Análisis Forense

Juan José Delgado

Análisis de las evidencias

Título de la asignatura
Profesor de la asignatura

1.Esquema de un análisis

2. Archivos de interés en…

• Windows
• Linux
• MacOS

Tema a tratar o idea a destacar

Esquema de un análisis
El esquema planteado se correspondería con un esquema general que
podemos seguir siempre que realicemos un análisis forense.

El esquema se ha divido en dos fases distintas. Por un lado, la fase de

pre-análisis, en la cual preparamos la evidencia y la fase de análisis,
propiamente dicha, en la cual buscamos la información relevante para el
caso que estamos analizando.

No siempre tenemos que dar todos y cada uno de los pasos, es posible
que para algunos casos nos saltemos partes del esquema.
Ejemplo: Un trabajador ha sido despedido de su puesto de trabajo y antes de irse se
sospecha que ha robado información privada de la empresa.

Si el equipo del trabajador no tenía conexión a la red, ¿Por qué vamos a realizar un análisis
de los componentes de red? O, ¿Por qué vamos a realizar una verificación de firmas si lo que nos
interesa es demostrar la fuga de dicha información?

Análisis forense – Juan José Delgado

Esquema de un análisis

Análisis forense – Juan José Delgado

 FASE DE
PRE-ANÁLISIS

Análisis forense – Juan José Delgado

Fase de pre-análisis

Identificación de archivos y volúmenes cifrados

En este paso, nuestra labor consiste en descubrir los archivos y
volúmenes que pudieran encontrarse cifrados en el equipo.

Podemos hacer uso de programas como Encryption Analyzer, de la

empresa Passware, o también podemos realizar una búsqueda de
archivos cifrados conocidos, por sus cabeceras o sus extensiones.

Hay que tener en cuenta que no se van a poder descifrar todos los
tipos de cifrado existentes, por lo que en caso de encontrar un archivo que
no se pudiera descifrar y, por lo tanto, no se pudiera leer su contenido,
pasaríamos a anotar tal información en nuestro informe pericial con el fin
de que quede constancia de dicho extremo.

Análisis forense – Juan José Delgado

Fase de pre-análisis
Identificación de las máquinas virtuales
Para comenzar a identificar las posibles máquinas virtuales del equipo,
lo ideal es comenzar por las aplicaciones de virtualización instaladas.
Aunque, al igual que para la detección de archivos y volúmenes cifrados
podemos realizar una búsqueda por cabeceras.

En caso de encontrar una máquina virtual, procederemos a analizarla

como si de una máquina nueva se tratara.

Análisis forense – Juan José Delgado

Fase de pre-análisis

Recuperación de archivos borrados

Como hemos estudiado, cuando se elimina un archivo sigue siendo
posible la recuperación del mismo. Por recuperarlos, primeramente
intentaremos la recuperación de archivos marcados como borrados y
posteriormente realizaremos una recuperación en bruto.

En ambos pasos, haremos uso de programas de recuperación de

archivos como FTK Imager, R-Studio o Photorec, que automatizan la tarea.

Análisis forense – Juan José Delgado

Fase de pre-análisis

Hash de los archivos (Descartar/Señalar)

En este paso, lo que buscamos es filtrar los archivos que tenemos que
estudiar de manera que podamos descartar los archivos sin importancia o
señalar aquellos archivos que sabemos son de interés.

Para ello, podemos emplear programas como Sorter, incluido en la suite

forense Autopsy, o el propio AccessData FTK que permite importar distintas
Bases de Datos de hashes conocidos.

Junto con estos programas podemos hacer uso de las bases de datos
disponibles en fuentes como la National Software Reference Library
(http://www.nsrl.nist.gov/) para filtrar de forma rápida los archivos objeto del
análisis.

Análisis forense – Juan José Delgado

Fase de pre-análisis

Verificación de firmas
Al verificar las firmas de los archivos, lo que buscamos es comprobar
que realmente coincide la extensión de los mismo, con su contenido.

Algunas páginas web de donde podéis obtener listados de firmas de

archivo son:

• http://www.garykessler.net/library/file_sigs.html
• http://filesignatures.net/

Análisis forense – Juan José Delgado

FASE DE
ANÁLISIS

Análisis forense – Juan José Delgado

Fase de análisis

Búsqueda de palabras clave

En ocasiones nos podemos encontrar con análisis en los que es
necesario obtener documentos relacionados con determinadas
palabras.

Este tipo de búsquedas es muy similar a la que podemos realizar con

nuestro propio sistema operativo, con la diferencia de que también se busca
sobre los espacios libres de la evidencia y en el interior de los archivos.

Análisis forense – Juan José Delgado

Fase de análisis
Análisis del Sistema Operativo
Durante el análisis del sistema operativo tenemos que seguir una serie
de pasos, durante los cuales tenemos que intentar responder a las
siguientes preguntas:

1. Nombre y versión del sistema operativo, y actualizaciones.

2. Usuarios del sistema y sus privilegios.

3. Programas instalados.

4. Antivirus instalados y análisis de seguridad

5. Análisis de los archivos de registro del sistema operativo.

6. Hardware configurado en el sistema.

Análisis forense – Juan José Delgado

Fase de análisis

Análisis del Sistema Operativo

Con el análisis de estos apartados tendremos una idea general de lo
que se puede o no hacer con el equipo. Además de que gracias a los
archivos de registro analizados podremos obtener información sobre las
acciones realizadas sobre el equipo.

