Beruflich Dokumente
Kultur Dokumente
WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com
DEFT 7 MANUAL
DIGITAL EVIDENCIA FORENSE Y HERRAMIENTAS
Stefano Fratepietro y Alessandro Rossetti & Paolo Dal Checco
Versin Inglese por Jade Dell'Erba, Nicodemo Gawronski (traductores) Neil Torpey (revisin tcnica y correccin)
LOS AUTORES
STEFANO "YO UN G ST ER" F RA RO TEPIET
Stefano se gradu en 2006 con una licenciatura en Tecnologa de la Informacin y Gestin (Ciencia de Internet) de la Universidad de Bolonia. Su tesis en informtica forense se titul "Un estudio de caso virus Vierika." Es OSCP ofensivo Certificado en Seguridad y ISECOM OPST. Stephen es actualmente un especialista en seguridad en la oficina del CSE de seguridad informtica (Asociacin Bancaria), donde realiza tareas de los expertos de los tribunales, las fuerzas policiales y particulares, y ha participado como consultor tcnico en casos de hambre nacional: como "Good maana! vitamnico "y" Pirelli-Telecom-Ghioni. " Desde 2005 es el creador y lder del proyecto del sistema de DEFT. De vez en cuando realiza actividades docentes en informtica forense para diversas universidades italianas y privadas cursos.
SA N D RO "B Y O U SB" SS O R E C T S
Alessandro Rossetti vive y trabaja en Roma. l tiene un gran inters en temas tales como: tecnologa de la informacin, seguridad informtica y anlisis forense digital. l es un IACIS miembros y tambin miembro del "CyberWorld" Trabajar Grupo de OSN (Observatorio Nacional de Seguridad) de Ministerio de Defensa italiano.
P A O LO "J E ST E R" D A L C H E C O C
Pablo recibi su doctorado en 2006 en la Universidad de Turn, en el Grupo de Seguridad del Departamento de Ciencias de la Computacin. Ha impartido clases en diferentes universidades, empresas y entornos TIC en las adiciones a las cooperativas con otras empresas que operan en el campo de la seguridad y la privacidad de las comunicaciones. Tambin es socio fundador de la empresa de informtica forense "Oficina Forense Digital" ( www.difob.it ) De Turin.He es director asociado de la Ley Digit Ltd (www.digitlaw.it.) Tambin Pablo ha actuado como asesor tcnico asistir los fiscales en las causas judiciales, los organismos encargados de hacer cumplir la ley y las entidades del sector privado.
Reconocimiento - NoComercial 3.0 Italia Usted es libre de copiar, distribuir, comunicar al pblico, mostrar pblicamente, representar, actuar y hacer obras derivadas Bajo las condiciones siguientes: Atribucin - Debes atribuir el trabajo de la manera especificada por el autor o el licenciador (pero no de cualquier manera que eso sugiere que usted o su uso de la obra avalan). No comercial - No puede utilizar esta obra para fines comerciales. Renuncia - Alguna de estas condiciones puede no aplicarse bajo la autorizacin del titular de los derechos de autor. Dominio Pblico - Cuando la obra o alguno de sus elementos se halle en el dominio pblico segn la legislacin aplicable, la situacin no es en absoluto afectada por la licencia. Otros derechos - De ninguna manera cualquiera de los siguientes derechos afectados por la licencia: De usos legtimos o derechos de uso justo u otras excepciones de copyright aplicables y limitaciones Los derechos morales de los autores; Otras personas pueden tener derechos, ya sea en la propia obra o en cmo se utiliza el trabajo: como la publicidad o derechos de privacidad. Aviso - Al reutilizar o distribucin, usted debe hacerlo bajo los trminos de esta licencia, que debe ser comunicada con claridad. Esto es un resumen fcilmente legible del texto legal (la licencia completa): http://creativecommons.org/licenses/by-nc/3.0/it/legalcode
Dedicado a Ele y Silvia por su paciencia infinita. Tambin Dedicado a Esteban y Alejandro, Que la esperanza de que tomen ms despus de finalizada su Sus madres que padres. Para Samantha y Kim.
Agradecimientos
Nos gustara dar las gracias a todos aquellos que en los ltimos aos han contribuido a nuestro crecimiento personal. Tambin agradecemos a los que trabaj entre bastidores para la produccin de DEFT tambin indirectamente contribuir a la creacin del manual de usuario. Massimiliano Dal Cero David "Rebus" Gabrini Bartolomeo "Meo" Bogliolo Valerio Leomporra Marco Giorgi Emanuele Gentili
Un enorme "gracias" Tambin va a Simone e Ivn por su ayuda en el doble control de este manual. Queremos agradecer Architecture Technology Corporation por permitirnos insertar "Dropbox Reader " en este distribucin.
Por ltimo, pero no menos importante: la versin Inglese ha sido realizada por Jade Dell'Erba, Nicodemo Gawronski (traductor) y Neil Torpey (revisin tcnica y correccin)
PRLOGO
El propsito de este manual es ofrecer al lector una idea de las principales caractersticas y potenciales de la DEFT distribucin, un punto de partida para estimular el crecimiento de sus conocimientos tcnicos con el DEFT. En estas pginas no encontrar explicaciones exhaustivas sobre el uso de todas las aplicaciones y comandos actualmente en la distribucin DEFT. Para tratar de facilitar el estudio, hemos incluido algunos ejemplos que indican cmo realizar algunas de las principales actividades de anlisis forense digital. la consolidacin y preservacin de los dispositivos de almacenamiento (discos duros, memorias USB, reproductores MP3, telfonos inteligentes, etc ..) o trfico telemtico a travs de redes IP; anlisis de casos y su manejo.
Feliz lectura!
TABLA DE CONTENIDO
Los Autores Stefano "joven" Fratepietro Sandro "camarero" Rossetti Paul "Jester" Dal Checco Acuerdo de licencia de usuario final Agradecimientos Prefacio Tabla de Captulo 1: Introduccin 1.1 1.2 Qu es
Por DEFT se puede utilizar en el anlisis forense digital? Captulo 2: Requisitos del sistema 2.1 2.2 DART
Captulo 4: Comenzar DEFT Linux en vivo 4.1 Verificar la integridad del archivo de imagen DEFT despus de haber descargado. .................................................. 12 ...... 4.2 4.3 4.4 Burning DEFT Linux en ptica
Creacin de un stick USB de arranque que contiene DEFT Linux .......................................... ........................................... 13 Configuracin de la BIOS y / o de la seleccin de arranque de popups / Men ...................................... ...................................... 15
4.5 4.6
Captulo 5: Modo texto Linux DEFT 5.1 5.1.1 5.1.2 Comandos tiles Monte de los dispositivos de almacenamiento
5.1.3 Montaje de un dispositivo (disco duro, memoria USB, disquete, CD-ROM, etc ...) .................................................. 22 ... 5.1.4 Montar una DD / archivo de imagen RAW
5.1.5 Montar a DD / RAW archivo de imagen dividida en varios archivos (dividida en bruto) .................................................. 24 ............. 5.1.6 5.1.7 Tipo de archivo EWF / Encajar Tipo de archivo AFF 5.2 5.2.1 5.2.2 5.2.3 5.2.4 SHA1SUM MD5 y sha Dhash 5.3 5.3.1 5.3.2 5.3.3 5.3.4 dd ddrescue dcfldd Dhash 5.4 5.4.1 5.4.2 5.5 5.6 5.6.1 5.6.2 Localizar Encontrar Creacin de un Bsqueda de archivos y carpetas fls Creacin de una lnea de tiempo Captura de Medios de Almacenamiento Clculo Hash
5.7
Talla de
5.7.1
Principal Captulo 6: DEFT Linux GUI 6.1 6.2 6.3 6.4 6.5 Introduccin
6.5.1 6.5.2
6.6.1
Bagre 6.7 6.8 6.9 Findwild Carving GUI archivos La gestin de un caso de autopsia 06.10
6.10.1
Captulo 7: Mobile 7.1 7.2 7.2.1 7.2.2 7.2.3 7.2.4 7.2.5 Gmail Mercado Sistema de archivos en uso Sistema de archivos EXT4 Poltica de uso de almacenamiento masivo Androide
7.2.6 72
El acceso al sistema de archivos del sistema operativo .................................................. .................................. 7.3 Samsung Galaxy S i9000 - caractersticas de hardware
Procedimientos de enraizamiento Samsung Galaxy S - la adquisicin de la memoria flash interna .................................................. ............... 75 Samsung Galaxy S - la adquisicin de la memoria externa ......................................... ............................................ 78 Trabajar directamente en el smartphone
7.4.2 Localizacin y anlisis de aplicaciones y archivos de inters comn ........................................ 78 ................ 7.4.3 Ejemplo de anlisis de Google Maps Captulo 8: DART - Digital Respuesta Toolkit avanzada Captulo 9: Profundizar
GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel de Linux con el sistema GNU y otros programas de desarrollo de GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel Linux con el sistema GNU y el software desarrollado y distribuido bajo la GNU GPL o cualquier otro licenses.Wikipediaoped libre y se distribuye bajo la GNU GPL o cualquier otro licenses.Wikipedia libre
2 3
Que la ciencia estudia la identificacin, preservacin, proteccin, recuperacin, documentacin y cualquier otra forma de procesamiento de datos de la computadora con el fin de ser evaluado y estudiado en un proceso legal, a efectos probatorios, las tcnicas y las herramientas metodolgicas para el estudio de los sistemas informticos. (Wikipedia)
4 5
El trmino se refiere a permitir que el software libre cuyos autores del estudio y / o para realizar otros cambios por programadores independientes.
Software Informtica Forense debe ser capaz de garantizar la integridad de las estructuras de archivos y metadata6 en el sistema que est siendo investigado con el fin de proporcionar un anlisis detallado. Tambin es necesario analizar con fiabilidad el sistema est investigando sin alterar, borrar, sobrescribir o cambiar la fecha de otra manera. Hay ciertas caractersticas inherentes para reducir al mnimo el riesgo de DEFT que la alteracin de la fecha de ser sometida a anlisis. 7 Algunas de caractersticas son: estas
1. Al arrancar, el sistema no utiliza las particiones de intercambio en el sistema que est siendo analizada. 2. Durante el inicio del sistema, no hay secuencias de comandos de montaje automticas. 3. No hay sistemas automatizados para cualquier actividad durante el anlisis de las pruebas; 4. Todo el almacenamiento masivo y las herramientas de adquisicin de trfico de red no alteran los datos sean adquiridos.
RFC 3227: "Minimizar los cambios en los datos a medida que se est recogiendo Esto no se limita a los cambios en el contenido, que debe evitar la actualizacin de los tiempos de acceso del archivo o directorio.".
10
El artculo 247, apartado 1 bis, con los cambios realizados por la ratificacin de la Convencin de Budapest sobre la Ley 18 de marzo de 2008 no. 48: "[...] La adopcin de medidas tcnicas destinadas a garantizar la conservacin de los datos originales y para evitar la manipulacin"
11
Usted puede utilizar completamente las capacidades de gran alcance de la gua DEFT Arrancar desde un CDROM o una memoria USB DEFT cualquier sistema con las caractersticas siguientes: CD / DVD-ROM o puerto USB desde el que el BIOS puede soportar el arranque. X86 CPU (Intel, AMD o Citrix) 166 Mhz o superior para ejecutar DEFT Linux en modo texto, 200Mhz para ejecutar DEFT Linux en modo grfico; 64 MB de RAM para ejecutar DEFT Linux en modo texto o 128 MB para ejecutar el DEFT GUI. DEFT soporta tambin las nuevas arquitecturas basadas en Intel de Apple.
2.2
A RT D
La suite DART ejecuta en todos los sistemas de 32 bits de Microsoft Windows. Algunas limitaciones menores se encontraron resultados para herramientas que no garantizan el pleno apoyo a los sistemas de 64 bits. DART se puede ejecutar directamente en DEFT Linux usando Wine8 .
