Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2/33
El proceso de adquisición
El proceso de adquisición
I. Introducción
Los datos volátiles se definen como aquellos datos que se encuentran en la memoria de un equipo o
dispositivo. El uso correcto de los procedimientos forenses para la adquisición de la memoria volátil es
fundamental para obtener, por ejemplo, la información almacenada en este tipo de memoria que, bien
custodiada, nos servirá posteriormente como evidencia.
II. Objetivos
El objetivo de este módulo es que los alumnos aprendan cuál es el proceso de adquisición de
datos volátiles. Además, se darán a conocer comandos, herramientas, distribuciones y conceptos
importantes relativos a dicho proceso.
3/33
El proceso de adquisición
Sistema encendido
Sistema apagado
Sistema virtualizado
Solicitaremos que el administrador del sistema nos haga un clon del sistema virtual. De esta forma,
podemos obtener datos volátiles y posteriormente, apagar el dispositivo y llevárnoslo a nuestro
laboratorio forense.
Sistema en la nube
Si los sistemas afectados se encuentran en la nube, habrá que revisar el modelo de contrato de la
organización o persona con su proveedor de la nube ya que en muchos casos no se podrá hacer el
forense o recogida de evidencias dado que los sistemas pueden estar compartidos con terceras
personas o empresas.
Conociendo los tipos de escenarios que se pueden presentar, procederemos a la adquisición de datos
volátiles de los equipos encendidos.
4/33
El proceso de adquisición
Los datos en un sistema encendido tienen un determinado orden de volatilidad que determina la
permanencia de esta información disponible para su adquisición. Este proceso se debe iniciar con la
recogida de los datos más volátiles y finalizar con los menos volátiles. En general, el grado de volatilidad
posee dos niveles.
Se debería tener especial cuidado ante la presencia de discos cifrados o ficheros que exijan
contraseñas para su software acceso, así como ante el estudio de software dañino o malicioso
(malware) diverso. En este caso, unos correctos procedimientos forenses para la adquisición de la
memoria volátil son fundamentales para obtener, según los casos, el software y la información
almacenados en ellos o para averiguar de qué tipo de malware se trata.
A la hora de realizar una adquisición de evidencias en un análisis forense, es importante tener en cuenta el
orden de adquisición y obtener las evidencias volátiles en primer lugar.
5/33
El proceso de adquisición
La primera instrucción que ejecuta se llama POST, Power-on self-test (autoprueba de encendido) y le
ordena que compruebe el funcionamiento de los componentes más importantes del sistema.
Una vez que la memoria se encuentra en perfecto estado, se carga el BIOS (Basic Input Output System)
o UEFI (Unified Extensible Firmware Interface, a partir de Windows 8 en adelante) que provee información
acerca de los dispositivos de almacenamiento con que cuenta el ordenador. Posteriormente, inicia el
sistema operativo y se copia a la memoria, lo que determina que es un elemento muy importante para
analizar.
Veamos algunos comandos de Windows para la obtención de datos volátiles en un sistema encendido.
V. Comandos
WINDOWS
6/33
El proceso de adquisición
NETSTAT
IPCONFIG
NBTSTAT -n
Muestra las estadísticas del protocolo y las conexiones actuales de TCP/IP usando NetBIOS sobre
TCP/IP:
7/33
El proceso de adquisición
ARP –a
NET SHARE
8/33
El proceso de adquisición
SC QUERY
LINUX
IFCONFIG eth0
NETSTAT
9/33
El proceso de adquisición
WHO -u
PS -ef
PSTREE
10/33
El proceso de adquisición
Una vez vistos los ejemplos anteriores, vamos a proceder a ver los comandos necesarios para la
adquisición de evidencias, primando el orden de volatilidad.
