Documentos de Académico
Documentos de Profesional
Documentos de Cultura
The objective of this TFM is to study Forensic a personal computer that has been
the subject of a criminal process. For this specific step, ranging from the correlation
between laboratory information received and documented by experts who made
the gathering of evidence, through analysis of the hard drive, RAM and USB ports
to the presentation will be made expert report.
Similarly, analysis and evidence collection for the RAM, hard drive and USB ports
will.
To run the process previously mentioned, the tools are used more in line with each
of the instances, such as a virtualization tool like Oracle VM VirtualBox to create a
VM under Windows 7 operating system and there perform the analysis required for
the different images, a tool called FTK Imager for images of USB, Volatility for
RAM, AUTOPSY to the images on the hard disk and WRR to determine volume
users.
TABLA DE CONTENIDO
1. INTRODUCCIÓN..........................................................................................................................1
1.1 OBJETIVOS...................................................................................................................................1
1.2 PROCEDIMIENTO..........................................................................................................................2
1.3 HERRAMIENTAS............................................................................................................................3
1.4 PLANIFICACIÓN ETAPAS...............................................................................................................4
1.5 ESTADO DEL ARTE........................................................................................................................4
1.5.1 ¿Qué es la Informática Forense?...............................................................................................4
1.5.2 ¿Qué tan necesaria es la informática Forense?.........................................................................5
1.5.3 Historia Informática Forense.....................................................................................................5
1.5.4 Campo de acción y Herramientas Tecnológicas........................................................................6
2. PROPUESTA DE EXTREMOS............................................................................................................7
2.1 Determinación de Extremos.........................................................................................................7
2.2 Previsión Pruebas Técnicas..........................................................................................................7
3. ANÁLISIS IMAGEN RAM..................................................................................................................8
3.1 Validación de SHA1 y MD5...........................................................................................................8
3.2 Información de la Imagen...........................................................................................................10
3.3 Información de Procesos............................................................................................................10
3.4 Información de Servicios............................................................................................................11
3.5 Información de Conexiones........................................................................................................12
4. ANÁLISIS IMAGEN USB.................................................................................................................14
4.1 Validación de SHA1 y MD5.........................................................................................................14
4.2 Analizar Volúmenes USB............................................................................................................15
4.3 Verificar Tipos de Archivos USB..................................................................................................16
4.4 Verificar Archivos Borrados USB.................................................................................................19
5. ANÁLISIS IMAGEN DISCO DURO...................................................................................................20
5.1 Validación de SHA1 y MD5.........................................................................................................20
5.2 Analizar Volúmenes Disco Duro.................................................................................................21
5.3 Analizar archivos/documentos.............................................................................................22
5.4 Analizar usuarios registrados en la imagen..........................................................................24
5.5 Analizar Datos Básicos Sistema Operativo............................................................................26
5.6 Analizar contenido web........................................................................................................26
5.7 Verificar datos borrados.............................................................................................................29
5.8 Analizar Otros Archivos/Aplicativos......................................................................................30
6. INFORME PERICIAL...................................................................................................................33
6.1 Objeto........................................................................................................................................33
6.2 Antecedentes.............................................................................................................................33
6.3 Análisis.................................................................................................................................33
6.4 Conclusiones.........................................................................................................................42
7. ANEXOS....................................................................................................................................43
ANEXO A. Pendientes.ods................................................................................................................43
ANEXO B. whatsapp_castellano.db..................................................................................................44
ANEXO C. ListadoNumeraciones.zip.................................................................................................45
ANEXO D. TheJerm.rar.....................................................................................................................46
ANEXO E. Pedo.rar...........................................................................................................................47
ANEXO F. Playa.png..........................................................................................................................48