El vino es un marco para Linux que permite ejecutar aplicaciones de Windows pueden ser instalados o que se lanz
12
13
Sleuthkit 3.2.3 autopsia 02:24 dff 1.2 ptk forense 1.0.5 Maltego CE KeepNote 0.7.6 archivo hunchbackeed tallador 0.6 Findwild 1.3 Granel Extractor 1.2 Emule Forensic 1.0 Dhash 2.0.1 libewf 20120304 AFF lib 3.6.14 Utilidad de Discos 2.30.1 guymager 0.6.5-1 dd rescate 1,14 dcfldd 1.3.4.1 dc3dd 7 1.5.6 todo photorec 06.13 Administrador de montaje 0.2.6 bistur 2 Limpie veintiuno despus de las doce
hex dump ser ms astuto que 0.2 base de datos SQLite navegador 2.0b1 BitPim 1.0.7 bbwhatsapp convertidor de base de datos Dropbox lector analizador de backup iphone 10/2012 Analizador iphone espeluznante 0.1.9 xprobe2 0.3 xmount 0.4.6trID 02:11 DEFT edicin readpst chkrootkit rkhunter 1.3.8 0.6.41 1.7.8 catfish john pasco 1.0 md5sum sha1sum sha224sum sha256sum
sha512sum md5deep sha1deep sha256deep pdfcrack craqueo herramienta fcrackzip craqueo herramienta almeja Antivirus 0.97.3 mc 4.7.0.9 dmraid TestDisk 6.11 GHEx, luz gtk hex editor Vinetto 0.6 Xplico 1.0 Edicin DEFT Wireshark 0.7.3 ettercap 21,5 Hydra 7.1 log2timeline 0.60 residuos2 Wine 1.3.28 mobius forense nmap 1,6
14
3.2
A RT D 1 0,0
AlternateStreamView 01.15 ChromeCacheView 25.01
WinAudit 2.28.2 MiTeC Del Registro de Windows Recuperacin 1.5.1.0 Zeroview 1.0 FTK Imager 3 Nigilant32 0.1 Ventanas Forense Toolchest 3.0.05 MoonSols Win32dd 1.0.2.20100417 MoonSols Win64dd 1.0.2.20100417 Analizador de archivos de Windows 1.0 UltraSearch uno y cuarenta Pre-Search xx.08 XnView 1.97.8 X-AgentRansackk 2010 (compilacin 762) Index.dat Analyzer 2.5 AccessEnum 1.2 Autoruns 10.03 DiskView 2.4 Filemon Process Explorer 12.04 RAM Map 1.1 Regmon Rootkit Revealer 1.71 VMMap 2.62 WinObj 02.15
15
Process Activity View 1.11 (x86/x64) Archivos recientes Ver 1,20 RegScanner 1.82 (x86/x64 y win98) ServiWin 1:40 USBDeview 1.80 (x86/x64) Ver Usuario Assist 1.1 Ver perfil del usuario 1.1 Vdeo Cache View 1.78 WhatInStartup 01.25 WinPerfectView 10.01 Password Tool ChromePass 01.10 Dialupass 10.03 IE PassView 1.20 LSA Secretos Dump 1.21 (x86/x64) LSA Secretos View 1.21 (x86/x64) Mail PassView 1.65 MessenPass 1:35 Red PassRecovery 1.30 (x86/x64) Opera PassView 1.1 PasswordFox 01.25 PC AnyPass 01.12 Pass View 1.63 Protegida 01:12 PST Password Remote Desktop PassView 1.1 VNC PassView 2.1 Win9x PassView 1.1 WirelessKeyView 1.34 (x86/x64)
16
AviScreen Portable 3.2.2.0 HoverDesk 0.8 File Restore Plus 3.0.1.811 WinVNC 3.3.3.2 TreeSizeFree 02:40
PCTime LTFViewer 5.2 Sophos Anti-Rootkit 1.5.4 Terminal con herramientas de lnea de comandos
17
Es una buena idea para comprobar la integridad de la versin descargada antes de realizar el anlisis forense digital. Esto asegura que tiene una coincidencia exacta de la copia que se alojan en lnea que no ha cambiado o alterado estado durante el proceso de descarga. Esto se puede hacer mediante el clculo del hash MD5 value9 en la imagen o archivo en el archivo que ha descargado y, posteriormente, compararlo con los valores en md5.txt en el directorio raz de la descarga.
Por "deft7.iso" archivo de imagen, por ejemplo, el clculo del valor hash MD5 debe dar el mismo resultado que el que est en el archivo md5.txt recomendado, valor similar al "d98307dc53ca83358a2dfdb33afc2672." Para calcular el valor hash MD5 de un archivo, puede utilizar diferentes herramientas: por ejemplo md5summer10 o hashmyfiles11 (Windows) o la herramienta de lnea de comando md5sum en Linux / MacOS. Si el valor hash del archivo que ha descargado no coincide con el que est en el sitio WEW, podra significar que hubo errores durante el proceso de descarga que ha corrompido el archivo. Esto es posible incluso si su El tamao del archivo descargado es el mismo como el tamao de archivo original.
4.2
12
13
DEFT Linux 7 (la versin en vivo que se utiliza en las mquinas fsicas) se distribuye como una imagen ISO que luego debe ser quemado en un DVD con el fin de bootable12. Para grabar la imagen ISO que usted necesitar software de grabacin de disco que est disponible gratuitamente en Internet. La mayora de estas aplicaciones son muy fcil de usar, slo tienes que seguir los pasos que se indican Dentro del programa para grabar la imagen ISO en un disco. Imgenes ISO funcionan como una instantnea de todo el sistema. Esto incluye los sistemas de archivos del disco duro. La imagen ISO es una plataforma para el anlisis forense del sistema de destino. El diestro ISO debe ser quemado con la instantnea original. Cmo grabar imgenes ISO es posible con casi todos los quema software13, simplemente seleccionando la opcin para las imgenes.
Online Hay miles de enlaces y HowTo que explican cmo grabar imgenes ISO en un CD / DVD con muchos sistemas operativos diferentes.
4.3
12 13
Dado su pequeo tamao, DEFT 6 y versiones anteriores tambin pueden grabar en un CD. En Windows sugerimos que usted utilice, por conveniencia, herramientas gratuitas, tales como: InfraRecorder o ImgBurn.
14
En Linux la quema K3B software tiene la funcionalidad necesaria para quemar el archivo de imagen. En Mac OS es suficiente uso de la aplicacin Utilidad de Discos.
15
Una alternativa al uso de medios pticos, es la creacin de una unidad flash USB de arranque que contiene DEFT Linux como si se tratara de un Live CD / DVD (slo en equipos que soportan el arranque desde un dispositivo USB). Hay varias formas de crear dispositivos de almacenamiento masivo USB que contiene DEFT Linux Live. Para Windows, Linux y Los sistemas Mac se recomienda utilizar la aplicacin universal y gratuita UNetbootin14. Se lleva a cabo la operacin de escritura despus de que el usuario seleccione la imagen ISO para ser puesto en la memoria USB y la letra de la unidad del sistema adquirir. Recomendamos que formatee la memoria USB con el sistema de archivos FAT32. Tambin puede establecer por "etiqueta de volumen" para recordarle que su distribucin y la versin se encuentra en la unidad flash USB.
Inicio UNetbootin - no requiere instalacin - y, al permitir que el botn de radio "DiskImage", seleccione el archivo ISO que desea convertir en un arranque de Live USB, seleccione la letra de unidad de la memoria USB que desee utilizar.
16
http://unetbootin.sourceforge.net/
17
Al final de la operacin de escritura obtendr una versin Live USB que se utilizar para iniciar DEFT Linux en cualquier PC Que soporta el arranque desde el puerto USB, caractersticas comunes en la mayora de las mquinas ms nuevas.
4.4
Es importante asegurarse de que el BIOS del sistema est siendo analizado para arrancar desde CD-ROM / DVDROM / BD-ROM o desde dispositivos de almacenamiento externos (segn los medios que contienen DEFT). En cualquier otra circunstancia, configurar la BIOS, guardar y reiniciar el sistema, ya sea con el DVD Ya insertada en la unidad de CD / DVD, ya sea con el stick USB Ya connected15. Se recomienda cambiar el orden de arranque de los dispositivos de la BIOS directamente para evitar un reinicio accidental de su PC (por ejemplo, para subidas de tensin).
18
15
En general, durante el arranque se indica qu tecla pulsar para ver el men de arranque, a menudo llamado "Boot Selection emergente" o "Boot Device Menu". Las teclas dedicadas habitualmente al men de arranque son F8, F9 y F12, pero en algunas arquitecturas tambin al men de inicio se puede acceder pulsando ESC.
19
4.5
B O O T A P T U RS RA ME O C D E F T
Despus de haber iniciado el gestor de arranque DEFT, ver una pantalla con varias opciones de arranque. La primera opcin le pedir que seleccione un idioma para el DEFT16.
Despus de seleccionar el idioma, puede utilizar las teclas de arriba / abajo para desplazarse por el men desplegable. Mediante el uso de las teclas de funcin, puede septiembre parmetros adicionales: por ejemplo: Ayuda (F1) Idioma (F2) Keyboard (F3) Mode (F4) Accesibilidad (F5) Otras opciones (F6) La tecla de funcin F6 Le permite personalizar algunos de los parmetros de inicio de DEFT. Usted puede elegir entre varias opciones preestablecidas en el men, o personalizar su propia cuenta.
16
20
acpi = off
En Funciones ACPI arranque no se utilizan para la gestin de la electricidad utilizada por el sistema. til en caso de problemas al iniciar la transmisin en vivo, en el caso de que el PC no es compatible con ACPI o si el ACPI causa problemas de reinicio o bloqueos del sistema. Desactiva el controlador de interrupciones APIC (Advanced Programmable Interrupt Controller). nolapic, desactiva las funciones de APIC para arquitecturas de CPU basados en Intel; Permite la unidad de disco mejorada. nodmraid, desactiva la configuracin del kernel para dmraid tipo de RAID de software; Establece la resolucin framebuffer si su tarjeta de vdeo est en modo VESA Puede elegir entre los siguientes modos:
vga = xxx
Parmetros en desuso en rojo, fundada parmetros en negro sin avera. Para obtener ms informacin sobre los parmetros ajustables en el momento del arranque, se puede consultar el Apndice 1. nomodeset Para arrancar DEFT Linux en un Mac Book Air es necesario aadir el nomodeset17parameter. Este parmetro le permite manejar correctamente los controladores de vdeo y utilizar el sistema sin problemas de pantalla.
17
Tomado de www.kernel.org / doc / Documentation / kernelparameters.txt Esta es una opcin de arranque del kernel que le dice al kernel que no active el modo de configuracin del kernel (KMS). El soporte de video suele ser una combinacin de un controlador DRM ncleo y los controladores Xorg trabajando juntos. KMS se utiliza con Intel, Nouveau, y mdulos del ncleo Radeon. KMS es necesaria para Intel y Nouveau, y opcional para Radeon (aunque con caractersticas diferentes). Si desea utilizar el controlador vesa Xorg, y usted tiene el hardware que utiliza el Intel, Nouveau o mdulos del ncleo Radeon, puede que tenga que arrancar con nomodeset o lista negra el mdulo de juego, o simplemente eliminar
21
los mdulos module.The sern que se encuentra en / lib / modules / <kernel-version> / kernel / drivers / gpu / drm /
22
toram
Requiere (cuando sea posible) para cargar toda la imagen de DEFT de RAM, lo que permite extraer el DVD o el dispositivo USB. La velocidad de ejecucin es mucho mayor porque haces las operaciones de lectura desde el disco o la unidad no es necesario flash. Tambin puede utilizar el reproductor de DVD para las adquisiciones forenses (por ejemplo, con guymager18) o para grabar la fecha (por ejemplo, con el programa de grabacin de Xfburn19 en el men "Sound & Video".) El parmetro "toram" se activa slo si la RAM es suficiente para contener la imagen de la DEFT DVD / USB20.The distribucin DEFT 7 ocupa alrededor de 1,4 GB, por lo tanto le recomendamos que inicie en el modo "toram" slo cuando el PC tiene al menos 2 GB de memoria. El DEFT distribucin 6, sin embargo, slo ocupa 700 MB, por lo que es de arranque en "toram" incluso Eso PC en slo tienen 1 GB de memoria.
