forense - manual autopsy flison
DESCRIPTION
ForenseTRANSCRIPT
Slide 1
AnliseForensecomTheSleuthKit&AutopsyAlonsoEduardoCaballeroQuezadaConsultordeNPROSPerSACConsultordeiDevConsultoresenTISACGIACSSPCNSABrainbenchComputerForensics(U.S.)Pginaweb:http://www.ReYDeS.comCorreoelectrnico:[email protected],Per24deAbrildel2010AnlisisForenseconTheSleuthKit&Autopsy
AlonsoEduardoCaballeroQuezada/ReYDeSTemario
*ComputerForensics?*ElementosdeunbuenprocesoForense*ProcesoForense*Todoes0y1*UnDiscoFlexible*QuesTheSleuthKit?*QuesAutopsy?*Demostracin*Preguntas,comentarios,sugerencias?AnlisisForenseconTheSleuthKit&AutopsyFLISOL20102
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSComputerForensics?
Esunaramadelacienciaforensepertinentealaevidencialegalencontradaencomputadorasymediosdealmacenamientodigitales.ElcmputoForensetambinseconocecomoForenseDigital.
ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.Eltrminoartefactodigitalpuedeincluirunsistemadecmputo,unmediodealmacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensajedecorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoenunareddecomputadoras.
LaexplicacinpuedesertansimplecomoQuinformacinhayaqu?yqueseexplicacomoCualeslasecuenciadeeventosresponsablesdelasituacinactual?
Fuente:Wikipedia.3
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSElementosdeunbuenprocesoForense
*Validacincruzadadeloshallazgos
*Manejoadecuadodelaevidencia
*Completarlainvestigacin
*Administracindearchivos(Backups,Originales)*Competenciatcnica
*Justificacinydefinicinexplcitadelproceso
*Cumplimientolegal
*Flexibilidad4
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSProcesoForense
BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciadeDescubrimientoElectrnico.5
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSTodoes0y1
Lascapasdeunacomputadora
AplicacinSistemaOperativoBIOS(BasicInputOuputSystem)Hardware
TiposdeMedios
DiscoDuro(HardDisk)DiscoFlexible(FloppyDisk)CDROMDVDUnidadesFlashUSB6
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSUndiscoFlexible(FloppyDisk)
Unapiezadeplsticocubiertadeferromagnetita,oMetalflexiblequerotabajounacabezaocabezaldeLectura/Escritura(Electromagneto)
Enlalecturaelmaterialferromagnticomagnetizadopasaporelarodealambrequeinducecorrienteenelalambretalcomoseproducencambiosenladensidaddelflujo.
3,5''deDimetro
1440K=2880Bloques
1Bloque=512Bytes7
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSUndiscoFlexible(FloppyDisk)[Continuacin]
Unatareatpicaybsicaesutilizarddpararealizarlacopiabitabitdeundiscoflexible.Lageometracomndeundiscoflexiblede3.5esde:
18Sectoresporpista2cabezas80cilindros
Copiandoundiscoflexiblede3.5
#ddbs=2x80x18bif=/dev/fd0of=/caso07/discoflexible.dd
Los18bespecifican18sectoresde512bytes,2xmultiplicaeltamaodelsectorporelnmerodecabezas,yel80xesparaloscilindros.Untotalde1474560bytes.Loanterioresunasimplepeticindelecturade1474560bytesa/dev/fd0yunasimplepeticindelecturade1474560bytesa/caso0/discoflexible.dd8
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSO que oSleuthKit?
TheSleuthKitesunacoleccindeherramientasenlneadecomandosparaanlisisforensedearchivosyvolmenesdesistema.LasherramientasdelsistemadearchivospermitenexaminarelSistemadeArchivosdeunacomputadorasospechosasincomprometerla.DebidoaquelasherramientasnoconfanenelsistemaoperativoparaprocesarelSistemadeArchivos,semuestracontenidoborradouoculto.
Lasherramientasdevolumendelsistemapermitenqueseexamineladisposicindelosdiscosuotrosmedios.TheSleuthKitsoportaparticionesDOS,BSD,Mac,Sun,etc.Conestasherramientas,sepuedeidentificardondeestnubicadaslasparticionesparaextraerlas,aspuedenseranalizadasconlasherramientasdeanlisisdelSistemadeArchivos.
Cuandoserealizaunanlisiscompletodeunsistema,conocertodasestasherramientasenlneadecomandopuederesultartedioso.YaquapareceAutopsyenescena.9
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSQuesAutopsyForensicsBrowser?
AutopsyForensicsBrowseresunainterfazgrficadelasherramientasdeanlisisenlneadecomandopararealizarinvestigacindigitalincluidasenTheSleuthKit.Juntaspuedenanalizardiscosysistemasdearchivos(NTFS,FAT,Ext2/Ext3,etc.)
TheSleuthKityAutopsysonOpenSourceyseejecutanenplataformasUnix(SepuedeutilizartambinCygwinapraejecutarambosenentornosWindows).ComoAutopsyestbasadaenHTML,sepuedeconectaralservidorAutopsydesdecualquierplataformautilizandounnavegadorweb.AutopsyproporcionaunManejadordeArchivoscomointerfazymuestradetallessobredatoseliminadosyestructurasdelsistemadearchivos.10
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSDemostracin:Scan24/http://old.honeynet.org/scans/scan24/
Sumisinesanalizarundiscoflexiblerecuperadoyresponderlaspreguntasformuladas.Senecesitaleerelreporteantesdecontinuarelreto.Comounainvestigacindelmundorealsenecesitateneralgunainformacinadicionalyalgunaevidencia,peroeslapersonaysusconocimientoslosquerespondernlaspreguntas.
NombredelArchivo:image.zipHashMD5delArchivo:b676147f63923e1f428131d59b1d6a72
Preguntas:QuineselproveedordemarihuanadeJoeJacobsycualesladireccinlistadadelproveedor?Qudatocrucialestdisponibledentrodecoverpage.jpgyporqueeldatoescrucial?Qu(sihay)otrasescuelasvecinasaSnithHillJoeJacobsfrecuenta?Paracadaarchivo,queprocesoshizoelsospechosoparaenmascarardeotros.Quprocesos(ustedcomoanalista)realizparaexaminarelcontenidocompletodecadaarchivo?11
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSDemostracin
Descargadelarchivoimage.zipVerificacindesuhashMD5.Descomprimirelarchivocon:#unzipimage.zipElarchivoresultantees:image12
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSDemostracin
LaversinmsrecientedeTheSleuthKitesla3.1.1YlaversinmsrecientedeAutopsyesla2.2413
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSIniciandoAutopsy14
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSCreacindelcasoCreatingCase:FLISOL2010Casedirectory(/media/hda3/EvidenciaCasos/FLISOL2010/)createdConfigurationfile(/media/hda3/EvidenciaCasos/FLISOL2010/case.aut)createdWemustnowcreateahostforthiscase.15
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSCreacindelHostAddinghost:DiscoFlexibletocaseFLISOL2010HostDirectory(/media/hda3/EvidenciaCasos/FLISOL2010/DiscoFlexible/)createdConfigurationfile(/media/hda3/EvidenciaCasos/FLISOL2010/DiscoFlexible/host.aut)created.Wemustnowimportanimagefileforthishost16
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSAadiendounaimagen(I)
Seindicadondeestubicadoelarchivoimageaanalizar17
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSAadiendounaimagen(II)Losdiscosflexiblesdemaneratpicasonvolmenessimples,sinembargoelinvestigadorpuedeseleccionarmanualmenteVolumeImageconunVolumeSystemTypedeDOS.18
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSDetallesdelArchivodeimagenCalculatingMD5(thiscouldtakeawhile)CurrentMD5:AC3F7B85816165957CD4867E62CF452BTestingpartitions|Linkingimage(s)intoevidencelocke|ImagefileaddedwithIDimg1Volumeimage(0to0fat12A:)addedwithIDvol119
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSIniciodelanlisis
Esmomentodeiniciarelanlisis20
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSCreacindelosndicesdebsqueda
Antesdelproceso21
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSCreacindelosndicesdebsqueda(II)
Despusdelproceso22
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSAnlisisdeArchivos
Esnecesarioexaminarcadaunodelosarchivos.23
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivocoverpage.jpgc(I)
AutopsynohareconocidoestearchivocomoJPEG.(FFD8)24
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivocoverpage.jpgc(II)VisualizandoMetaDatosSereportauntamaodelarchivode15585bytes,perosoloseasignaunsector(451)de512bytes.Locualnoesconsistente.25
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivocoverpage.jpgc(III)SeprocedearealizarunabsquedadelafirmaJPEG(JFIF).Seencuentraunacoincidenciaenelsector73.26
