Actualizado el 2 de Junio del 2018 (Publicado el 10 de Abril del 2018)
1.704 visualizaciones desde el 10 de Abril del 2018
9,5 MB
282 paginas
Creado hace 16a (14/09/2007)
a
c
i
t
UNIVERSIDAD DE JAÉN
Escuela Politécnica Superior de Jaén
Proyecto Fin de Carrera
HERRAMIENTA DE APOYO
PARA EL ANÁLISIS FORENSE
DE COMPUTADORAS
Alumno: José Arquillo Cruz
Tutor:
Dpto:
Prof. D. Manuel José Lucena López
Informática
Septiembre, 2007
n
é
a
J
e
d
r
o
i
r
e
p
u
S
a
c
n
c
é
t
i
l
i
l
o
P
a
e
u
c
s
E
á
m
r
o
n
f
I
n
e
a
i
í
r
e
n
e
g
n
I
1
2
Herramienta de apoyo para el análisis forense de computadoras
D. Manuel José Lucena López, del Departamento de Informática de la Universidad de
Jaén,
INFORMA
Que la memoria titulada “Herramienta de apoyo para el análisis forense de
computadoras” ha sido realizada por Dª. José Arquillo Cruz bajo mi dirección y se
presenta como memoria del Proyecto Fin de Carrera relizado para optar al grado de
Ingeniera en Informática.
Jaén, 14 de septiembre de 2006
Vº Bº
Fdo: Manuel José Lucena López
José Arquillo Cruz
3
4
Herramienta de apoyo para el análisis forense de computadoras
INDICE DE CONTENIDOS
Agradecimientos ______________________________________________________ 9
PARTEI: INVESTIGACIÓN ___________________________________________ 10
1 INTRODUCCIÓN ______________________________________________________ 11
1.1 Contexto___________________________________________________________________11
1.2 Un poco de historia __________________________________________________________12
1.3 Objetivo y Metodología _______________________________________________________15
1.4 Motivación del alumno _______________________________________________________16
2 APLICANDO LA CIENCIA FORENSE A LAS COMPUTADORAS ____________ 17
2.1 Modelo de Casey (2000) ______________________________________________________17
2.2 Modelo publicado por el U.S. Dep. of Justice (2001) ________________________________18
2.3 Modelo de Lee (2001) ________________________________________________________18
2.5 Modelo de Reith, Carr y Gunsch (2002) __________________________________________20
2.6 Modelo integrado de Brian Carrier y Eugene Spafford (2003) _________________________21
2.7 Modelo mejorado propuesto por Venansius Baryamureeba y Florence Tushabe (2004)______23
2.8 Modelo extendido de Séamus Ó Ciardhuáin (2004) _________________________________25
3 MODELO DE CASEY (2004) _____________________________________________ 30
3.1 Autorización y Preparación ____________________________________________________33
3.2 Documentación _____________________________________________________________35
3.3 Identificación _______________________________________________________________37
3.3.1 Identificación de Hardware ________________________________________________37
3.3.2 Identificación del software _________________________________________________58
3.4 Adquisición ________________________________________________________________61
3.4.1 Adquisición del hardware__________________________________________________61
3.4.2 Adquisición del software __________________________________________________62
3.5 Examen y Análisis ___________________________________________________________67
3.5.1 Filtrado/Reducción de los datos para análisis __________________________________67
3.5.2 Búsqueda y recopilación de información ______________________________________67
3.5.4 Técnicas de extracción de información _______________________________________77
3.5.5 Reconstrucción_________________________________________________________104
3.5.6 Publicación de conclusiones_______________________________________________109
4. ASPECTOS LEGALES ________________________________________________ 113
4.1 Legislación internacional _____________________________________________________114
4.2 Legislación nacional (España) ______________________________________________116
5 HERRAMIENTAS _____________________________________________________ 119
5.1 Evolución de las Herramientas de Investigación ___________________________________120
5.2 ANÁLISIS DE DISCOS _____________________________________________________122
5.2.1 LINReS, de NII Consulting Pvt. Ltd.________________________________________122
5.2.2 SMART, by ASR Data___________________________________________________123
5.2.3 Macintosh Forensic Software, de BlackBag Technologies, Inc. ___________________124
5.2.4 MacForensicLab, de Subrosasoft ___________________________________________125
5.2.5 BringBack de Tech Assist, Inc. ____________________________________________126
5.2.6 EnCase, by Guidance Software ____________________________________________127
5.2.7 FBI, by Nuix Pty Ltd ____________________________________________________129
5.2.8 Forensic Toolkit (FTK), de AccessData______________________________________132
5.2.9 ILook Investigator,______________________________________________________133
5.2.10 Safeback de NTI & Armor Forensics_______________________________________136