VI. Herramientas
6.1. RAMCAPTURE
Es una herramienta forense gratuita de la empresa Belkasoft, que permite extraer de forma fiable todo el
contenido de la memoria del ordenador volcando el contenido a fichero, incluso si está protegido por un
sistema antidepuración. Se encuentra en versiones de 32 bits y 64 bits y es compatible con todas las
versiones y ediciones de Windows, incluidos XP, Vista, Windows 7, 8 y 10, 2003 y 2008 Server.
Esta herramienta funciona en modo comando y con entorno gráfico. Una vez ejecutada, se creará un
fichero “memoriaRAM.dmp” con el contenido de toda la memoria RAM.
11/33
El proceso de adquisición
6.2. RAWCOPY
Rawcopy es una herramienta open source que permite copiar ficheros que están bloqueados por el
sistema. Por ejemplo, si se intenta copiar el archivo pagefile.sys de la raíz del disco C al escritorio, se
puede comprobar que Windows no lo permite dado que el sistema lo bloquea por estar en uso. Para ello
utilizaremos Rawcopy.
6.3. LASTACTIVITYVIEW
Lastactivityview es una herramienta desarrollada por NIRSOFT que permite saber la última actividad que
se ha realizado en un Windows por un usuario y los programas que se ejecutan.
12/33
El proceso de adquisición
6.4. WINAUDIT
WinAudit es una utilidad de inventario para ordenadores Windows. Se crea un informe completo sobre
la configuración de una máquina, hardware y software. WinAudit es gratuito, de código abierto y puede ser
usado o distribuido por cualquier persona.
13/33
El proceso de adquisición
6.5. PSTOOLS
Consiste en una serie de herramientas en línea de comandos que ayudan a administrar sus sistemas
Windows. Permiten gestionar los sistemas remotos, así como en local. Es una de las herramientas más
famosas y utilizadas por los equipos de IT.
14/33
El proceso de adquisición
pslist
15/33
El proceso de adquisición
Tcpview
PSLogeedon
6.6. WMI
WMI (Windows Management Instrumental) es un conjunto de librerías y funciones que permiten obtener
información y gestionar y administrar de forma local o remota el sistema.
Autorizar a usuarios o grupos y establecer niveles de permisos. Se puede habilitar a un usuario individual
o grupo para tener acceso a los objetos de red y para realizar tareas y servicios.
Configurar el registro de errores. Se puede activar o desactivar el registro de errores y si está activo, se
puede configurar para registrar solo los errores (opción predeterminada) o todas las acciones (registro
detallado).
16/33
El proceso de adquisición
Copia de seguridad del repositorio. Mediante WMIC, es posible la administración de equipos, tanto
locales como remotos, así como ejecutar cualquier tipo de tareas como obtener información, iniciar,
detener, pausar procesos y servicios o cambiar cualquier tipo de configuración en el equipo al que se
tenga acceso como administrador.
WMI viene instalado por defecto en todas las versiones Windows, lo cual no hay que descargarlo desde
internet.
17/33
El proceso de adquisición
Imagen 4.27. Comando wmic process where Name="notepad.exe" call terminate en WMI.
Fuente: creación propia Cyber Academy.
Imagen 4.30. Comando wmic partition get name, size, type en WMI.
Fuente: creación propia Cyber Academy.
18/33
El proceso de adquisición
WMIC BIOS.
WMIC BIOS Get Manufacturer.
WMIC BIOS Get Manufacturer,Name,Version /Format:csv.
WMIC BIOS Get Manufacturer,Name,Version /Format:list.
WMIC BIOS Get /Format:list.
WMIC BIOS Get Manufacturer,Name,Version /Format:htable.
WMIC logicaldisk get name.
WMIC os list brief.
WMIC printer list status.
WMIC /Output:bios.html BIOS Get Manufacturer,Name,Version /Format:htable.
WMIC diskdrive get model,name,size.
WMIC process get name,processid.
process where processid="1000" call terminate.
WMIC qfe get description,installedOn /format:csv.
WMIC nic get macaddress,description.
WMIC /node:localhost /user:rambo /password:123456 process where name="paint.exe"
call terminate.