Para seleccionar los parmetros del kernel que se muestran en el men, pulse la barra espaciadora o la tecla Intro a los elegidos: Se le colocar una 'X' para confirmar las Adiciones al kernel. Si desea especificar parmetros adicionales del ncleo, despus de pulsar F6, pulse la tecla "Esc" para borrar el men y la vista en el fondo de la lnea de arranque del kernel donde se puede escribir en los parmetros elegidos, mantenindolos separados entre s con espacios.
18
http://guymager.sourceforge.net/
18
19 20
http://www.xfce.org/projects/xfburn
Se recomienda en cualquier caso, para dejar una parte de memoria RAM libre para las actividades normales del sistema
19
4.6
El LLI N ST A LI S P N D E F UX T 7
Por la sptima Release, DEFT se puede instalar en cualquier sistema x86. Los siguientes son los requisitos del sistema mnimos y recomendados para la instalacin: * Requisitos mnimos X86 CPU 200Mhz 128 MB RAM Disco duro de 20 GB Vesa 16 MB compatible Tarjeta de Video Adaptador de red 10/100 Interfaces USB 2.0 Reproductor de DVD Requisitos ptimos Intel de doble ncleo de la CPU 2 GB de RAM Disco duro SATA de 500 GB Memoria withdedicated IntelVideocard Tarjeta de red 10/100/1000 - WiFi N USB 3.0 y la interfaz e-SATA Reproductor de DVD
El sistema se instala a travs de un asistente estndar donde el usuario debe responder a unas cuantas preguntas. La operacin que se mantienen conectados mayor atencin es la particin de la memoria masiva en el sistema host. A pesar de los cambios que demanda sobre la base de la experiencia y la forma en que el usuario trabaja, nos gustara darle algunos consejos sobre la manera de obtener una instalacin ptima: Mantenga por lo menos 20 GB de espacio en el disco duro; Particiones en el disco segn sus necesidades funcionales mediante la creacin de una particin swap con un nivel de swappiness21 de 10. Esto reducir las desaceleraciones repentinas causadas por el uso de la partition22 intercambio; Crear un usuario durante la instalacin, sin embargo, siempre recordando al hbil uso de Linux con el usuario root para evitar dos problemas a la demanda de ciertas aplicaciones con permiso; o Para habilitar la cuenta de root mediante el establecimiento de la contrasea, escriba el comando "sudo passwd" y responder a las preguntas; o Para ello, escriba "sudo su -" (se requiere la contrasea) o "su -" (se le pedir la contrasea de root); No retire FOR UnNY REASON la congelacin en la actualizacin de algunos paquetes deliberadamente bloqueados: son parte de un proceso de personalizacin de todos los mecanismos de seguridad de los dispositivos de almacenamiento conectados al sistema.
20
21 22
Si el equipo tiene moras de 4GB de RAM, una solucin podra ser considerado como no crear una particin de intercambio: de esta manera se evitar retrasos inesperados causados por el uso de la particin de intercambio.
21
5.1
PERO A G N I P A O ST RA G IN ME D IA
DEFT es compatible con dispositivos de almacenamiento masivo y sistemas de archivos populares. Como ya se ha mencionado, DEFT no se monta automticamente como en la tpica distribucin en directo (por ejemplo Knoppix, Ubuntu, etc ...) a fin de evitar la alteracin accidental de almacenamiento conectado. El contenido de la memoria almacenada todava pueden ser alterados por la operacin de montaje realizado en el modo de lectura / escritura, un DEFT accin que no se ejecuta automticamente.
23
Esta aplicacin es muy til cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un
22
aprovechamiento ptimo de la interfaz grfica o para el usuario avanzado que prefiere trabajar directamente desde la lnea de comandos
23
FUESCOMULANDS
Aqu hay algunos comandos tiles para realizar tareas relacionadas con la gestin de dispositivos de almacenamiento: fdisk-l: listas de todas las particiones y dispositivos de almacenamiento conectados a la red; MMLS / dev / xxx o MMLS filename.dd: enumera las particiones en el dispositivo o en la imagen cruda que indica el desplazamiento inicial de cada particin y los espacios no asignados; hdparm-Ig / dev / xxx: muestra las caractersticas de CA del xxx memoria masiva. Esta aplicacin es muy til cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un aprovechamiento ptimo de la interfaz grfica o para el usuario avanzado que prefiere trabajar desde el smbolo dispositivos directamente linestorage. montar: muestra el tipo de sistema de archivos de dispositivos de almacenamiento conectados a la red y la manera en que stas se han montado (slo lectura / lectura-escritura); df-h: muestra informacin sobre el tamao de los dispositivos montados y su espacio libre.
5. 1. 2
MUNTOSTOFORAGEDEVICES
El comando mount Le permite conectar al sistema de archivos - presente en un dispositivo o en un archivo almacenado en el disco - en un directorio del sistema. En caso de que quiera montar un dispositivo: como un disco duro, memoria USB, CD / DVD / CD-ROM, disquete, etc. ... que va a utilizar, como la fuente, el dispositivo identifica Que. En este caso: / Dev/fdX24 de disquetes (normalmente con un solo disquete tiene / dev/fd0); / Dev / hdX para discos duros IDE; / Dev / sdX para unidades de disco duro SATA o dispositivos USB; / Dev / cdrom de CD-ROM. En medicina forense, el montaje del directo de una prueba (es decir, un disco, una unidad flash USB, etc ...) se debe hacer como de slo lectura y slo cuando necessary25. Esto asegura que la integridad de la evidencia puede ser garantizada. El sistema de archivos seleccionado, as como de ser almacenado en un dispositivo, puede estar contenido dentro de un archivo en el disco, que contiene el volcado o la imagen de flujo de bits de la device.We adquirido tendr, en este caso, las imgenes: en la "imagen de flujo de bits" formato (dd o crudo) 26; en el formato "Encajar" (EWF); en el formato de "Advanced Forensic Format" (AFF).
24
La X indica el nmero de dispositivos en el sistema, que sabe que tendr / dev / sda para el primer disco y / dev / sdb para el segundo, mientras que el nmero observado despus de que el dispositivo con el comando "fdisk-l" (/ dev / sda1, / dev/sda2, etc ...) identificar el nmero de particin dentro del dispositivo
21
25
Las mejores prcticas indican claramente que nunca se debe trabajar en la memoria masiva original, pero siempre y slo en una copia. 26 A menudo, el formato de flujo de bits se divide en archivos de menor tamao (2-4 Gigabytes cada uno) con el fin de ser salvo en sistemas de archivos con el lmite de tamao del archivo (eg.FAT32), en este caso se define como la fraccin cruda.
22
5. 1. 3
MOUNTINGADEVICE (disco duro, USBSTICK, disquete, CD-ROM, etc ...) mount-t opciones de tipo de cdigo o punto_montaje
Para montar un sistema de archivos como de slo lectura slo tiene que escribir un comando como: donde tipo es el tipo de sistema de ficheros, generalmente vfat, ntfs-3g, ext3 ... etc .., cuando termine un coche o no est seguro del tipo de archivo system27 (Si se omite esta opcin, el monte intentar Reconocer Independientemente del tipo de sistema de archivos, y por lo general Tiene xito); fuente puede ser una particin: por ejemplo, / dev/hda1 o / dev/sda1; de punto de montaje suele ser un directorio en / media - que debe ser creada byfory La ejecucin del montaje command28 . Los parmetros que se utilizan con frecuencia (que debe seguir la opcin-o del comando mount) son: ro - de slo lectura: montar como de slo lectura; rw - read-write: montar como escribir mode29 [29] ; bucle - Para montar un archivo de imagen; noatime - No cambie la hora del ltimo acceso; noexec - No permite la ejecucin de archivos; offset = N - Al montar un archivo de imagen de disco (tema tratado en profundidad en la siguiente seccin) que indica el nmero de bytes para saltar al punto al principio de la particin lgica para montar (o MMLS recuperables fdisk-lu). Ejemplo 1: montar una particin NTFS con acceso de escritura en el que se guardar el volcado de un dispositivo (el resultado de una adquisicin forense): mount-t ntfs-3g-o rw / dev/sdb1 / media / dest Ejemplo 2: montar una particin NTFS de un disco duro que desea adquirir como de slo lectura y g Durante las actividades de trabajo de campo en los archivos de vista previa (es essential utilizar la opcin-o ro para evitar cualquier accidente, escribe en el disco): mount-t ntfs-3g-o ro / dev/sdb1 / media / pruebas
27 28 29
Por lo general, si se omite, el comando mount puede identificar el tipo de sistema de archivos independiente. Por ejemplo con el comando mkdir / media / NameOfTheFolderIWantToCreate
23
24
5. 1. 4
OMUNTOCADD/WRIMAGEFILE
Para montar un archivo de imagen como de slo lectura (que contiene el volcado de un disco entero, not de una sola particin) puedes usar el siguiente comando: mount-t tipo-o ro, loop, offset = $ ((512 * particin de arranque)) Opciones image_file.dd punto_montaje Las opciones y la sintaxis del comando de montaje son los mismos que los indicados en el prrafo anterior. En este caso, sin embargo, a partir de un mtodo de montaje de dispositivo de bucle "conversos" (prcticamente sin alteracin de la fuente) a (esttica) archivo de imagen en un dispositivo Linux (dinmico), lo que permite al kernel montar como si fuera un dispositivo real. La opcin Continuo permite este tipo de abstraccin y se deriva de la aplicacin implcita y automtica a la capa de abajo del comando losetup, a travs del cual se puede asociar un dispositivo de bucle a la imagen image.dd. De este modo se pueden ejecutar aplicaciones de trabajo en los dispositivos tambin en las imgenes de almacenamiento masivo. Si desea evitar el uso-o loop, deber, antes de montar, crear un dispositivo de bucle con el comando: losetup-r / dev/loop0 / media/disk1/dump.dd Este dispositivo de bucle se puede utilizar como si se tratara de un disco de origen para ser montado de la manera descrita previously30 . Por lo tanto, la posibilidad de utilizar directamente el o-loop a evitar la creacin de un dispositivo de bucle que usted debe recordar para cerrar con el comando "losetup-d / dev/loop0". La otra opcin esencial a la hora de terminar montar un archivo de imagen que contiene la adquisicin de un disco entero (y, por tanto, not de una sola particin) es "contrarrestar".
A travs de la utilidad MMLS se encuentra el desplazamiento inicial de una particin de disco:
25
30
Usted tendr que escribir un comando como mount-o ro / dev/loop0 / mnt / dest
26
Monte la particin 03, sealados por las MMLS Especificacin de la salida de desplazamiento multiplicado por 51.231:
mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 dump.dd / media / dest En lugar de realizar el clculo de la compensacin multiplicando por 512 el punto "de partida" de la particin obtenida con MMLS, puede utilizar un shell operadores matemticos mediante la inclusin como un desplazamiento, el valor de $ ((512 * particin de arranque)) , donde "particin de arranque" Indica el desplazamiento de bytes de la particin que desea montar (en el ejemplo anterior, el valor de 33.256). Por lo tanto con el comando mount: mount-t ntfs ro, loop, noatime, noauto, noexec, offset = $ ((512 * 32,256)) dump.dd / media / dest
Has completado todas las operaciones en los dispositivos de memoria, antes de desconectar el dispositivo del sistema, es necesssary utilizar el comando umount:
umount / media / mntpoint. Como se mencion anteriormente en el manual, Estos comandos pueden utilizarse para montar un archivo que contiene el volcado de un disco entero. En el caso de que - raro pero posible - se hizo el volcado de una sola particin, no es necesario utilizar el parmetro "desplazamiento" como el comienzo de la particin coincide con la del archivo.