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivocoverpage.jpgc(IV)Senecesitan31sectoresparaalmacenar15585bytes.Peroestnasignados(36sectores)del73hastael108.Perosolo31estnasociadosconelarchivo;comoseverificamsadelante;dadoquela104y105estnasignadosaotroarchivo.27
RangodesectoresEstadodeasignacin032Asignado3372SinAsignar73108Asignado109SinAsignarAnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivocoverpage.jpgc(V)ExportamoselcontenidoconlaopcinExportContents(vol1Sector73.jpeg)Yobtenemoslasiguienteimagen:Tambinesfactibleextraerlainformacinconelsiguientecomando:
#ddskip=73bs=512count=31if=/media/hda3/image.ddof=/media/hda3/coverpage.jpg
Esmuyimportantetenerenconsideracinquecuandoseextraenlos36sectoresysevisualizaloextradoconuneditorhexadecimalsepuedevereltextopw=goodtimeseneldesplazamiento0x3d20.Estacontraseaseutilizarmsadelanteparaabrirotroarchivo.Yelltimosectorlacadenadetexto'ScheduledVisits.xls'.28
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoJimmyJungle.doc(I)AutopsyloreconocecomounarchivoDoc,M$.29
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoJimmyJungle.doc(II)Seprocedeavisualizarlosmetadatos.Elarchivotieneuntamaode20480porlotantosonnecesarios40sectores.130
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoJimmyJungle.doc(III)Extraemoselarchivotambincon:#ddskip=33bs=512count=40if=/media/hda3/imageof=/media/hda3/jimmyjungle.doc31
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoJimmyJungle.doc(IV)Visualizandoelarchivo.Elarchivoaparentementefuecreadoel16/04/2002alas08:30:00,modificadoel16/04/2002alas09:42:00.ObtenidodelosmetadatosdelformatodearchivoDOC.32
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoScheduledVisits.exe(I)Visualizandoelarchivo.SereconocecomounarchivodeformatoZIP.33
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoScheduledVisits.exe(II)Visualizandolosmetadatosdelarchivo.Eltamaodelarchivoesde1000yrequiereporlotantodossectoresasignados,el104y105.34
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoScheduledVisits.exe(III)Alextraerelarchivoporelprocedimientoyadescritosemuestraunmensajedeerrordequeindicaqueelarchivonoestcompleto.
Sedeberecordarqueestnasignadolossectoresdesdeel73hastael108.TambinsedescubriquecuandoinicialmenteseextraenlosdatosdelaimagenJPGdesdeelsector73hastael108seencuentraenelltimosectoreltextoScheduledVisits.xls.35
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoScheduledVisits.exe(IV)Conestaevidenciaentoncesresultaratilextraerlosdatosdesdeelsector104al108yejecutarlaherramientaunzip.
#ddskip=104bs=512count=5if=/media/hda3/imageof=/media/hda3/scheduledvisits.exe
Alintentarextraerelarchivosepreguntaporlacontrasea.SeutilizaentonceslacontraseaobtenidadeelespaciodeholguradelarchivoJPGpw=goodtimes'.36
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSArchivoScheduledVisits.exe(V)Elarchivocontieneunalistadefechasynombresdecolegios.37
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSRespuestas:
Respuestaaunpardepreguntas:
QuineselproveedordemarihuanadeJoeJacobsycualesladireccinlistadadelproveedor?
Comoloindicaeldocumento'JimmyJungle.doc'recuperadoelproveedordeJoeJacobes:JimmyJungle626JungleAve,Apt2,Jungle,NY11111
Qudatocrucialestdisponibledentrodecoverpage.jpgyporqueeldatoescrucial?
Lacadena'pw=gootimes'queseencontrenelespaciodeholguraalfinaldelaunidadesdeasignacindelarchivo.EstedatoescrucialporqueeslacontraseadelarchivoprotegidoScheduledVisits.exe.38
AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010AlonsoEduardoCaballeroQuezada/ReYDeSPreguntas,comentarios,sugerencias?
LosinvitocordialmenteadoscursosadictarseenlaciudaddeTrujillo:
CmputoForense
Sbado29&Domingo30deMAYOdel2010
Hackingtico(2doGrupo)
Sbado7&Domingo8deAGOSTOdel2010
Msinformacin:http://www.npros.com.pe39
MuchasGracias!AlonsoEduardoCaballeroQuezadaConsultordeNPROSPerSACConsultordeiDevConsultoresenTISACGIACSSPCNSABrainbenchComputerForensics(U.S.)
Pginaweb:http://www.ReYDeS.comCorreoelectrnico:[email protected],Per24deAbrildel2010