ANEXO G. Pwd2.txt.txt.....................................................................................................................49
8. CONCLUSIONES........................................................................................................................50
9. GLOSARIO.................................................................................................................................51
10. BIBLIOGRAFÍA, WEBGRAFÍA Y REFERENCIAS........................................................................55
TABLA DE IMÁGENES
Ilustración 1: Procedimiento..............................................................................................................2
Ilustración 2: Escritorio VMware........................................................................................................8
Ilustración 3: Verificar Drive/Image....................................................................................................9
Ilustración 4: HD5 y SHA1 Memoria...................................................................................................9
Ilustración 5: Resultado comando Imageinfo...................................................................................10
Ilustración 6: Resultado comando Pslist...........................................................................................10
Ilustración 7: Resultado comando svcscan.......................................................................................11
Ilustración 8: Resultado comando netscan......................................................................................13
Ilustración 9: Escritorio VMware USB...............................................................................................14
Ilustración 10: SHA y MD5 USB........................................................................................................14
Ilustración 11: Análisis volumen USB...............................................................................................15
Ilustración 12: Análisis volumen USB FTK Imager.............................................................................15
Ilustración 13: Vista tipos de archivo...............................................................................................16
Ilustración 14: Atributos Archivos Importantes................................................................................16
Ilustración 15: Vista archivos borrados USB.....................................................................................19
Ilustración 16: Cargar imagenes HD FTK Imager...............................................................................20
Ilustración 17: Comparativo hashes generados vs. hashes obtenidos.............................................20
Ilustración 18: Creación proyecto Autopsy......................................................................................21
Ilustración 19: Imagen del HD..........................................................................................................21
Ilustración 20: Composición volumen imagen.................................................................................21
Ilustración 21: Datos volumen Ann_HD...........................................................................................22
Ilustración 22: Archivos relevantes Ann_HD....................................................................................23
Ilustración 23: Vista usuarios Imagen HD.........................................................................................24
Ilustración 24: Usuarios sesión abierta Windows.............................................................................25
Ilustración 25: Datos Ann.................................................................................................................25
Ilustración 26: Datos Tom................................................................................................................25
Ilustración 27: Datos Sistema Operativo..........................................................................................26
Ilustración 28: Archivos Email..........................................................................................................27
Ilustración 29: Búsqueda Ann...........................................................................................................27
Ilustración 30: Descargas Web.........................................................................................................28
Ilustración 31: Descargas en Disco Usuario Ann...............................................................................28
Ilustración 32: Historial Web............................................................................................................28
Ilustración 33: Archivos borrados HD...............................................................................................29
Ilustración 34: Recuperación archivo eliminado..............................................................................29
Ilustración 35: Registros Email.........................................................................................................39
Ilustración 36: Búsquedas web.........................................................................................................40
Ilustración 37: Archivos descargados...............................................................................................40
Ilustración 38: Historial Web............................................................................................................41
Ilustración 39: Archivo Pendientes.ods............................................................................................43
Ilustración 40: Archivo whatsapp_castellano.db..............................................................................44
Ilustración 41: ListadoNumeraciones.zip..........................................................................................45
Ilustración 42: Archivo TheJerm.rar.................................................................................................46
Ilustración 43: Archivo Pedo.rar.......................................................................................................47
Ilustración 44: Archivo Playa.png.....................................................................................................48
Ilustración 45: Archivo Pwd2.txt.txt.................................................................................................49
1. INTRODUCCIÓN
Es por lo anterior que el motivo del presente Trabajo de Fin de Máster (TFM), es
enfocado a la realización de un Análisis Forense a un computador personal que ha
sido obtenido como evidencia en un proceso delictivo.
Para ejecutar éste trabajo, se debe efectuar un estudio con las herramientas
idóneas para el examen de cada una de las partes obtenidas como evidencia y las
cuales han llegado al laboratorio para su debido análisis.
1.1 OBJETIVOS
Obtener las evidencias digitales correctas que permitan llevar un caso bien
catalogado a Juicio.
Ejecutar las herramientas informáticas idóneas para el examen de cada uno
de los elementos encontrados.
