Análisis Forense (Reinaldo Mayol Arnao)

!
"#$%&%& ()*+"&+
Reinaldo Mayol Arnao
Cue es el Anllsls lorense?
Ls un proceso, meLodolglcamenLe
gulado, que lnvolucra los slgulenLes
elemenLos, referldos a los daLos de
un slsLema compuLaclonal:
reservacln
ldenucacln
LxLraccln
uocumenLacln
lnLerpreLacln
Cuales son las dlferenclas ms
comunes con un proceso forense
Lradlclonal?
Cuando se subLrae lnformacln esLa slgue esLando donde
esLaba
La copla de los daLos es ldenuca a los orlglnales
Los daLos pueden accederse sl conLacLo nslco
La lnformacln puede ser oculLada para que no sea
reconoclda
La lnformacln puede ser dlsLrlbulda en pocos segundos a
numerosos lugares
La lnformacln puede ser desLrulda sln que queden rasLros,
nl exlsLa forma de recuperarla
Ll volumen de daLos puede ser slgnlcauvo
La lnformacln colecLada puede ser falsa
MeLodologla de Anllsls lorense
1. Adqulslcln de Lvldencla
2. AuLenucacln de la evldencla colecLada
3. Anllsls de la Lvldencla
1-Adqulslcln de Lvldencla
reservar los daLos, aun sl esLos se encuenLran en medlos
volules como la memorla 8AM del slsLema afecLado.
Sl no se encuenLra evldencla en medlos volules, el equlpo
debe ser lnlclado desde un dlsco exlble debldamenLe Ll
conLenldo de Lodos los dlscos duros debe ser volcado a
algun medlo de almacenamlenLo secundarlo
Ll medlo de almacenamlenLo que conuene la daLa
respaldada debe ser lnsLalado en una esLacln especlal de
anllsls de evldenclas.
Sl se sospecha la exlsLencla de evldencla en medlos como la
memorla 8AM esLa debe ser volcada a un medlo
perecedero.
Ls muy lmporLanLe documenLar Lodos los pasos e[ecuLados
asl como el conLendldo de Loda la evldencla colecLada.

rlnclplos Cenerales de la
Coleccln de Lvldenclas ulglLales
Cualquler labor reallzada no debe modlcar
la evldencla
Ln caso de que sea necesarlo operar sobre la
evldencla orlglnal la persona debe esLar
capaclLada para reallzar la labor sln que la
evldencla sea afecLada
Cualquler acuvldad sobre la evldencla debe
ser mlnuslosamenLe documenLaday esLar
dlsponlble para su revlsln y comprobacln.
Adquslcln de la Lvldencla volul
Pora del SlsLema
usuarlos Acuvos
lnformacln sobre
procesos
Memorla de procesos
ConLenldo del
proLapapeles
PlsLorlal de Comandos
Servlclos y ulsposluvos
ollucas de Crupo
AlmacenamlenLos
roLegldos
Adqulslcln de Lvldencla
volul:usuarlos conecLados
volul:rocesos
volul:Memorla
C:> pmdump 1020 volcadoram.explorer
Proceso
Archivo de volcado

