Abdelkader Rueda, Yamila

Anlisis forense con autopsy

El anlisis forense digital permite la identificacin y descubrimiento de informacin relevante en

fuentes de datos como imgenes de discos duros, memorias USB, capturas de trfico de red, o volcados
de memoria de computadoras. Hace algunas semanas estuvimos analizando en qu consiste el anlisis
forense de la informacin y hoy se aplicarn estas capacidades a travs de la suiteAutopsy.

The Sleuth Kit es un conjunto de herramientas open source para elanlisis de imgenes de discos.
Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se encuentra disponible
tambin para OS X y Windows. Adems, TSK cuenta con una interfaz grfica conocida como Autopsy
que agrupa todas sus herramientas y plugins, cuya versin para Windows se utilizar en este post.
Cuando se abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear un nuevo caso, o abrir
uno existente, donde un caso es la unidad lgica que contendr todo lo relacionado a la investigacin.
Por lo tanto, al crear un caso se ingresa informacin como su nombre y nmero y la persona que
examinar los datos. El siguiente paso consiste en asociar al caso uno o ms orgenes de datos, entre
los cuales se encuentran los discos fsicos conectados a la computadora de anlisis, o una imagen forense
que se ha adquirido previamente de la computadora a ser investigada, con cualquiera de
las herramientas que hemos visto en otros posts. Como ltimo paso para la creacin del caso, debe
configurarse los mdulos a utilizar para el anlisis, lo cual se observa en la siguiente imagen:

Estos mdulos son los que permitirn el descubrimiento de informacin relevante y se describen a
continuacin:

Recent Activity: extrae la actividad reciente que se ha realizado en la computadora bajo investigacin.
Esto incluye los documentos recientemente abiertos, dispositivos conectados, historial web, cookies,
descargas y marcadores, por ejemplo.
Hash Lookup: permite agregar bases de datos con valores de hash para archivos conocidos, como los
archivos del sistema operativo o de aplicaciones instaladas. As, puede ahorrarse mucho tiempo al
evitar realizar bsquedas en estos archivos conocidos.
Archive Extractor: permite recuperar archivos eliminados, basndose en los metadatos residuales que

Aula virtual Servidet 1 / 24

 Abdelkader Rueda, Yamila

quedan en el disco, as como tambin recuperar archivos en espacios no asignados en el disco,

mediante la deteccin de los encabezados de archivos.
Exif Image Parser: permite analizar la informacin disponible en el encabezado Exif de los archivos de
imagen JPEG que se encuentran en el disco. Esto provee informacin acerca de la cmara con que se
tom la imagen, fecha y hora o la geolocalizacin, entre otras cosas.
Keyword Search: puede definirse una lista de palabras clave o expresiones regulares a buscar en todo
el disco. Como se observa en la imagen anterior, Autopsy ya viene con una lista de expresiones
regulares incluidas para bsqueda de nmeros telefnicos, direcciones IP, direcciones de correo
electrnico y URL.

A partir de este momento comienza en forma automtica el anlisis con los mdulos seleccionados para la
imagen forense cargada en el caso. El progreso de cada etapa se muestra en la parte inferior derecha y
los resultados se van actualizando en la vista de rbol, como se observa en la siguiente imagen:

Se observa que Autopsy realiza la extraccin de contenido muy valioso para una investigacin, como el
historial web, bsquedas web realizadas o documentos recientemente abiertos, lo cual demorara
mucho tiempo y sera tedioso de realizar para el investigador en forma manual. Luego, en la siguiente
imagen se observa el historial web encontrado una vez que termina el proceso, para la imagen forense de
un disco de prueba:

Aula virtual Servidet 2 / 24

 Abdelkader Rueda, Yamila

En este caso se ha resaltado el ltimo resultado, el cual lleva a un archivo de mIRC con una lista de
canales a los que posiblemente se conectaba el usuario que est siendo investigado. Adicionalmente, el
sistema de archivos presente en la imagen forense puede ser recorrido de forma jerrquica, pudiendo
observar las particiones, as como tambin los sectores no asignados en el disco:

Aula virtual Servidet 3 / 24

 Abdelkader Rueda, Yamila

En la imagen anterior se observa que el sistema de archivos es de tipo NTFS, que el sistema
operativo aparenta ser Windows XP y que existe un usuario que se llama Mr. Evil. Luego, a partir de
simple inspeccin y del anlisis del registro de Windows, puede obtenerse informacin como lazona
horaria utilizada, el nombre bajo el cual fue registrado el sistema operativo, las aplicaciones
instaladas, los documentos del usuario a investigar o el ltimo usuario que inici sesin. Tambin se
observa que se ha recuperado de entre los archivos borrados la carpeta $Unalloc, que si bien en este
caso es irrelevante, permite ver la capacidad de obtener archivos borrados a partir de susmetadatos.
Tambin es importante destacar los sectores no asignados en el disco (vol1 y vol3) a los cuales Autopsy
permite aplicar la tcnica de carving para identificar archivos a partir de losencabezados ms
comunes.

Otra funcin muy interesante de Autopsy es aquella que agrupa los archivos en categoras, de tal
manera de poder ver rpidamente la cantidad de imgenes, audio o documentos presentes en el sistema
de archivos, clasificado por extensin:

Aula virtual Servidet 4 / 24

 Abdelkader Rueda, Yamila

Adicionalmente (aunque no se ve en la imagen anterior) Autopsy clasifica los archivos de acuerdo con su
ltima fecha de acceso o con su tamao, y permite el rpido acceso a los archivos eliminados.

Una tcnica fundamental en el anlisis de imgenes forenses es la bsqueda por palabras clave, dado
lo poco prctico que resultara para un investigador buscar pruebas de un delito inspeccionando archivo
por archivo. As, Autopsy permite definir un listado de palabras o expresiones a buscar en todos los
archivos y sectores del disco en anlisis, lo cual se observa en la siguiente imagen:

En este caso se ha definido una lista con tres palabras con el objetivo de encontrar evidencia que conecte
al individuo con un caso particular de hacking. Luego, el proceso de indexado realiza la bsqueda de
estas palabras construyendo un ndice y al finalizar el mismo es posible buscar en forma inmediata cada
una de estas palabras clave:

Aula virtual Servidet 5 / 24

 Abdelkader Rueda, Yamila

En la imagen se observa que hay 55 hits para la palabra crack y entre los resultados se encuentra una
herramienta para romper contraseas. Adems, se han encontrado 288 coincidencias para la palabra
illegal, lo cual puede develar informacin muy til en el caso de que se recuperenconversaciones,
correos electrnicos almacenados o cualquier otro tipo de archivo que conecte al sujeto investigado
con actividades ilegales.

Aula virtual Servidet 6 / 24

 Abdelkader Rueda, Yamila

Herramientas antiforenses

Este tipo de herramientas puede ser la pesadilla de un investigador de delitos informticos. Los
programadores disean las herramientas anti forenses para hacer difcil o casi imposible recuperar
informacin durante una investigacin. Esencialmente, las tcnicas anti forensics se refieren a cualquier
mtodo, artilugio o software designado para frustrar una investigacin informtica.

Hay docenas de maneras para que la gente oculte la informacin. Algunos programas pueden engaar a
los ordenadores cambiando la informacin en las cabeceras de los archivos. Una cabecera de archivo es
normalmente invisible a las personas, pero es extremadamente importante - le dice al ordenador a qu
tipo de fichero est asociado el archivo. Para poner un ejemplo, si renombras un archivo avi con una
extensin de fichero .JPG, el ordenador todava sabr que el archivo es realmente un avi por la
informacin en la cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera
para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algn tipo de archivo
en particular, pueden saltarse evidencias importantes porque pareca que no era relevante.

