Análisis Forense v1

+
Análisis Forense
Prof. Reinaldo Mayol

+
Conceptos Iniciales
Parte 1
Reinaldo Mayol Arnao 2

+ 3
¿Qué es el Análisis Forense?
 Es un proceso, metodológicamente guiado, que involucra los

siguientes elementos, referidos a los datos de un sistema
computacional:
 Preservación
 Identificación
 Extracción
 Documentación
 Interpretación
Reinaldo Mayol Arnao

+ RFC3227. Recolección y manejo de evidencias 4
Principios
para la
recolección
de
evidencias
Consideracione
s relativas a la
privacidad de
RFC Orden de
3227
los datos volatilidad
Cosas a
evitar

+ RFC3227. Recolección y manejo de evidencias 5
Procedimiento
de recolección
Herramientas necesarias
y medios de
almacenamiento de Transparencia
éstas
RFC3227
Como archivar una Pasos de la

evidencia recolección
Cadena de custodia

+ 6
Orden de Jerarquía
+
Registros y contenidos de la caché.
Contenidos de la memoria.
Estado de las conexiones de red, tablas

de rutas.
Estado de los procesos en ejecución.
Contenido del sistema de archivos y de

los discos duros.
Contenido de otros dispositivos de
-
almacenamiento.

+ 7
Equipo para Análisis Forense

+ 8
Ciclo de Vida del Análisis Forense
Diseño de
Evidencia
Determinación Producción de la
de Relevancia Evidencia
Reporte y Recolección de
Presentación la Evidencia
Análisis de la
Evidencia
HB171:2003 Handbook Guidelines for

the management ofReinaldo
IT Evidence.]
Mayol Arnao
+ 9
Manipulación de la Evidencia
 Si no se toman las medidas adecuadas para la manipulación de la

evidencia esta puede perderse o resultar inaceptable como prueba.
+ 10
Manipulación de la Evidencia
 Uno de los elementos que se utilizan son las Cadenas de Custodia
 Una adecuada Cadena de Confianza debe responder, para cada

evidencia, las siguientes interrogantes:
 ¿Quién colectó la evidencia?
 ¿Cómo y donde fue colectada?
 ¿Quiénes tuvieron posesión y acceso a la evidencia?
 ¿Cómo fue almacenada y protegida?
 ¿Quién la ha manipulado?
+ 11
Autentificación de la Evidencia
 Elobjetivo de este paso es proveer un mecanismo que

garantice la evidencia colectada no pueda ser modificada
o sustituida sin que el investigador pueda notarlo.
 Porlo general, se recomienda utilizar algoritmos de
HASH (SHA2!!!!!) capaces de crear un hash de la
evidencia que garantice su integridad.
 Sepuede firmar digitalmente el hash de cada evidencia
garantizando de esta forma que la misma no pueda ser
sustituida.
+ 12
Características de la evidencia forense

digital
 Si alguien intenta destruir las evidencias, podemos tener copias igual
de válidas lejos del alcance del criminal.
 El proceso de autenticación siempre siembra dudas sobre la veracidad

de la prueba.
 Adquirir una copia de la evidencia puede ser un proceso difícil y

delicado.
 Las pruebas pueden ser modificadas incluso durante su recolección.

+ 13

digital
 No solo hay que validar las copias sino incluso el momento en que se
realizan.
 La autentificación de la evidencia requiere mecanismos externos

como: certificados digitales, autoridades de certificación y cadenas de
certificación acordes a las leyes de un país o incluso de una
organización.
+ 14

digital
 Pueden ser duplicadas de forma exacta y la copia puede
examinarse como si fuera el original.
 Con las herramientas adecuadas “es muy fácil” determinar si la
evidencia ha sido modificada o falsificada comparándola con la
original.
 Es relativamente difícil de destruir, incluso borrándola, la evidencia
digital puede ser recuperada de un disco.
+ 15
¿Hasta Donde ?
Es posible definir
con exactitud el 80
% de lo que ha
hecho un
sospechoso el…
20% del TIEMPO
+ Conociendo el sistema de
Archivos
Parte 2

