Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis Forense v1
Análisis Forense v1
Análisis Forense v1
Análisis Forense
Principios
para la
recolección
de
evidencias
Consideracione
s relativas a la
privacidad de
RFC Orden de
3227
los datos volatilidad
Cosas a
evitar
Procedimiento
de recolección
Herramientas necesarias
y medios de
almacenamiento de Transparencia
éstas
RFC3227
Cadena de custodia
Orden de Jerarquía
+
Registros y contenidos de la caché.
Contenidos de la memoria.
-
almacenamiento.
Diseño de
Evidencia
Determinación Producción de la
de Relevancia Evidencia
Reporte y Recolección de
Presentación la Evidencia
Análisis de la
Evidencia
Manipulación de la Evidencia
Manipulación de la Evidencia
Autentificación de la Evidencia
¿Hasta Donde ?
Es posible definir
con exactitud el 80
% de lo que ha
hecho un
sospechoso el…
20% del TIEMPO
+ Conociendo el sistema de
Archivos
Parte 2
• Metadata Información de la
Estructura del F. S
Particiones D.O.S
+ 20
Particiones DOS
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol
Sólo 4 entradas
Reinaldo Mayol Arnao
+ 21
ExtendedPartition Table
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol
Reinaldo Mayol Arnao
+ 22
Tabla de Particiones
Ej. Partición de 40 GB
Tabla de Particiones Byte 446
Continuación
Termina: Sector F8(248) cilindro FF
La partición inicia
56 sectores desde el
Partición activa Sector 1, Cilindro 0 Partición NTFS inicio de la tabla
80 01 01 00 07 FE F8 FF 38 00 00 00
10 B3 FF 04 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
83866384
00 00 00 00 00Sectores
00 00 * 00 00 00 00 00
512B= 40GB
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 55 AA
Fin de la Tabla de Particiones
Reinaldo Mayol Arnao
+ 25
Hex Tipo
Valor
0C FAT 32
83 Linux
82 Linux Swap
07 NTFS
a8 MacOSX
Metadata
Todos los
sistemas de
archivos
NTFS : MFT ( Master File
dedican
algunos
Table)
archivos a
contener
información
*nix :Inodos
que describe
a otros
archivos.
FAT: Entradas de Directorio.
Metadata
Los archivos
de Metadatos MAC times,
contienen
información
como:
permisos,
propietarios,
tamaño de los archivos,
localización,
etc.
Reinaldo Mayol Arnao
+ 28
Slack Space
NTFS
Existe una entrada de 1KB en la MFT por cada archivo o directorio en el volumen.
Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos) y el resto
son atributos no previamente definidos.
Boot Sector
Estructura $MFT
0 $MFT MFT
Metadata FILES
Entradas MFT
Atribute Header:
• Tipo
• Tamaño Atribute Header Espacio no utilizado
• Nombre
Header STANDARD_INFORMATIO
$STANDARD_INFORMATION
MFT $FILE_NAME $DATA
N
Para un subdirectorio:
Header
$INDEX_ROOT
$INDEX_ALLOCATION
Ext
Ext cont…
Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits)
Inodos
Un inodo contiene:
Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096
1019)
Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups)
Información temporal ( último acceso, modificación, borrado, cambio de la
metadata)
Permisos
Tipo de archivos
Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero
1970.
Los tiempos son almacenados en la cantidad de segunsos desde 1ro Enero 1970.
Reinaldo Mayol Arnao
+ 45
Inodos
Cada inodo puede almacenar las direcciones de los primeros 12
bloques de un archivo. (bloques directos)
Inodos
Ext cont…
Información contenida:
Tamaño de los bloques
Número total de bloques por grupo de bloques
Número de bloques reservados antes del primer grupo de bloques.
Buscando la firma..
Un F.S en linux tiene igual número de bloques por grupo que bits en
un block. Por lo tanto el BlockBitmap requiere un bloque.
1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe
comenzar en el bit 1024 (0x400).
2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos
3-Los bytes del 4-7 informan el número de bloques=240254 bloques
4- Los bytes 56-57 (0x38) contienen la firma 0xef53
byte Descripción
0-3 Dirección de inicio del bloque del bitmap del
bloque
4-7 Dirección de inicio del bloque del bitmap de
inodos
8-11 Dirección de inicio del bloque de la tabla de
inodos
12-13 Número de bloques disponibles en el grupo
14-15 Número de inodos disponibles en el grupo
16-17 Número de directorios en el grupo
18-31 No usados
Con este valor se comienza a buscar por los grupos de bloques hasta
encontrar a uno que tenga un valor por debajo del valor promedio de
utilización.
Pero recuerde
Hay muchos otros sitios donde buscar
Y sobre todo:
LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS
RESULTADOS OBTENIDOS POR UN INVESTIGADOR:
-ENTRENADO
-PACIENTE
-DISCIPLINADO
-CREATIVO
Reinaldo Mayol
Arnao
+
Otros sitios donde buscar en *nix?
# fdisk –l /dev/hda
R: Lectura
W: Escritura
X: Ejecución
Permiso
Negado
Permiso
111 110 111
Otorgado
Resto
Grupo
Propietario
Reinaldo Mayol Arnao
+
Archivos Ocultos
# ls –a
.home
.stach
.gnome$
• User:23wedjg”jf:0:0:Usuario
Más de un General:/home/user:/bin/csh
superusuario • El UID 0 está reservado SOLO para el
root
SUID
SGID
Reinaldo Mayol Arnao
+
Syslog
Servicios Scripts de
Arrancados fuera Arrancada “
de orden Adulterados”
Bibliotecas o
Binarios
Alterados
Revisar /etc/passwd
Si existe /etc/shadow
+
Y en Windows??
Algunos sitios donde buscar información adicional en Windows
Index.dat
Thumbs.db
C:\>systeminfo
SERVICE_NAME: AudioSrv
DISPLAY_NAME: Audio de Windows
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
………
C:\>netstat
Conexiones activas
Imágenes ( esteganografía )
Y mucho mas…
Reinaldo Mayol
Arnao