PDF de programación - HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE COMPUTADORAS

a
c
i
t

UNIVERSIDAD DE JAÉN

Escuela Politécnica Superior de Jaén

Proyecto Fin de Carrera

HERRAMIENTA DE APOYO
PARA EL ANÁLISIS FORENSE

DE COMPUTADORAS

Alumno: José Arquillo Cruz


Tutor:

Dpto:



Prof. D. Manuel José Lucena López

Informática

Septiembre, 2007



n
é
a
J

e
d


r
o
i
r
e
p
u
S
a
c
n
c
é
t
i
l



i

l

o
P

a
e
u
c
s
E

á
m
r
o
n

f

I


n
e
a



i

í
r
e
n
e
g
n

I



1



2

Herramienta de apoyo para el análisis forense de computadoras







D. Manuel José Lucena López, del Departamento de Informática de la Universidad de
Jaén,



INFORMA



Que la memoria titulada “Herramienta de apoyo para el análisis forense de
computadoras” ha sido realizada por Dª. José Arquillo Cruz bajo mi dirección y se
presenta como memoria del Proyecto Fin de Carrera relizado para optar al grado de
Ingeniera en Informática.



Jaén, 14 de septiembre de 2006



Vº Bº



Fdo: Manuel José Lucena López


José Arquillo Cruz



3




4

Herramienta de apoyo para el análisis forense de computadoras




INDICE DE CONTENIDOS


Agradecimientos ______________________________________________________ 9
PARTEI: INVESTIGACIÓN ___________________________________________ 10
1 INTRODUCCIÓN ______________________________________________________ 11
1.1 Contexto___________________________________________________________________11
1.2 Un poco de historia __________________________________________________________12
1.3 Objetivo y Metodología _______________________________________________________15
1.4 Motivación del alumno _______________________________________________________16
2 APLICANDO LA CIENCIA FORENSE A LAS COMPUTADORAS ____________ 17
2.1 Modelo de Casey (2000) ______________________________________________________17
2.2 Modelo publicado por el U.S. Dep. of Justice (2001) ________________________________18
2.3 Modelo de Lee (2001) ________________________________________________________18
2.5 Modelo de Reith, Carr y Gunsch (2002) __________________________________________20
2.6 Modelo integrado de Brian Carrier y Eugene Spafford (2003) _________________________21
2.7 Modelo mejorado propuesto por Venansius Baryamureeba y Florence Tushabe (2004)______23
2.8 Modelo extendido de Séamus Ó Ciardhuáin (2004) _________________________________25
3 MODELO DE CASEY (2004) _____________________________________________ 30
3.1 Autorización y Preparación ____________________________________________________33
3.2 Documentación _____________________________________________________________35
3.3 Identificación _______________________________________________________________37
3.3.1 Identificación de Hardware ________________________________________________37
3.3.2 Identificación del software _________________________________________________58
3.4 Adquisición ________________________________________________________________61
3.4.1 Adquisición del hardware__________________________________________________61
3.4.2 Adquisición del software __________________________________________________62
3.5 Examen y Análisis ___________________________________________________________67
3.5.1 Filtrado/Reducción de los datos para análisis __________________________________67
3.5.2 Búsqueda y recopilación de información ______________________________________67
3.5.4 Técnicas de extracción de información _______________________________________77
3.5.5 Reconstrucción_________________________________________________________104
3.5.6 Publicación de conclusiones_______________________________________________109
4. ASPECTOS LEGALES ________________________________________________ 113
4.1 Legislación internacional _____________________________________________________114
4.2 Legislación nacional (España) ______________________________________________116
5 HERRAMIENTAS _____________________________________________________ 119
5.1 Evolución de las Herramientas de Investigación ___________________________________120
5.2 ANÁLISIS DE DISCOS _____________________________________________________122
5.2.1 LINReS, de NII Consulting Pvt. Ltd.________________________________________122
5.2.2 SMART, by ASR Data___________________________________________________123
5.2.3 Macintosh Forensic Software, de BlackBag Technologies, Inc. ___________________124
5.2.4 MacForensicLab, de Subrosasoft ___________________________________________125
5.2.5 BringBack de Tech Assist, Inc. ____________________________________________126
5.2.6 EnCase, by Guidance Software ____________________________________________127
5.2.7 FBI, by Nuix Pty Ltd ____________________________________________________129
5.2.8 Forensic Toolkit (FTK), de AccessData______________________________________132
5.2.9 ILook Investigator,______________________________________________________133
5.2.10 Safeback de NTI & Armor Forensics_______________________________________136
5.2.11 X-Ways Forensics, de X-Ways AG ________________________________________136
5.2.12 Prodiscover, de Techpathways____________________________________________138

