Publicado el 28 de Junio del 2018
383 visualizaciones desde el 28 de Junio del 2018
2,9 MB
75 paginas
Análisis
Forense
Reinaldo Mayol Arnao
Reinaldo Mayol Arnao
¿Qué
es
el
Análisis
Forense?
• Es
un
proceso,
metodológicamente
guiado,
que
involucra
los
siguientes
elementos,
referidos
a
los
datos
de
un
sistema
computacional:
– Preservación
– IdenAficación
– Extracción
– Documentación
– Interpretación
Reinaldo Mayol Arnao
¿Cúales
son
las
diferencias
más
comunes
con
un
proceso
forense
• Cuando
se
subtrae
información
esta
sigue
estando
donde
tradicional?
•
•
•
•
•
estaba
La
copia
de
los
datos
es
idénAca
a
los
originales
Los
datos
pueden
accederse
si
contacto
Isico
La
información
puede
ser
ocultada
para
que
no
sea
reconocida
La
información
puede
ser
distribuida
en
pocos
segundos
a
numerosos
lugares
La
información
puede
ser
destruida
sin
que
queden
rastros,
ni
exista
forma
de
recuperarla
• El
volumen
de
datos
puede
ser
significaAvo
•
La
información
colectada
puede
ser
falsa
Reinaldo Mayol Arnao
Metodología
de
Análisis
Forense
1. Adquisición
de
Evidencia
2. AutenAficación
de
la
evidencia
colectada
3. Análisis
de
la
Evidencia
Reinaldo Mayol Arnao
1-‐Adquisición
de
Evidencia
• Preservar
los
datos,
aún
si
estos
se
encuentran
en
medios
voláAles
como
la
memoria
RAM
del
sistema
afectado.
• Si
no
se
encuentra
evidencia
en
medios
voláAles,
el
equipo
debe
ser
iniciado
desde
un
disco
flexible
debidamente
El
contenido
de
todos
los
discos
duros
debe
ser
volcado
a
algún
medio
de
almacenamiento
secundario
• El
medio
de
almacenamiento
que
conAene
la
data
respaldada
debe
ser
instalado
en
una
estación
especial
de
análisis
de
evidencias.
• Si
se
sospecha
la
existencia
de
evidencia
en
medios
como
la
memoria
RAM
esta
debe
ser
volcada
a
un
medio
perecedero.
• Es
muy
importante
documentar
todos
los
pasos
ejecutados
así
como
el
contendido
de
toda
la
evidencia
colectada.
Reinaldo Mayol Arnao
Principios
Generales
de
la
Colección
de
Evidencias
Digitales
• Cualquier
labor
realizada
no
debe
modificar
la
evidencia
• En
caso
de
que
sea
necesario
operar
sobre
la
evidencia
original
la
persona
debe
estar
capacitada
para
realizar
la
labor
sin
que
la
evidencia
sea
afectada
• Cualquier
acAvidad
sobre
la
evidencia
debe
ser
minusiosamente
documentaday
estar
disponible
para
su
revisión
y
comprobación.
Reinaldo Mayol Arnao
Adqusición
de
la
Evidencia
VoláAl
• Hora
del
Sistema
• Historial
de
Comandos
• Usuarios
AcAvos
• Servicios
y
DisposiAvos
• Información
sobre
• PolíAcas
de
Grupo
• Almacenamientos
procesos
• Memoria
de
procesos
• Contenido
del
protapapeles
Protegidos
Reinaldo Mayol Arnao
Adquisición
de
Evidencia
VoláAl:Usuarios
conectados
Reinaldo Mayol Arnao
Adquisición
de
Evidencia
VoláAl:Procesos
Reinaldo Mayol Arnao
Adquisición
de
Evidencia
VoláAl:Memoria
• C:>
pmdump
1020
volcadoram.explorer
Archivo de volcado
Proceso
Reinaldo Mayol Arnao
1-‐a)
Manipulación
de
la
Evidencia
• Si
no
se
toman
las
medidas
adecuadas
para
la
manipulación
de
la
evidencia
esta
puede
perderse
o
resultar
inaceptable
como
prueba.
• Uno
de
los
elementos
que
se
uAlizan
son
las
Cadenas
de
Confianza.
Una
adecuada
Cadena
de
Confianza
debe
responder,
para
cada
evidencia,
las
siguientes
interrogantes:
– ¿Quién
colectó
la
evidencia?
– ¿Cómo
y
donde
fue
colectada?
– ¿Quiénes
tuvieron
posesión
y
acceso
a
la
evidencia?
– ¿Cómo
fue
almacenada
y
protegida?
– ¿Quién
la
ha
manipulado?
Reinaldo Mayol Arnao
1-‐a)
Manipulación
de
la
Evidencia
cont…
• Toda
la
evidencia
colectada
debe
ser
idenAficada.