7.1. OSFORENSICS
Es un sistema basado en Linux y utilizado para la investigación digital y la adquisición de evidencias.
Entre las herramientas incluidas en OSFORENSICS, se encuentran: Autopsy, Sleuth Kit, log2timeline,
Xplico, y Wireshark. El sistema funciona bajo Linux, Windows y Mac OS. Es un producto comercial.
19/33
El proceso de adquisición
7.2. CAINE
Es una de las distribuciones Linux más completas para realizar análisis forense informático. Esta
distribución funciona como desde un DVD o Pendrive y no toca absolutamente ningún dato del disco duro
donde se inicia, ya que para realizar un análisis forense es fundamental no alterar las pruebas, en este caso,
los datos del almacenamiento interno. Por tanto, CAINE monta todas las particiones de los discos en
modo de solo lectura, una medida fundamental para preservar los datos intactos. Con una herramienta
gráfica podremos habilitar la escritura de datos en el almacenamiento interno una vez que hayamos
realizado una copia de seguridad sector por sector de todo el contenido del disco.
20/33
El proceso de adquisición
7.3. DEFT
Es otra de las distribuciones (basada en Linux) por excelencia. Viene de serie con el kit de herramientas
DART para Windows, que es un programa que permite la adquisición de evidencias.
21/33
El proceso de adquisición
22/33
El proceso de adquisición
Es fundamental tener un kit de herramientas (como las mostradas anteriormente) que el propio analista ha
desarrollado o bien descargado de internet. El requisito necesario es que estas herramientas no sean
intrusivas y que sean conocidas o bien estén documentadas además de ser reproducibles.
Para un correcto funcionamiento, las aplicaciones deberían de estar en un disco duro externo con dos
particiones, una en modo lectura para las propias aplicaciones y el script que las automatiza; y la otra
partición en modo escritura para almacenar los datos del resultado de la ejecución del script.
Veamos algunos de estos lenguajes que precisamos para la realización del triaje.
23/33
El proceso de adquisición
Windows Linux
BAT/CMD Bash
WMI C/C++
Powershell (nativo desde W7, W8,W10 y servidores Python/Perl
VBS (Visual Basic Script) y JS (JavaScript)
Se encuentra en todas las versiones de Windows y es una de las más recomendadas por su
interoperabilidad y compatibilidad. Aunque su lenguaje no es potente, permite cumplir al 100 % con el
cometido de la adquisición de evidencias volátiles.
@echo off
mkdir c:\evidencias
mkdir c:\evidencias\logs
FOR /R C:\\ %%a in (*.log) DO COPY "%%a" c:\\evidencias\\logs
Este script tiene la finalidad de buscar en el disco duro C todos los ficheros con extensión LOG
y los copia a la carpeta c:\evidencias\logs
Este script utiliza variables del sistema que permiten crear carpetas con el nombre del usuario y el
equipo.
Las siguientes líneas ejecutan los comandos del sistema operativo y guarda su resultado en las carpetas
anteriormente creadas por las variables.
24/33
El proceso de adquisición
Imagen 4.36. Ejemplo de script para ejecutar los comandos y guardar el resultado de los mismos en
carpetas.
Fuente: creación propia Cyber Academy.
Veamos un ejemplo todavía más elaborado que los anteriores, dado que además de ejecutarse, crea un
archivo donde va guardando los comandos que va ejecutando. El fichero donde se guarda se llama
_Processing_Details.txt.
Imagen 4.37. Ejemplo de script para ejecutar los comandos y guardar estos y el resultado de los mismos
en carpetas.
Fuente: creación propia Cyber Academy.
A continuación, llama al módulo MEMORYDUMP, que ejecuta el programa que hemos visto
anteriormente RAMCAPTURE64.exe y que vuelca el contenido de la memoria RAM a un fichero llamado
_mem.dmp.