José Arquillo Cruz



5

5.2.13 AFFLIB _____________________________________________________________139
5.2.14 Autopsy _____________________________________________________________139
5.2.15 FOREMOST _________________________________________________________142
5.2.16 FTimes ______________________________________________________________144
5.2.17 Gfzip________________________________________________________________145
5.2.18 Gpart________________________________________________________________145
5.2.19 Magic Rescue_________________________________________________________146
5.2.20 PyFlag ______________________________________________________________146
5.2.21 Scalpel ______________________________________________________________148
5.2.22 Scrounge-Ntfs ________________________________________________________148
5.2.23 The Sleuth Kit ________________________________________________________149
5.2.24 The Coroner's Toolkit (TCT) _____________________________________________150
5.2.25 Zeitline ______________________________________________________________151
5.3 EXTRACCIÓN DE META-DATOS____________________________________________153
5.3.1 Antiword _____________________________________________________________153
5.3.2 Catdoc y XLS2CSV _____________________________________________________153
5.3.3 Jhead_________________________________________________________________154
5.3.4 VINETTO ____________________________________________________________155
5.3.5 Word2x_______________________________________________________________157
5.3.6 WvWare ______________________________________________________________157
5.3.7 XPDF ________________________________________________________________158
5.3.8 Metadata Assistant ______________________________________________________159
5.4 ANÁLISIS DE FICHEROS___________________________________________________160
5.4.1 File __________________________________________________________________160
5.4.2 Ldd __________________________________________________________________160
5.4.3 Ltrace ________________________________________________________________160
5.4.4 Strace ________________________________________________________________160
5.4.5 Strings _______________________________________________________________161
5.4.6 Galleta _______________________________________________________________161
5.4.7 Pasco ________________________________________________________________162
5.4.8 Rifiuti ________________________________________________________________163
5.4.9 Yim2text______________________________________________________________163
5.5 ANÁLISIS DE INTERNET___________________________________________________164
5.5.1 Chkrootkit ____________________________________________________________164
5.5.2 Cryptcat ______________________________________________________________164
5.5.3 Netcat ________________________________________________________________165
5.5.4 NetIntercept ___________________________________________________________165
5.5.5 Rkhunter______________________________________________________________165
5.5.6 Sguil _________________________________________________________________166
5.5.7 Snort_________________________________________________________________166
5.5.8 Tcpdump _____________________________________________________________167
5.5.9 Tcpextract_____________________________________________________________168
5.5.10 Tcpflow _____________________________________________________________169
5.5.11 TrueWitness __________________________________________________________170
5.5.12 Etherpeek ____________________________________________________________170
5.6 RECUPERACIÓN DE DATOS _______________________________________________171
5.6.1 BringBack ____________________________________________________________171
5.6.2 ByteBack Data Recovery Investigative Suite v4.0______________________________171
5.6.3 RAID Reconstructor_____________________________________________________173
5.6.4 Salvation Data _________________________________________________________174
5.7 RECUPERACIÓN DE PARTICIONES _________________________________________174
5.7.1 Partition Table Doctor ___________________________________________________174
5.7.2 Parted ________________________________________________________________175
5.7.3 Active Partition Recovery ________________________________________________175
5.7.4 Testdisk ______________________________________________________________176
5.8 ADQUISICIÓN DE IMAGENES ______________________________________________178
5.8.1 ewfacquire ____________________________________________________________178
5.8.2 Adepto (Grab) _________________________________________________________178
5.8