Describir detalladamente el procedimiento realizado y los resultados
obtenidos.
1
1.2 PROCEDIMIENTO
1. Validación
de evidencia en
Custodia Correc
ta
Si
Documentar Evidencias
RAM
2. Análisis
memoria RAM
Documentar
Evidencias 3. Análisis dispositivo
dispositivo USB USB
Recuperar
4. Análisis Disco Duro datos
Documentar Evidencias borrados
Disco Duro D.D.
No
5. Informe Pericial
Completo
Si
FIN
Ilustración 1: Procedimiento
1. Validación de evidencias en custodia: durante éste proceso, se
revisará que toda la evidencia que se ha recibido en laboratorio concuerde
con la evidencia recolectada originalmente.
1.3 HERRAMIENTAS
Objetivos
- Preventivos: el funcionamiento principal en éste caso, es contener la
informática forense como parte del sistema de seguridad para anticiparse a
cualquier problema.
Finalidades
- Probatoria: se implementa para obtener pruebas que permitan el hallazgo
de la fuente, autor y circunstancias que ocasionan un incidente de
seguridad informática y con ello de ser necesario presentar dichas pruebas
ante un tribunal de justicia con finalidades legales.
- Auditoría: con ésta técnica se permite conocer la robustez del sistema
informático y con base en ello tomar todas las medidas correctivas si
visualiza algún hallazgo.
A través de los años, ésta rama del ámbito forense, ha conllevado a la creación de
algunas empresas o instituciones de gran prestigio a nivel internacional y que
tienen conocimiento en la materia, tal es el caso de Symantec, cuyo inicio se
remonta hacia 1988 con la idea de Michael Anderson, un especialista en el tema.
Hacia 1991 nace el CART (Computer Analysis and Response Team), quienes se
encargan de realizar análisis a dispositivos electrónicos/tecnológicos para generar
apoyo a investigaciones referentes a la informática forense.
Análisis de Memoria
2. PROPUESTA DE EXTREMOS
2.1 Determinación de Extremos
Los extremos que podría determinar un Juez en un informe pericial, son los
siguientes:
Las pruebas técnicas que se realizarán, serán las siguientes con base en cada
una de las imágenes:
RAM:
- Se comprobará que tanto el Sha1 y el Md5 de la imagen que se obtuvo de
la memoria, sean iguales a los recibidos en la entrega inicial. Lo anterior se
ejecutará con el aplicativo FTK Imager.
- Se realizará validación de información de imagen, para conocer de qué tipo
de sistema se extrajo la imagen.
- Se realizará un volcado de memoria para averiguar los procesos que se
estaban ejecutando. Herramienta: Volatility.
- Se validarán conexiones abiertas. Herramienta: Volatility.
- Se comprobarán servicios activos. Herramienta: Volatility.
USB:
- Se comprobará que tanto el Sha1 y el Md5 de la imagen que se obtuvo de
la memoria, sean iguales a los recibidos en la entrega inicial. Lo anterior se
ejecutará con el aplicativo FTK Imager.
- Analizar tipo de volúmenes que tiene la USB. Herramienta: Autopsy y FTK.
- Verificar los tipos de archivos que contiene. Herramienta: Autopsy.
- Verificar archivos borrados. Herramienta: Autopsy.
Disco Duro:
- Se comprobará que el Md5 de la imagen que se obtuvo de la memoria, sean
iguales a los recibidos en la entrega inicial. Lo anterior se ejecutará con el
aplicativo FTK Imager.
- Analizar volúmenes de DD con Aplicativo Autopsy y FTK Imager.
- Analizar tipos de archivos con herramienta Autopsy
- Analizar usuarios registrados en la imagen con Autopsy y WRR.
- Analizar datos básicos del Sistema Operativo con Autopsy.
- Analizar contenido web con aplicativo Autopsy.
- Verificar datos borrados con aplicativo Autopsy.
