Está en la página 1de 40

AnliseForensecomTheSleuthKit&

Autopsy
AnlisisForenseconTheSleuthKit&Autopsy

AlonsoEduardoCaballeroQuezada
ConsultordeNPROSPerSAC
ConsultordeiDevConsultoresenTISAC
GIACSSPCNSA
BrainbenchComputerForensics(U.S.)

Pginaweb:http://www.ReYDeS.com
Correoelectrnico:ReYDeS@gmail.com
Trujillo,Per24deAbrildel2010

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Temario

*ComputerForensics?
*ElementosdeunbuenprocesoForense
*ProcesoForense
*Todoes0y1
*UnDiscoFlexible
*QuesTheSleuthKit?
*QuesAutopsy?
*Demostracin
*Preguntas,comentarios,sugerencias?

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ComputerForensics?

Esunaramadelacienciaforensepertinentealaevidencialegalencontradaen
computadorasymediosdealmacenamientodigitales.ElcmputoForensetambinse
conocecomoForenseDigital.

ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.El
trminoartefactodigitalpuedeincluirunsistemadecmputo,unmediode
almacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensaje
decorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoen
unareddecomputadoras.

Laexplicacinpuedesertansimplecomo
Quinformacinhayaqu?yqueseexplicacomo
Cualeslasecuenciadeeventosresponsables
delasituacinactual?
onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ElementosdeunbuenprocesoForense

*Validacincruzadadeloshallazgos

*Manejoadecuadodelaevidencia

*Completarlainvestigacin

*Administracindearchivos(Backups,Originales)

*Competenciatcnica

*Justificacinydefinicinexplcitadelproceso

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ProcesoForense

BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciade
DescubrimientoElectrnico.

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Todoes0y1

Lascapasdeunacomputadora

AplicacinSistemaOperativoBIOS(BasicInputOuputSystem)Hardware

TiposdeMedios

DiscoDuro(HardDisk)
DiscoFlexible(FloppyDisk)
CDROM
DVD
UnidadesFlashUSB

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

UndiscoFlexible(FloppyDisk)

Unapiezadeplsticocubiertadeferromagnetita,oMetalflexiblequerotabajouna
cabezaocabezaldeLectura/Escritura(Electromagneto)

Enlalecturaelmaterialferromagntico
magnetizadopasaporelarodealambrequeinduce
corrienteenelalambretalcomoseproducencambios
enladensidaddelflujo.

3,5''deDimetro

1440K=2880Bloques

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

UndiscoFlexible(FloppyDisk)[Continuacin]

Unatareatpicaybsicaesutilizarddpararealizarlacopiabitabitdeundisco
flexible.Lageometracomndeundisco
flexiblede3.5esde:

18Sectoresporpista
2cabezas
80cilindros

Copiandoundiscoflexiblede3.5

#ddbs=2x80x18bif=/dev/fd0of=/caso07/discoflexible.dd

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

OqueoSleuthKit?

TheSleuthKitesunacoleccindeherramientasenlneadecomandosparaanlisis
forensedearchivosyvolmenesdesistema.Lasherramientasdelsistemade
archivospermitenexaminarelSistemadeArchivosdeunacomputadorasospechosa
sincomprometerla.Debidoaquelasherramientasnoconfanenelsistemaoperativo
paraprocesarelSistemadeArchivos,semuestracontenidoborradouoculto.

Lasherramientasdevolumendelsistemapermitenqueseexamineladisposicinde
losdiscosuotrosmedios.TheSleuthKitsoportaparticionesDOS,BSD,Mac,Sun,
etc.Conestasherramientas,sepuedeidentificardondeestnubicadaslasparticiones
paraextraerlas,aspuedenseranalizadasconlasherramientasdeanlisis
delSistemadeArchivos.

Cuandoserealizaunanlisiscompletodeunsistema,conocer
todasestasherramientasenlneadecomandopuederesultar

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

QuesAutopsyForensicsBrowser?

AutopsyForensicsBrowseresunainterfazgrficadelasherramientasdeanlisisen
lneadecomandopararealizarinvestigacindigitalincluidasenTheSleuthKit.Juntas
puedenanalizardiscosysistemasdearchivos(NTFS,FAT,Ext2/Ext3,etc.)

TheSleuthKityAutopsysonOpenSourceyseejecutanenplataformasUnix(Se
puedeutilizartambinCygwinapraejecutarambosenentornosWindows).Como
AutopsyestbasadaenHTML,sepuede
conectaralservidorAutopsydesde
cualquierplataformautilizandoun
navegadorweb.Autopsyproporciona
unManejadordeArchivoscomo
interfazymuestradetallessobredatos
eliminadosyestructurasdelsistema
dearchivos.

onsoEduardoCaballeroQuezada/ReYDeS

10

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Demostracin:Scan24/http://old.honeynet.org/scans/scan24/

Sumisinesanalizarundiscoflexiblerecuperadoyresponderlaspreguntas
formuladas.Senecesitaleerelreporteantesdecontinuarelreto.Comouna
investigacindelmundorealsenecesitateneralgunainformacinadicionalyalguna
evidencia,peroeslapersonaysusconocimientoslosquerespondernlaspreguntas.