5. 1. 5
En el caso de que los archivos de imagen RAW (tanto flujo de bits o una imagen poco a poco de un disco) dd / se divide en varios archivos, es necesario preparar el archivo que se va a montar con el comando mount se muestra en la seccin anterior. Supongamos que tenemos una imagen compuesta por dump.001, dump.002, dump.003, dump.004 y dump.005 archivos. No se puede aplicar directamente a las instrucciones que se indican en el prrafo anterior, porque en este caso no tiene un solo archivo de imagen en el que se ejecutar el comando mount, pero five32. Para montar archivos de imagen RAW, formato divisin dividida prima, usted tiene tres posibilidades. El primer mtodo consiste en la concatenacin de los archivos individuales en un solo archivo de imagen, trayendo de vuelta al caso descrito en el prrafo anterior de un solo archivo dump.dd mounting.The desventaja obvia es que, en este caso, el espacio necesario para la operacin ser igual a la ocupada por la suma de los archivos individuales, ya que tendra hacer una copia, concatenar en un nico file33 [33] . El comando a ejecutar es la siguiente: dump gato. *> image.raw
27
31 32 33
512 bytes es el tamao predeterminado de un sector que constituye una memoria de almacenamiento
De hecho, en el caso de adquisiciones de discos de gran tamao, el nmero se elevar a decenas o cientos de personas. Esta solucin se ilustra nicamente con fines explicativos, ya que uno de los dos siguientes se prefiere generalmente.
28
El resultado es un nico archivo que contiene toda la image.raw disco obtiene por la concatenacin de segmentos de imagen individuales. En este archivo se proceder como se indica en el prrafo anterior. El segundo mtodo es utilizar la affuse mando de la Afflib suite34. Se utilizar ms adelante para montar la imagen en el formato de AFF. Este comando crear un tipo de imagen "virtual" (y por lo tanto visible por el sistema, pero no existente en reality35) que se monta como se describe en el prrafo anterior. El comando a ejecutar, despus de crear el directorio / mnt / prima, ser: affuse dump.001 / mnt / RAW Este comando va a producir, en el directorio / mnt / prima, un archivo "virtual" que contiene el dd / imagen en bruto hecha por la concatenacin de los diversos archivos conformarn el image.This verdadera Ese archivo aparecer como dump.001.raw y se puede utilizar como un parmetro de la montura en la seccin anterior. mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 / mnt/raw/dump.001.raw / media / dest Usted debe recordar que, cuando termine el juego con el comando mount affuse, es necesario desmontarlo montado Adiciones al archivo "virtual" que contiene la imagen con el comando: fusermount-u / mnt / RAW El tercer mtodo para montar una imagen dividida en bruto es usar la herramienta de lnea de comandos xmount36. Al igual que el comando affuse, xmount Crea un archivo virtual que contiene la imagen hecha por la concatenacin de los distintos segmentos que componen la imagen real. El comando en este caso es: xmount - dd -. a dump * dd / mnt / RAW Un archivo "virtual", llamado "basura", sin extensin se crear en el directorio / mnt / raw. Este archivo puede ser montado, como se muestra en el caso anterior, Seleccin de la deseada de desplazamiento del sistema de archivos en modo de slo lectura.
5. 1. 6
ASE
F I L E T E S P EW F / N C E
Montaje adquiridos en la memoria. Formato EWF se lleva a cabo con el programa mount_ewf application.This es capaz de convertir prcticamente archivos EWF al formato RAW que permite que el dispositivo se monta como si se adquiri en el formato dd. Ejemplo: la disk01 memoria se divide en los siguientes archivos disk01.E01 disk01.E07 disk01.E13 disk01.E19 disk01.E02 disk01.E08 disk01.E14 disk01.E20 disk01.E03 disk01.E09 disk01.E15 disk01.info disk01.E04 disk01.E10 disk01.E16 disk01.E05 disk01. E11 disk01.E17 disk01.E06 disk01.E12 disk01.E18
29
34 35 36
http://afflib.org/
De manera similar a lo que ocurre con los archivos en la carpeta de sistema de archivos / proc del http://www.forensicswiki.org/wiki/Xmount
30
Con el comando
es posible concatenar la imagen dividida y perfom una conversin virtual en el formato RAW. La operacin dar lugar a la creacin del fichero de datos brutos / mnt/raw/disk01, en la carpeta / mnt / raw /. Se identifica por el sistema de archivos como un solo dd, bien virtual, y puede ser montado Siguiendo los procedimientos indicados en el prrafo anterior. Ejemplo: mount-t ntfs-o ro, loop, offset = $ ((512 * 63)) / mnt/raw/disk01 / mnt / c
5. 1. 7
F I L E T E S P A FF
En cuanto al formato de EWF, los recuerdos adquiridos en el formato PAC se pueden montar con el affuse utilidad mount.
Affuse Le permite utilizar la adquisicin en el formato de AFF, ya que eran imgenes en bruto. La sintaxis del comando es: affuse / media/disk/disk01.aff / mnt / RAW El archivo de salida ser / mnt/raw/disk01.aff.raw que se puede montar Siguiendo los procedimientos para montar la imagen en bruto, que se muestra anteriormente.
5.2
SH H A M A C I O N LC ULA
El hash de un bloque de datos (por ejemplo, un archivo) es una secuencia de caracteres alfanumricos de longitud fija calculada por una funcin matemtica. Esta funcin matemtica es mono-direccional: es imposible reconstruir el bloque que tiene su origen en una cadena de hash. Cualquier alteracin de la fecha, aunque sea mnimo, se traducir en un hash completamente diferente. Con los sistemas Linux se puede utilizar una de las siguientes aplicaciones para generar una cadena de hash: md5sum; sha1sum; MD5, SHA1 y SHA256 profunda; Dhash.
31
5. 2. 1
D5SUM
El acrnimo MD537 (Mensaje algoritmo Digest 5) identifica un algoritmo hash criptogrfico desarrollado por Ronald Rivest en 1991 y estandarizada con la solicitud de comentarios RFC 1321. Este algoritmo, tomando como entrada una cadena de longitud arbitraria (como un archivo), que produce como salida de otra cadena de 128 bits que se utilizan para calcular la firma digital de la entrada. El clculo es muy rpido y el resultado devuelto (tambin conocido como "MD5 checksum" o "Hash MD5") es tal que es muy poco probable que se producir un conflicto entre los valores hash de dos archivos diferentes. Finalmente, como para la mayora de los algoritmos de hash, la posibilidad de derivar la cadena inicial a partir del hash resultante es casi nonexistent38. Por ejemplo, para calcular el valor hash MD5 de un disco utilice el comando: md5sum / dev / sda
5. 2. 2
A1HSSU
El SHA term39 Indica una familia de cinco funciones hash criptogrficas desarrollado desde 1993 por la National Agencia de Seguridad (NSA) y publicado por el NIST como estndar por el gobierno federal de los EE.UU.. Al igual que cualquier algoritmo hash SHA genera un valor de longitud fija a partir de un mensaje de longitud variable mediante el uso de una funcin mono-direccional. Los algoritmos de esta "familia" se les llama SHA-1, SHA-224, SHA-256, SHA-384 y SHA-512. El primer tipo, SHA1 Calcula una cadena de slo 160 bits, mientras que otros calculan el resumen de una longitud en bits igual al nmero indicado en su acronym40. En este momento el algoritmo empleado ms ampliamente de la familia SHA es el SHA-1 y se utiliza en muchas aplicaciones y protocolos. Para calcular el valor hash SHA-1 de un disco, por ejemplo, utilice el comando: sha1sum / dev / sda
5. 2. 3
EP
D5MANDSHADE
MD5, SHA1, SHA256 y SHA512 profunda permiten calcular el valor hash de los archivos de moras recursiva. Ejemplo: md5deep-l / root / pruebas /> hash_device.txt
La sintaxis mencionado anteriormente Calcula el hash md5 de todos los archivos en / root / pruebas / y guarda los valores hash en el archivo hash_device.txt.
27
http://en.wikipedia.org/wiki/MD5 El rango de posibles valores de salida es de hecho igual a 2 a la potencia de 128. Asegure Algoritmo Hash - http://en.wikipedia.org/wiki/Secure_Hash_Algorithm Por ejemplo: SHA-256 produce un resumen de 256 bits.
27
5. 2. 4
DAHS
Dhash, disponible en Ingls y Inglese, permite calcular los valores hash de los archivos y dispositivos de almacenamiento, proporcionando informacin en tiempo real: como el tiempo estimado antes del final de la operacin y el progreso de la operacin. Adems, puede generar un informe en html format41. A partir de ensayos de laboratorio Dhash result ser 10% ms rpido que las herramientas mencionadas anteriormente. Ejemplo: Dhash-t-f / dev / sda - md5 - sha1-l dhashlog.html La sintaxis mencionado Le permite calcular simultneamente el hash sha1 y md5 del dispositivo / dev / sda y guardar los valores en el archivo dhashlog.html.
5.3
M A S T O P T URE RA ME D I A G E
La adquisicin de una memoria de masa es el proceso que le permite clonar una memoria fsica, objeto del anlisis. Dentro de los sistemas Linux, esta operacin es posible mediante el uso de herramientas lo siguiente: dd; ddrescue; dcfldd; Dhash. En adiciones a estos comandos, el equipo ha creado DEFT Cyclone, un ejecutable de asistente de la terminal para hacer una adquisicin guiada a travs de la simple respuesta a las preguntas que aparecen en la pantalla.
5. 3. 1
DD
dd Toma como entrada un archivo o un dispositivo y vuelve, en un archivo o dispositivo diferente, la secuencia binaria exacta que lo compone.
Ejemplo:
dd if = / dev / sda of = / media / diskimage.img El comando toma como entrada los dispositivos de almacenamiento / dev / sda y retornos masivos como salida de su clon Dentro del archivo diskimage.img en el directorio / media / carpeta. Puede hacer que la adquisicin de la memoria masiva en un archivo o en un dispositivo de almacenamiento masivo (y vice versa) 42.
Ejemplo:
28
/ sdb
41 42
Tambin Dhash es capaz de ejecutar al mismo tiempo las actividades de adquisicin y el clculo del valor hash. Esta prctica se utiliza mucho menos en el campo de la informtica forense.
29
Es importante prestar atencin a este mandato porque el desestaoacin devlaall (en this antiguoampla /dev/sdb) esdelectrnicoand y orverwritten para el tamao del dispositivo de origen (en este ejemplo, / dev / SDA). Esto significa que si / dev / sda es el disco duro de 60GB y / dev / sdb es un disco duro de 250 GB, el comando anterior se sobrescribir el primero 60GB del disco de destino (/ dev / sdb) con el bit-a-bit entero contenido del disco de origen (/ dev / sda), por lo que su contenido totalmente irrecuperables, lo comprometer los datos en el disco que no se sobrescribe.
