Publicado el 16 de Junio del 2018
1.146 visualizaciones desde el 16 de Junio del 2018
3,0 MB
20 paginas
Creado hace 11a (02/09/2012)
28/02/13
Manual NO Oficial de la FOCA Forensic
de actualidad y seguridad informática, herramientas de seguridad, documentación y una excelente
COMUNIDAD.
La Comunidad DragonJAR Noticias
Protección
Documentacion
Noticias de seguridad informática
Suscribete
Contacto
Email
Entradas
ComunidadForos de La Comunidad
LaboratoriosLaboratorios de La Comunidad
ChatEl Canal IRC
RegistrateRegistrate en la Comunidad
ServiciosNuestros Servicios
Capacitaciones en Seguridad
Soluciones Web Seguras
Escribe palabras clave
Manual NO Oficial de la FOCA Forensic
2 septiembre 2012 6 Comentarios
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
1/20
28/02/13
Manual NO Oficial de la FOCA Forensic
Whitepaper Gratis
www.sourcefire.com/agile
12 Princípios Básicos para la Seguridad
Para el Mundo Real.
Cellebrite Forensics
www.cellebrite.com
The Leading Forensics Solutions for
Smartphones
Seguridad Informatica
www.atl-capacitacion.com.mx
Certificate como Ethical Hacker ver 8.
Sé de los primeros. Llama ahora
Redes de Proteccion
www.aazzynet.com
Redes de Proteccion, para racks, Seguridad,
Puentes,Tirolesas y más
Financiamiento para Pymes
AmexEmpresas.com.mx
Obtenga ahora el Financiamiento que su Pyme
está buscando
Seguridad Informática
www.carreras-cursos-en-mexico.com
Cursos Online de Seguridad Informática.
¡Infórmate Ya!
Seguridad Informatica
www.Aprender21.com
Curso Universitario a Distancia de Seguridad
Informatica
La FOCA Forensic es una nueva herramienta de la suite “FOCA” (ya tenemos la FOCA Classic, La FOCA
Forensic y pronto la Evil FOCA) que los chicos de informatica64 crearon para facilitarle la vida a los
investigadores forenses a la hora de extraer y analizar los meta datos de un conjunto de documentos.
Analizar grandes cantidades de documentos sin un sistema de automatización que nos ayude es algo complicado
y que requiere de mucho tiempo en una investigación forense digital, por eso una herramienta como la FOCA
Forensic es tan útil en estos casos, con este texto se pretende crear un manual NO OFICIAL de esta
herramienta, para sacar el máximo provecho de ella y extender su utilización.
Lo primero que nos encontramos al abrir la herramienta (una vez descargado el archivo de licencia especifico
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
2/20
28/02/13
Manual NO Oficial de la FOCA Forensic
para tu equipo) es el asistente que nos guiará paso a paso en el proceso de crear un nuevo proyecto.
En el solo debemos poner el nombre del nuevo proyecto, la fecha y una nota opcional para referenciar mejor el
proyecto que estamos iniciando, si ya tenemos un proyecto creado y deseamos continuar trabajando con el,
debemos darle al botón “Skip”, pero como no es nuestro caso, damos a “Next” y continuamos.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
3/20
28/02/13
Manual NO Oficial de la FOCA Forensic
Después de definir el nombre del nuevo proyecto, pasamos a darle la ruta donde deseamos buscar los
documentos a los que la FOCA Forensic puede extraerles información, aquí podemos definir una carpeta en
especial como “Mis Documentos” o una partición entera como “C:\”.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
4/20
28/02/13
Manual NO Oficial de la FOCA Forensic
La herramienta es capaz de analizar los metadatos de una larga lista de formatos que podemos ver a
continuación aunque en su interface solo cite los .doc y docx o los .jpg y .svg:
Microsoft Office 2007 y posterior (.docx, .xlsx, .pptx, .ppsx)
Microsoft Office 97 al 2003 (.doc, .xls, .ppt, .pps)
OpenOffice (.odt, .ods, .odg, .odp, .sxw, .sxc, .sxi)
Documentos PDF
Información EXIF de imágenes JPG
WordPerfect (.wpd)
Imágenes SVG
Documentos de InDesign (.indd)
Después de elegir los archivos que deseamos buscar en el equipo, el asistente nos pregunta con que tipo de hash
deseamos “firmar” cada uno de estos archivos encontrados.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
5/20
28/02/13
Manual NO Oficial de la FOCA Forensic
Finalmente y antes de mostrarnos la interface principal de la herramienta nos pregunta si deseamos realizar una
búsqueda recursiva, es decir, si queremos que si encuentra una carpeta, dentro de la carpeta que seleccionamos,
realice una búsqueda también dentro de ella, es recomendable darle a esta opción de forma positiva ya que lo
que necesitamos es la mayor cantidad de documentos para poder sacar información que nos sea útil de ellos.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
6/20
28/02/13
Manual NO Oficial de la FOCA Forensic
Cuando podemos acceder a el modo de visualización por defecto de la Foca Forensic nos encontramos con una
ventana conformada principalmente por tres partes, las cuales he llamado Barra de Herramientas, Archivos y
Resumen y Listado de Archivos (seguramente en Informatica64 tendrán otros nombres para cada uno de
ellos y por razones como esta, este manual no es oficial) como podemos apreciar en la siguiente imagen:
En la barra de herramientas tenemos los siguientes botones, cada uno con una tarea especifica.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
7/20
28/02/13
Manual NO Oficial de la FOCA Forensic
En los archivos y resúmenes podemos encontrar con las siguientes opciones:
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
8/20
28/02/13
Manual NO Oficial de la FOCA Forensic
No te olvides del clic derecho… En la FOCA Forensic podemos hacer clic derecho en una gran cantidad de
lugares y sus opciones varían según donde lo hagamos, si lo hacemos en uno de los archivos que nos muestra el
“Listado de archivos”, podemos abrirlo, eliminarlos del listado, realizar un reporte con toda la información de
este archivo (En HTML, XML, PDF pronto o imprimir este reporte).