Otros programas pueden dividir archivos en pequeas secciones, y esconder cada seccin al final de
otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden
esconder archivos aprovechndose de este espacio libre. Es realmente complicado recuperar y volver a
unir toda esta informacin diseminada en partes.

Es tambin posible esconder un archivo en otro. Los ficheros ejecutables que son ficheros que el
ordenador reconoce como programas son particularmente problemticos. Programas llamados
empaquetadores pueden insertar estos ejecutables en otros tipos de archivos, mientras que hay otras
aplicaciones que pueden fundir mltiples ejecutables en uno solo.

La encriptacin es otro modo de ocultar los datos. Cuando encriptas datos, se usa un completo conjunto
de reglas llamado algoritmo para hacer los datos incomprensibles. Por ejemplo, un algoritmo de este tipo
puede hacer que un fichero de texto se convierta en un cmulo de nmeros y smbolos sin sentido. Una
persona que quiera leer los datos, necesitar una llave o clave para volver a convertir esos nmeros y
smbolos en texto leble de nuevo. Sin las claves de desencriptacin, los investigadores necesitarn
programas especiales designados para romper el algoritmo de encriptacin del archivo. Cuanto ms
sofisticado sea el algoritmo, mas tiempo se tardar en hacer la desencriptacin.

Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos. Estas
etiquetas o metadata, incluyen informacin como por ejemplo, cuando se creo un fichero o fue alterado.
Normalmente no puedes cambiar esta informacin, pero cierto software si permite alterar estas etiquetas.
Imagina que se descubre un fichero y descubrir que no va a existir hasta los prximos dos aos, y que fue
accedido por ltima vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace ms difcil que
se pueden utilizar como pruebas.

Algunas aplicaciones de ordenador borrarn datos su un usuario no autorizado intenta acceder al sistema.
Algunos programadores han examinado como funcionan los programas de informtica forense, y han
intentado crear otras aplicaciones que bloquean o atacan a esos mismos programas. Por este motivo, los
investigadores de evidencias informticas deben ir con cuidado para recuperar datos.

Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que los datos de
un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un archivo, cuando se accedi a el
por ltima vez, o incluso si a llegado a existir, como se puede justificar en un juicio que es una evidencia
o prueba? Mientras que esta pregunta es complicada, muchos pases aceptan evidencias informticas en
juicios, aunque los estndares cambian de un pas a otro.

Aula virtual Servidet 7 / 24

 Abdelkader Rueda, Yamila

Aula virtual Servidet 8 / 24

 Abdelkader Rueda, Yamila

Uso antiforense

Descargar el programa Xiao Steganography el cual permite ocultar y encriptar archivos dentro de
una imagen o de un archivo de sonido (eso s, con extensin .bmp o .wav). El procedimiento es tan
sencillo como elegir qu imagen o audio queremos usar como contenedor de lo que vamos a ocultar
(concepto conocido como portador), elegir qu archivo queremos ocultar, elegir el tipo de cifrado que
queremos usar y qu contrasea. Una vez hecho eso, tan slo queda guardarlo y enviarle el archivo que
se ha creado usando este programa a la persona con la cul queremos establecer una comunicacin
secreta.

Descargar el programa Aqu

Manual de uso

1-. Ejecuta la instalacin y abre el programa Xiao Steganography

2-.Presiona el botn Add Files

3-. Aparecer una pantalla que en espaol dice: Paso 1: Elegir el archivo de destino
Presiona Load Target File y elige una imagen de mapa de bits o bien un sonido .wav >Haz clic en
Next

4-. En pantalla vers un cuadro donde hay que agregar los archivos a la imagen. En la parte superior se
muestra el espacio disponible para los archivos, mientras sea de mejor calidad y ms pesada mejor.

5-. Haciendo clic en Next observamos la pgina de encriptacin, aqu puede aadirse una contrasea a
los archivos de la foto. Clic en Next.

6-. Ahora hay que darle un nombre a la nueva fotoy listo.

-Si revisas las propiedades de las dos imgenes, vers que tienen el mismo peso.

