PDF de programación - Analisis Forense

Análisis Forense



Roberto Lopez Santoyo





INDICE

Montando el Laboratorio y Clonado con DD ............. 3

Foremost: Como Recuperar Archivos Borrados ........... 7

Autopsy: Como analizar un disco duro ................. 9

Cómo funciona la papelera de Windows ................ 18

Volatility: Como analizar la memoria RAM de Windows . 21

Como ocultar un archivo ............................................................... 27





Montando el Laboratorio y Clonado con DD

La labor de un perito en informática forense es a partir de unos datos de entrada realizar

unas prácticas forenses para llegar a obtener una serie de pruebas/evidencias. Es

importante no confundir la evidencia con el indicio. Entre otras cosas lo más común es

mirar la forma en la que se ha accedido al sistema informático, que es lo que se ha

hecho en este, el alance de las actividades y si hay puertas traseras o malware. Como

incidentes más comunes tenemos accesos no autorizados, malware, interrupción de

servicio y utilización no autorizada de un servicio.

Cada evidencia que vas encontrando debes hay que identificarla y numerarla. Para llevar

a cabo unas buenas prácticas, siempre habrá que hacer 2 copias del disco duro original

a analizar. La primera copia siempre la tendremos de reserva, y trabajaremos con la

segunda copia. Si esta segunda se estropea, aun tenemos la primera copia. Entonces

tendremos que hacer otra copia de la primera copia, para que no sea necesario tocar el

disco duro original y poder trabajar siempre sobre una copia, a su vez teniendo otra

copia de repuesto.

Siempre habrá que analizar la información en función de su volatilidad, es decir,

analizaremos antes la memoria de la RAM que la información de un DVD, ya que este

puede conservar su contenido durante años. Cuando vayamos a analizar un PC que esté

encendido deberemos de utilizar herramientas de línea de comandos ya que son más

ligeras y se modifica menos la memoria RAM. Debemos utilizar herramientas que utilicen

sus propias APIs para detectar procesos ocultos y conexiones ocultas, puesto que

muchas veces el malware avanzado es capaz de modificar el retorno de las llamadas a

las APIs de Windows y no veríamos nada extraño con las herramientas propias de

Windows que utilizan las APIs nativas.

Como resumen se puede decir que la labor del informático forense será de Adquirir,

Examinar, Analizar y Reportar. Si no dispones de una clonadora siempre podrás utilizar

la herramienta DD para realizar una copia del disco entero.

Para esta prueba vamos a utilizar dos discos duros virtuales (VHD) y los vamos a montar

en la distribución forense CAINE que arrancaremos desde una maquina virtual.

Para montarte el laboratorio en casa, primero creamos una maquina virtual con la ISO de

CAINE, y antes de encenderla iremos a su configuración (botón derecho ->

configuración) y aquí vamos a la pestaña de almacenamiento. Una vez aquí añadiremos

dos discos duros virtuales (VHD). El primero será el disco duro que queramos analizar, el

segundo será otro en donde realizaremos la copia de seguridad que será la que

analicemos (nunca se analiza el disco duro original). Como he comentado antes

deberíamos hacer dos copias del original, en este caso haré solo una puesto que la

segunda se haría igual.



Una vez ya tenemos la maquina virtual con los 3 discos duros puestos, procederemos a

encenderla.. Lo primera será cambiar la distribución de teclado para ponerla en español.

Pinchamos en el icono del teclado y escribimos “es” en la terminal que sale, y al darle a

enter se habrá cambiado el idioma del teclado.



Despues abriremos una terminal y con “ls /dev/sd” podremos ver los discos duros que

tenemos en la maquina (sda será el propio de la distribución CAINE, sdb es el primero

que hemos añadido en la configuración de almacenamiento “paraCopiar.vhd” y sdc es el

segundo que hemos añadido “copia.vhd”). Lo primero que haremos será obtener un hash

del disco duro sdb, para luego poder compararlo con el hash que hagamos al disco duro

que contenga el clonado, si estos dos hashes no coinciden quiere decir que la copia no

se ha realizado correctamente y habrá que volver a realizar la copia. Para tener más

garantías de que la copia está bien hecha hay que sacar dos hashes del disco origen,

otros dos del disco destino y comprobar que coinciden ambos.