1-a) Manlpulacln de la Lvldencla
Sl no se Loman las medldas adecuadas para la manlpulacln de la
evldencla esLa puede perderse o resulLar lnacepLable como prueba.
uno de los elemenLos que se uullzan son las Cadenas de Conanza. una
adecuada Cadena de Conanza debe responder, para cada evldencla,
las slgulenLes lnLerroganLes:
Culen colecL la evldencla?
Cmo y donde fue colecLada?
Culenes Luvleron posesln y acceso a la evldencla?
Cmo fue almacenada y proLeglda?
Culen la ha manlpulado?
conL.
1oda la evldencla colecLada debe ser
ldenucada.
La ldenucacln debe lnclulr los slgulenLes
elemenLos:
numero del caso
uescrlpcln de caso
llrma del lnvesugador que colecLa la evldencla
lecha y hora en que la evldencla ha sldo
colecLada
conL.
Sl la evldencla debe ser LransporLada deben
Lenerse en cuenLa los elemenLos de
segurldad nslca (humedad, lnLerferencla
elecLromagneuca, eLc) necesarlos para
garanuzar que la ecacla de la evldencla no
sea afecLada.
lgualmenLe debe asegurarse que la
evldencla no pueda ser manlpulada por
Lerceros duranLe su LransporLacln.
conL.
uebe culdarse que la ldenucacln de la
evldencla no sea afecLada duranLe el
proceso de LransporLacln
lguales medldas han de Lomarse para
preservar la evldencla sl la mlsma debe ser
almacenada
2- AuLenucacln de la Lvldencla
Ll ob[euvo de esLe paso es proveer un
mecanlsmo que garanuce la evldencla
colecLada no pueda ser modlcada o
susuLulda sln que el lnvesugador pueda
noLarlo.
2- AuLenucacln de la Lvldencla
or lo general, se recomlenda uullzar
algorlLmos de PASP (Mu3?? SPA) capaces
de crear un hash de la evldencla que
garanuce su lnLegrldad.
Se puede rmar dlglLalmenLe cada
evldencla garanuzando de esLa forma que la
mlsma no pueda ser susuLulda.
3-Anllsls de las Lvldenclas
Ll ob[euvo de esLe paso es poder
reconsLrulr lo ocurrldo para llegar a
concluslones sobre sus causas,
responsables y prolaxls.
LsLe paso lncluye acclones como:
! MonLa[e de la evldencla en la esLacln del
lnvesugador
3-Anllsls de las Lvldenclas
! Anllsls del secLor de arranque
! 8usqueda de evldencla parucular en secLores
borrados
! Anllsls de blLcoras del slsLema operauvo

AudlLorla lorense Wlndows
Ll slsLema de Archlvos: lA1 vs
n1lS
lA1 uullza llle Allocauon 1ables.
n1lS uullza archlvos de MeLadaLa
lA1 uullza un formaLo 8.3 para la
represenLacln de nombres
n1lS uullza unlCCuL (16 blLs por cada
caracLer)
Los permlsos en lA1 solo llegan a nlvel de
carpeLas mlenLras en n1lS los permlsos se
exuenden hasLa los archlvos.

MAC 1lmes
una de los elemenLos ms lmporLanLes para
el anallsLa forense lo consuLuyen las marcas
de uempo. MAC

Modificacin
Acceso
Creacin
MAC 1lmes conL.
SlsLema de Archlvos de n1lS
uuranLe la creacln del volumen es creado el MasLer llle 1able (Ml1),
adems de oLros archlvos de conLrol.
LxlsLe un Ml1 por cada archlvo en el volumen.
Los Ml1 son locallzados en la ralz del volumen, comlenzan por $" y no
son vlslbles.
un Ml1 almacena los aLrlbuLos de los archlvos y subdlrecLorlos
lncluyendo el nombre, MAC, permlsos, ags de esLado, enLre oLros.
AdlclonalmenLe el Ml1 almacena parLe ( o su LoLalldad) de la daLa
(dependlendo del Lamano del archlvo)
lormaLo Slmpllcado de un
archlvo Ml1
ara un archlvo:
Peader
$llLLnAML
$ S1AnuA81_lnlC8MA1lCn
$uA1A
LlsLa de ALrlbuLos
ara un subdlrecLorlo:
Peader
$lnuLx_8CC1
LnLradas de lndlce
$lnuLx_ALLCCA1lCn
$8l1MA
LL $8l1MA uullza un blL para almacenar el
esLado de cada secLor:
1": el secLor esL ocupado
0": el secLor esL dlsponlble.
Cuando un archlvo es borrado el blL
correspondlenLe en el $8l1MA es puesLo
en 0", el Ml1 correspondlenLe es marcado
para ser borrado y el lndlce correspondlenLe
es borrado.
lormaLeado
Cuando un volumen es formaLeado n1lS
sobrescrlbe los anuguos Ml1.
Sln embargo, los daLos se manuenen (ahora
claro esL lnconexos, no vlslbles y
poslblemenLe lncompleLos) en los secLores
dlsponlbles del nuevo volumen.
8enombrado, movlmlenLo y borrado de archlvos
Cuando un archlvo es renombrado o movldo
el slsLema slmplemenLe borra los archlvos
de lndlce correspondlenLes pero no mueve
la lnformacln.
un lnvesugador puede buscar en el Ml1 del
dlrecLorlo que conLenla los daLos movldos y
renombrados para enconLrar las enLradas
correspondlenLes con los lndlces de buers
(lndlces a las poslclones de los daLos que no
cablan" denLro del Ml1.
apelera de 8eclcla[e
Ll anllsls de la papelera de reclcla[e es un
elemenLo lmporLanLe para el lnvesugador
forense.
La papelera es un archlvo oculLo llamado
8ecycled en Wlndows 93 y 98, y 8ecycler en
las verslones posLerlores y locallzados en la
ralz del slsLema de archlvos
Ln W. n1 y verslones posLerlores la prlmera
vez que un usuarlo pone un archlvo en la
papelera es creado un subdlrecLorlo cuyo
nombre corresponde al ulu del usuarlo. Reinaldo Mayol Arnao
La papelera
C:\8LC?CLL8>dlr /ah
volume ln drlve C has no label.
volume Serlal number ls 7073-8u08