Extraer los archivos

1-. Se inicia el programa y se elige la opcin Extract files

2-. Elegimos la imagen que contiene el/los archivos. Clic en Next

3-. Tenemos los archivos en pantalla, los seleccionamos y hacemos clic en Extract files

Aula virtual Servidet 9 / 24

 Abdelkader Rueda, Yamila

Registro de windows

El registro de Windows es una estructura organizada de forma jerarquica que centraliza el

almacenamiento de los datos de configuracion para el sistema, los usuarios, las aplicaciones y el
hardware.

El registro esta formado por cinco claves maestras de las cuales solo HKLM y HKU son almacenadas
fisicamente, el resto se crean a traves de referencias a estas:

HKEY_CLASSES_ROOT (HKCR): Contiene informacion acerca de la asociacion por tipos de archivo y el

registro de las clases que representan componentes COM a traves del CLSID (Class Identifier). Esta clave
se deriva de la fusion de HKLMSOFTWAREClasses y HKCUSOFTWAREClasses lo que permite tener la
asociacion de los archivos y el registro de COM por defecto y por usuario.

HKEY_CURRENT_USER (HKCU): Almacena informacion acerca de la configuracion del usuario con una
sesion activa.

HKEY_LOCAL_MACHINE (HKLM): Almacena informacion relativa a la configuracion del equipo que se

aplicara por defecto a todos los usuarios del sistema. Se divide en cinco subclaves:

SOFTWARE: Contiene informacion de configuracion acerca de las aplicaciones instaladas en el sistema

bajo la estructura FabricanteAplicacionVersion.

1 SECURITY: Almacena las politicas de seguridad para cada cuenta de usuario y la base de datos local de
usuarios SAM (Security Account Manager) el numero del Control- Set activo.

SAM: Contiene informacion acerca de los usuarios y grupos locales del sistema. Existen listas de control
de acceso (ACLs) que evitan que el administrador explore esta clave junto con la clave
3 SECURITY por lo que para ver su contenido es necesario ejecutar regedit bajo la cuenta Lo cal System
Account. Para ello puede utilizarse el comando de consola at y programar la ejecucion del regedit para un
instante cercano:"at 17:30 /interactive regedit". Otra opcion seria utilizar el comando psexec del conjunto
de utilidades PsTools de SysInternals:"psexec -s -i regedit"

4 HARDWARE: Almacena informacion acerca de hardware que se ha detectado durante el arranque. Esta
clave permanece siempre en memoria y no se almacena fisicamente en disco.

5 SYSTEM: Contiene los Control Sets que definen la configuracion de los servicios y controladores del
sistema. Existen ControlSets alternativos con las ultimas configuraciones estables conocidas y solo habra
un ControlSet activo en cada momento (HKLMSYSTEMCurrentControlSet).

En la clave HKLMSYSTEMS

HKEY_USERS (HKU): Contiene subclaves para cada cuenta de usuario predefinida de windows y para
cada usuario que haya iniciado una sesion primaria o secundaria en el sistema. Estas subclaves se
identifican con el SID (Security Identifier) de la cuenta y almacenan la informacion relativa a la
configuracion especifica de la misma.

El registro de Windows puedes ser analizado sin problema en un sistema vivo, a tiempo real, para esta
labor tenemos varios procesos como la extraccion de datos, la exportacion de claves para su posterior
analisis y la comparacion de ficheros.

PERO, DONDE ESTA LA INFORMACION ?

LOS MRU. (Most Recent Used)

Aula virtual Servidet 10 / 24

 Abdelkader Rueda, Yamila

Los MRU, son datos de los elementos recientemente usados, pudiendo ser archivos programas, recursos,
etc, para ellos debemos conocer algunas ubicaciones donde podremos encontrar esta informacion, por
esta razon ponemos a continuacion un listado de ubicaciones mas comunes de estos MRU, no queriendo
decir que sean las unicas:

Most Recent Used & MRU

HKEY_CURRENT_USER

SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

Programas ejecutados por la opcion ejecuta de inicio o el box ejecutar.

HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

PAth digitados en internet explorer. HKEY_CURRENT_USER SoftwareMicrosoftInternet

ExplorerTypedURLs

Otra fuentes de MRU reflejados a programas y archivos abiertos HKEY_CURRENT_USER

SoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Open SaveMRU

Busquedas realizadas en windows HKEY_CURRENT_USER SoftwareMicrosoftSearch AssistantACMru

Otras Ubicaciones.

Common

Regedit - Last accessed key

SoftwareMicrosoftWindowsCurrentVersionAppletsRegedit

Regedit - Favorites

SoftwareMicrosoftWindowsCurrentVersionAppletsRegeditFavorites

MSPaint - Recent Files

Wordpad - Recent Files

SoftwareMicrosoftWindowsCurrentVersionAppletsWordpadRecent File List

Common Dialog - Open

SoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVis itedMRU

Common Dialog - Save As

SoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenS aveMRU

WMP8 XP - Recent Files

SoftwareMicrosoftMediaPlayerPlayerRecentFileList

WMP 8 XP - Recent URLs

SoftwareMicrosoftMediaPlayerPlayerRecentURLList

OE6 Stationery list 1 - New Mail

Aula virtual Servidet 11 / 24

 Abdelkader Rueda, Yamila

Identities{C19958F2-22F3-4C6A-9AE0- 12049CE0706F}SoftwareMicrosoftOutlook Express5.0Recent

Stationery List (ID=example)

OE 6 Stationery list 2 - New Mail

Identities{C19958F2-22F3-4C6A-9AE0- 12049CE0706F}SoftwareMicrosoftOutlook Express5.0Recent

Stationery Wide List (ID=example)

Map Network Drives

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionEx plorerMap Network Drive MRU

Microsoft Office

Winword - Open

SoftwareMicrosoftOffice9.0CommonOpen FindMicrosoft WordSettingsOpenFile Name MRU

Winword - Save As

SoftwareMicrosoftOffice9.0CommonOpen FindMicrosoft WordSettingsSave AsFile Name MRU

Winword - Recent Files

SoftwareMicrosoftOffice9.0WordData

Excel - Open

SoftwareMicrosoftOffice9.0CommonOpen FindMicrosoft ExcelSettingsOpenFile Name MRU

Excel - Save As

SoftwareMicrosoftOffice9.0CommonOpen FindMicrosoft ExcelSettingsSave AsFile Name MRU

Excel - Recent Files

SoftwareMicrosoftOffice9.0ExcelRecent Files

Frontpage - Open

SoftwareMicrosoftOffice9.0CommonOpen FindMicrosoft FrontPageSettingsOpen FileFile Name MRU

Frontpage - Save As

SoftwareMicrosoftOffice9.0CommonOpen FindMicrosoft FrontPageSettingsSave AsFile Name MRU

Frontpage - Recent lists

SoftwareMicrosoftFrontPageExplorerFrontPage ExplorerRecent File List

Internet Explorer

Recently Entered Addresses

USERNAMEsoftwaremicrosoftinternet explorertypedurls

Last Directory Saved To

Aula virtual Servidet 12 / 24

 Abdelkader Rueda, Yamila

Aula virtual Servidet 13 / 24

 Abdelkader Rueda, Yamila

Algunas herramientas

ADQUISICIN Y ANLISIS DE LA MEMORIA

Set de utilidades que permite la adquisicin de la memoria ram para posteriormente hacer un anlisis
con ella.

pd Proccess Dumper - Convierte un proceso de la memoria a fichero.

FTK Imager - Permite entre otras cosas adquirir la memoria.
DumpIt - Realiza volcados de memoria a fichero.
Responder CE - Captura la memoria y permite analizarla.
Volatility - Analiza procesos y extrae informacin util para el analista.
RedLine - Captura la memoria y permite analizarla. Dispone de entrono grfico.
Memorize - Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imgenes de disco o virtualizar unidades de forma que se tenga acceso al sistema
de ficheros para posteriormente analizarla.

