PDF de programación - Análisis forense

Análisis
 Forense
 

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

¿Qué
 es
 el
 Análisis
 Forense?
 

•  Es
 un
 proceso,
 metodológicamente
 
guiado,
 que
 involucra
 los
 siguientes
 
elementos,
 referidos
 a
 los
 datos
 de
 
un
 sistema
 computacional:
 

–  Preservación
 
–  IdenAficación
 
–  Extracción
 
–  Documentación
 
–  Interpretación
 

Reinaldo Mayol Arnao

¿Cúales
 son
 las
 diferencias
 más
 
comunes
 con
 un
 proceso
 forense
 

•  Cuando
 se
 subtrae
 información
 esta
 sigue
 estando
 donde
 

tradicional?
 

• 
• 
• 

• 

• 

estaba
 
La
 copia
 de
 los
 datos
 es
 idénAca
 a
 los
 originales
 
Los
 datos
 pueden
 accederse
 si
 contacto
 Isico
 
La
 información
 puede
 ser
 ocultada
 para
 que
 no
 sea
 
reconocida
 
La
 información
 puede
 ser
 distribuida
 en
 pocos
 segundos
 a
 
numerosos
 lugares
 
La
 información
 puede
 ser
 destruida
 sin
 que
 queden
 rastros,
 
ni
 exista
 forma
 de
 recuperarla
 

•  El
 volumen
 de
 datos
 puede
 ser
 significaAvo
 
• 

La
 información
 colectada
 puede
 ser
 falsa
 

Reinaldo Mayol Arnao

Metodología
 de
 Análisis
 Forense
 

1.  Adquisición
 de
 Evidencia
 
2.  AutenAficación
 de
 la
 evidencia
 colectada
 
3.  Análisis
 de
 la
 Evidencia
 

Reinaldo Mayol Arnao

1-­‐Adquisición
 de
 Evidencia
 

•  Preservar
 los
 datos,
 aún
 si
 estos
 se
 encuentran
 en
 medios
 

voláAles
 como
 la
 memoria
 RAM
 del
 sistema
 afectado.
 

•  Si
 no
 se
 encuentra
 evidencia
 en
 medios
 voláAles,
 el
 equipo
 

debe
 ser
 iniciado
 desde
 un
 disco
 flexible
 debidamente
 El
 
contenido
 de
 todos
 los
 discos
 duros
 debe
 ser
 volcado
 a
 
algún
 medio
 de
 almacenamiento
 secundario
 
 

•  El
 medio
 de
 almacenamiento
 que
 conAene
 la
 data
 

respaldada
 debe
 ser
 instalado
 en
 una
 estación
 especial
 de
 
análisis
 de
 evidencias.
 

•  Si
 se
 sospecha
 la
 existencia
 de
 evidencia
 en
 medios
 como
 la
 

memoria
 RAM
 esta
 debe
 ser
 volcada
 a
 un
 medio
 
perecedero.
 

•  Es
 muy
 importante
 documentar
 todos
 los
 pasos
 ejecutados
 

así
 como
 el
 contendido
 de
 toda
 la
 evidencia
 colectada.
 


 
Reinaldo Mayol Arnao

Principios
 Generales
 de
 la
 

Colección
 de
 Evidencias
 Digitales
 
 
•  Cualquier
 labor
 realizada
 no
 debe
 modificar
 

la
 evidencia
 

•  En
 caso
 de
 que
 sea
 necesario
 operar
 sobre
 la
 

evidencia
 original
 la
 persona
 debe
 estar
 
capacitada
 para
 realizar
 la
 labor
 sin
 que
 la
 
evidencia
 sea
 afectada
 

•  Cualquier
 acAvidad
 sobre
 la
 evidencia
 debe
 
ser
 minusiosamente
 documentaday
 estar
 
disponible
 para
 su
 revisión
 y
 comprobación.
 
