la confiabilidad de los resultados de la aplicacin de las mismas, como la formacin y conocimiento del investigador que las utiliza. Estos dos elementos hacen del uso de las herramientas, una constante reflexin y cuestionamiento por parte de la comunidad cientfica y prctica de la informtica forense en el mundo. Si bien algunas herramientas son licenciadas y sus precios oscilan entre los 600 y los 5000 dlares americanos, existen otras que no cuentan con tanto reconocimiento internacional en procesos legales, que generalmente son aplicaciones en software de cdigo abierto (entre otras, Sleuth Kit y Coroner Toolkit). Ests ltimas a pesar de que son utilizadas con frecuencia como estrategia de validacin en el uso de otras herramientas, vienen haciendo una importante carrera en la prctica de la informtica forense, con lo cual no se15

descarta en un futuro prximo que stas estn compitiendo mano a mano con las licenciadas mencionadas anteriormente. A continuacin se muestran algunas de las herramientas que se utilizan en un anlisis forense tanto para Windows como para Linux: Captura de trfico - Tcpdump - Windump - Wireshark Cifrado - PGP - GNUpg Deteccin de intrusos - Firewall Intrussion Detection System (CISCO) - SNORT - Tipping paint Virtualizacion de sistemas - VMware - Xen Emuladores de sistemas - Wine - Win4Lin - Cygwin Editores - Winhex - Hexdump Eliminacin segura de archivos - Wipe Anlisis e investigacin - Encase - Autopsy Distribuciones (LIVECDs) - FIRE - Backtrack - Knoppix Clonado de dispositivos de almacenamiento (IMAGENES) - dd - Ghost - Acronics - Mc - Para Windows puede ser mas comodo usar HELIX en la parte de obtencin de evidencia, hlix permite realizar imgenes de la memoria fsica www.e-fense.com/helix/

16

Para mayor informacin de otras herramientas forenses en informtica se sugiere revisar el enlace: http://www.e-evidence.info/vendors.html.

Obtencin de evidencia, obteniendo informacin date /t & time /t fecha y hora ipconfig /all informacin tcp/ip netstat -aon conexiones abiertas y puertos en espera, con PID asociado psinfo -shd informacion del sistema (hardware, software, hotfixes, versiones, etc.) pslist -t lista de procesos at lista de tareas programadas (tambin mirar en %windir%\tasks\ folder) psloggedon usuarios logados y hora de logon psloglist volcado de log de eventos psservice informacin de servicios de sistema net use, net accounts, net session, net share, net user conexiones netbios/smb listdlls lista de DLLs cargadas en sistema sigcheck -u -e c:\windows lista de ficheros (.exe, .dll) no firmados streams -s c:\ lista ficheros con alternate data streams (ads) logonsessions -p sesiones actuales y procesos por sesin arp -a muestra tabla de cach ARP ntlast muestra eventos de logon correctos y fallidos route print muestra tabla de rutado IP autorunsc muestra elementos de autoejecucin hfind c:17

ficheros ocultos promiscdetect detecta interfaces de red en modo "PROMISC" volume_dump muestra informacin sobre volumenes, mount points, filesystem, etc. pwdump2 muestra hashes (nthash/lmhash) de cuentas locales lsadump2 muestra LSA secrets (necesita SeDebugPrivilege) strings busca cadenas ASCII/Unicode en ficheros Obteniendo informacin con GUIs: rootkit revealer detecta rootkits (usermode o kernelmode) process explorer informacin til sobre procesos, libreras que usan, recursos accedidos, conexiones de red, etc. tcpview muestra conexiones de red y aplicaciones asociadas Otras herramientas: Kit de recoleccin de evidencia Automatizado, que pueda ser usado por cualquiera Multiplataforma HELIX o similar Anlisis de imgenes de discos The Sleuth Kit + Autopsy Browser EnCase Recuperacin de contraseas Advanced Password Recovery Software Toolkit Dispositivos mviles PDA Seizure MOBILedit Forensics Edition Esteganogrfa Stego Suite

18

Bibliografa[1] RIFA POUS, Helena , SERRA RUIZ, Jordi, RIVAS LOPEZ, Jos Luis. Anlisis Forense de sistemas informticos, UOC, Barcelona, Espaa, 2009. ISBN: 978-84692-3343-6 [] PEREZ DEL REAL, Luis Javier. Anlisis forense para una plataforma MSWindows, Mxico, D.F. ULSA, 2002. [] LOPEZ, Oscar, AMAYA, Haver, LEON, Ricardo y ACOSTA, Beatriz. Informtica forense: generalidades, aspectos tcnicos y herramientas. Bogot, Colombia. [] BATIZ ALVAREZ, Vernica y FARIAS-ELINOS, Mario. Panorama general del marco jurdico en materia informtica en Mxico. Consultado el 20 de abril de 2012, en lnea: www.itescam.edu.mx/principal/sylabus/fpdb/recursos/r52844.DOC .

