un caso de forense: delito de pederastia en windows
DESCRIPTION
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.TRANSCRIPT
![Page 1: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/1.jpg)
Reto Ciberbullyng
DragonJar I
Alejandro Ramos Computer Hacking Forensic Investigator
SecurityByDefault.com
![Page 2: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/2.jpg)
Yo. Ego - presentación
Manager del TigerTeam de SIA
Profesor en el MOSTIC de la Universidad
Europea de Madrid (Hardening Linux y Análisis
Forense)
Editor de SecurityByDefault.com
Blah Blah…
![Page 3: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/3.jpg)
EJEMPLO - Cyberbullying
Concurso – Reto Forense Dragon Jar I
Se obtiene una imagen (VM) del equipo de un
sospechoso de ciber-acoso
Se solicita un análisis forense del equipo para
confirmar la sospecha.
Imágenes disponibles en:
http://www.dragonjar.org/resultado-del-primer-reto-
forense-de-la-comunidad-dragonjar.xhtml
![Page 4: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/4.jpg)
Adquisición de imagen
Por tratarse de un Vmware:
◦ Se añade un disco duro virtual > al original
◦ Se arranca con un livecd tipo CAINE/DEFT
◦ Se crea partición FAT32 y se formatea
(mkfs.vfat)
◦ Se monta sobre /mnt
◦ Se genera la imagen: guymager
dcfldd
![Page 5: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/5.jpg)
Adquisición
![Page 6: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/6.jpg)
Información básica
Registrado: Scarface
XP SP3
AMD Athlon 512Mb
Usuario: Administrador
Uso horario GMT+5
![Page 7: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/7.jpg)
Fecha de instalación
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion
UnixTime: 1260862666
= 15 Dec 2009
![Page 8: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/8.jpg)
Software instalado
TrueCrypt
Windows Live
IrfanView
![Page 9: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/9.jpg)
Procesos en ejecución
No se detecta malware
Ni procesos extraños
![Page 10: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/10.jpg)
Servicios en ejecución
No se detecta malware
Ni servicios extraños
![Page 11: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/11.jpg)
Análisis de arranque
No se detecta malware
Ni servicios extraños
![Page 12: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/12.jpg)
Drivers instalados
Driver de truecrypt instalado
![Page 13: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/13.jpg)
Aplicaciones ejecutadas – Prefetch
![Page 14: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/14.jpg)
Aplicaciones ejecutadas – Prefetch
Aplicación Funcionalidad
S-TOOLS Estenografía
TIMESTOMP Anti-forense, modificación de
fechas
TRUECRYPT Cifrado de volúmenes y discos
![Page 15: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/15.jpg)
Archivos recientes C:\Documents and Settings\Admin\Reciente
![Page 16: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/16.jpg)
Búsqueda de ADS
AlternateStremView (nirsoft)
Archivo: Scarface.jpg contine: «oculto»
«oculto» es un ejecutable de «Steganos
LockNote»
![Page 17: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/17.jpg)
Busqueda de archivos TrueCrypt
Búsqueda con fecha
Tamaño de archivo
![Page 18: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/18.jpg)
Busqueda de aplicación TrueCrypt
No se encuentra TrueCrypt en «Inicio» ni
en «Archivos de programa»
Se busca en el registro «Uninstall»:
HKLM\Software\Microsoft\Windows\Curr
entVersion\Uninstall\
![Page 19: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/19.jpg)
Búsquedas en Internet
MyLastSearch de Nirsoft
Búsquedas en Google de contenido
sexual infantil
![Page 20: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/20.jpg)
Archivos temporales de Internet
Uso de index.dat Analyzer para facilitar el
proceso
Se detectan búsquedas de sexo infantil en
Se detecta navegación de imágenes con
contenido sexual
![Page 21: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/21.jpg)
index.dat Analyzer
http://www.systenance.com/indexdat.php
![Page 22: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/22.jpg)
Imágenes pedófilas en la cache
Uso de irfanview para ver imágenes
cacheadas
Se detecta pornografía infantil
![Page 23: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/23.jpg)
Cache del navegador El usuario se registra en el portal
Se obtiene usuario y correo electrónico
![Page 24: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/24.jpg)
Cache del navegador
Se comparte contenido pornográfico
![Page 25: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/25.jpg)
Cache del navegador Contraseña y comentarios
![Page 26: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/26.jpg)
Cache del navegador
Usuario añadido en hotmail ¿victima?
![Page 27: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/27.jpg)
Cache del Navegador
Se obtiene contraseña del portal
imgsrc.ru
![Page 28: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/28.jpg)
Búsquedas en el Historial
Se encuentran referencias a imágenes
«sexy (n).jpg» en «Mis imágenes»
Los ficheros ya no existen
![Page 29: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/29.jpg)
Búsquedas en el Historial
Referencias a los archivos anteriores en
«Z:»
![Page 30: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/30.jpg)
Historial de MSN
No hay registros de MSN
No hay archivos en «Mis archivos
recibidos»
Se encuentran imágenes en la cache de
MSN
![Page 31: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/31.jpg)
Contactos MSN
C:\Documents and
Settings\Administrador\Configuración
local\Datos de programa\Microsoft\Windows
Live Contacts\{2b8788be-f69b-4265-9430-
326604e4a5c0}\DBStore\contacts.edb
![Page 32: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/32.jpg)
Disco Duro
![Page 33: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/33.jpg)
Disco duros - interfaces
![Page 34: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/34.jpg)
Estructura disco duro
• A Pista
• B Sector
• C Sector de una pista
• D Cluster
![Page 35: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/35.jpg)
Sector / Cluster
Cluster es la mínima unidad de
almacenamiento para el sistema operativo
Los clusters se componen de sectores. El
mínimo es un cluster = un sector
Los sectores pueden estar marcados
como defectuosos y no ser usados.
![Page 36: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/36.jpg)
Espacio Slack
1. Fichero ocupa: 768Bytes
2. Un cluster son 4 sectores
3. El sector 2 es ocupado parcialmente y dependiendo del SO
puede sobrescribirse o no el espacio libre
4. El resto de sectores no se sobrescribe quedando datos no
eliminados
![Page 37: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/37.jpg)
Busqueda en «slack space»
![Page 38: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/38.jpg)
Busqueda en «slack space»
![Page 39: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/39.jpg)
Camila
![Page 40: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/40.jpg)
¿LockNote?
Se obtienen las credenciales de imgsrc.ru
(ya obtenidas)
![Page 41: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/41.jpg)
TrueCrypt
La contraseña esta cacheada en memoria
y no es necesaria
Aunque haciendo pruebas, se puede
averiguar que es «Scarface»
![Page 42: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/42.jpg)
Línea temporal 19/12/2009 – 21:06:15 21:08:52
Obtención de datos High School Music
19/12/2009 – 21:16:04 21:20:44
Conversación MSN con Natalia
19/12/2009 – 21:35:14
Se suben imagen de Natalia«luna.jpg» a imgsrc.ru
19/12/2009 – 23:04:07 – 23:13:54
Conversación MSN con Camila
19/12/2009 – 23:38:41
Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru
20/12/2009 – 2:59:43
Archivos copiados a volumen cifrado TrueCrypt
![Page 43: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/43.jpg)
¿PREGUNTAS?
![Page 44: Un caso de Forense: Delito de pederastia en Windows](https://reader034.vdocuments.net/reader034/viewer/2022052215/5588a352d8b42af6568b4572/html5/thumbnails/44.jpg)
Gracias
Alejandro Ramos
www.securitybydefault.com