• La
idenAficación
debe
incluir
los
siguientes
elementos:
– Número
del
caso
– Descripción
de
caso
– Firma
del
InvesAgador
que
colecta
la
evidencia
– Fecha
y
hora
en
que
la
evidencia
ha
sido
colectada
Reinaldo Mayol Arnao
1-‐a)
Manipulación
de
la
Evidencia
cont…
• Si
la
evidencia
debe
ser
transportada
deben
tenerse
en
cuenta
los
elementos
de
seguridad
Isica
(humedad,
interferencia
electromagnéAca,
etc)
necesarios
para
garanAzar
que
la
eficacia
de
la
evidencia
no
sea
afectada.
• Igualmente
debe
asegurarse
que
la
evidencia
no
pueda
ser
manipulada
por
terceros
durante
su
transportación.
Reinaldo Mayol Arnao
1-‐a)
Manipulación
de
la
Evidencia
cont…
• Debe
cuidarse
que
la
idenAficación
de
la
evidencia
no
sea
afectada
durante
el
proceso
de
transportación
• Iguales
medidas
han
de
tomarse
para
preservar
la
evidencia
si
la
misma
debe
ser
almacenada
Reinaldo Mayol Arnao
2-‐
AutenAficación
de
la
Evidencia
• El
objeAvo
de
este
paso
es
proveer
un
mecanismo
que
garanAce
la
evidencia
colectada
no
pueda
ser
modificada
o
susAtuida
sin
que
el
invesAgador
pueda
notarlo.
Reinaldo Mayol Arnao
2-‐
AutenAficación
de
la
Evidencia
• Por
lo
general,
se
recomienda
uAlizar
algoritmos
de
HASH
(MD5??
ó
SHA)
capaces
de
crear
un
hash
de
la
evidencia
que
garanAce
su
integridad.
• Se
puede
firmar
digitalmente
cada
evidencia
garanAzando
de
esta
forma
que
la
misma
no
pueda
ser
susAtuida.
Reinaldo Mayol Arnao
3-‐Análisis
de
las
Evidencias
• El
objeAvo
de
este
paso
es
poder
reconstruir
lo
ocurrido
para
llegar
a
conclusiones
sobre
sus
causas,
responsables
y
profilaxis.
• Este
paso
incluye
acciones
como:
n Montaje
de
la
evidencia
en
la
estación
del
invesAgador
Reinaldo Mayol Arnao
3-‐Análisis
de
las
Evidencias
n Análisis
del
sector
de
arranque
n Búsqueda
de
evidencia
parAcular
en
sectores
borrados
n Análisis
de
bitácoras
del
sistema
operaAvo
Reinaldo Mayol Arnao
Auditoría
Forense
Windows
Reinaldo Mayol Arnao
El
sistema
de
Archivos:
FAT
vs
NTFS
• FAT
uAliza
File
AllocaAon
Tables.
• NTFS
uAliza
archivos
de
Metadata
• FAT
uAliza
un
formato
8.3
para
la
representación
de
nombres
• NTFS
uAliza
UNICODE
(16
bits
por
cada
caracter)
• Los
permisos
en
FAT
solo
llegan
a
nivel
de
carpetas
mientras
en
NTFS
los
permisos
se
exAenden
hasta
los
archivos.
Reinaldo Mayol Arnao
MAC
Times
• Una
de
los
elementos
más
importantes
para
el
analista
forense
lo
consAtuyen
las
marcas
de
Aempo.
MAC
Modificación
Acceso
Creación
Reinaldo Mayol Arnao
MAC
Times
cont…
Reinaldo Mayol Arnao
Sistema
de
Archivos
de
NTFS
además
de
otros
archivos
de
control.
• Durante
la
creación
del
volumen
es
creado
el
Master
File
Table
(MFT),
• Existe
un
MFT
por
cada
archivo
en
el
volumen.
•
Los
MFT
son
localizados
en
la
raíz
del
volumen,
comienzan
por
“
$”
y
no
son
visibles.
• Un
MFT
almacena
los
atributos
de
los
archivos
y
subdirectorios
incluyendo
el
nombre,
MAC,
permisos,
flags
de
estado,
entre
otros.
• Adicionalmente
el
MFT
almacena
parte
(
o
su
totalidad)
de
la
data
(dependiendo
del
tamaño
del
archivo)
Reinaldo Mayol Arnao
Formato
Simplificado
de
un
archivo
MFT
• Para
un
archivo:
– Header
– $FILENAME
– $
STANDART_INFORMATION
– $DATA
–
Lista
de
Atributos
• Para
un
subdirectorio:
– Header
– $INDEX_ROOT
– Entradas
de
Indice
– $INDEX_ALLOCATION
Reinaldo Mayol Arnao
$BITMAP
• EL
$BITMAP
uAliza
un
bit
para
almacenar
el
estado
Comentarios de: Análisis forense (0)
No hay comentarios