5. 3. 2
CU
DDRESE
Como dd, ddrescue te permite clonar el contenido de un disco y guardarlo directamente a otro dispositivo de memoria. ddrescue es una evolucin de dd: le permite adquirir los dispositivos de memoria de masa que contienen errores al suministrado para acceder determinado por la adquisicin sectors.The disco puede ddrescue abarca tambin a aquellos sectores daados que sern adquiridas por puesta a cero toda la bits.During leer la ddrescue proceso de adquisicin Proporciona informacin actualizada sobre el nmero de bytes son ledos y escritos, cuntos errores han encontrado Sido y el tipo de adquisicin calculado en bytes / s. Ejemplo: ddrescue / dev / sda / media / disk.img
5. 3. 3
DCDEP
dcfldd es otra versin mejorada de dd que se puede utilizar para calcular el valor hash (MD5 y SHA1, individualmente o en conjunto) Durante la adquisicin de la memoria. Durante la adquisicin se proporciona informacin detallada
sobre lo que se ha ledo y escrito. Ejemplo: dcfldd if = / dev / sda of = / media / disk.img hash = md5 hash = sha1
5. 3. 4
DAHSH
Este software permite la adquisicin en formato dd y el clculo simultneo del hash. Result ser ms de 10% ms rpido que otros programas disponibles. Ejemplo: Dhash-t-f / dev / sda - md5 - sha1-o disco.dd
La sintaxis mencionado anteriormente le permiten adquirir y calcular simultneamente el valor hash sha1 y md5 del / Dev / sda dispositivo y guardar las cuerdas dhashlog.html resultantes en el archivo de registro.
30
5.4
RE C A C I O N A C I O N E F I L ME
Una de las herramientas ms populares para la creacin de lneas de tiempo es mac-tiempo, la aplicacin de la suite Sleuthkit desarrollado y mantenido por Brian Carrier.
Hay dos comandos principales para generar lneas de tiempo del sistema de archivos: fls43 toma como entrada un archivo RAW derivado de la adquisicin de una memoria de masa (una sola particin ya sea una imagen cruda de un disco con varias particiones), y devuelve una lista de todos los archivos (quin asignado o no, sin embargo, el registro sigue siendo que figura en la tabla de asignacin de archivos), para su uso con Mac en tiempo posterior; mactime44 Toma como entrada una lista, creada por fls, con todos los datos contenidos en el sistema de archivos que se analiza y proporciona una lnea de tiempo en formato ASCII.
5. 4. 1
FL
Aqu un ejemplo de cmo utilizar FLS en el caso en el que la imagen imagen-1.DD contiene un nico archivo system/partition45: fls-z GMT-s 0-m C:-f ntfs-r / images / hard-c.dd> / workdir / disco duro-c.body En el ejemplo, los siguientes han sido los parmetros utilizados: -Z: zona horaria en el sistema utilizado para analizar; -S: falta de coincidencia en segundos de tiempo del sistema con el tiempo real 46; -M: Que el texto tiene que ser puesto antes de la ruta y el nombre del archivo en el Timeline47 ; -F: el sistema de archivos de la memoria adquirida; / Images / disco c.dd: la imagen tomada como entrada para la extraccin de la lnea de tiempo; / Workdir / disco duro-c.body: el archivo, en el bodyfile formato que contiene la lnea de tiempo Dado extrado de la entrada. En el caso de que la imagen contiene dd moras particiones, debe utilizar el parmetro-o al fls dadas al sector offset (ynot byusteds,como en el caso del parmetro offset del comando mount), el punto de la particin que se va a analyse.To obtener una lista de particiones y sus valores de desplazamiento (Expresado en sectores y no en bytes) de partida, se recomienda utilizar MMLS el mando del comando fdisk privado TSK o "-lu" parameters.In el caso de una imagen que contiene un disco con una particin a partir del sector 63 (Por lo general, las particiones individuales y la primera particin de un disco siempre comenzar en el sector 63): fls-o 63-z GMT-s 0-m C:-f ntfs-r / images / disco c.dd> / workdir / disco c.body En esta pasanta tiene un archivo (por conveniencia con la extensin del cuerpo.) En el cuerpo format48 que contiene la lnea de tiempo del sistema bajo anlisis.
43 44
http://wiki.sleuthkit.org/index.php?title=Fls http://wiki.sleuthkit.org/index.php?title=Mactime
30
45 46
Cabe sealar la ausencia del parmetro "Offset". La diferencia entre la hora del sistema y en tiempo real se obtiene de bios, durante la adquisicin. 47 Se puede comprobar Obtener la diferencia entre el tiempo de BIOS y el tiempo real (Durante la etapa de adquisicin). 48 Generalmente se establece la carta en la que se monta la unidad "C", "D" y as sucesivamente.
30
Este formato no es inmediatamente accesible por el examinador, ya que contiene las fechas y los registros codificados desordenadas. Por lo tanto, es necesario procesarlo para que sea legible, y con el fin de los elegidos format49. He aqu un extracto de un archivo de cuerpo que deja claro la dificultad de interpretar el contenido del examinador:
[...] 0 | C :/ windows / inf / mdmpin.PNF | 4718-128 3 | r / rrwxrwxrwx | 0 | 0 | 19268 | 1299255392 | 1299255392 | 1299255392 | 1299257718 0 | C :/ WINDOWS/inf/mdmpn1.inf | 804-128 3 | r / rrwxrwxrwx | 0 | 0 | 6376 | 1299257379 | 1092916800 | 1299257709 | 1092916800 0 | C :/ WINDOWS/inf/mdmpn1.PNF | 4717-128 3 | r / rrwxrwxrwx | 0 | 0 | 10424 | 1299255392 | 1299255392 | 1299255392 | 1299257718 0 | C :/ windows / inf / mdmmod.PNF | 4747-128 3 | r / rrwxrwxrwx | 0 | 0 | 18540 | 1299255386 | 1299255386 | 1299255386 | 1299257719 0 | C :/ windows / inf / mdmmoto.inf | 779-128 3 | r / rrwxrwxrwx | 0 | 0 | 96032 | 1299257378 | 1092916800 | 1299257709 | 1092916800 [...]
5. 4. 2
ME
MACTI
Mactime es la herramienta de la suite TSK que convierte el formato de lnea de tiempo desde el cuerpo al formato CSV, ordenando cosas y cambiar los parmetros de la pantalla en funcin del examinador necesita. Por lo general, el comando a ejecutar es la siguiente:
MassachusettsConnecticutIME-B / Workdir / disco c.body
-B Especifica el archivo de entrada, el Z-zona horaria,-d> / workdir / disco c.csv Representa el archivo de salida que contiene la lnea de tiempo en csv format50. El comando tiene que mactime caracterstica informes resumen de las actividades diarias y por hora detectados en el sistema de archivos, que se aade a la funcin de conversin de formato CSV y para la funcin de ordenar los registros generados por la informacin fls command.This puede ser esencial para evaluar qu da - o en qu momento - las actividades de uso son detectables en el PC, mostrando picos y anomalas quizs dos de las actividades de fin de semana que casi saltan de una lnea de tiempo tradicional. Para obtener un informe de las actividades diarias se produjeron en el sistema de archivos, slo tiene que aadir los parmetros-d-i seguido del nombre del archivo que desea guardar ese informe to.The informe sobre las actividades de tiempo se obtiene con-h-i parmetros Seguido por el nombre del archivo que desea guardar ese informe. Obtendrs, de este modo, un archivo que contiene registros similares a los siguientes:
[...] Mi 12 de octubre 2011: 801 Jue 13 Oct de 2011: 987 Vie 14 Oct de 2011: 252 Dom 16 de octubre 2011: 25.352 Lun 17 de octubre 2011: 463 Mar 18 de octubre
31
En general, se utiliza el formato. CSV para la compatibilidad con los editores y hojas de clculo. Es preferible exportar en formato CSV para facilitar la consulta por parte de aplicaciones como OpenOffice o Excel.
32
En el ejemplo anterior se puede ver que el 16 de octubre de 2011 haba 25.352 en files51 actividades. Este valor no puede ser de su inters, pero puede, en algunos casos, ser de gran importance52. Es recomendable comprobar la continuidad o el promedio de los valores de los analizados durante casi todos los das, tal vez que se apoya en un cierto valor (por ejemplo, <1,000), y llegar, como en el ejemplo, los picos de decenas de miles de personas en un da especfico . El examinador debe proceder en este momento a analizar con ms detalle la lnea de tiempo del da en que la anomala fue found53. La siguiente tabla es til para entender el significado de los valores que aparecen en la columna "Tipo de Actividad". Indicaron las acciones realizadas en archivos y carpetas en un plazo determinado.
Aqu es un ejemplo del resultado del procesamiento de un archivo de mactime cuerpo generada por el comando:
[...] Vie 04 de marzo 2011 16:08:04 618 605. Ac. r / rrwxrwxrwx C :/ WINDOWS/system32/dllcache/fp4autl.dll Vie 04 de marzo 2011 16:08:11 17672 ... b r / rrwxrwxrwx C :/ WINDOWS/Prefetch/IMAPI.EXE-0BF740A4.pf Vie 04 de marzo 2011 16:11:20 3014 ... b r / rrwxrwxrwx C :/ WINDOWS/system32/wbem/Logs/wmiadap.log Vie 04 de marzo 2011 16:11:29 10296 .. cb r / rrwxrwxrwx C :/ WINDOWS/system32/drivers/ASUSHWIO.SYS [...] 0 0 0 0 0 0 0 0 10618-128-1 10624-128-4 10630-128-3 10631-128-3
51 52
La intencin: el acceso, la creacin o modificacin de ficheros de entrada MFT o archivo. Por ejemplo, si el PC que se analiza es un activo de una empresa en la que el trabajo se lleva a cabo de lunes a viernes, el Si investigador investigado por qu ya disposicin de alta actividad se ha producido el domingo. 53 Mediante la realizacin de nuevos anlisis del registro, la insercin de las memorias USB, el lanzamiento de programas, creacin de archivos LNK, etc ..
33
5.5
RE C A N T I G A SUP E RT I ME LI N E
La lnea de tiempo, como se indica en el prrafo anterior, son muy tiles, pero limitado a las actividades detectadas en la filesystem54. En adiciones a la fecha y hora de los archivos, hay varios metadatos en el sistema de anlisis que se puede integrar con la lnea de tiempo del filesystem55. Las herramientas para crear este tipo de lneas de tiempo "enriquecidos" 56are incluido en diestro. En este caso tambin, el punto de partida es la imagen de un disco o un disco en s, as como para la lnea de tiempo tradicional elaborada con FLS + mactime (o con la autopsia interfaz grfica). La herramienta especfica se utiliza log2timeline57 . El marco fue escrito por Kristinn Gudjonsson, y el desarrollo de sus plugins involucr a toda la comunidad forense de cdigo abierto. Procesos Log2timeline (anlisis), recurrentemente, los archivos de una particin montada con unos parmetros especficos, que permiten el acceso a los metadatos del sistema de archivos. En particular, el log2timeline metadatos es capaz hasta la fecha para procesar e introducir en un supertimeline figuran en esta modos de entrada list: 1.Apache2 registro de acceso; 2.Apache2 registro de errores; Historia Chrome 3.Google; 4.Encase listado de registros; Los archivos de registro de eventos 5.Windows (EVT); Los archivos de registro de eventos 6.Windows (evtx); 7.EXIF; Marcadores 8.Firefox; 2 historia 9.Firefox; 10. Firefox 3 la historia; 11. FTK Imager archivos CSV listado de registros; 12. Los archivos de registro de Linux genricos; 13. Archivos del historial de Internet Explorer, de anlisis index.dat; 14. Los archivos de registro de Windows IIS W3C; 15. Exportacin de texto ISA Server; 16. File cuerpo mactime; 17. McAfee AntiVirus Registros; 18. MS-SQL registro de errores; 19. Global y directo historial del navegador Opera; 20. Metadatos OpenXML (Office 2007); 21. Archivos PCAP; 22. PDF;
the registry, the link file in the LNK format, the prefetch etc.. 56 In the forensic jargon they are now indicated by the term "supertimeline". 57 http://log2timeline.net
33
54 55
As que se limita a crear, editar o acceder a los archivos. Algunos ejemplos: el registro de un navegador, las visitas a los cambios en las claves del registro del sistema, antivirus registros, la actividad de
the registry, the link file in the LNK format, the prefetch etc.. 56 In the forensic jargon they are now indicated by the term "supertimeline". 57 http://log2timeline.net
34
23. Directorio Prefetch de Windows; 24. Papelera de reciclaje de Windows (INFO2 o I $); 25. Punto de restauracin de Windows; 26. Safari archivo historial del navegador; 27. Archivo setupapi.log Windows XP; 28. Adobe fichero objeto compartido local (SOL / LSO), tambin conocidos como cookies de Flash; 29. Registros de acceso Squid (httpd_emulate off); 30. TLN archivos corporales (lnea de tiempo); 31. Clave UserAssist del registro de Windows; 32. Volatilidad (psscan y psscan2 salida); 33. Archivos de acceso directo de Windows (LNK); 34. Archivo de registro de Windows WMIProv; 35. Archivo de registro de Windows XP Firewall (formato W3C).