19


Analisis proximal

Analisis proximal

Engineering
Analisis y Metodos De Analisis

Analisis y Metodos De Analisis

Documents
Analisis 3

Analisis 3

Documents
Analisis matematico

Analisis matematico

Documents
CONTENIDO ANALISIS ESTADISTICAS ANALISIS BOGOTA ANALISIS BARRANQUILLA ANALISIS ANTIOQUIA

CONTENIDO ANALISIS ESTADISTICAS ANALISIS BOGOTA ANALISIS BARRANQUILLA ANALISIS ANTIOQUIA

Documents
Elaborar analisis matriz analisis entorno empresarial DAFO

Elaborar analisis matriz analisis entorno empresarial DAFO

Business
ESPECTROS - ANALISIS TIEMPO-HISTORIA - ANALISIS MODAL ESPECTRAL

ESPECTROS - ANALISIS TIEMPO-HISTORIA - ANALISIS MODAL ESPECTRAL

Documents
Analisis 2

Analisis 2

Documents
TITULO: CURSO: Analisis Unidad Avanzada PROFESOR ANALISIS

TITULO: CURSO: Analisis Unidad Avanzada PROFESOR ANALISIS

Documents
Analisis bayesiano

Analisis bayesiano

Health & Medicine
Analisis fundamental

Analisis fundamental

Business
Analisis y Diseno analisis y diseno de procesos.de Procesos

Analisis y Diseno analisis y diseno de procesos.de Procesos

Documents
ANALISIS DE PRESUPUESTO VARIOS PARA UN ANALISIS UNITARIO

ANALISIS DE PRESUPUESTO VARIOS PARA UN ANALISIS UNITARIO

Documents
ANALISIS DE METAS Y OBJETIVOS ANALISIS EXTERNO ANALISIS INTERNO ANALISIS FODA O DAFO ANALISIS ESTRATEGICO

ANALISIS DE METAS Y OBJETIVOS ANALISIS EXTERNO ANALISIS INTERNO ANALISIS FODA O DAFO ANALISIS ESTRATEGICO

Documents
Analisis y tipos de analisis guias-lilly

Analisis y tipos de analisis guias-lilly

Education
2.3 Analisis Precios y 2.4 Analisis Comer

2.3 Analisis Precios y 2.4 Analisis Comer

Documents
ANALISIS DEL ENTORNO Y ANALISIS PREVIO A LA …

ANALISIS DEL ENTORNO Y ANALISIS PREVIO A LA …

Documents
Ev Privada -ANALISIS DEL VAN 5 Analisis Del VAN

Ev Privada -ANALISIS DEL VAN 5 Analisis Del VAN

Documents
Deteccion y Analisis Fallas Analisis Modos y Efectos Fallas

Deteccion y Analisis Fallas Analisis Modos y Efectos Fallas

Documents
11 Analisis Accesibilidad.indd 1 Analisis Accesibilidad ... · ANÁLISIS COMPARADO DE LAS NORMAS AUTONÓMICAS Y ES TATALES DE ACCESIBILIDAD 11 Analisis Accesibilidad.indd 3 Analisis

11 Analisis Accesibilidad.indd 1 Analisis Accesibilidad ... · ANÁLISIS COMPARADO DE LAS NORMAS AUTONÓMICAS Y ES TATALES DE ACCESIBILIDAD 11 Analisis Accesibilidad.indd 3 Analisis

Documents
Analisis PESTEL y Analisis FODA

Analisis PESTEL y Analisis FODA

Documents
EL MERCADO. ANALISIS DE ENTORNO ANALISIS DAFO MISION & VISION

EL MERCADO. ANALISIS DE ENTORNO ANALISIS DAFO MISION & VISION

Documents
Analisis conformacional

Analisis conformacional

Education
ANALISIS EXTERNO · Web view2013 A.C.A.U. ASOCIACION DE ARQUITECTOS URBANISTAS [ANALISIS EXTERNO]ANALISIS EXTERNO DE LA LOCALIDAD DE JOMULCO, ANALISIS DE LA DEMANDA, ANALISIS DE SISTEMAS

ANALISIS EXTERNO · Web view2013 A.C.A.U. ASOCIACION DE ARQUITECTOS URBANISTAS [ANALISIS EXTERNO]ANALISIS EXTERNO DE LA LOCALIDAD DE JOMULCO, ANALISIS DE LA DEMANDA, ANALISIS DE SISTEMAS

Documents
Analisis del analisis de variabilidad de la frecuencia cardiaca

Analisis del analisis de variabilidad de la frecuencia cardiaca

Health & Medicine
ANALISIS NUMERICO AVANZADO y ANALISIS NUMERICO IIamaterias.fi.uba.ar/7538/material/Clases.pdf · ANALISIS NUMERICO AVANZADO y ANALISIS NUMERICO IIa. Profesor: Dr. Angel N. Menéndez

ANALISIS NUMERICO AVANZADO y ANALISIS NUMERICO IIamaterias.fi.uba.ar/7538/material/Clases.pdf · ANALISIS NUMERICO AVANZADO y ANALISIS NUMERICO IIa. Profesor: Dr. Angel N. Menéndez

Documents
Analisis graficas

Analisis graficas

Travel
ANALISIS MICROSCOPICO

ANALISIS MICROSCOPICO

Technology
Analisis Organizativo

Analisis Organizativo

Education
ANALISIS TIPOGRAFICO

ANALISIS TIPOGRAFICO

Documents