NombredelArchivo:image.zip
HashMD5delArchivo:b676147f63923e1f428131d59b1d6a72

Preguntas:
QuineselproveedordemarihuanadeJoeJacobsycualesladireccinlistadadel
proveedor?
Qudatocrucialestdisponibledentrodecoverpage.jpgyporqueeldatoescrucial?
Qu(sihay)otrasescuelasvecinasaSnithHillJoeJacobsfrecuenta?
11
Paracadaarchivo,queprocesoshizoelsospechosoparaenmascarardeotros.
onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Demostracin

Descargadelarchivoimage.zip
VerificacindesuhashMD5.

Descomprimirelarchivocon:#unzipimage.zip
Elarchivoresultantees:image

onsoEduardoCaballeroQuezada/ReYDeS

12

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Demostracin

LaversinmsrecientedeTheSleuthKitesla3.1.1
YlaversinmsrecientedeAutopsyesla2.24

onsoEduardoCaballeroQuezada/ReYDeS

13

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

IniciandoAutopsy

onsoEduardoCaballeroQuezada/ReYDeS

14

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Creacindelcaso
CreatingCase:FLISOL2010
Casedirectory(/media/hda3/EvidenciaCasos/FLISOL2010/)created
Configurationfile(/media/hda3/EvidenciaCasos/FLISOL2010/case.aut)created
Wemustnowcreateahostforthiscase.

onsoEduardoCaballeroQuezada/ReYDeS

15

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

CreacindelHost
Addinghost:DiscoFlexibletocaseFLISOL2010
HostDirectory(/media/hda3/EvidenciaCasos/FLISOL2010/DiscoFlexible/)created
Configurationfile(/media/hda3/EvidenciaCasos/FLISOL2010/DiscoFlexible/host.aut)
created.Wemustnowimportanimagefileforthishost

onsoEduardoCaballeroQuezada/ReYDeS

16

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Aadiendounaimagen(I)

Seindicadondeestubicadoelarchivoimageaanalizar

onsoEduardoCaballeroQuezada/ReYDeS

17

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Aadiendounaimagen(II)

Losdiscosflexiblesdemaneratpicasonvolmenessimples,sinembargoel
investigadorpuedeseleccionarmanualmenteVolumeImageconunVolumeSystem
TypedeDOS.

onsoEduardoCaballeroQuezada/ReYDeS

18

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

DetallesdelArchivodeimagen

CalculatingMD5(thiscouldtakeawhile)
CurrentMD5:AC3F7B85816165957CD4867E62CF452B
Testingpartitions|Linkingimage(s)intoevidencelocke|ImagefileaddedwithIDimg1
Volumeimage(0to0fat12A:)addedwithIDvol1

onsoEduardoCaballeroQuezada/ReYDeS

19

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Iniciodelanlisis

Esmomentodeiniciarelanlisis

onsoEduardoCaballeroQuezada/ReYDeS

20

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Creacindelosndicesdebsqueda

Antesdelproceso

onsoEduardoCaballeroQuezada/ReYDeS

21

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Creacindelosndicesdebsqueda(II)

Despusdelproceso

onsoEduardoCaballeroQuezada/ReYDeS

22

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

AnlisisdeArchivos

Esnecesarioexaminarcadaunodelosarchivos.

onsoEduardoCaballeroQuezada/ReYDeS

23

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Archivocoverpage.jpgc(I)

AutopsynohareconocidoestearchivocomoJPEG.(FFD8)

onsoEduardoCaballeroQuezada/ReYDeS

24

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Archivocoverpage.jpgc(II)
VisualizandoMetaDatos
Sereportauntamaodelarchivode15585bytes,perosoloseasignaunsector(451)
de512bytes.Locualnoesconsistente.

onsoEduardoCaballeroQuezada/ReYDeS

25

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Archivocoverpage.jpgc(III)
SeprocedearealizarunabsquedadelafirmaJPEG(JFIF).Seencuentrauna
coincidenciaenelsector73.

onsoEduardoCaballeroQuezada/ReYDeS

26

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Archivocoverpage.jpgc(IV)
Senecesitan31sectoresparaalmacenar15585bytes.Peroestnasignados(36
sectores)del73hastael108.Perosolo31estnasociadosconelarchivo;comose
verificamsadelante;dadoquela104y105estnasignadosaotroarchivo.