El supertimeline se pueden guardar en diferentes formatos. El formato ms utilizado es el CSV format58 , compatible con varias hojas de clculo, se pueden mostrar con sencillez y editado con un editor de texto. La lista completa de modos de salida en la que el procesamiento de la supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; Mactime; SIMILAR; SQLite; TLN; TLNX.
34
58
https://en.wikipedia.org/wiki/Comma-separated_values
35
36
arc hivo :
59
Por ejemplo, el nombre de host de la computadora, los usuarios, el navegador por defecto, zona horaria, etc .. puede ser obtenido. 60 Podra ser omitido, lo que indica que log2timeline probar todos los plugins en todos los archivos. 61 Se puede obtener de forma automtica con el parmetro "-p", pero a menudo es til para establecer de forma manual.
37
l2t_process-i-b-c-log2t unsorted.csv-y .. 2008-01-01 2008-12-31 keywords.txt-k> c-log2t-2008.csv Algunas de las opciones tiles de l2t_process son:
-I: Tambin se incluyen las entradas en la salida fuera del intervalo de tiempo especificado, si stos sugieren que contienen informacin de las actividades sospechosas timestomping62; -Y: forzar el formato de fecha aaaa-mm-dd en lugar del formato predeterminado dd-mm-aaaa; -B Indica Qu archivo debe ser Analizada por el guin; -K: especifica el archivo que contiene las palabras clave que usted est interesado, excepto la salida de los registros que no contengan ellos. El resultado de log2timeline y l2t_process ser una larga lista de actividades reconocidas en el filesystem63 y los metadatos extrados de los tipos de archivo se ha indicado anteriormente (log, eventos, enlaces, historial de navegacin, etc ....). Las columnas del archivo de cabecera tendrn el siguiente:
1. Fechas 2. Tiempo 3. Zona Horaria 4. MACB 5. Fuente 6. SourceType 7. Tipo 8. Usuario 9. Hosts 10. Corto 11. Descripcin 12. Versin 13. Nombre de archivo 14. Inode 15. Notas 16. Formato 17. Extra
62
38
63
39
5.6
SE A RC F H I L E S A N D O C L D E R S
Puede buscar archivos y carpetas mediante una de las siguientes herramientas: localizar; encontrar.
5. 6. 1
LOCATE
Localizar Le permite buscar archivos en un dispositivo de almacenamiento masivo. Primero debe actualizar la base de datos de indexacin de ejecutar el comando updatedb. Ejemplo: localizar las finanzas-q-i Bsqueda, sin distinguir entre maysculas y minsculas (-i), para los archivos que contienen la palabra finanzas en su propio name.Thanks opcin de-q, errores suministrados para acceder a un directorio especfico se inform, as como la razn de dicho error ( por ejemplo, "acceso denegado"). Ejemplo: localizar "*. png"-q que buscar todos los archivos PNG.
5. 6. 2
FIND
Buscar Le permite buscar archivos sin indexacin previa. Ejemplo: encontrar. -Iwholename "* porn *. Png" La herramienta se encuentra todos los archivos PNG que contienen la cadena de porno en Su nombre, sin
40
41
La herramienta se encuentra todos los archivos creados en los ltimos 2 das y que le ahorrar a la lista en el archivo list.txt.
5.7
RV M U E S P A O F F I LE S
Carving es el proceso de recuperacin de archivos ya no se hace referencia al sistema de archivos, a travs del reconocimiento de la cabecera y el footer65 del archivo. Es un proceso largo, porque el disco se examina desde la primera hasta la ltima gota. Metafricamente hablando, se puede comparar este proceso con la lectura de una unidades de cinta.
5. 7. 1
FOREMOST
Foremost puede recuperar archivos borrados directamente desde dispositivos de almacenamiento, o preferiblemente, de "flujo de bits de imagen" archivos. El comando ante todo-o outpdir dump.img se iniciar el proceso de tallado en dump.img basado en el archivo de configuracin del archivo / etc / foremost.conf y guardar los archivos extrados en el directorio outpdir. El comando todo-t-o png outpdir dump.img se iniciar el proceso de forjar todos los archivos dump.img png en el archivo y guardar los archivos extrados en la carpeta outpdir. La opcin-t le permitir buscar los siguientes tipos de archivo:
65
Encabezado y pie de pgina son las firmas que caracterizan el comienzo y el final de un tipo de archivo determinado,
42
en detalle que consisten en un grupo de octal consecutivos o valores hexadecimales siempre presentes en una determinada posicin de un archivo determinado al inicio o al final de la misma.
43
jpg jpeg png bmp exe avi mpg wmv wav riff
44
El DEFT Linux GUI se basa en la LXDE "entorno de escritorio" 66 (Lightweight X11 Desktop Environment). El eleccin del
gestor de escritorio cay en este proyecto hasta la fecha porque es una de las interfaces grficas de usuario ms ligero y ms eficiente del mundo Linux. El uso del modo grfico se solicita en los casos en que los programas, no desarrollados para el uso en la lnea de comandos, se van a utilizar,: como, por ejemplo, Marco Forense Digital (DFF) 67 o bagre. Desde la versin 6, las aplicaciones nativas de Windows, por lo que no hay equivalente para Linux ms potente, integrado y emulado han sido directamente por DEFT Linux usando Wine software68. Para iniciar la interfaz grfica de DEFT Linux simplemente escriba hbil-gui.
66 67
45
Una gua para la obtencin de pruebas Los procedimientos para instalar DEFT Linux La Terminal El men de la aplicacin Pcmanfm Administrador de archivos Keyboard Language Manager Mostrar escritorio
8. De espacios de trabajo
9. Sistema de control de audio 10. Los administradores de red 11. Fecha y hora 12. Gerente de Zona Horaria 13. Apagado del sistema y el botn de
reinicio
Accesorios: Archive Manager, Mapa de caracteres, la Utilidad de Discos, Administrador de archivos, calculadora, visor de imgenes, Leafpad, LXterminal, TrueCrypt y Xpad. DEFT: Herramienta de anlisis, herramientas anti-malware, tallando las herramientas, algoritmos hash herramientas, herramientas de imagen, forenses mviles, anlisis forense de redes, herramientas OSINT, recuperacin de contraseas, herramientas de reporte, Utilidad de Discos, Administrador de archivos, GParted, Midnight Commander, Mount ewf, MountManager, Barrido y Xmount. Grficos: Visor de documentos. Internet: Firefox y Sun Inicio 6 de Java Web. Servicios: Apache arranque, parada Apache, Mysql marcha, paro MySQL, Samba marcha, paro Samba, SSH marcha, paro SSH, Xplico inicio, parada Xplico.
Sonido y vdeo: Audaz, escritorio Recorder, VLC media player y Xfburn. Wine. Herramientas del sistema: Gdebi instalador de paquetes, GParted, Prensa, gestor de paquetes Synaptic, Perfil de Sistema y de referencia, el Administrador de tareas, hora y fecha, gestor de
46
Preferencias: Los conductores adicionales, Adobe Flash Player, personalizar la apariencia, la configuracin de sesin del escritorio, la Utilidad de Discos, teclado y ratn, soporte de idiomas, Lxkeymap, ajustes del monitor, Red
47
conexiones, configuracin de Openbox, aplicaciones preferidas, las fuentes de software, Sun Java 6 Programas Panel de control y Sun Java 6 Herramienta Poltica.
6.2
SS MA ME MO MA RY N A G E ME NT
Como ya se mencion, el sistema no realiza ninguna accin con la excepcin de la deteccin de los dispositivos conectados al sistema. Durante el uso del gestor de archivos, a los dispositivos de almacenamiento masivo conectados al sistema (interna y externa) no se montar automticamente. Haga clic en el icono del dispositivo de almacenamiento masivo, se mostrarn las polticas para el montaje: Monte slo lectura: Permite el acceso al dispositivo de almacenamiento en masa como de slo lectura sin alterar los datos almacenados en el dispositivo de memoria; Montaje de volumen: Permite el acceso al dispositivo de memoria masiva con la lectura / escritura; Volumen de expulsin: Permite la eliminacin segura de la memoria del sistema. Con la aplicacin Administrador de Montaje de el examinador puede montar Establecer las polticas basadas en sus necesidades operativas.
48
6.3
MO A T M A N A G E R
Administrador de montaje Le permite crear polticas de montaje avanzadas con slo unos clics. En la imagen que compartimos los procedimientos para montar un dispositivo de almacenamiento de memoria como RO (slo lectura), el bloqueo de las acciones que puedan producir alteraciones en el sistema de archivos.
Para el montaje es necesario asociar un directorio existente a una particin en la memoria asegurndose que ajuste los parmetros tienen noatime, noauto, ro, noexec, que aseguran que la memoria masiva no se altera durante usage.Only de esta manera usted tendr acceder al sistema de archivos como de slo lectura y utilizarlo sin tener que actualizar el tiempo de acceso inode69 . Con el Administrador de montaje, se puede montar tambin archivos adquiridos en formato dd y los sistemas de archivos de red: como Samba (Windows share) y NFS.
49
69
50
6.4
SH H A M A C I O N LC ULA
Dhash es la nica herramienta de DEFT Linux dedicada al clculo del hash en modo grfico.
Despus de iniciar la aplicacin, haga clic en Abrir dispositivo para seleccionar un dispositivo de almacenamiento masivo o Abrir archivo para seleccionar un archivo. Seleccione el tipo de hash para calcular (MD5, SHA1 o ambos) y haga clic en Inicios. Despus de terminar, puede guardar un informe HTML con los resultados, haga clic en "Guardar registro".
51
6.5
MA ME MO RY SS A Q UI SI C T I O N
Como se ha demostrado anteriormente, con DEFT Linux puede adquirir memorias de almacenamiento masivo a travs de interfaz grfica o mediante el uso de Guymager Dhash. El primero es adecuado para adquisiciones en el formato dd, mientras que el ltimo es muy recomendable para las adquisiciones paralelas en el formato ewf.
6. 5. 1
DAHS
En Dhash, los procedimientos para la adquisicin es similar a la que para el clculo hash. Seleccione el dispositivo que desea adquirir haciendo clic en "dispositivo abierto" Seleccin y "Adquirir". Tambin puede optar por adquirir y comprimir al formato gz marcando la casilla Comprimir y / o elegir si para llevar a cabo el clculo de comprobacin aleatoria de uno o ms archivos.
45
Al final de todas las actividades, se puede guardar un informe en formato HTML, haga clic en la opcin "Guardar registro".
45
6. 5. 2
ER
UTAMAG
Permite Guymager en adiciones a la adquisicin simultnea de mltiples dispositivos de almacenamiento masivo, la inclusin de informacin: por ejemplo: Cdigo de Viviendas; Evidencia de catalogacin; Nombre del examinador que est llevando a cabo las operaciones; Descripcin del objeto que est adquiriendo. El programa soporta todos los principales formatos de adquisicin (dd, AFF y encierran) y le permite ejecutar la comprobacin de integridad, a travs de la verificacin MD5 o sha256 valor hash, ambos de la recin creada y la imagen del dispositivo original (incluyendo imgenes divididas) . Para iniciar el proceso de adquisicin de Guymager clic derecho sobre la memoria masiva para ser clonado y seleccione Adquirir imagen.