+ 17
Organización de los Datos
Los SO agrupan varios sectores consecutivos
 FAT, NTFS: Clusters
 EXT? (*nix): Blocks
1 sector: Aprox. 512 bytes

+ 18
Niveles del Sistema de Archivos
• File Name Nombre de los

Archivos
• Metadata Información de la
Estructura del F. S
• Datos Clúster, Blocks
• Sistema de Archivos Información de

Particiones
• Físico Disco Físico

+
Particiones D.O.S
+ 20
Particiones DOS
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol
 Las particiones tipo DOS se utilizan en la mayoría de los sistemas

operativos, incluyendo Linux.
Sólo 4 entradas
+ 21
Particiones Extendidas (E. P)

 Con 4 entradas solamente no
es posible cubrir las
MBR Partition Table
necesidades de los sistemas
modernos.
 Una partición extendida

contiene una segunda tabla
de particiones y puede
describir 2 particiones. ( una
para el F. S y otra para otra
E.P)
ExtendedPartition Table
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol
+ 22
Tabla de Particiones
Posición Longitud en Contenido

Bytes
0 1 Estado de la partición 00h no activa, 80h activa
1 1 Comienzo de la partición ( cabezal)
2 2 Sector y Cilindro donde comienza la partición
4 1 Tipo de Partición
5 1 Cabezal donde la partición termina
6 2 Sector y Cilindro donde la partición termina
8 4 Distancia, en sectores (por omisión 512B/sector)
desde la tabla de particiones al primer sector de la
partición
12 4 Longitud ( en sectores) de la partición

+ 23
Ej. Partición de 40 GB
Tabla de Particiones Byte 446

+ 24
Continuación
Termina: Sector F8(248) cilindro FF
La partición inicia
56 sectores desde el
Partición activa Sector 1, Cilindro 0 Partición NTFS inicio de la tabla
80 01 01 00 07 FE F8 FF 38 00 00 00
10 B3 FF 04 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
83866384
00 00 00 00 00Sectores
00 00 * 00 00 00 00 00
512B= 40GB
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 55 AA
Fin de la Tabla de Particiones
+ 25
Algunos Tipos de Particiones
Hex Tipo
Valor
0C FAT 32
83 Linux
82 Linux Swap
07 NTFS
a8 MacOSX

+ 26
Metadata
Todos los
sistemas de
archivos
NTFS : MFT ( Master File
dedican
algunos
Table)
archivos a
contener
información
*nix :Inodos
que describe
a otros
archivos.
FAT: Entradas de Directorio.

+ 27
Metadata
Los archivos
de Metadatos MAC times,
contienen
información
como:
permisos,
propietarios,
tamaño de los archivos,
localización,
etc.
+ 28
Slack Space
 La unidad mínima de direccionamiento son los clusters.
 El S.O no puede direccionar sino clusters.
 Si un archivo es menor que el tamaño del cluster el espacio sobrante

se pierde.
 Este espacio es interesante, desde el punto de vista forense, ya que

normalmente puede contener datos de otros archivos que utilizaron
anteriormente el cluster.

+
NTFS
New Technologies File System

+
Sistema de Archivos de NTFS
 Durante la creación del volumen es creado el Master File Table (MFT), además de
otros archivos de control.
 Existe una entrada de 1KB en la MFT por cada archivo o directorio en el volumen.
 El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr
 Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos) y el resto
son atributos no previamente definidos.

+ 31
Sistema de Archivos NTFS cont..
 La localización del MFT está definido en el Boot Sector del F.S

 Un MFT almacena los atributos de los archivos y subdirectorios
incluyendo el nombre, MAC, permisos, flags de estado, entre otros.
 Si un archivo no puede contener todos sus atributos en una sóla
entrada utiliza entradas consecutivas.
 Adicionalmente el MFT almacena parte ( o su totalidad) de la data
(dependiendo del tamaño del archivo, menor a 1500Bytes)

+ 32
Boot Sector Partición NTFS
Boot Sector
Cluster: Grupo de Sectores Consecutivos.