 

Reinaldo Mayol Arnao

Adqusición
 de
 la
 Evidencia
 VoláAl
 
•  Hora
 del
 Sistema
 
•  Historial
 de
 Comandos
 
•  Usuarios
 AcAvos
 
•  Servicios
 y
 DisposiAvos
 
•  Información
 sobre
 
•  PolíAcas
 de
 Grupo
 
•  Almacenamientos
 

procesos
 

•  Memoria
 de
 procesos
 
•  Contenido
 del
 
protapapeles
 

Protegidos
 

Reinaldo Mayol Arnao

Adquisición
 de
 Evidencia
 
VoláAl:Usuarios
 conectados
 

Reinaldo Mayol Arnao

Adquisición
 de
 Evidencia
 

VoláAl:Procesos
 

Reinaldo Mayol Arnao

Adquisición
 de
 Evidencia
 

VoláAl:Memoria
 
 

•  C:>
 pmdump
 1020
 volcadoram.explorer
 

Archivo de volcado



Proceso

Reinaldo Mayol Arnao

1-­‐a)
 Manipulación
 de
 la
 Evidencia
 

•  Si
 no
 se
 toman
 las
 medidas
 adecuadas
 para
 la
 manipulación
 de
 la
 

evidencia
 esta
 puede
 perderse
 o
 resultar
 inaceptable
 como
 prueba.
 

•  Uno
 de
 los
 elementos
 que
 se
 uAlizan
 son
 las
 Cadenas
 de
 Confianza.
 Una
 

adecuada
 Cadena
 de
 Confianza
 debe
 responder,
 para
 cada
 evidencia,
 
las
 siguientes
 interrogantes:
 
–  ¿Quién
 colectó
 la
 evidencia?
 
–  ¿Cómo
 y
 donde
 fue
 colectada?
 
–  ¿Quiénes
 tuvieron
 posesión
 y
 acceso
 a
 la
 evidencia?
 
–  ¿Cómo
 fue
 almacenada
 y
 protegida?
 
–  ¿Quién
 la
 ha
 manipulado?
 

Reinaldo Mayol Arnao

1-­‐a)
 Manipulación
 de
 la
 Evidencia
 

cont…
 

•  Toda
 la
 evidencia
 colectada
 debe
 ser
 

idenAficada.
 

•  La
 idenAficación
 debe
 incluir
 los
 siguientes
 

elementos:
 
– Número
 del
 caso
 
– Descripción
 de
 
 caso
 
– Firma
 del
 InvesAgador
 que
 colecta
 la
 evidencia
 
– Fecha
 y
 hora
 en
 que
 la
 evidencia
 ha
 sido
 
colectada
 

Reinaldo Mayol Arnao

1-­‐a)
 Manipulación
 de
 la
 Evidencia
 

cont…
 

•  Si
 la
 evidencia
 debe
 ser
 transportada
 deben
 

tenerse
 en
 cuenta
 los
 elementos
 de
 
seguridad
 Isica
 (humedad,
 interferencia
 
electromagnéAca,
 etc)
 necesarios
 para
 
garanAzar
 que
 la
 eficacia
 de
 la
 evidencia
 no
 
sea
 afectada.
 

•  Igualmente
 debe
 asegurarse
 que
 la
 

evidencia
 no
 pueda
 ser
 manipulada
 por
 
terceros
 durante
 su
 transportación.
 

Reinaldo Mayol Arnao

1-­‐a)
 Manipulación
 de
 la
 Evidencia
 

cont…
 

•  Debe
 cuidarse
 que
 la
 idenAficación
 de
 la
 

evidencia
 no
 sea
 afectada
 durante
 el
 
proceso
 de
 transportación
 

•  Iguales
 medidas
 han
 de
 tomarse
 para
 

preservar
 la
 evidencia
 si
 la
 misma
 debe
 ser
 
almacenada
 

Reinaldo Mayol Arnao

2-­‐
 AutenAficación
 de
 la
 Evidencia
 

•  El
 objeAvo
 de
 este
 paso
 es
 proveer
 un
 
mecanismo
 que
 garanAce
 la
 
 evidencia
 
colectada
 no
 pueda
 ser
 modificada
 o
 
susAtuida
 sin
 que
 el
 invesAgador
 pueda
 
notarlo.
 

Reinaldo Mayol Arnao

2-­‐
 AutenAficación
 de
 la
 Evidencia
 

•  Por
 lo
 general,
 se
 recomienda
 uAlizar
 

algoritmos
 de
 HASH
 (MD5??
 ó
 SHA)
 capaces
 
de
 crear
 un
 hash
 de
 la
 evidencia
 que
 
garanAce
 su
 integridad.
 