ImDisk - Controlador de disco virtual.

raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos
de Windows .
LiveView - Utilidad en java que crea una mquina virtual de VMware partiendo de una imagen de disco.
MountImagePro - Permite montar imgenes de discos locales en Windows asignando una letra de unidad

CARVING Y HERRAMIENTAS DE DISCO

Recuperacin de datos perdidos, borrados, bsqueda de patrones y ficheros con contenido determinado
como por ejemplo imgenes, vdeos. Recuperacin de particiones y tratamiento de estructuras de discos.

PhotoRec - Muy til, permite la recuperacin de imgenes y vdeo.

Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a
recuperar.
RecoverRS - Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una
imgen de disco.
NTFS Recovery - Permite recuperar datos y discos an habiendo formateado el disco.
Recuva - Utilidad para la recuperacin de ficheros borrados.
Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos
los parmetros RAID.
CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.
Restoration - Utilidad para la recuperacin de ficheros borrados.
Rstudio - Recuperacin de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT,
HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2
(FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
Freerecover - Utilidad para la recuperacin de ficheros borrados.

Aula virtual Servidet 14 / 24

 Abdelkader Rueda, Yamila

DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola),
DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230
aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.
Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el anlisis de datos y ficheros esenciales en la bsqueda de un incidente.

analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT

MFT Extractor- Otra utilidad para la extraccin de la MFT
INDXParse - Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT
MFT_Parser - Extrae y analiza la MFT
Prefetch Parser - Extrae y analiza el directorio prefetch
Winprefectchview - Extrae y analiza el directorio prefetch
Fileassassin - Desbloquea ficheros bloqueados por los programas

ANLISIS DE MALWARE

PDF Tools de Didier Stevens.

PDFStreamDumper - Esta es una herramienta gratuita para el anlisis PDFs maliciosos.
SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer - Muestra informacin de los procesos.
Captura BAT - Permite la monitorizacin de la actividad del sistema o de un ejecutable.
Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos
Bintext - Extrae el formato ASCII de un ejecutable o fichero.
LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos
ejecutados.
Firebug - Analisis de aplicaciones web.
IDA Pro - Depurador de aplicaciones.
OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propsito es la deteccin de
exploits
OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en
Office.
Radare - Framework para el uso de ingeniera inversa.
FileInsight - Framework para el uso de ingeniera inversa.
Volatility Framework con los plugins malfind2 y apihooks.
shellcode2exe - Conversor de shellcodes en binarios.

FRAMEWORKS

Conjunto estandarizado de conceptos, prcticas y criterios en base a el anlisis forense de un caso.

PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
Log2timeline - Es un marco para la creacin automtica de un super lnea de tiempo.
Plaso - Evolucin de Log2timeline. Framework para la creacin automtica de un super lnea de tiempo.
DFF - Framework con entorno grfico para el anlisis.

Aula virtual Servidet 15 / 24

 Abdelkader Rueda, Yamila

SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.

Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy til.

ANLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, informacin del sistema,
direcciones IP, informacin de aplicaciones.

RegRipper - Es una aplicacin para la extraccin, la correlacin, y mostrar la informacin del registro.
WRR - Permite obtener de forma grfica datos del sistema, usuarios y aplicaciones partiendo del registro.
Shellbag Forensics Anlisis de los shellbag de windows.
Registry Decoder - Extrae y realiza correlacin aun estando encendida la mquina datos del registro.

HERRAMIENTAS DE RED

Todo lo relacionado con el trfico de red, en busca de patrones anmalos, malware, conexiones
sospechosas, identificacin de ataques, etc.

WireShark - Herramienta para la captura y anlisis de paquetes de red.