+ 33
Estructura del $MFT
 Cada entrada al MFT es direccionada usando un valor de 48 bits,

comenzando por 0.
 Cada entrada MFT tiene también un número de secuencia de 16 bits

que es incrementado cuando la entrada es utilizada. Este número
nunca es decrementado.
 Combinando ambos valores se forma una dirección de 64 bits

(llamada File Reference)
 El uso del File Reference permite determinar en algunas ocasiones

cuando el FS está corrupto.

+ 34
Estructura $MFT
 Formalmente las primeras 16 entradas ( en la práctica 24) son para

localizar los archivos de metadata del F. S
 Los archivos de metadata se encuentran en la raiz del F. S y

comienzan por $

+ Metadata Files 35
Índice Nombre del Archivo Descripción

$MFT
0 $MFT MFT
1 $MFTmirr Archivo de Respaldo del MFT
2 $LogFile Registro de las transacciones de metadata
3 $Volume Información sobre el volumen
4 $AttrDef Información sobre atributos
5 $Root Directorio Root del F.S
6 $Bitmap Mapa de disponibilidad de cada cluster
7 $Boot Boot Sector
8 $BadClus Mapa con clusters que contienen sectores dañados
9 $Secure Información de Seguridad
10 $Upcase Versión de cada carácter Unicode
11 $Extend Contiene file para extensiones opcionales. Reinaldo Mayol Arnao

+ 36
Metadata FILES

+ 37
Entradas MFT
 Cada entrada es secuencialmente numerada usando un valor de 48

bits.
 Cada entrada tiene además un número de Secuencia de 16 bits que es

incrementado cuando la entrada es localizada.
 Ambos valores se combinan para formar un valor de 64 bits que se

utiliza como reverenciador de los archivos.

+ 38
Entradas MFT ( Ejemplo)
Header MFT Atributos Entrada MFT
Atribute Header:
• Tipo
• Tamaño Atribute Header Espacio no utilizado
• Nombre
Header STANDARD_INFORMATIO
$STANDARD_INFORMATION
MFT $FILE_NAME $DATA
N

+
Formato Simplificado de una ENTRADA
a la MFT
 Para un archivo:
 Header
 $FILE_NAME(48)
 $ STANDART_INFORMATION(16)
 $DATA(128)
 Para un subdirectorio:
 Header
 $INDEX_ROOT
 $INDEX_ALLOCATION

+ 40
Atributos ( algunos, sólo algunos)
• Información general, tales como flags, MAC Times, ID del

$STANDARD_INFORMATION:
propietario
SFILE_NAME • Nombre del Archivo en Unicode,MAC TIME del nombre
$DATA: • Contenido del Archivo
$INDEX_ROOT • Nodo Raíz del árbol de índices
$INDEX_ALLOCATION • Nodos del árbol de índices
$BITMAT • Mapa de Bits del MFT

+
Sistemas de Archivo de Linux
Ext*

+ 42
Ext
 El F.S comienza con un área reservada y el resto está dividido en

sectores llamados grupos de bloques.
 Todos los grupos de bloques, excepto el último contienen la misma

cantidad de bloques.
 Un bloque es un conjunto de sectores consecutivos (1024,2048,4096

bytes)
 La información de la estructura del F.S es almacenada en una estructura

llamada SuperBlock la cual se encuentra localizada el inicio del F.S
 Los metadatos de cada archivo o directorio son almacenados en

estructuras llamadas inodos

+ 43
Ext cont…
 Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits)
 Existe un inodo por cada archivo o directorio existente
 Existe una tabla de inodos para cada grupo de bloques.
 Los primeros 10 inodos tienen funciones fijas y están siempre

localizados. El inodo 11 se utiliza para el subd lost +found
 Los nombres de archivos son almacenados en las entradas de los

directorios que los contienen.
 Esas entradas de directorio son estructuras simples que contienen el

nombre de los archivos y un puntero al inodo correspondiente.

