Documentos de Académico
Documentos de Profesional
Documentos de Cultura
que muchas veces nos encontramos en situaciones donde el tiempo es vital para una
investigacion y tenemos una ventana muy pequeña para extraer toda la informacion
necesaria para realizar nuestro analisis, si no tenemos nuestras herramientas “afiladas”
posiblemente no alcancemos a pasar por esa pequeña ventana que nos han dado como
plazo y nuestra investigacion no pueda ser llevada a cabo o se realice con datos
incompletos.
En este post enumeraremos un gran numero de aplicaciones que nos ayudarán en la tarea de
extraccion automatizada de evidencia en entornos windows, asi como buenas practicas
forenses para estar preparados en esos momentos en los que “el tiempo apremia”.
Luego de ejecutar esta acción, se puede manipular la evidencia como si fuese un entorno
muerto, es decir realizamos la copia bit a bit (copia exacta) de los medios de
almacenamiento, garantizando que nuestro entorno de adquisición no modifica en ningún
momento el sistema de archivos (modo solo lectura) para lo que se recomienda contar una
distribucion LIVE CD forense como CAIN, DEFT o incluso el mismo KALI, después de
tener la imagen bit a bit, es vital generar inmediatamente su correspondiente HASH en
MD5 y SHA-1 para poder dar fe de la integridad de los datos recién adquiridos y que más
adelante no existan inconvenientes con su integridad.
El siguiente paso es analizar nuestra imagen por medio de una suite como autopsy o
encase (entre muchas otras), para el análisis de los datos que contiene, en esta etapa es
donde se pone a prueba la experiencia del perito forense, ya que debe limitar la línea de
tiempo del evento que esté analizando; conocer los archivos donde se aloja la información
útil para su caso; realizar una búsqueda exhaustiva de cualquier anomalía en el sistema
operativo que pueda dar alguna luz sobre la investigación que está llevando a cabo, y todo
esto, sacando la información en crudo directamente de los archivos del sistema.
La mayoría de las suites forenses, permiten montar de forma segura el sistema de archivos
de la imagen para poder recorrer los directorios y ficheros con mayor facilidad, algunas
ayudan a extraer información de forma automática, pero sí realmente queremos facilitar y
automatizar la búsqueda de información con herramientas gratuitas (que es la finalidad de
este articulo), lo que se usa en estos casos es revivir el sistema que se va a analizar en un
entorno controlado (normalmente sacamos una copia adicional de nuestra imagen cruda y
se convierte a disco virtual usando herramientas como dd2vmdk).
Cuando se revive un entorno virtualizado, la copia bit a bit, tenemos las siguientes
ventajas:
NirSoft es una de las empresas que más herramientas ha creado para este propósito, dentro
de su catálogo encontramos aplicaciones que permiten obtener información puntual de un
equipo con Windows, por ejemplo extraer los enlaces visitados de un navegador, el horario
de encendido/apagado del equipo, las conexiones que estableció ese equipo a redes
inalámbricas o las cookies y el cache almacenado en el pc y otras que visualizaremos en el
siguiente listado:
WinAudit: es una aplicación que me permite realizar una auditoria muy completa de
toda la información del sistema, los programas instalados, las configuraciones, el
hardware del equipo, los parches instalados, etc…, el informe que arroja la
herramienta es bastante detallado y bien organizado en formato html lo que facilita
la búsqueda de la información.
INFORMACIÓN DE NAVEGADORES
OTROS
Las herramientas listadas anteriormente han sido seleccionadas por que todas tienen en
comun una cosa, se pueden ejecutar por linea de comandos (puedes ver las opciones que
recibe como parametros haciendo clien en su nombre) y generan informes rapidamente, lo
que se acostumbra en estos casos, es utilizar un archivo de procesamiento por lotes
(.BAT) con los parametros adecuados para cada herramienta y con un simple click, ejecutar
de forma secuencial y organizada todas estas herramientas. Hasta hace muy poco esta era la
forma la manera en que se hacía la automatización de los procesos de extracción cuando
revivía un entorno, PERO la famosa Ventana Negra (CMD) con todas sus limitaciones, no
ofrecia muchas opciones de usabilidad, lo que motivó a generar una mejor solución.
El lenguaje de programacion a utilizar para crear esta solución, devería ser compatible con
Windows y que además no tuviese dependencias de librerías como .NET ni máquinas
virtuales como JAVA, por tanto se decantó por Visual Basic 6.0 que tiene compatibilidad
nativa desde Windows XP en adelante (Sistemas Objetivos de esta herramienta), despues
de elegir el sistema, solo era sentarse una tarde y darle forma a DAWF la herramienta para
automatización de estos procesos.