C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe -f
C:\Us\Ficheros_TFM\RAM\ANN-PC-20151021-135652_raw\ANN-PC-
20151021-135652.raw imageinf
C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe --
profile=Win7SP0x86 -f C:\Users\diegofga\Desktop\Ficheros_TFM\RAM\ANN-PC-
20151021-135652_raw\ANN-PC-20151021-135652.raw pslist
C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe --
profile=Win7SP0x86 -f C:\Users\diegofga\Desktop\Ficheros_TFM\RAM\ANN-PC-
20151021-135652_raw\ANN-PC-20151021-135652.raw svcscan
Offset: 0x951388
Order: 19
Start: SERVICE_BOOT_START
Process ID: -
Service Name: amdxata (Controlador que permite conexión entre Hardware y Software)
Display Name: amdxata
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\amdxata
Offset: 0x950c68
Order: 8
Start: SERVICE_SYSTEM_START
Process ID: -
Service Name: AFD (Driver que permite la entrada de funciones Winsock hacia Tcpip)
Display Name: Ancillary Function Driver for Winsock
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\AFD
Offset: 0x950878
Order: 2
Start: SERVICE_BOOT_START
Process ID: -
Service Name: ACPI (Controlador que tiene entre otras funciones, la responsabilidad la administración de energía y el plug and play)
Display Name: Controlador Microsoft ACPI
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\ACPI
Offset: 0x96e448
Order: 388
Start: SERVICE_AUTO_START
Process ID: 812
Service Name: wudfsvc (Administra procesos de host de controlador en modo usuario)
Display Name: Windows Driver Foundation - User-mode Driver Framework
Service Type: SERVICE_WIN32_SHARE_PROCESS
Service State: SERVICE_RUNNING
Binary Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Offset: 0x96e048
Order: 386
Start: SERVICE_DEMAND_START
Process ID: -
Service Name: WudfPf (Uno de los archivos principales de Windows, permite comunicación entre dispositivos de Hardware del PC)
Display Name: User Mode Driver Frameworks Platform Driver
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\WudfPf
En ésta sección se validan los diversos volúmenes o particiones con las que
cuenta el dispositivo USB.
b) Se valida con FTK Imager, más detalles acerca del volumen USB y se
detecta que los volúmenes sin datos, se observan en espacio sin particionar
y el volumen 4 (Vol4 en Autopsy) tiene como nombre “BADGUY”, es de 109
MB y adicional a ello tiene:
- Serial: CEF0-FEE0
- Total cantidad de Clúster en el archivo del sistema: 28.105.
- Clúster libres: 25.602.
- Tamaño de cada clúster: 4.096 bytes.
En ésta sección se validan los diversos volúmenes o particiones con las que
cuenta el disco duro.
b) Archivos
Se validaron los archivos en diferentes formatos en la imagen analizada y
se encontró lo siguiente:
MAC
TIME
TAM
FECHA
FECH FECH AÑO
Nombre Archivo Localización Contenido Fichero MODIFIC HASH
A A LÓGI
ACIÓ N MD5
ACCES CAMB CO
O IO ARCH
IVO
(Byte
s)
c) Documentos
De los documentos que se encontraron y analizaron en éste caso, entre
archivos de Office, HTML, Pdf, Txt y Rtf, se encontró 1 archivo llamado
“pwd2.txt.txt”, en la carpeta “Documents” de la usuaria “Ann”, donde al
parecer se visualizan las contraseñas de los correos que implementan para
enviar y recibir mensajes y archivos:
Annetom22@hotmail.com
AnneTom1980!
FromTom75@hotmail.com
Tommane75!
En ésta sección se visualizan tanto los usuarios que tienen cuenta de usuario
en el equipo, como el (la) usuario(a) que se encontraba registrado en el
momento de la incautación del equipo.