+ 44
Inodos
 Cada inodo tiene un número fijo de campos .
 Un inodo contiene:
 Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096
1019)
 Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups)
 Información temporal ( último acceso, modificación, borrado, cambio de la
metadata)
 Permisos
 Tipo de archivos
 Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero
1970.
 Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero 1970.
+ 45
Inodos
 Cada inodo puede almacenar las direcciones de los primeros 12
bloques de un archivo. (bloques directos)
 Si un archivo requiere mas de 12 bloques se localiza un bloque para

almacenar los punteros a otros bloques( bloques indirectos)

+ 46
Entradas de directorio, inodos y bloques

de datos
Metadata
Metadata
Metadata
archivo1 Metadata
Metadata
Metadata
Entradas de Inodos Bloques de

Directorio Contenido

+ 47
Inodos

+ 48
Ext cont…
 Ext tiene un grupo de opciones organizadas en 3 categorías basadas

en que debe hacer el sistema operativo si alguna de ellas no es
soportada.
 Las opciones compatibles son aquellas que pueden ser ignoradas por el
S.O que monta un F. S incluso si no las soporta. EJ. Journals
 Las opciones incompatibles si no son soportadas el F. S no será montado.
Ej. Cifrado
 Las compatibles de solo lectura implican que el F. S será montado pero
solo en modo Read-Only. Ej. Estructuras en arbol en lugar de listas.

+ 49
Superblock y Descriptor de Bloques
 El Superblock es localizado al inicio del F. S ocupando los primeros

1024 bytes ( aunque utiliza sólo unos pocos)
 Contiene la estructura del F. S ( similar al BootSector en NTFS) y de

configuración.
 Copias de respaldo pueden ser encontradas en el primer bloque de

cada grupo de bloques.
 Información contenida:
 Tamaño de los bloques
 Número total de bloques por grupo de bloques
 Número de bloques reservados antes del primer grupo de bloques.

+ 50

 También puede incluir:
 Nombre del volumen
 Fechas de montaje y escritura
 Sitio del último montaje
 Consistencia del F. S
 Número total de inodos y bloques
disponibles
 Opciones habilitadas.

+ 51
 En Linux una opción llamada Sparse Superblock está siempre

habilitada y hace que sólo algunos grupos de bloques contengan
copias del Superblock.
 El Superblock tiene una firma ( 0xef53) en los bytes 56 y 57,
desafortunadamente es demasiado pequeña y buscarla conduce a
gran cantidad de falsos positivos

+ 52
Buscando la firma..
root@bt:~# sigfind -o 56 -l ef53 /dev/sda1

Block size: 512 Offset: 56 Signature: 53EF
Block: 2 (-) Primera aparición de la firma
Block: 262144 (+262142) Otras apariciones
Block: 346505 (+84361)

+ 53
Tabla de Descriptores de grupos de

bloque
 En el bloque siguiente del superblock se encuentra la tabla
descriptora de grupos de bloque.
 Comúnmente existe copias de tabla en los bloques de grupo ( ver

figura inferior)
 Un F.S en linux tiene igual número de bloques por grupo que bits en
un block. Por lo tanto el BlockBitmap requiere un bloque.
Backup Tabla desc. Block Inode Tabla de

SuperB. De grupos Bitmap Bitmap Inodos Datos Datos

+ 54
Estructuras Ext: SuperBlock (selección

de campos)
Byte Descripción
0-3 Número de Inodos en el FS
4-7 Número de Bloques en el F. S
8-11 Número de bloques reservados
12-15 Número de bloques disponibles ( no usados)
16-19 Número de inodos disponibles ( no usados)
20-23 Bloque donde el Grupo de Bloques 0 comienza
24-27 Tamaño del bloque ( número de lugares para desplazar 1024 a
la izquierda) Ej: 0-1024, 2-4096
32-35 Número de bloques en cada grupo de bloques
40-43 Número de inodos en cada grupo de bloques
44-47 Fecha del último montaje
48-51 Fecha de la última escritura
+ 55
Estructuras Ext: SuperBlock (selección