•  Se
 puede
 firmar
 digitalmente
 
 cada
 

evidencia
 garanAzando
 de
 esta
 forma
 que
 la
 
misma
 no
 pueda
 ser
 susAtuida.
 

Reinaldo Mayol Arnao

3-­‐Análisis
 de
 las
 Evidencias
 

•  El
 objeAvo
 de
 este
 paso
 es
 poder
 

reconstruir
 lo
 ocurrido
 para
 llegar
 a
 
conclusiones
 sobre
 sus
 causas,
 
responsables
 y
 profilaxis.
 

•  Este
 paso
 incluye
 acciones
 como:
 

n  Montaje
 de
 la
 evidencia
 en
 la
 estación
 del
 

invesAgador
 

Reinaldo Mayol Arnao

3-­‐Análisis
 de
 las
 Evidencias
 

n  Análisis
 del
 sector
 de
 arranque
 
 
n  Búsqueda
 de
 evidencia
 parAcular
 en
 sectores
 

borrados
 

n  Análisis
 de
 bitácoras
 del
 sistema
 operaAvo
 

 

Reinaldo Mayol Arnao

Auditoría
 
 Forense
 Windows
 

Reinaldo Mayol Arnao

El
 sistema
 de
 Archivos:
 FAT
 vs
 

NTFS
 

•  FAT
 uAliza
 File
 AllocaAon
 Tables.
 
•  NTFS
 uAliza
 archivos
 de
 Metadata
 
•  FAT
 uAliza
 un
 formato
 8.3
 para
 la
 

representación
 de
 nombres
 

•  NTFS
 uAliza
 UNICODE
 (16
 bits
 por
 cada
 

caracter)
 

•  Los
 permisos
 en
 FAT
 solo
 llegan
 a
 nivel
 de
 
carpetas
 mientras
 en
 NTFS
 los
 permisos
 se
 
exAenden
 hasta
 los
 archivos.
 


 Reinaldo Mayol Arnao

MAC
 Times
 

•  Una
 de
 los
 elementos
 más
 importantes
 para
 
el
 analista
 forense
 lo
 consAtuyen
 las
 marcas
 
de
 Aempo.
 
 
 
 
 
 
 
 MAC
 


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Modificación

Acceso

Creación

Reinaldo Mayol Arnao

MAC
 Times
 cont…
 

Reinaldo Mayol Arnao

Sistema
 de
 Archivos
 de
 NTFS
 

además
 de
 otros
 archivos
 de
 control.
 

•  Durante
 la
 creación
 del
 volumen
 es
 creado
 el
 
 Master
 File
 Table
 (MFT),
 
•  Existe
 un
 MFT
 por
 cada
 archivo
 en
 el
 volumen.
 
• 

Los
 MFT
 son
 localizados
 en
 la
 raíz
 del
 volumen,
 comienzan
 por
 “
 $”
 y
 no
 
son
 visibles.
 

•  Un
 MFT
 almacena
 los
 atributos
 de
 los
 archivos
 y
 subdirectorios
 
incluyendo
 el
 nombre,
 MAC,
 permisos,
 flags
 de
 estado,
 entre
 otros.
 
 
•  Adicionalmente
 el
 MFT
 almacena
 parte
 (
 o
 su
 totalidad)
 de
 la
 data
 

(dependiendo
 del
 tamaño
 del
 archivo)
 

Reinaldo Mayol Arnao

Formato
 Simplificado
 de
 un
 

archivo
 MFT
 

•  Para
 un
 archivo:
 

–  Header
 
–  $FILENAME
 
–  $
 STANDART_INFORMATION
 
–  $DATA
 
– 

Lista
 de
 Atributos
 

•  Para
 un
 subdirectorio:
 

–  Header
 
–  $INDEX_ROOT
 
–  Entradas
 de
 Indice
 
–  $INDEX_ALLOCATION
 

Reinaldo Mayol Arnao

$BITMAP
 

•  EL
 $BITMAP
 uAliza
 un
 bit
 para
 almacenar
 el
 

estado