NetworkMiner - Herramienta forense para el descubrimiento de informacin de red.
Netwitness Investigator - Herramienta forense. La versin 'free edition' est limitado a 1GB de trfico.
Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisicin y anlisis de la red.
Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisicin en tiempo real). Es capaz de
extraer todos los correos electrnicos que llevan los protocolos POP y SMTP, y todo el contenido
realizado por el protocolo HTTP.
Snort - Detector de intrusos. Permite la captura de paquetes y su anlisis.
Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y
aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea fsica, virtual
o en la nube.
AlientVault - Al igual que Splunk recolecta los datos y logs aplicndoles una capa de inteligencia para la
deteccin de anomalas, intrusiones o fallos en la poltica de seguridad.

Aula virtual Servidet 16 / 24

 Abdelkader Rueda, Yamila

Metadatos

Los metadatos han cobrado gran relevancia en el mundo de Internet, por la necesidad de utilizar los
metadatos para la clasificacin de la enorme cantidad de datos. Adems de la clasificacin los metadatos
pueden ayudar en las bsquedas. Por ejemplo, si buscamos un artculo sobre vehculos, este dato tendr
sus correspondiente metadatos clave adjuntos, como 4 ruedas, motor, etc.

Otros ejemplos de usos de metadatos en la informtica:

Metatags en HTML: etiquetas con informacin sobre el propio documento web: autor,
editor, codificacin, etc.
Informacin en el propio sistema de ficheros: HFS o ReiserFS, por nombrar dos. Se ven completados
por los buscadores inteligentes (Beagle o Spotlight) que saben reconocer estos metadatos.
Clasificaciones de fotos: F-Spot, Picasa o iPhoto, por ejemplo.
Clasificadores de canciones: contienen metadatos sobre las canciones, bien en MP3 o en CD de audio,
en un formato llamado ID3. Por ejemplo: iTunes yRhythmbox.

La herramienta foca forense es la herramienta que vamos a utilizar para ver,metadatos.

Actualmente hay dos versiones de FOCA, una completamente gratuita y otra de pago, la cual incorporar
otras funciones muy necesarias en los tests de penetracin. Nosotros veremos las funciones ms
importantes de la versin gratuita.

Extraccin de metadatos
La funcin principal y ms conocida de FOCA es la extraccin de metadatos. Para extraer los
metadatos de los archivos que queramos tenemos dos formas: tenindolos guardados en nuestro
ordenador o usando FOCA para obtenerlos. Si tenemos los archivos que queremos analizar en nuestro
ordenador, simplemente los arrastramos a FOCA para trabajar con ellos directamente. Si queremos
obtener todos los archivos que una empresa tiene en internet, FOCA nos ofrece la posibilidad de
descargarlos todos juntos. Para empezar la descarga de archivos, vamos a la pestaa Project y
seleccionamos New Project. Introducimos el nombre de nuestro proyecto y el dominio de la web de la
que queremos extraer los archivos, en nuestro haremos la prueba de extraccin de metadatos de la
pgina oficial de la Casa Blanca, whitehouse.gov. Una vez introducido esto, le damos a crear proyecto.

Aula virtual Servidet 17 / 24

 Abdelkader Rueda, Yamila

A la izquierda seleccionamos la opcin metadatos y nos mostrar una serie de opciones a la derecha.
Las primeras son los buscadores, es decir, con qu buscadores quieres que se analicen los archivos de
tu dominio. sta es la mejor bsqueda y la ms exhaustiva, y por tanto la que ms tiempo tardar. Las
siguientes opciones que nos dar es la extensin de los archivos, pudiendo buscar un solo tipo de archivo
o todos los que FOCA nos ofrece, en nuestro caso marcaremos todos.

Una vez seleccionada nuestra configuracin, le damos al botn Search All y comenzar nuestra
bsqueda. Al finalizar, obtenemos 1051 archivos de la Casa Blanca, solo con dos de los tres

Aula virtual Servidet 18 / 24

 Abdelkader Rueda, Yamila

navegadores disponibles.

Haciendo clic derecho en cualquiera de ellos y seleccionando Dowload All se comenzarn a descargar
todos los archivos, dependiendo del nmero de archivos que tengamos, tardar ms o menos. Nosotros
para esta prueba hemos descargado 751 de los 1051 encontrados, pero es conveniente descargarlos
todos.