de campos) cont..
Bytes Descripción
52-53 Contador de montajes
54-55 Máximo número de montajes sin chequeo
56-57 Firma del F.S (0xef53)
58-59 Estado del F.S ( limpio, con errores, con archivos perdidos)
104-109 ID del Volumen
136-199 Subdirectorio donde fue montado por última vez
RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES
Recuerde que esta no es la tabla entera de los campos del Superblock.

Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystem
implementor's guide, Part 8.
+ 56
Una mirada al SuperBlock
1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe
comenzar en el bit 1024 (0x400).
2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos
3-Los bytes del 4-7 informan el número de bloques=240254 bloques
4- Los bytes 56-57 (0x38) contienen la firma 0xef53

+ Tabla descriptora de grupos 57
 Tiene una entrada por cada grupo de bloques existente en el F. S
 Comienza en el segundo bloque
byte Descripción
0-3 Dirección de inicio del bloque del bitmap del
bloque
4-7 Dirección de inicio del bloque del bitmap de
inodos
8-11 Dirección de inicio del bloque de la tabla de
inodos
12-13 Número de bloques disponibles en el grupo
14-15 Número de inodos disponibles en el grupo
16-17 Número de directorios en el grupo
18-31 No usados

+ 58
Cuando se crea un archivo
 El SO debe utilizar un inodo para el nuevo archivo.
 Trata de hacerlo en el mismo grupo de bloques del directorio que

contiene el archivo
 Si no es posible se busca un nuevo grupo para localizar el inodo.

+ 59
Cuando se crea un directorio
 Se trata de localizar en un grupo que no haya sido utilizado mucho

( equilibrando el uso del disco)( mucho es cantidad de inodos
ocupados no veces!)
 Para encontrarlo el S.O puede obtener del superblock el número de

inodos y bloques libres.
 Con este valor se comienza a buscar por los grupos de bloques hasta
encontrar a uno que tenga un valor por debajo del valor promedio de
utilización.

+ 60
Los inodos y la creación
 Cuando un inodo es localizado toda su información anterior es borrada.
 Un atributo llamado link count es puesto a 1 ( en caso de archivos) y 2

para directorios
 Cuando se borra un archivo el contador es decrementado, si llega a 0 el

inodo es considerado libre.
 Si un archivo es borrado y alguna aplicación lo tiene todavía abierto

pasa a ser considerado un orphan file y es inscrito en una lista en el
superblock.
 Cuando la aplicación cierra el archivo o cuando el sistema se reinicia el

inodo es liberado.

+
61
Pero recuerde
Hay muchos otros sitios donde buscar
Y sobre todo:
LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS
RESULTADOS OBTENIDOS POR UN INVESTIGADOR:
-ENTRENADO
-PACIENTE
-DISCIPLINADO
-CREATIVO
Reinaldo Mayol
Arnao
+
Otros sitios donde buscar en *nix?
/var/log/messages • contiene los mensajes generales del sistema
• guarda los sistemas de autenticación y

/var/log/secure seguridad
• guarda un historial de inicio y cierres de sesión

/var/log/wmtp pasadas
• guarda una lista dinámica de quien ha iniciado

/var/run/utmp la sesión
• guarda cualquier inicio de sesión fallido o

/var/log/btmp erróneo (sólo para Linux)

+
Sistema de Archivos
# fdisk –l /dev/hda
Disk /dev/hda: 64 heads, 63 sectors, 789 cylinders
Units = cylinders of 4032* 512 bytes
Device Boot Start End Blocks Id System
/dev/hda1 1 9 18112 83 Linux

Tipo
Disco
de
IDE A
SA
Partición:1

+
Permisología UNIX
R: Lectura
W: Escritura
X: Ejecución
Permiso
Negado
Permiso
111 110 111
Otorgado
Resto
Grupo
Propietario
+
Archivos Ocultos
 En UNIX los archivos ocultos se distinguen por comenzar por un “. “
# ls –a
.home
.stach
.gnome$