ulrecLory of C:\8LC?CLL8

11/02/2004 04:30 p.m. <ul8> .
11/02/2004 04:30 p.m. <ul8> ..
26/02/2004 12:03 p.m. <ul8> S-1-3-21-2743336990-4203020176-10298677
34-300
0 llle(s) 0 byLes
3 ulr(s) 3.918.397.440 byLes free
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
C:\8LC?CLL8\S-1-3-21-2743336990-4203020176-1029867734-300>dlr /ah
volume ln drlve C has no label.
volume Serlal number ls 7073-8u08

ulrecLory of C:\8LC?CLL8\S-1-3-21-2743336990-4203020176-1029867734-300

26/02/2004 12:03 p.m. <ul8> .
26/02/2004 12:03 p.m. <ul8> ..
13/02/2004 10:41 p.m. 63 deskLop.lnl
01/03/2004 11:39 a.m. 4.820 lnlC2
2 llle(s) 4.883 byLes
2 ulr(s) 3.913.691.136 byLes free

La papelera conL.
Posicin dentro
del disco
Papelera de
Reciclaje
Archivos dentro de
la papelera
La papelera de reclcla[e conL.
Ll nombre de los archlvos denLro de la
papelera se forma de la slgulenLe forma:
L[: Archlvo borrado c:/mydocs/LexL.LxL
nombre del archlvo en la papelera:
uC0.LxL
Volumen donde
resida el archivo
borrado
ndice dentro de la
papelera
Extensin original
Ll archlvo oculLo lnlC2 almacena la
lnformacln sobre Lodos los archlvos
borrados, lncluyendo para cada uno la fecha
de borrado, su lndlce denLro de la papelera
y su nuevo nombre denLro de la mlsma y el
paLh" del archlvo orlglnal.

Cuando la papelera es borrada los archlvos y
el lnlC2 Lamblen son borrados.
Sl la papelera no ha sldo sobrescrlLa es
poslble enconLrar el archlvo lnlC2 y hacer
una busqueda manual de los archlvos.
Sl el archlvo lnlC2 ha sldo sobrescrlLo solo
queda buscar exhausuvamenLe el archlvo en
el espaclo dlsponlble del dlsco.

CLras fuenLes de lnformacln
Los archlvos de acceso dlrecLo
lndex.daL
1humbs.db
LnLradas del reglsLro
lndex.daL
lndex.daL
Anllsls de 1emporales
Anllsls de ALa[os
Ll reglsLro
Los reglsLros se
encuenLran en
varlos archlvos
oculLos en: !"#"$%&'(($!
)sysLem32\cong y n1uSL8.uA1.
un audlLor forense debe hacer
coplas de los archlvos del
reglsLro y vlsuallzarlos en oLro
edlLor.
Cul es la esLrucLura del
reglsLro?
Ll proceso svhosL
Svhost es un superproceso que maneja otros procesos.
Es cumn que su nombre aparezca varias veces en el
arbol de servios activos
Ll proceso SvhosL
varlos 1royanos y backdoors han sldo escrlLos
para que se escrlban en el slsLema vlcuma
ba[o el nombre de svhosL.exe.
ue esa forma LraLan de enganar al
admlnlsLrLador del slsLema
or regla general se LraLa de coplar hacla
sysLem32
Ln W2k, x y 2003 el subdlrLecLorlo sysLem32
se encuenLra proLegldo.
ueLecLando lnLerfaces promlscuas
CbLenlendo lnformacln de la 8ed
CbLenlendo lnformacln de la 8ed
PlsLorlal de Comandos
urlvers