Una vez descargados los archivos volvemos a hacer clic derecho en cualquiera de ellos y seleccionamos

Aula virtual Servidet 19 / 24

 Abdelkader Rueda, Yamila

Extract All Metadata para que FOCA comience el anlisis. En la parte de la izquierda del programa,
debajo del apartado Metadata, aparecen dos subapartados: Documents y Metadata Summary.
Mientras que FOCA analiza los documentos, en el apartado Documents irn clasificndose todos los
archivos descargados por su extensin. En la parte de Metadata Summary, irn apareciendo los
metadatos obtenidos, nombres de usuarios, impresoras, software, e-mail, sistemas operativos, etc. En
nuestro caso tenemos la informacin de los 751 archivos analizados.

Si hacemos ahora clic derecho donde dice Metadata nos aparecen varias opciones, una de ellas es
Export, la cual exportar todos los datos obtenidos a un documento. Si le damos a la ltima opcin
Analyze, FOCA comenzar a analizar todos los metadatos obtenidos, creando as un mapa de red
con todos ellos, que encontraremos en el apartado Network. En nuestro caso obtenemos 167 clientes y
3 servidores, obteniendo as un mapa de red con todos ellos.

Aula virtual Servidet 20 / 24

 Abdelkader Rueda, Yamila

Con esto obtenemos un mapa de red completamente estructurado, conociendo al detalle los usuarios y
los servidores que lo forman. De esta manera y mediante el uso de FOCA se puede llegar a obtener toda
esta informacin que podr servir para realizar un futuro ataque, o simplemente, para probar el nivel
de Seguridad de cualquier empresa.

DNS Cach Snooping

FOCA tambin tiene incorporado un mdulo de DNS Cach Snooping que permite conocer el hbito de
navegacin y las pginas visitadas de los usuarios del servidor DNS de una determinada empresa
mediante un anlisis de las resoluciones de nombres almacenadas en la cach de dicho servidor.

Para esto tenemos que tener una buena lista de URLs para probar con ellas y as saber todas las pginas
a las que se han conectado para poder realizar, en algunos casos, ataque de MITM o Spam. Es posible
que en un servidor DNS la cach se actualice en un tiempo determinado, es decir, que cuando pase
dicho periodo de tiempo se borre la cach del servidor, en ese caso, FOCA ofrece la posibilidad de
tener un seguimiento y hacer snoop cada cierto tiempo, para poder conseguir de sta manera sus
hbitos de navegacin.

Para realizar un DNS Cach Snooping nos dirigimos en la seccin superior a la ventana Tools y
seleccionamos la nica opcin que nos dan (al ser la versin gratuita solo tenemos la opcin de DNS
Snooping). Para empezar hay que introducir un dominio en el campo Domain y pulsar el botn Obtain
DNS Server y te dar en la parte de abajo los servidores DNS del dominio introducido. Para poder
comenzar hay que pulsar primero el botn Load file y abrir un archivo donde tengamos un listado de
URLs para consultar y comparar con la cach del servidor. Seleccionamos un servidor DNS de los que
hemos encontrado. Una vez configurado todo le damos al botn Snoop y nos dar finalmente las URLs
que tengamos en el archivo y que a la vez estn en el servidor DNS. En este caso vemos como desde el
dominio renfe.es se accede a una pgina web de citas, a facebook, twitter y distintos bancos.

Aula virtual Servidet 21 / 24

 Abdelkader Rueda, Yamila

Aula virtual Servidet 22 / 24

 Abdelkader Rueda, Yamila

Tarea antiforense

Meter una imagen en un documento y enviarlo

Aula virtual Servidet 23 / 24

 Abdelkader Rueda, Yamila

Ejercicio foca modulo 5

Realizar anlisis de metadatos a este archivo,para descargar pulsar Aqu

Aula virtual Servidet 24 / 24