Por ejemplo, de los ficheros de eventos de un sistema Windows, podemos

obtener los encendidos y apagados del sistema, los archivos imprimidos (en
determinadas circunstancias), usuarios que se han creado y cuándo y cómo se
conectaron dichos usuarios al sistema, etc.

Análisis forense – Juan José Delgado

Fase de análisis
Análisis de los componentes de red
Al igual que durante el análisis del sistema operativo, durante el
análisis de los componentes de red tendremos que seguir una serie de
pasos e intentar responder a las siguientes preguntas:

1. Programas Peer to Peer (P2P), FTP u otros de compartición de

ficheros.
2. Correos electrónicos y mensajería instantánea.

3. Exploradores de Internet.

4. Otros programas con acceso a Internet.

Cuando analicemos los correos electrónicos, mensajería instantánea o cualquier otro programa que
pueda albergar comunicaciones privadas entre personas, debemos de tener cuidado de no
incurrir en un delito contra el secreto de las comunicaciones.

Análisis forense – Juan José Delgado

Archivos de interés
Archivos de interés en Windows

Análisis forense – Juan José Delgado

Archivos de interés

Archivos de interés en Windows

Análisis forense – Juan José Delgado

Archivos de interés
Archivos de interés en Linux
• La partición de intercambio «swap», o archivos de intercambio añadidos al
sistema (archivos con extensión «.swap»). Similar al archivo de paginación
en sistemas Windows.
• El archivo «/etc/sudoers», indica qué usuarios pueden ejecutar comandos
como administrador (mediante los comandos «su» o «sudo»).
• El archivo «.bash_history», el cual se encuentra en la carpeta del usuario y
almacena el historial de comandos ejecutados en la consola del equipo.
• La carpeta «/var/log/», contiene toda la lista de archivos logs del sistema
operativo. Podemos ver que se escribe en cada uno de estos archivos
leyendo el fichero de configuración «/etc/rsyslog.conf».
• La carpeta «/var/spool/cron/crontabs» en la cual se almacenan las tareas
programadas de cada uno de los usuarios del sistema.

Análisis forense – Juan José Delgado

Archivos de interés

Archivos de interés en Linux

Aquí teneis un ejemplo del archivo «/etc/sudoers»:

User_Alias OPERATORS = joe, mike, jude

Runas_Alias OP = root, operator
Host_Alias OFNET = 10.1.2.0/255.255.255.0
Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm

#Los usuarios del grupo OPERATORS pueden ejecutar cualquier comando en consola
OPERATORS ALL=ALL

#El usuario linus puede ejecutar cualquier comando en modo consola como si fuera un usuario del grupo OP
linus ALL=(OP) ALL

# El usuario user2 puede ejecutar cualquier comando, desde una máquina perteneciente a la red OFNET, como
cualquier usuario
user2 OFNET=(ALL) ALL

Análisis forense – Juan José Delgado

Archivos de interés

Archivos de interés en Linux

Aquí teneis otro ejemplo, esta vez del archivo «.bash_history»:

$ cd /
$ cd home
$ cd usuario
$ cd public_html
$ cd includes

#Conectando a un servidor MySQL indicando usuario y contraseña

$ mysql -uproduccion -p4gSg4ws -hlocalhost mydatabase

#Generando una copia de respaldo de la Base de Datos indicando usuario y contraseña

$ mysqldump -uproduccion -p4gSg4ws -hlocalhost mydatabase >>mydatabase.sql

#Intentando ejecutar el comando “su” indicando la contraseña de administrador

$ su - 354dr2

Análisis forense – Juan José Delgado

Archivos de interés
Archivos de interés en MacOS
• Carpeta «/private/var/vm». Contiene los archivos «sleepimage» y «swapfile»,
similares a los archivos de paginación e hibernación en sistemas Windows.
• Carpeta «/private/var/log». Contiene los logs del sistema operativo. También
es posible encontrar ficheros de log (archivos con extensión *.log) en otras
rutas, como la carpeta «/Users/[username]/Library/Logs» que contiene los
logs correspondientes al usuario.
• Carpetas «/Library/», «/Users/[username]/Library/» y «/System/Library/».
• Archivos con extension «*.plist». Son archivos en formato XML que
almacenan información similar a la contenida en el registro de un sistema
Windows.
• Carpetas «/private/var/db/shadow», «/Library/Keychains/» y
«/Network/Library/Keychains/». Contiene las contraseñas de acceso al
equipo y las guardadas por el usuario (redes Wifi, exploradores, etc.).

Análisis forense – Juan José Delgado

Archivos de interés
Archivos de interés en MacOS
Aquí teneis un ejemplo, de los logs de un sistema MacOS (10.8.4 en este caso):

Análisis forense – Juan José Delgado

Archivos de interés
Archivos de interés en MacOS
Aquí tenéis un ejemplo, del archivo «Bookmarks.plist» del navegador de Internet
Safari:

Análisis forense – Juan José Delgado

¿Alguna pregunta?
Análisis forense – Juan José Delgado
www.unir.net