Despues con la herramienta DD haremos un borrado seguro del disco duro en el que se

va a realizar la copia (para asegurarnos que no tiene datos de otro analisis anterior) lo

que haremos será llenarlo de ceros. Para esto tenemos en linux “/dev/zero”, que lo

pondremos como origen en la herramienta DD y en el destino pondremos el disco duro

donde queremos realizar la copia. Utilizaremos un block size (bs) de 1mega para que no

tarde mucho la copia (el bs es el tamaño del bloque que coge la herramienta DD para ir

copiando bloque a bloque). Una vez tenemos el disco destino lleno de ceros, habrá que

hacer la copia del disco original que en este caso es sdb, al disco de destino que

tenemos a ceros. Por utlimo se mira el hash del disco sdc (la copia) a ver si coincide con

el que obtuvimos anteriormente de sdb. En la siguiente imagen puedes ver todo el

procedimiento:



Habíamos visto que sdb tiene una partición que es sdb1. Es decir que sdc debería de

tener también la misma partición que sería sdc1 después de la copia. Lo que pasa que la

maquina todavía no la ha reconocido, y para que esto suceda habrá que llamar a la

herramienta fdisk e introducir la opción “w”. Y ya vemos como si que reconoce la

maquina la partición de nuestro disco duro copia.



Por ultimo vamos a explicar como montar una partición para que puedas examinar el

contenido del disco duro virtual que hemos clonado. En la foto he hecho la prueba con el

sdb, pero sería exactamente igual para la copia sdc. Primero tendremos que crear una

carpeta en donde montaremos el disco duro. A continuación el comando “mount” le

indicaremos que partición queremos montar y en que carpeta queremos montarla. De

esta forma cuando entremos a la carpeta podremos ver el contenido del disco duro. Para

desmontar la carpeta solo tendremos que escribir el comando “umount” seguido del

nombre de la carpeta.



Foremost: Como Recuperar Archivos Borrados

Vamos a ver como se utiliza la herramienta Foremost que es capaz de detectar tipos de

ficheros por su cabecera (no por su extensión que puede estar cambiada para engañar y

ocultar información) y para encontrar ficheros borrados. Montaremos la partición sdb1

para borrar un fichero y ver como podemos recuperarlo luego.



Una vez hemos borrado el fichero que es una foto y hemos desmontado la partición,

procederemos a realizar un clonado del disco sdb al disco sdc. Como siempre

realizaremos el análisis en el disco clonado que será sdc.

Para utilizar la herramienta Foremost le pondremos la opción

-s: quiere decir cuantos bytes va a leer de la cabecera de cada fichero

-t: será un filtro en el que indicaremos el tipo de fichero que queremos buscar

-i: el disco en el que queremos realizar la búsqueda

-o: la carpeta en la que queremos que nos guarde los resultados encontrados y un

informe sobre estos





Al ejecutar la herramienta nos genera un archivo con nombre audit.txt, que es el informe

de los resultados. En estos resultados podemos ver que nos ha rescatado 5 imagenes.

De esto obtenemos 2 conclusiones:

1. Hemos recuperado la foto que habíamos borrado en el disco original antes de hacer la

copia.

2. En el disco original solo había 4 ficheros con extensión .jpeg, esto quiere decir que

había uno de ellos que era una foto pero que le habian cambiado o quitado la extensión

para ocultar la foto

Como veis es bien sencilla de utilizar esta herramienta para Linux para recuperar

vuestros ficheros borrados.



Autopsy: Como analizar un disco duro

Como una imagen vale más que mil palabras, voy a hacer una explicación en imágenes

que creo que se va a entender mejor. Haremos la prueba en Kali. Fijaros que en cada

imagen está el ratón sobre el botón que hemos pulsado. Lo primero será arrancar el

autopsy.

En Linux se accede a la aplicación de Autopsy desde el navegador ya que la arranca

como servicio.



Creamos un caso nuevo.

Añadimos un nombre al equipo que vamos a investigar.



Añadimos la imagen que queremos analizar.

Escribiremos la ruta del disco duro que tenemos en formato .dd y le indicamos que es

una partición, si fuese un disco entero pincharíamos en la opción “disk”. A la hora de

importar tenemos 3 métodos. Los 2 más utilizados son el primero, que trabaja

directamente sobre la copia que le pasemos (si tenemos las 2 copias hechas del original

como dije en el primer post de la serie, esta es la mejor opción) y el segundo que trabaja

la copia que realiza la propia herramienta.



Aquí podemos pedirle que nos calcule el hash MD5 del disco a analizar o ponerle

nosotros uno para verificar que se ha realizado la copia correctamente. En nuestro caso

el hash del original y el de la copia lo hemos comprobado anteriormente por nuestra

cuenta. Vemos como nos ha reconocido que se trata de un sistema de ficheros NTFS y

asume como punto de montaje C:



Ya hemos terminado de preparar nuestra imagen y entonces procedemos a analizarla.

La primera de las pestañas que tiene la herramienta es la de analizar los ficheros. Aquí

nos aparecen también los archivos borrados. Hay una carpeta que se llama

$OrphanFiles que es donde se guarda todo lo que se elimina.



La segunda pestaña es para buscar cadenas en ASCII y Unicode en toda la imagen.



La tercera pestaña e