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
9/20
28/02/13
Manual NO Oficial de la FOCA Forensic
Si el clic derecho lo realizamos en los archivos agrupados por extensión también podemos generar un reporte
con la información de todos los archivos que contengan esa extensión, que puede ser exportado como un
informe en los formatos anteriormente mencionados.
Si decidimos hacer clic derecho en los grupos donde se resume la información sensible conseguida (Usuarios,
Carpetas, Impresoras, Software, Emails, Sistema Operativo, Contraseñas, Servidores) podemos generar
un informe de toda la información que contiene cada grupo, pero si por el contrario decidimos hacer clic
derecho en uno solo de los resultados de esos grupos, nos permite buscar todos los archivos donde se encontró
ese resultado.
El segundo modo de visualización que incluye la FOCA Forensic es el modo “Línea de tiempo” muy útil para
los analistas forenses, ya que organiza los archivos según su fecha de creación, por lo que podemos ver de
forma grafica que documentos fueron creados a que horas y por que usuario, este modo de visualización
también se puede dividir en 3 partes, la primera parte de filtros, la segunda que es la línea de tiempo y la tercera
que serian los usuarios.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
10/20
28/02/13
Manual NO Oficial de la FOCA Forensic
algunas de las herramientas mas útiles con las que contamos a la hora de hacer un análisis forense, ya que nos
permiten segmentar bastante toda la información encontrada en un equipo y descartar miles de archivos que no
cumplen nuestros criterios, para centrarnos solamente en los que si lo cumplen, ahorrando muchísimo tiempo a la
hora de realizar un análisis de este tipo.
Los filtros son
Entre las opciones de filtro que podemos tenemos en la línea de tiempo de la FOCA Forensic encontramos:
Filter by date/Filtro por fecha: si conocemos mas o menos el periodo de tiempo en el que se realizó el
incidente que estamos analizando, es poco útil que nos desgastemos analizando archivos generados varios
años antes a ese periodo de tiempo, yo personalmente sugiero analizar los archivos un mes antes y un mes
después del periodo de tiempo estipulado del incidente, por lo que si el incidente se realizó entre el 20 y el
30 de diciembre del 2010, un filtro apropiado seria del 20 de noviembre al 30 de enero de 2011, si
vemos necesario, podemos ir aumentando gradualmente este espacio de tiempo un mes cada vez.
Filter by user/Filtrado por usuario: si el equipo es utilizado por varias personas (algo muy común) y
solo una de ellas es sospechosa o esta involucrada en el incidente que estamos analizando, este filtro será
muy útil en nuestra investigación, ya que solo nos mostrara los archivos creados, modificados, leídos o
impresos por este usuario.
Filter by file name/Filtro por nombre de archivos: Este filtro nos sirve para listar en la línea de tiempo
por ejemplo los archivos que en su nombre tengan la palabra “nomina”.
Filter by event type/Filtro por tipo de evento: Este filtro es bastante interesante, por que nos permite
limitar nuestra línea de tiempo a los archivos creados, modificados, imprimidos o leídos en una fecha
determinada o por un usuario determinado (según los filtros anteriores), diferenciando entre la
información generada por el sistema operativo o la que nos proporcionan los metadatos.
Filter by file type/Filtro por tipo: Si conocemos que una infección a una empresa se realizó por medio
de un archivo PDF infectado, podemos limitar nuestra línea de tiempo solo a los archivos de este tipo.
www.dragonjar.org/manual-no-oficial-de-la-foca-forensic.xhtml#more-12506
11/20
28/02/13
Manual NO Oficial de la FOCA Forensic
Podemos combinar todos los filtros según nuestra necesidades, por lo que podemos mostrar en nuestra
línea de tiempo solo los archivos que pasen esta serie de filtros que realizamos basados en la información
recopilada con anterioridad del caso, si queremos ver TODOS los archivos en esta línea de tiempo solo
debemos
Crear cuenta
Comentarios de: Manual NO Oficial de la FOCA Forensic (0)
No hay comentarios