roLecLed SLorage
pstoreview
Anllsls de SlsLemas unlx
SlsLema de Archlvos
# fdlsk -l /dev/hda
ulsk /dev/hda: 64 heads, 63 secLors, 789
cyllnders
unlLs = cyllnders of 4032* 312 byLes

uevlce 8ooL SLarL Lnd 8locks ld SysLem
/dev/hda1 1 9 18112 83 Llnux

Disco
IDE A
Particin:1
Tipo
de
SA
ermlsologla unlx
R: Lectura
W: Escritura
X: Ejecucin

111 110 111
Resto
Permiso
Negado
Permiso
Otorgado
Grupo
Propietario
Archlvos CculLos
Ln unlx los archlvos oculLos se dlsunguen
por comenzar por un .
# ls -a
.home
.sLach
.gnome$

/eLc/passwd
user:23wed[g"[f:300:300:usuarlo Ceneral:/home/user:/bln/csh
Login Contrasea
UID GID
Nombre
HOME shell
Sulu y SClu
_rwsr_xr_x 1 rooL rooL 37393 Apr 4 16:00 /
usr/bln/aL

_rwxr_sr_x 1 rooL rooL 343432 Apr 7 11:12 /
sbln/neLporL
SUID
SGID
PASP de Archlvos
# md3sum /bln/ ls

9640c319462eacd0bcc640832cf43bcd4
Syslog
Servlclos ulsponlbles
8evlsar Lodo el rbol /eLc/ rc*
L[ecuLar (sl es poslble) alguna herramlenLa
de busqueda de puerLos ablerLos.
1ener en cuenLa que muchos servlclos
pueden ser mane[ados por Superdemonlos
(lneLd)

CuenLas de usuarlos
8evlsar /eLc/passwd
Sl exlsLe /eLc/shadow

1raba[os Lemporlzados
8evlsar los archlvos relaclonados con el cron
del slsLema

!"#$%&%& ,+ -%.#/)*0&
!"#$%&%& ,+ 1%.#/)*0& 23)4&5
Culzs uno de los aspecLos ms desaanLes
pero crlucos del anllsls forense es el
anllsls de los archlvos de reglsLros o
blLcoras.
!"#$%&%& ,+ 1%.#/)*0& 23)4&5
Sl se reglsLran demasladas acuvldades, la
lnformacln que se pudlera llegar a
neceslLar puede verse perdlda en un mar de
reglsLros.
Ln caso conLrarlo, sl se reglsLran muy pocas
acuvldades del slsLema, no se podr conLar
con lnformacln suclenLe para deLecLar
acuvldades sospechosas.
6*+0/%7" ,+ 8"0 $9"+0 ,+ 10&+
Ll comlenzo de un anllsls de blLcoras debe
esLar precedldo por el desarrollo de una
llnea de base, la cual puede ser un marco de
referenclas para acuvldades normales
predenldas que se llevan a cabo en la red.
Se puede crear una llnea base al examlnar
culdadosamenLe los reglsLros o blLcoras
por perlodos exLensos.
-%.#/)*0 ,+ +"*8.0,)*+& : ;*+<0$$&
ldenucar las lnLerfaces de fuenLe y desuno.
uescubrlr los servldores de fuenLes y de
desuno.
8eallzar segulmlenLo de los paLrones de uso.
-%.#/)*0 ,+ +"*8.0,)*+& : ;*+<0$$&
uescubrlr proLocolos usados: busqueda de
uso de lnLerneL de manera no producuva, el
cual lncluye Lrco P11, Lrco M3, lCC,
8eallayer, Messenger y Lrco l8C.
lmplemenLar busqueda de conexlones
sospechosas lCM, 1C y uu.
8usqueda de conexlones reallzadas por
puerLos sospechosos, como por e[emplo: el
12343 (puerLo predeLermlnado de neL8us).
-%.#/)*0& ,+ &%&.+=0& )>+*0?@)&
8lLcoras o reglsLros en slsLemas unlx:

Los slsLemas unlx uenen varlas
herramlenLas nauvas que ayudan a
deLermlnar la acuvldad pasada. LsLas
pueden ser:
-%.#/)*0& ,+ &%&.+=0& )>+*0?@)&
$0&.: rasLrea el archlvo /var/log/lasLlog para reporLar lnformacln
varlada, lncluyendo lnlclos de seslones de usuarlos, el Lermlnal y
ublcacln remoLa, lnformacln sobre el apagado y relnlclo de slsLemas,
y los servlclos que han sldo mane[ados por sesln (1elneL, l1, enLre
oLros).
$0&.1: rovee lnformacln sobre lnLenLos de lnlclo de seslones fallldas.
$0&.$)4: rovee lnformacln sobre usuarlos que han lnlclado sesln en
el pasado. Adems sumlnlsLra lnformacln sobre usuarlos qulenes
nunca han lnlclado sesln alguna.
-%.#/)*0& ,+ &%&.+=0& )>+*0?@)& 2/)".A5
8lLcoras o reglsLros en slsLemas Wlndows:

La uulldad nauva para el reglsLro en la
plaLaforma Wlndows 2000 en el !"#$% '(
)*+(#$#. LsLe permlLe conLrolar el servlclo
LvenLLog.
Wlndows 2000 dlvlde su reglsLro en las
slgulenLes cuaLro caLegorlas:
-%.#/)*0& ,+ &%&.+=0& )>+*0?@)& 2/)".A5
),#-(./ 8eglsLra servlclos lnlclados y fallldos, apagado y relnlclo de
slsLemas.
)(+*%"-,/ 8eglsLra evenLos Lales como las acuvldades de lnlclo de sesln,
acceso y alLeracln de los prlvlleglos de usuarlos, y acceso a ob[eLos.
0112"+34$5/ 8eglsLra las acclones de apllcaclones lndlvlduales y como
ellas lnLeracLuan con el slsLema operauvo.
67) )(%8(%/ Sl el servlclo unS esL lnsLalado, esLe reglsLro o blLcora
conuene Lodos los mensa[es envlados por el.
!8,%.)*90 +" B%",)<&
(%$.*0,) ,+ 1%.#/)*0& ) *+4%&.*)& 23)4&5
Los archlvos de
reglsLros pueden
crecer
conslderablemenLe,
y ms cuando no se
han congurado
apropladamenLe los
slsLemas para
reglsLrar solamenLe
los evenLos
lmporLanLes.

(%$.*0,) ,+ -%.#/)*0& +" CDEF
$0&. GH: uespllega solo enLradas
concernlenLes a las evenLos en los que se
apaga o relnlcla un slsLema.
$0&. GH *+1)).: MuesLra cada relnlclo del
slsLema.
$0&. GH &I8.,)<": MuesLra cada calda o
apagado del slsLema.
(%$.*0,) ,+ -%.#/)*0& +" CDEF
$0&. G0: ublca Loda la lnformacln del
servldor en la uluma columna de la lecLura.
$0&. G,: MuesLra Lodos los lnlclos de sesln
remoLos.
$0&. G": ermlLe conLrolar el numero de
llneas que sern vlsuallzadas.
J+4%&.*)& ) 1%.#/)*0& 0,%/%)"0$+&
Los reglsLros (logs) adlclonales para consulLa
lncluye los slgulenLes:
SlsLemas de deLeccln de lnLrusos.
Conexlones Lelefnlcas (lncluyendo reglsLros de
correo de voz).
lSun (8ed ulglLal de Servlclos lnLegrados) o
conexlones frame relay.
8eglsLro de accesos de empleados (reglsLro de
accesos nslcos).

Se Lermln....
Craclas!

Análisis Forense (Reinaldo Mayol Arnao)

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Análisis Forense (Reinaldo Mayol Arnao)

Hochgeladen von

Copyright:

Verfügbare Formate

!

Das könnte Ihnen auch gefallen