- Usuario: Ann
a) Fecha y hora del último “logon” del usuario: 21/10/2015 - 13:54:18
b) Fecha y hora del último cambio de contraseña: 02/09/2015 - 10:17:38
- Usuario: Tom
a) Fecha y hora del último “logon” del usuario: 21/10/2015 - 9:03:02
b) Fecha y hora del último cambio de contraseña: 02/09/2015 - 10:20:38
En ésta sección se visualizan los datos básicos del sistema operativo instalado
en la máquina, tales como versión, distribución y producto, entre otros.
a) Al validar los archivos que han sido eliminados, se observa que la gran
mayoría de éstos, son archivos del sistema o aplicativos instalados en éste,
que no tienen mayor trascendencia dentro de la investigación. Sólo se
encontraron un par de registros en formato pdf, pero su contenido son libros
de literatura universal, lo que también permite determinar que no tienen
mayor importancia en éste caso puntual, pero que si tienen relevancia en
temas de violación de derecho de autor.
<Transfer>
<AutoAcceptMessagingShown>1</AutoAcceptMessagingShown>
</Transfer>
<TransferAutoAccept>1</TransferAutoAccept>
<TransferAutoSave>1</TransferAutoSave>
<TransferSaveDir>C:\Users\Ann\AppData\Roaming\Skype\My Skype Received Files\</TransferSaveDir>
</UI>
Conversación 1 rickyrodriguezgarcia:
live:rickyrodriguezgarcia
A ver... Te digo algo...
¿Es lo que parece?
Tiene una contraseña y supongo que sera la de siempre...
Esto es un poco raro...
De acuerdo!
annetom22
Conversación 2 rickyrodriguezgarcia:
annetom22
Saludos, ya he recibido las fotos...
live:rickyrodriguezgarcia
Me alegro... ¿Todo bien?
!xi:
De fábula, pero… he olvidado la contraseña…
¡Pues qué bien!
...lo siento...
¿Puedes pasármela?
Tú mismo... ¿A ti qué te parece?
Tampoco entremos en modo paranoico… No creo que pase nada
Evidentemente, nunca pasa nada... En fin, aquí va: KaPow581!/SkM*
Gracias, recuerdos a Tom
VBB!
Hasta luego Ricky
annetom22
Conversación 1 aram768:
live:aram768
No te preocupes, yo tambien algo liada...
][tf
V:sk\R
annetom22
hola ya estoy aqui de nuevo... ahi van las fotos
<files alt="envió los archivos "20150907_162718.jpg", "20150907_162746.jpg",
"20150907_162819.jpg"">
<file size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file><file size="915872" index="1"
tid="3072807454">20150907_162746.jpg</file><file size="1916793" index="2"
tid="4224092791">20150907_162819.jpg</file></files>
"<files alt="envió los archivos "20150907_162718.jpg", "20150907_162746.jpg",
"20150907_162819.jpg"">
<file size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file>
<file status="canceled" size="915872" index="1" tid="3072807454">20150907_162746.jpg</file>
<file size="1916793" index="2" tid="4224092791">20150907_162819.jpg</file></files>
=D72
:IIs{P
"<files alt="envió los archivos "20150907_162718.jpg", "20150907_162746.jpg",
"20150907_162819.jpg"">
<file status="canceled" size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file>
<file status="canceled" size="915872" index="1" tid="3072807454">20150907_162746.jpg</file>
<file size="1916793" index="2" tid="4224092791">20150907_162819.jpg</file></files>
=D82
"<files alt="envió los archivos "20150907_162718.jpg", "20150907_162746.jpg",
"20150907_162819.jpg"">
<file status="canceled" size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file>
<file status="canceled" size="915872" index="1" tid="3072807454">20150907_162746.jpg</file>
<file status="canceled" size="1916793" index="2" tid="4224092791">20150907_162819.jpg</file></files>
=D92
Pues si, lo conozco. Tienes razon, es muy discreto. ¿Que tal el proximo sabado a las 17:00?