46
En la ventana Adquirir imagen puede especificar varios parmetros de la adquisicin o gestin del caso.
47
6.6
6. 6. 1
F I N D I N G F I LE S A N D E F O LD RS
FACTIS
Bagre Que puede realizar las mismas operaciones se pueden ejecutar a travs de comandos de lnea de comandos a encontrar y localizar. En el ejemplo que se muestra a continuacin, la memoria seleccionada o la carpeta en la que desea buscar, la bsqueda se inicia para todos los archivos con extensin JPG por escrito *. Jpg en el campo de bsqueda. Cuando se complete la bsqueda, puede abrir los archivos de la lista con un simple doble clic.
En la ventana de informacin de los archivos se indican: ltima fecha de modificacin, la ubicacin y el tamao del archivo.
48
6.7
F I N D I W LD
Findwild es un programa que le permite buscar palabras files.Specifying Dentro del directorio de inters y palabras clave asociadas le proporcionar una lista de los archivos que contienen las claves de bsqueda.
48
6.8
IU G F I LE S M U E S P RV
Jorobado 4most (H4M), disponible en Ingls y Inglese, es una interfaz grfica para la gestin de las funciones principales del lugar y el bistur. A travs H4M, una vez que elija el programa que se utilizar como un fichero de tallador, puede ejecutar el tallado con unos simples clics.
H4M, una vez que usted ha indicado en el archivo o dispositivo en el que desea buscar, y la carpeta donde desea almacenar los archivos recuperados, bsquedas y guarda todos los archivos con el encabezado y pie de pgina especificado por el examinador.
49
En adiciones a los formatos de archivo tradicionales apoyados por Foremost y Scalpel, usted puede personalizar su bsqueda indicando un nuevo archivo de configuracin que contiene encabezado y pie de pgina de su inters.
6.9
MA N I N G A G A C A SE W I T H A UT O P SY
El navegador forense Autopsy es una interfaz grfica para la gestin de la lnea de herramientas de investigacin digitales comando en el Kit70 Sleuth. Se utiliza principalmente para el tratamiento de los casos en que se requiere un anlisis de los dispositivos de almacenamiento masivo. Autopsia permite: Directamente utilice el dispositivo o las adquisiciones en el formato dd, AFF y encierran; ver la informacin sobre el tipo de sistema de archivos; analizar e identificar el contenido de archivos y directorios y sus referencias de tiempo; recuperar archivos borrados;
50
70
http://www.sleuthkit.org/
51
gestionar una base de datos de los valores hash de los archivos del caso bajo anlisis; crear y analizar lneas de tiempo; buscar los archivos por palabra clave; analizar los metadatos; creado informes de resultados; creado en los hogares.
Una vez que comenz desde la seccin de disco forense Autopsy, solicitar al examinador que especifican si tiene la intencin de crear un nuevo hogar o abrir uno existente. En este ejemplo, haga clic en Nuevo para crear un caso de prueba y coloque la fecha en su posesin para la catalogacin: como el nombre, la descripcin y los nombres de los examinadores:
Una vez que haya confirmado sus datos, en / root / pruebas / casename se crea un directorio que contiene toda la fecha casas. En el caso de que uno o ms objetos (ya sea de pie para los miembros de cualquiera de los sistemas) se pueden agregar haciendo clic Agregar host dentro de la caja y al ingresar los datos requeridos:
52
Uno o ms dispositivos de almacenamiento masivo se pueden aadir a cada objeto: simplemente clic en el archivo imagen adicional, escriba la ubicacin campo sea el enlace directo a un dispositivo de almacenamiento masivo (por ejemplo / dev / SDX) o la ruta que contiene el archivo adquirida (por ejemplo: / Media/forensic/disco001.dd) y especifique la memoria si va a aadir una particin o un almacenamiento de toda la masa; En cuanto al mtodo de importacin, para facilitar su uso, se recomienda encarecidamente que deje los enlaces simblicos por defecto.
52
Despus de la adicin de la memoria, se pregunt si se debe calcular, o introduzca manualmente si se ha calculado ya, el hash md5 value71 y especifique el nombre simblico de la particin y sistema de archivos.
53
71
54
La creacin de Disco001 objeto se completar al final de las operaciones anteriores. Puede seguir aadiendo al
55
La interfaz de mdulo de anlisis permite al mdico visualizar el rbol de directorios de la particin bajo anlisis y en vez de archivos se selecciona para tener una vista previa de su contenido. El acceso al archivo es de slo lectura a fin de no afectar ni el tiempo ni las referencias de metadatos. En la ventana de anlisis se puede ver: El nombre / y la ruta del archivo; Los valores de tiempo como fecha de creacin, ltimo acceso y ltima modificacin; El tipo de datos; Si los datos se han eliminado o no (en rojo si se ha solicitado la supresin de los datos).
55
Otra caracterstica interesante es la bsqueda por palabras clave. Esta caracterstica le permite realizar bsquedas utilizando el grep comando y se ejecuta en todo el rbol del sistema de archivos, incluido el espacio no asignado. Esta operacin puede ser muy lento cuando termines los patrones de bsqueda de los dispositivos de almacenamiento que contienen muchos archivos o tienen grandes capacidades. En estos casos le sugerimos que abra un "shell del sistema" y realizar la bsqueda, usar grep, desde la lnea de comandos. La misma recomendacin se aplica a la lista de la creacin de lneas de tiempo.
56
57
6.10 X P O LI C
DEFT apoyado la evolucin Xplico proyecto desde el primer releases72.
El uso de Xplico es muy simple: dado como entrada para pcap file73 contiene un volcado de trfico de red IP, el programa es capaz de reconstruir los contenidos de los datos que se pasan en ese momento en la red IP, hacindolos disponibles y accesibles a travs de una interfaz web conveniente. Desde el 7 de liberacin DEFT, Xplico se gestiona como un servicio. Por lo tanto, con el fin de ejecutar la aplicacin, debe iniciar los servicios siguientes en secuencia: 1. Servidor web Apache; 2. Xplico. El inicio de los servicios antes mencionados se puede realizar por DEFT> men de servicios, o mediante la lnea de comandos. Una vez que los servicios iniciados, puede iniciar desde el men Network Forensics Xplico.
6. 1 0. 1
SE
C E R A C I N DE A C A
72
La herramienta, disponible en la siguiente direccin http://www.xplico.org/ , Es en estos momentos uno de los ms poderosos de red de cdigo abierto
58
Herramienta forense. 73 Este archivo de datos contiene los paquetes capturados por los programas de "deteccin de paquetes." Por lo general son paquetes que se registraron durante una transmisin de la red.
59
Ejecutar Xplico de la seccin Network Forensics de men DEFT y escriba la informacin de inicio de sesin siguiente para acceder al administrador de casos: usuario: contrasea xplico: xplico
Esto cerrar la sesin como usuario predeterminado que slo puede crear y gestionar los casos, pero no cambia la configuracin de la aplicacin. Si desea personalizar la configuracin del panel de control, crear nuevos usuarios, etc, tienes que acceder con las credenciales de administrador.: usuario: admin contrasea: xplico En el siguiente ejemplo, hemos creado un nuevo caso llamado Foo donde todo el trfico en ese momento que se pasa a travs de la interfaz eth0 de nuestra ubicacin, y luego adquirida y analizada.
60
Al final de la fase de adquisicin, Xplico ya han decodificar y reconstruir todos los tipos de datos compatibles, como: imap rtp http sorbo pjl dns telnet Facebook Chat correo ftp msn web tftp irc smtp pop3
La lista contiene todas las reconstrucciones de los sitios Web y todos los contenidos se muestra en la seccin del men del sitio web.
60
Se debe tener en cuenta que la lista de todos los get74 realiz, tambin los que incluye el usuario realiza involuntariamente que como todas las solicitudes se hacen de la pgina web a la URL que contiene varios anuncios o secuencias de comandos de seguimiento.
74
61
06.11
H Y D RA
Hydra es uno de los software ms populares utilizados para forzar usuario y contraseas con fuerza bruta attack75.
La lista siguiente muestra los protocolos y aplicaciones en la que puede ejecutar un ataque de fuerza bruta usando Hydra:
62
75
http://en.wikipedia.org/wiki/Brute-force_search
63
AFP Cisco AAA Cisco auth Cisco enable CVS Firebird FTP HTTP-GET-FORM HTTP-FORMPUBLICAR HTTP-GET HTTP-PISTA HTTP-proxy HTTPS-FORM-GET HTTPS-FORMPUBLICAR HTTPS-GET HTTPS-PISTA
HTTP-proxy ICQ IMAP IRC LDAP MS-SQL MYSQL PNC NNTP Oracle Listener Oracle SID Orculo PC-En cualquier lugar PCNFS POP3 POSTGRES RDP Rexec
Rlogin Rsh SAP/R3 SIP SMB SMTP SMTP Enum SNMP SOCKS5 SH (v1 y v2) Subversin Teamspeak (TS2) Telnet VMware-Auth VNC XMPP
Dentro diccionarios DEFT para realizar las actividades para romper contraseas de Linux no estn incluidos. Con Cupp, puede crear diccionarios personalizados: responder a las preguntas de la solicitud pide, se puede generar una lista de palabras clave basndose en la informacin presente en el pc protegido por las credenciales que desea force76.
76
Una lista de palabras se puede encontrar fcilmente en Internet en diferentes tipos: idiomas, colecciones de
64
65
06.12
KEEPONTE
KeepNote es un software utilizado para la recogida y clasificacin de la informacin. En el campo de la informtica forense que podra ser utilizado para la gestin de pruebas por la catalogacin de las memorias de masa y todos los resultados de los anlisis a otros objetos.
Usted puede crear un rbol de objetos (directorios y pginas), y estructurar de acuerdo a sus necesidades funcionales y encajar dentro de la informacin de la pgina: por ejemplo: Texto sin formato; Html; Pictures; Archivos. La informacin contenida en el cuaderno introducida por Creado con KeepNote KeepNote se puede guardar en un archivo o exportar a HTML.
66
13.06 LT MA E F G O
Maltego77 se puede utilizar tanto en las Forense y Cyber Inteligencia.
Maltego es compatible multiplataforma, escrito en Java y se puede encontrar y demostrar visualmente las conexiones entre las personas, grupos, empresas, pginas web, ciudades, calles, direcciones de correo, nmeros de telfono, direcciones IP, nombres de dominio, archivos, documentos, etc ..