Se puede observar un script desarrollado con toda la potencia en CMD en la siguiente URL: htt
ps://github.com/ktneely/Tr3Secure/blob/master/tr3-collect.bat
A partir de las versiones de Windows 2000 se incorpora un nuevo lenguaje de scripting basado en Visual
Basic. Tanto su sintaxis como la manera de trabajar están muy inspirados en él. Sin embargo, no todo lo
que se puede hacer en Visual Basic se puede hacer en Visual Basic Script, pues este último es una versión
reducida del primero.
25/33
El proceso de adquisición
Evidentemente, este lenguaje se puede optimizar y desarrollar mucho más para la adquisición de
evidencias. En el ejemplo siguiente se definen las variables y las consultas que se han de realizar (listar
procesos).
26/33
El proceso de adquisición
Viene instalado por defecto a partir de Windows 7, 8 y 10. En Windows XP hay que instalarlo
descargando el programa desde la página web de Microsoft.
Veamos un script básico de adquisición de evidencias volátiles en el que se muestra el log de seguridad
de Windows desde hace un día.
27/33
El proceso de adquisición
A continuación, veamos un script en Powershell muy elaborado que permite realizar la adquisición de
evidencias con solo ejecutar este script.
Podemos ver y descargar este script con toda su potencia desde la siguiente URL: https://github
.com/gfoss/PSRecon/blob/master/psrecon.ps1
28/33
El proceso de adquisición
Bash es una aplicación cuya función consiste en interpretar órdenes. Está basada en la shell de Unix y es
el intérprete de comandos por defecto en la mayoría de las distribuciones de Linux.
Desde Bash se pueden hacer scripts para casi todo y permite la gestión del sistema automatizando
procesos rutinarios, como copias de seguridad o gestión de servidores.
En el siguiente script podemos crear un menú interactivo que nos vaya preguntando las acciones que se
van a realizar.
Esta es su ejecución:
29/33
El proceso de adquisición
VIII. Resumen
30/33
El proceso de adquisición
En esta unidad, hemos definido el concepto de “datos volátiles” y nos hemos centrado en su
adquisición en base a los diferentes escenarios ante los que nos podamos encontrar,
principalmente el de “sistema encendido”. Hemos mencionado las herramientas y comandos de
uso más común a la hora de realizar estas tareas y, después, hemos mencionado algunas de las
distribuciones forenses disponibles actualmente. Para terminar, nos hemos centrado en el
concepto de scripting o triage.
31/33
El proceso de adquisición
Recursos
Bibliografía
Construyendo una guía integral de informática forense.: Di Iorio, A.H y otros. (2015):
“Construyendo una guía integral de informática forense”. Universidad Fasta.
Importancia de la recolección de datos volátiles dentro de una investigación forense.:
Castilla Guerra, J.E. y Raquejo Romero, J.A. (2015): “Importancia de la recolección de datos
volátiles dentro de una investigación forense”. Universidad Piloto de Colombia. Disponible en:
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/3088/00000852.pdf?sequence=1
La importancia de un debido manejo de escena y de recolección de evidencias en
incidentes de seguridad de la información.: Vanegas Pérez, E. (2014): “La importancia de un
debido manejo de escena y de recolección de evidencias en incidentes de seguridad de la
información”. Universidad Piloto de Colombia, Módulo de Informática Forense. Disponible en:
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2685/00001749.pdf?sequence=1
Glosario.
BIOS (Basic Input Output System): Estándar de facto que define la interfaz de firmware
para computadoras IBM PC compatibles.
CAINE: Distribución Linux más completas para realizar análisis forense informático.
Memoria ROM (Read Only Memory): Circuito integrado de memoria de solo lectura que
almacena instrucciones y datos de forma permanente.
32/33
El proceso de adquisición
PsTools: Serie de herramientas en línea de comandos que ayudan a administrar sus sistemas
Windows.
RawCopy: Herramienta open source que permite copiar ficheros que están bloqueados por el
sistema.
Triaje (SCRIPT): Concepto que proviene de EE. UU. y que permite la adquisición de
evidencias de un ordenador o dispositivo de forma automatizada.
33/33