onsoEduardoCaballeroQuezada/ReYDeS

27

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Archivocoverpage.jpgc(V)
ExportamoselcontenidoconlaopcinExportContents(vol1Sector73.jpeg)Y
obtenemoslasiguienteimagen:
Rangodesector
es

Estadodeasignac
in

032

Asignado

3372

SinAsignar

73108

Asignado

109

SinAsignar

Tambinesfactibleextraerlainformacinconelsiguientecomando:

#ddskip=73bs=512count=31if=/media/hda3/image.ddof=/media/hda3/coverpage.jp

Esmuyimportantetenerenconsideracinquecuandoseextraenlos36sectoresyse
visualizaloextradoconuneditorhexadecimalsepuedevereltextopw=goodtimes
28
eneldesplazamiento0x3d20.Estacontraseaseutilizarmsadelanteparaabrirotro

onsoEduardoCaballeroQuezada/ReYDeS

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoJimmyJungle.doc(I)
AutopsyloreconocecomounarchivoDoc,M$.

onsoEduardoCaballeroQuezada/ReYDeS

29

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoJimmyJungle.doc(II)
Seprocedeavisualizarlosmetadatos.
Elarchivotieneuntamaode20480porlotantosonnecesarios40sectores.

onsoEduardoCaballeroQuezada/ReYDeS

130

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoJimmyJungle.doc(III)

xtraemoselarchivotambincon:
#ddskip=33bs=512count=40if=/media/hda3/imageof=/media/hda3/jimmyjungle.doc

onsoEduardoCaballeroQuezada/ReYDeS

31

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoJimmyJungle.doc(IV)
Visualizandoelarchivo.Elarchivoaparentementefuecreadoel16/04/2002alas
08:30:00,modificadoel16/04/2002alas09:42:00.Obtenidodelosmetadatosdel
formatodearchivoDOC.

onsoEduardoCaballeroQuezada/ReYDeS

32

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoScheduledVisits.exe(I)
Visualizandoelarchivo.SereconocecomounarchivodeformatoZIP.

onsoEduardoCaballeroQuezada/ReYDeS

33

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoScheduledVisits.exe(II)
Visualizandolosmetadatosdelarchivo.Eltamaodelarchivoesde1000yrequiere
porlotantodossectoresasignados,el104y105.

onsoEduardoCaballeroQuezada/ReYDeS

34

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoScheduledVisits.exe(III)
Alextraerelarchivoporelprocedimientoyadescritosemuestraunmensajedeerror
dequeindicaqueelarchivonoestcompleto.

Sedeberecordarqueestnasignadolossectoresdesdeel73hastael108.Tambin
sedescubriquecuandoinicialmenteseextraenlosdatosdelaimagenJPGdesdeel
sector73hastael108seencuentraenelltimosectoreltextoScheduledVisits.xls.

onsoEduardoCaballeroQuezada/ReYDeS

35

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoScheduledVisits.exe(IV)

Conestaevidenciaentoncesresultaratilextraerlosdatosdesdeelsector104al108
yejecutarlaherramientaunzip.

#ddskip=104bs=512count=5if=/media/hda3/imageof=/media/hda3/scheduledvisits.exe

Alintentarextraerelarchivo
sepreguntaporlacontrasea.
Seutilizaentonceslacontrasea
obtenidadeelespaciode
holguradelarchivoJPG
pw=goodtimes'.

onsoEduardoCaballeroQuezada/ReYDeS

36

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

ArchivoScheduledVisits.exe(V)
Elarchivocontieneunalistadefechasynombresdecolegios.

onsoEduardoCaballeroQuezada/ReYDeS

37

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Respuestas:

espuestaaunpardepreguntas:

QuineselproveedordemarihuanadeJoeJacobsycualesladireccin
stadadelproveedor?

omoloindicaeldocumento'JimmyJungle.doc'recuperadoelproveedordeJoe
acobes:
mmyJungle
26JungleAve,Apt2,Jungle,NY11111

Qudatocrucialestdisponibledentrodecoverpage.jpgyporqueeldatoes
rucial?

onsoEduardoCaballeroQuezada/ReYDeS

38

AnlisisForenseconTheSleuthKit&AutopsyFLISOL2010

Preguntas,comentarios,sugerencias?

LosinvitocordialmenteadoscursosadictarseenlaciudaddeTrujillo:

CmputoForense

Sbado29&Domingo30
deMAYOdel2010

Hackingtico(2doGrupo)

Sbado7&Domingo8

onsoEduardoCaballeroQuezada/ReYDeS

39

MuchasGracias!

AlonsoEduardoCaballeroQuezada
ConsultordeNPROSPerSAC
ConsultordeiDevConsultoresenTISAC
GIACSSPCNSA
BrainbenchComputerForensics(U.S.)

Pginaweb:http://www.ReYDeS.com
Correoelectrnico:ReYDeS@gmail.com
Trujillo,Per24deAbrildel2010