Análisis Forense en Sistemas Linux PDF

Instalacin de Windows XP Professional con instalacin asistida Procedimientos forenses en sistemas Linux
Objetivos
En esta sesin aprender a:

Identificar los principios bsicos para usar procedimientos forenses en Linux Explicar cmo se busca evidencia en un sistema Linux Explicar el proceso de investigacin en un sistema operativo Linux
Ver. 1.0
Procedimientos forenses en sistemas Linux/Captulo 3
Diap. 1 de 18
Fundamentos esenciales de los procedimientos forenses en Linux
Linux
Es un poderoso Sistema operativo (SO) de cdigo abierto. Cuenta con muchas herramientas gratuitas usadas en investigaciones forenses de sistemas. Muchos servidores Web operan en la plataforma Linux.
Ver. 1.0
Diap. 2 de 18
Imagen de disco
Trmino utilizado para crear una copia exacta, bit por bit, del contenido de cualquier dispositivo de almacenamiento conectado a un equipo. Constituye un paso esencial antes de cualquier investigacin forense de datos almacenados. Las imgenes de disco estn conectadas al sistema del investigador como dispositivos de almacenamiento secundario. Las imgenes de disco son importantes en un tribunal federal y su integridad debe ser preservada.
Ver. 1.0
Diap. 3 de 18
Montaje
Operacin que sigue a la generacin de imgenes de disco. Es el proceso de conectar un dispositivo de almacenamiento con el software del sistema operativo. Se realiza para analizar las imgenes de disco en la investigacin. Las imgenes de disco de un sistema de archivos no compatible con el sistema operativo no pueden montarse.
Ver. 1.0
Diap. 4 de 18
Montaje (cont.)
Las siguientes utilidades de Linux ayudan a generar y evaluar imgenes de disco:

Herramienta List Open Files (lsof) Utilidad dd Herramienta find Utilidad mount Comando file Utilidad strings
Ver. 1.0
Diap. 5 de 18
Montaje (cont.) Herramienta lsof

Herramienta de diagnstico que muestra informacin sobre los archivos abiertos por los procesos. Se usa para enumerar los archivos que son usados por un proceso especfico mediante la generacin de un ID de proceso (PID). Ayuda a determinar si un archivo es un caballo de Troya mientras se analizan los procesos activos. Sintaxis del comando: lsof
lsof [ -p s] [-I [I] ]
Ver. 1.0
Diap. 6 de 18
Montaje (cont.) Utilidad dd

Se usa para copiar datos de un dispositivo de entrada especfico a un dispositivo de salida especfico. Copia datos de la secuencia de salida, 512 bytes de una sola vez, y escribe ese dato en la secuencia de salida. Se usa para copia de seguridad de datos, sobrescritura de archivos o dispositivos y generacin de imgenes de disco de dispositivos de almacenamiento completos. Sintaxis del comando: dd
dd if =<archivo de entrada> of = <archivo de salida>
Ver. 1.0
Diap. 7 de 18
Montaje (cont.) Herramienta find

la herramienta find busca archivos almacenados en el sistema. Los parmetros en los que se basa la bsqueda incluyen nombre, tamao, fecha, hora, nmero de inodo y permisos de acceso. Sintaxis del comando: find
find<directorio de inicio> -name <nombre de archivo que buscar>
Ver. 1.0
Diap. 8 de 18
Montaje (cont.) Utilidad mount

Se usa en el equipo del investigador para permitirle al sistema operativo acceder al dispositivo de almacenamiento. Sintaxis del comandomount:
mount o<opciones> <dispositivo que montar> <punto de montaje, donde se montar>
Opciones de seguridad que se pueden agregar al argumento o:

ro noexec nodev noatime
Ver. 1.0
Diap. 9 de 18
Montaje (cont.) Comando file

Ayuda a analizar los datos dentro de un archivo y muestra el tipo de archivo. Realiza el anlisis basado en las posiciones de algunos bytes dentro del archivo, que actan como huellas del mismo. Cuando mltiples bytes coinciden, file busca su propia base de datos y encuentra un tipo de archivo para ese archivo. Sintaxis del comando file:
file<nombre de archivo>
Ver. 1.0
Diap. 10 de 18
Montaje (cont.) Utilidad strings

Extrae datos de archivos que no son legibles o comprensibles. Extrae todas las cadenas de texto legibles de un archivo ejecutable. Sintaxis del comando strings:
strings <nombre de archivo>
Cuando se usa con grep, ayuda a encontrar un texto especfico:

strings <nombre de archivo> I grep texto que buscar
Ver. 1.0
Diap. 11 de 18
Recopilacin de evidencias en Linux
Asimilacin de datos importantes de varios archivos y programas del sistema de destino. Los siguientes archivos de Linux proveen pistas importantes acerca de un delito:
Archivos de contraseas Archivos de registros Archivos ocultos y archivos de historiales
Ver. 1.0
Diap. 12 de 18
Proceso de investigacin
El proceso inicial de investigacin incluye la generacin de imgenes y el montaje del dispositivo de almacenamiento. Las precauciones que deben tomarse mientras se montan las imgenes de disco son:
Debe garantizarse que las imgenes se monten con algunas opciones habilitadas. Durante el montaje, use el comando mount. Luego del montaje, recuerde desmontar las imgenes de disco con el comando umount. Las imgenes de disco deben almacenarse en CD ROM o en dispositivos de cinta especiales.
Ver. 1.0
Diap. 13 de 18
Proceso de investigacin (cont.)
Integridad de datos mediante el programa md5sum