5.2.11 X-Ways Forensics, de X-Ways AG ________________________________________136
5.2.12 Prodiscover, de Techpathways____________________________________________138
José Arquillo Cruz
5
5.2.13 AFFLIB _____________________________________________________________139
5.2.14 Autopsy _____________________________________________________________139
5.2.15 FOREMOST _________________________________________________________142
5.2.16 FTimes ______________________________________________________________144
5.2.17 Gfzip________________________________________________________________145
5.2.18 Gpart________________________________________________________________145
5.2.19 Magic Rescue_________________________________________________________146
5.2.20 PyFlag ______________________________________________________________146
5.2.21 Scalpel ______________________________________________________________148
5.2.22 Scrounge-Ntfs ________________________________________________________148
5.2.23 The Sleuth Kit ________________________________________________________149
5.2.24 The Coroner's Toolkit (TCT) _____________________________________________150
5.2.25 Zeitline ______________________________________________________________151
5.3 EXTRACCIÓN DE META-DATOS____________________________________________153
5.3.1 Antiword _____________________________________________________________153
5.3.2 Catdoc y XLS2CSV _____________________________________________________153
5.3.3 Jhead_________________________________________________________________154
5.3.4 VINETTO ____________________________________________________________155
5.3.5 Word2x_______________________________________________________________157
5.3.6 WvWare ______________________________________________________________157
5.3.7 XPDF ________________________________________________________________158
5.3.8 Metadata Assistant ______________________________________________________159
5.4 ANÁLISIS DE FICHEROS___________________________________________________160
5.4.1 File __________________________________________________________________160
5.4.2 Ldd __________________________________________________________________160
5.4.3 Ltrace ________________________________________________________________160
5.4.4 Strace ________________________________________________________________160
5.4.5 Strings _______________________________________________________________161
5.4.6 Galleta _______________________________________________________________161
5.4.7 Pasco ________________________________________________________________162
5.4.8 Rifiuti ________________________________________________________________163
5.4.9 Yim2text______________________________________________________________163
5.5 ANÁLISIS DE INTERNET___________________________________________________164
5.5.1 Chkrootkit ____________________________________________________________164
5.5.2 Cryptcat ______________________________________________________________164
5.5.3 Netcat ________________________________________________________________165
5.5.4 NetIntercept ___________________________________________________________165
5.5.5 Rkhunter______________________________________________________________165
5.5.6 Sguil _________________________________________________________________166
5.5.7 Snort_________________________________________________________________166
5.5.8 Tcpdump _____________________________________________________________167
5.5.9 Tcpextract_____________________________________________________________168
5.5.10 Tcpflow _____________________________________________________________169
5.5.11 TrueWitness __________________________________________________________170
5.5.12 Etherpeek ____________________________________________________________170
5.6 RECUPERACIÓN DE DATOS _______________________________________________171
5.6.1 BringBack ____________________________________________________________171
5.6.2 ByteBack Data Recovery Investigative Suite v4.0______________________________171
5.6.3 RAID Reconstructor_____________________________________________________173
5.6.4 Salvation Data _________________________________________________________174
5.7 RECUPERACIÓN DE PARTICIONES _________________________________________174
5.7.1 Partition Table Doctor ___________________________________________________174
5.7.2 Parted ________________________________________________________________175
5.7.3 Active Partition Recovery ________________________________________________175
5.7.4 Testdisk ______________________________________________________________176
5.8 ADQUISICIÓN DE IMAGENES ______________________________________________178
5.8.1 ewfacquire ____________________________________________________________178
5.8.2 Adepto (Grab) _________________________________________________________178
5.8
Comentarios de: HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE COMPUTADORAS (0)
No hay comentarios