+
Casos típicos de intrusión
( ejemplos)
Usuarios del • Apache :23wedjg”jf:500:500:Usuario
General:/home/user:/bin/csh
Sistema con • Un usuario “demonio” no debe tener shell válido (
Shell Válido /bin/shell)
• User:23wedjg”jf:0:0:Usuario
Más de un General:/home/user:/bin/csh
superusuario • El UID 0 está reservado SOLO para el
root
Usuarios con • User:23wedjg”jf:500:500:Usuario

General:/var/www:/bin/csh
HOME • ¿Por qué un usuario general tiene como HOME el
incorrecto subdirectorio de Apache?

+
SUID y SGID
_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at
SUID
_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport
SGID
+
Syslog

+
Servicios Disponibles
 Revisar todo el árbol /etc/ rc*
 Ejecutar (si es posible) alguna herramienta de búsqueda de puertos abiertos.
 Tener en cuenta que muchos servicios pueden ser manejados por

Superdemonios (inetd)

+
Ejemplo típico de Intrusión
Servicios Scripts de
Arrancados fuera Arrancada “
de orden Adulterados”
Bibliotecas o
Binarios
Alterados

+
Cuentas de Usuarios
 Revisar /etc/passwd
 Si existe /etc/shadow

+
Trabajos temporizados
 Revisar los archivos relacionados con el cron del sistema

73
+
Y en Windows??
Algunos sitios donde buscar información adicional en Windows

+
Otras fuentes de información
 Los archivos de acceso directo
 Index.dat
 Thumbs.db
 Entradas del registro

+
Index.dat

+
Index.dat

+
Análisis de Temporales

+
Análisis de Atajos

El registro
 Los registros se encuentran en
varios archivos ocultos en:
%systemroot%\system32\config y
NTUSER.DAT.
 Un auditor forense debe hacer copias

de los archivos del registro y
visualizarlos en otro editor.

+
¿Cuál es la estructura del registro?

+
Logs
Los archivos Log de una máquina, son una fuente de

información importantísima en un análisis forense.
SysEvent.Evt. SecEvent.Evt. AppEvent.Evt.

Registra los Registra los Registra los
sucesos sucesos sucesos
relativos al relativos a la relativos a
sistema seguridad aplicaciones

+
Log con Visor Externo

+
Más donde buscar: Archivos Recientes

+
Más donde buscar: SystemInfo
C:\>systeminfo
Nombre de host: MEFISTO

Nombre del sistema operativo: Microsoft Windows XP Professional
Versión del sistema operativo: 5.1.2600 Service Pack 2 Compilación 2
600
Fabricante del sistema operativo: Microsoft Corporation
Configuración del sistema operativo: Estación de trabajo independiente
Tipo de compilación del sistema operativo: Uniprocessor Free
Propiedad de: Reinaldo Mayol Arnao
Organización registrada: ULA
Id. del producto: 55274-640-4467482-23960
Fecha de instalación original: 20/11/2007, 10:27:26 p.m.
Tiempo de actividad del sistema: 0 días, 12 horas, 28 minutos, 33 segu
ndos
Fabricante del sistema: CLEVO Co.
Modelo el sistema: M550SE/M660SE
Tipo de sistema: X86-based PC

+
Más donde buscar: SystemInfo Cont…
Procesador(es): 1 Procesadores instalados.