H0\;
BF[O0Ac
6zUg
Perfecto, hasta luego pues
annetom22
live:aram768
b) Programas/aplicaciones instaladas
Analizando la imagen del disco, se observan las siguientes
aplicaciones/programas instalados en el computador inspeccionado:
- Dropbox
- DVD Maker
- EaseUS
- Internet Explorer
- Mozilla Firefox
- Mozilla Maintenance Service
- MSBuild
- OpenOffice
- S-Tools
- Skype
- TrueCrypt
- Windows Defender
- Windows Journal
- Windows Mail
- Windows Media Player
- Windows Photo Viewer
- Winhex
- Winrar
Con lo anterior, llama la atención los aplicativos WinHex y TrueCrypt, los cuales
son usados para ocultar archivos/datos (Truecrypt) y para validar archivos
ocultos(Winhex).
6. INFORME PERICIAL
6.1 Objeto
El objetivo del presente informe es mostrar el contenido, con base en las
evidencias informáticas incautadas de imagen del disco duro del ordenador,
memoria RAM y dispositivo USB, realizada por el personal especializado de la
policía, que pueda imputar a las personas identificadas con los usuarios: Ann y
Tom con el delito de clonación de tarjetas de crédito u otro delito que pueda ser
detectado en ésta investigación.
6.2 Antecedentes
6.3 Análisis
6.3.1 Estudio Memoria RAM
MD5: 2B5AC23E63FC7FE3627D67CE53B41738
SHA-1: 3B62577D24AA185D7F031E43C6599BF25A401FC4
MD5: 5b07876cc6c4d6602f02797b1522253d
SHA1: f2afec753f78fae32f0c8bb6bd94f88096baf3e0
Una vez se validaron los archivos borrados de la USB, los cuales se observan
en la herramienta Autopsy, se detecta que los archivos que han sido
eliminados (12 en total), no evidencian ningún archivo delictivo o sospechoso.
- 84 búsquedas web, de las cuales la que más llama la atención son las
relacionadas con temas del software “Msr 206”, el cual se implementa para
capturar ilícitamente la información de tarjetas de crédito/débito.
Ilustración 36: Búsquedas web
ANEXO A. Pendientes.ods
A
Aplicativo: programa de computadora que está desarrollado para ejecutar
tareas o procedimientos específicos.
B
Byte: es la unidad común de almacenamiento en computación.
C
Clúster: es la cantidad de sectores de un disco, que agrupados se trata como
unidad.
D
Datos: es cualquier tipo de información o fichero, que en éste caso, se maneja
de manera electrónica.
E
Evidencia: es la prueba que se obtiene tras el análisis informático, la cual
demuestra la veracidad de un hecho o su existencia.
F
Forense: es lo relacionado con los tribunales de justicia.
I
Imagen Forense: es una copia exacta a un dispositivo o unidad de disco, que
se realiza con software especializado, con el objetivo de poder analizarlo en un
laboratorio, sin afectar los datos originales.
M
MD5: Algoritmo de criptografía, usado para comprobar la autenticidad de la
imagen forense.
P
Protocolo: conjunto de reglas que permiten a dos o más dispositivos
establecer comunicación entre sí.
R
RAM (Random Access Memory): es la memoria de trabajo de los
computadores, que permite la ejecución de los aplicativos, Sistema Operativo y
CPU.
S
T
TIC: refiérase la abreviatura de las Tecnologías de Información y la
Comunicación.
U
USB (Universal Serial Bus): es un estándar industrial que define las
características que deben tener los conectores para proveer alimentación
eléctrica y transferencia entre computadoras o dispositivos.
V
VirtualBox: es un software especializado de la empresa ORACLE para la
virtualización de computadoras.
3. Autopsy. http://sourceforge.net/projects/autopsy/?source=typ_redirect
5. Volatility. http://www.volatilityfoundation.org/#!
24/c12wa
https://github.com/volatilityfoundation/volatility