El programa md5sum utiliza el algoritmo md5 para generar el hash de 128 bits de los datos alimentados al programa md5sum. El programa recibe su entrada desde el dispositivo de entrada predeterminado, tal como el teclado. Para mantener la integridad de las imgenes de disco:
Compare los hash md5 de las imgenes de disco con los hash md5 de los datos originales del equipo de destino.
Ver. 1.0
Diap. 14 de 18
Anlisis de sistemas de archivos
Anlisis de sistemas de archivos incluye:

Procedimientos forenses de inodo Anlisis de archivos de SUID y GUID Anlisis de los tiempos de Modificacin, acceso y creacin (MAC) Uso de la bsqueda de cadenas Anlisis del espacio sin asignar y de intercambio Recuperacin de archivos
Ver. 1.0
Diap. 15 de 18
Resumen En esta sesin aprendi:

Linux tiene muchas herramientas gratuitas que permiten la investigacin forense efectiva del equipo. Creacin de imagen es el trmino utilizado para crear una copia exacta, bit a bit, de los contenidos de cualquier dispositivo de almacenamiento conectado a un equipo. El montaje es el proceso de conexin de un dispositivo de almacenamiento al software del sistema operativo. Linux incluye diversas utilidades y herramientas que ayudan a crear y evaluar imgenes de disco. stas son:
La herramienta lsof La utilidad dd La herramienta find La utilidad mount El comando file La utilidad strings
Ver. 1.0
Diap. 16 de 18
Resumen (cont.)
Los archivos de contraseas almacenan informacin sobre usuarios que tienen cuentas en un sistema informtico. La mayora de las actividades forenses en un sistema Linux rotan alrededor de estos archivos de registro:
Archivos de registro del sistema Archivos de registro de procesos Archivos de registro de actividad del usuario
Adems de los registros, existen otros tipos de archivos que pueden ayudar a un investigador a rastrear un crimen. Estos archivos son:
Archivos y directorios escondidos Archivo de historial
El programa md5sum utiliza el algoritmo md5 para generar el hash de 128 bits de los datos alimentados al programa md5sum. Este programa se usa para mantener la integridad de los datos. Los nmeros de inodo pueden usarse con varios programas para proveer informacin en los archivos a los que se conectan los programas.
Ver. 1.0
Diap. 17 de 18
Resumen (cont.)
TCT, desarrollado por Dan Farmer, contiene las herramientas que usan directamente informacin de inodos.
ils icat
En Linux y otras variantes UNIX, las horas y fechas de archivo se almacenan en tres campos diferentes: hora de creacin, hora de ltimo acceso y hora de ltima escritura o modificacin. Los tiempos MAC se usan para detectar cambios en un sistema de destino. MAC_DADDY es una herramienta que se puede usar para el anlisis forense de tiempos MAC. El espacio no asignado y el espacio de intercambio en un equipo contiene informacin valiosa, tales como correo electrnico eliminado, archivos de imagen viejos y hasta datos de msica y video. La recuperacin de archivos es la tcnica de recuperacin de archivos eliminados.
Ver. 1.0
Diap. 18 de 18

Análisis Forense en Sistemas Linux PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Análisis Forense en Sistemas Linux PDF

Cargado por

Copyright:

Formatos disponibles

Instalacin de Windows XP Professional con instalacin asistida Procedimientos forenses en sistemas Linux

En esta sesin aprender a:

Procedimientos forenses en sistemas Linux/Captulo 3

Fundamentos esenciales de los procedimientos forenses en Linux

Procedimientos forenses en sistemas Linux/Captulo 3

Procedimientos forenses en sistemas Linux/Captulo 3

Procedimientos forenses en sistemas Linux/Captulo 3

Las siguientes utilidades de Linux ayudan a generar y evaluar imgenes de disco:

Procedimientos forenses en sistemas Linux/Captulo 3

Montaje (cont.) Herramienta lsof

Procedimientos forenses en sistemas Linux/Captulo 3

Montaje (cont.) Utilidad dd

Procedimientos forenses en sistemas Linux/Captulo 3

Montaje (cont.) Herramienta find

Procedimientos forenses en sistemas Linux/Captulo 3

Montaje (cont.) Utilidad mount

Opciones de seguridad que se pueden agregar al argumento o:

Procedimientos forenses en sistemas Linux/Captulo 3

Montaje (cont.) Comando file

Procedimientos forenses en sistemas Linux/Captulo 3

Montaje (cont.) Utilidad strings

Cuando se usa con grep, ayuda a encontrar un texto especfico:

Procedimientos forenses en sistemas Linux/Captulo 3

Recopilacin de evidencias en Linux

Procedimientos forenses en sistemas Linux/Captulo 3

Procedimientos forenses en sistemas Linux/Captulo 3

Proceso de investigacin (cont.)

Integridad de datos mediante el programa md5sum

Procedimientos forenses en sistemas Linux/Captulo 3

Anlisis de sistemas de archivos

Anlisis de sistemas de archivos incluye:

Procedimientos forenses en sistemas Linux/Captulo 3

Resumen En esta sesin aprendi:

Procedimientos forenses en sistemas Linux/Captulo 3

Procedimientos forenses en sistemas Linux/Captulo 3

Procedimientos forenses en sistemas Linux/Captulo 3

También podría gustarte