[01]: x86 Family 6 Model 14 Stepping
12 GenuineIntel ~1861 Mhz
Versión del BIOS: MSTEST - 6040000
Directorio de Windows: C:\WINDOWS
Directorio de sistema: C:\WINDOWS\system32
Dispositivo de inicio: \Device\HarddiskVolume1
Configuración regional del sistema: 0c0a
Idioma: 0000040A
Zona horaria: N/D
Cantidad total de memoria física: 894 MB
Memoria física disponible: 168 MB
Memoria virtual: tamaño máximo: 2.048 MB
Memoria virtual: disponible: 2.004 MB
Memoria virtual: en uso: 44 MB
Ubicación(es) de archivo de paginación: C:\pagefile.sys
Dominio: INICIOMS
Servidor de inicio de sesión: \\MEFISTO
Revisión(es): 170 revisión(es) instaladas. Reinaldo Mayol Arnao
+
Estado de los servicios
C:\>sc query >>sc

SERVICE_NAME: ALG
DISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
SERVICE_NAME: AudioSrv
DISPLAY_NAME: Audio de Windows
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
………

+
Conexiones Establecidas
C:\>netstat
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP mefisto:2852 bd07f3d2.virtua.com.br:https ESTABLISHED
TCP mefisto:2855 wr-in-f189.google.com:http ESTABLISHED
TCP mefisto:2856 by1msg3275906.phx.gbl:1863 ESTABLISHED
TCP mefisto:2876 eo-in-f147.google.com:http CLOSE_WAIT
TCP mefisto:2879 by1msg5082501.phx.gbl:1863 ESTABLISHED
TCP mefisto:2890 wx-in-f83.google.com:http CLOSE_WAIT

+
En muchos otros sitios ….
 Imágenes ( esteganografía )
Vaya al manual de prácticas de criptografía y encontrará una práctica

+
89
Y mucho mas…
Prof. Reinaldo Mayol Arnao
Reinaldo Mayol
Arnao

Análisis Forense v1

Cargado por

Copyright:

Formatos disponibles

También podría gustarte

Análisis Forense v1

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Análisis Forense v1

Cargado por

Copyright:

Formatos disponibles

+

Prof. Reinaldo Mayol

Reinaldo Mayol Arnao 2

¿Qué es el Análisis Forense?

 Es un proceso, metodológicamente guiado, que involucra los

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Como archivar una Pasos de la

Reinaldo Mayol Arnao

Estado de las conexiones de red, tablas

Estado de los procesos en ejecución.

Contenido del sistema de archivos y de

Contenido de otros dispositivos de

Reinaldo Mayol Arnao

Equipo para Análisis Forense

Reinaldo Mayol Arnao

Ciclo de Vida del Análisis Forense

HB171:2003 Handbook Guidelines for

 Si no se toman las medidas adecuadas para la manipulación de la

 Uno de los elementos que se utilizan son las Cadenas de Custodia

 Una adecuada Cadena de Confianza debe responder, para cada

 Elobjetivo de este paso es proveer un mecanismo que

Características de la evidencia forense

 El proceso de autenticación siempre siembra dudas sobre la veracidad

 Adquirir una copia de la evidencia puede ser un proceso difícil y

 Las pruebas pueden ser modificadas incluso durante su recolección.

Características de la evidencia forense

 La autentificación de la evidencia requiere mecanismos externos

Características de la evidencia forense

Reinaldo Mayol Arnao 16

Organización de los Datos

Los SO agrupan varios sectores consecutivos

 FAT, NTFS: Clusters

 EXT? (*nix): Blocks

1 sector: Aprox. 512 bytes

Reinaldo Mayol Arnao

Niveles del Sistema de Archivos

• File Name Nombre de los

• Datos Clúster, Blocks

• Sistema de Archivos Información de

• Físico Disco Físico

Reinaldo Mayol Arnao

 Las particiones tipo DOS se utilizan en la mayoría de los sistemas

Particiones Extendidas (E. P)

 Una partición extendida

Posición Longitud en Contenido

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Algunos Tipos de Particiones

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

 La unidad mínima de direccionamiento son los clusters.

 El S.O no puede direccionar sino clusters.

 Si un archivo es menor que el tamaño del cluster el espacio sobrante

 Este espacio es interesante, desde el punto de vista forense, ya que

Reinaldo Mayol Arnao

New Technologies File System

 El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr

Reinaldo Mayol Arnao