A medida que el uso de este programa est ms all del alcance de este documento, su funcionamiento no se discute en detalle. Le sugerimos que consulte la documentacin oficial exhaustiva en esta direccin: http://www.paterva.com/web5/documentation/userguide.php
67
77
http://www.paterva.com/
68
La sptima versin de DEFT Linux incluye algunas herramientas para el anlisis de los dispositivos mviles. Ahora est disponible navegador de base de datos SQLite para permitir el anlisis de bases de datos SQLite, que se utiliza en la mayora de aplicaciones para Android, Iphone y Ipad. Para el anlisis de los telfonos mviles, se incluye: IpdDump para el anlisis de las copias de seguridad en los dispositivos BlackBerry; Analizador Iphone para el anlisis de iPhone desde la versin 3 a la versin anterior; Analizador de backup Iphone para el anlisis de las copias de seguridad en dispositivos iPhone; Bitpim Que soporta los siguientes dispositivos: Audiovox CDM8900 LG AX-8600 LG C2000 LG G4015 LG LX570 LG PM225 LG UX-5000 LG VX-3200 LG VX-4400 LG VX-4500 LG VX-4650 LG VX-5200 LG VX-5300 LG VX-6000 LG VX-6100 LG VX-7000 LG VX-8000 LG VX-8100 LG VX-8300 LG VX-8500 LG VX-8560 LG VX-8600 LG VX-8610 LG VX-8700 LG VX-8600 LG VX-8800 LG VX-9100 LG VX-9200 LG VX-9600 LG VX-9700 LG VX-9800 LG VX-9900 LG VX-10000 LG VX-11000 Motorola E815 Motorola E815m Motorola K1m Motorola V325 Motorola V325M Motorola V3c V3m Motorola Motorola Motorola V3cm V3mM Motorola V710 Motorola V710m Samsung SCH-A870 Samsung SCH-A930 Samsung SCH-A950 Samsung SCH-U470 Samsung SCH-U740 Samsung SCH-U750 Samsung SPH-M300 Sanyo SCP-6600 (Katana) Otros telfonos Toshiba Sanyo VM-4050
69
7.1
A N D I D RO
Android es un sistema operativo de cdigo abierto derivado de Linux que se ha diseado para dispositivos mviles (smartphones, tablets, netbooks). Particularmente comn en los sistemas de bajo costo de China, que est presente en una amplia variedad de dispositivos, por encima en trminos de difusin iOS (incluso se puede instalar en el Apple iPhone78) y el ahora anticuado, pero todava se utiliza ampliamente Nokia OS79. El sistema, actualmente desarrollado por la Open Handset Alliance80 (OHA) liderada por Google, ha visto la luz por primera vez en noviembre de 2007 y, para cada versin, se ha enriquecido con las caractersticas que se han asegurado su notable madurez.
En este momento las versiones ms recientes del sistema operativo son: Jellybean 4.1.x: generalizada especialmente entre los smartphones de gama baja y tabletas; 3.2 Honeycomb: dedicado a las tabletas, tiene moras introdujo el soporte para pantallas ms grandes, Multiprocesadores y aceleracin de grficos de hardware.
78 79
http://www.giardiniblog.com/guida-installare-android-su-iphone-3g [Ingls] Todos los sistemas operativos instalados en los dispositivos Nokia, creado por Nokia deben ser considerados: http://en.wikipedia.org/wiki/Nokia_OS
70
80
http://www.openhandsetalliance.com/
71
En este captulo, por razones de espacio, vamos a dirigir nuestra atencin slo a la versin 4.1.x Jellybean Sin embargo, la OHA no se ocupa de la actualizacin del sistema operativo instalado en cada dispositivo, sino que delega esta tarea a cada productor, que es libre de decidir libera parches para corregir problemas de seguridad o implementar nuevas caractersticas. Esta poltica de mercado ha causado indirectamente el nacimiento de un gran nmero de "rom cocinada", tomado de la versin 2.3, personalizada para cada modelo y ms eficiente que la versin predeterminada del dispositivo. Esto afecta enormemente el trabajo del operador que desee realizar un anlisis forense, porque no saben a ciencia cierta cul es la versin de Android se instala en el dispositivo para examine81. El sistema operativo de base compatible con las caractersticas esenciales de un telfono inteligente: conexiones va GSM / EDGE, UMTS, Bluetooth, Wi-Fi, WiMAX; llamadas; transmisin y recepcin de SMS y MMS; soporte multilinge; navegacin web; "Mquina virtual Dalvik" 82; audio / soporte multimedia de vdeo; multitarea; comandos de voz; tethering. Las caractersticas adicionales pueden estar disponibles segn el tipo de hardware (pantalla tctil, GPS, acelermetro, tarjeta 3D, etc.), O los suplementos de aplicaciones especficas (cliente para las redes sociales, todo tipo de gestin, seguridad, juegos, etc.). El hardware utilizado en los telfonos inteligentes est estrechamente relacionada con las caractersticas de diseo establecidas por el fabricante, sino que vara en funcin del presupuesto funcional destinado a la produccin y el mercado de destino. Con respecto a la memoria del dispositivo, en la mayora de los casos, el sistema operativo est instalado dentro de la memoria flash de un no extrable generalmente sin desoldar de la propia memoria de la placa base. A menudo se apoya en una ranura de expansin para memoria externa (MicroSD). Diferentes de las opciones indicadas en el prrafo anterior son las llevadas a cabo por los productores ms pequeos a menudo, las empresas generalmente de origen chino, que pueden disear la arquitectura tan drsticamente diferente. Por ejemplo, en lo que se refiere al almacenamiento del sistema operativo, que a veces es beneficioso utilizar tarjetas MicroSD, cuestan menos y son rpidamente extrable. La dificultad en suministrada para acceder a la memoria del telfono puede variar enormemente dependiendo del dispositivo que est siendo analizado. A menudo es necesario recurrir a los procedimientos que nos permitan ir y leer el contenido de las particiones accesibles slo con permisos de root, y sin tener que quitar la memoria de estado slido del dispositivo.
72
81
Por ejemplo, la ROM CyanogenMod (www.cyanogenmod.com) o MIUI ROM (miui.nexus-lab.com) desarrollaron alrededor tanto en la versin 2.3 y 4.0. 82 Mquina Virtual de Java optimizado para trabajar con menor consumo de energa en los dispositivos con menor potencia de clculo.
73
La principal debilidad de este tipo de procedimientos es que el contenido de la memoria de masa se modificarn, aunque minimally.Therefore es deseable que el operador, que intervengan en el proceso penal, mantenerse en contacto con la norgimen peritaje repetible para la actividad de los datos acquisition83.
7.2
Aunque es comn para el sistema operativo que ha sido modificada por los fabricantes de telfonos inteligentes o por la compaa telefnica, es probable que google applications84 estn incluidos y pueden constituir una fuente primaria de informacin para el informe. Entre las diferentes aplicaciones, las dos principales son el perfil de Gmail y Market85.
7. 2. 1
PMUEL A los efectos de la investigacin, vale la pena considerar la profunda conexin entre la gestin interna smartphone y una cuenta de Google. Muchas de las caractersticas internas (gestin de contactos, calendario, Google Talk, mercado de google, etc.) Dependen de ste o se puede confiar, una cuenta activa en los sistemas de Google.
Algunos ejemplos: Usted debe registrar una cuenta de Google para descargar / comprar aplicaciones desde el Android Market; Contactos y datos del calendario se pueden guardar de forma automtica, incluso en el perfil de Google; Si est instalado, el cliente Google+ ofrece la oportunidad de subir automticamente las fotos tomadas por el ambiente interno en un lbum privado de un perfil de Google+, no necesariamente relevantes para su default Google account86; La funcin Latitude, en la aplicacin Maps, que se apoya en el perfil de Google registrada y almacena la ubicacin del telfono, los controles in, etc. Luego, estos transmitida y la fecha se registraron en el perfil, donde se almacenan hasta suprimido por el usuario.
83
74
84 85
Ver http://www.google.com/mobile/android/ Hay muchas excepciones a lo que se ha escrito, un ejemplo puede ser el Toshiba Netbook AC 100: Google aplicaciones estn ausentes y la tienda de aplicaciones para las aplicaciones es el mercado Camangi (www.camangimarket.com). 86 http://www.google.com/support/mobile/bin/answer.py?answer=1304818
75
7. 2. 2
PLAYMARTEK
Similar a lo que ocurre dentro del sistema con el iOS App Store, el Android Juego Market87 se utiliza para descargar y / o comprar juegos o aplicaciones que aumentan la funcionalidad de su telfono inteligente. Puede obtener las actualizaciones de las aplicaciones instaladas a travs del mercado como well88. En adiciones a este modo, el sistema operativo Android Ofrece la posibilidad de instalar aplicaciones de terceros a travs de (AppLibs, Amazon, Android, etc ..) o mediante copia directa de la aplicacin en el telfono. Cabe sealar que el cojn polticas adoptadas por Google en los ltimos meses han permitido la presencia de malware y la proliferacin posterior de diversos infections89.The propagacin de malware ha sido parcialmente obstaculizada tanto por la rpida publicacin de actualizaciones de Google y la desinstalacin remota application90 del malware. La seguridad de las aplicaciones es incluso menos impresionante, si no ausentes, en el caso de los mercados de terceros. Hay muchos casos de malware distintos presentes en estos channels91. El efecto de las actividades antes mencionadas se vio limitado por una gestin eficaz, y la liberacin de las actualizaciones de firmware especial de los fabricantes de telfonos inteligentes y los proveedores de telefona que distribuyen los telfonos inteligentes Android. Esto afecta seriamente la posibilidad de cerrar los agujeros de seguridad en los distintos modelos de la circulacin y contribuye a la persistencia y propagacin de malware.The presencia de caliente gratuito ROM92 aliviara el problema, pero la instalacin de ROM no originales que no se desalientan a menudo por los fabricantes. En teora, la venta y la liberacin de las polticas de actualizacin podra abrir la posibilidad de atacar a zonas geogrficas especficas o usuarios de ciertos proveedores.
7. 2. 3
FILESYSTEMUSINE
Yaffs2 (otro sistema de archivos de Flash) es el sistema de archivos utilizado en los dispositivos Android hasta la versin 2.2.Created por Charles Manning para el Aleph Una empresa finlandesa, est disponible bajo la licencia GPL. Hoy est oficialmente soportado por los sistemas operativos siguientes: Androide Linux Windows CE pSOS
87
Tambin Jugar La tienda es accesible a travs de la pgina web https://market.android.com. Tambin permite instalar de forma remota las aplicaciones. 88 Las empresas de la casa de software son tambin capaces de limitar la disponibilidad de las aplicaciones a reas geogrficas especficas o Sus proveedores de servicios telefnicos basados en las necesidades de venta. 89 https:// Www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf 90 Un ejemplo reciente de malware es Anserverbot
76
(http://www.csc.ncsu.edu/faculty/jiang/pubs/AnserverBot_Analysis.pdf ) 91 https:// Www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf 92 Vase, por ejemplo, mod ciangeno (Http:/ / Www.cyanogenmod.com / devices) o MIUI (Http:/ / Miuiandroid.com /)
77
eCos ThreadX
La segunda versin de este sistema de archivos asegura un alto nivel de integridad de los datos escritos en la memoria y, al mismo tiempo, intenta mantener el rendimiento ms elevado posible data93 Cuando suministrada a acceder. En comparacin con la primera versin del sistema de archivos, el rendimiento de escritura de un archivo se ha mejorado en un 500% y el rendimiento de deleting94 en un 400%. Desde la versin Android 2.3, los desarrolladores decidieron abandonar esta migracin al sistema de archivos EXT4.
7. 2. 4
E X T 4 F I L E S T E M SY
Ext495 (Cuarto sistema de archivos extendido) es un archivo de diario system96 nace como una mejora de la Ext3 para aumentar los lmites de almacenamiento de 64 bits y mejorar su rendimiento. En cuanto a presentar la lectura, a pesar de las actuaciones son ms bajos que los de los competidores system97 archivos, Ext4 utiliza menos recursos de CPU y es ms poderoso escribe procedimientos. Hoy en da se considera ms seguro que otros sistemas de ficheros de Linux debido a su simplicidad y la instalacin base ms amplia para realizar pruebas.
93 94
Tambin se considera que el hardware es "portable" y el tipo de unidad en el 99% de los casos es de estado slido. http://www.yaffs.net/yaffs-2-specification-and-development-notes. 95 Hasta la fecha, ext4 est soportado nativamente por cualquier distribucin de Linux, gracias a la Ext2 de Windows por proyecto y por el principal aplicaciones, comerciales o no, de la informtica forense. 96 Es una tecnologa utilizada por muchos sistemas de archivos modernos para preservar la integridad de los datos de cualquier apagones repentinos o
78
paradas. Se basa en el concepto de transaccin, cada escritura en el disco es interpretado por el sistema de archivos como una transaccin. 97 Tales como, por ejemplo, JFS, ReiserFS y XFS, Ext4.
79
Las principales caractersticas de EXT4 son: sistema tamao de los archivos hasta 1 Exabyte (1,000,000 terabytes); La eliminacin del lmite de 32000 subdirectorios; Persistente pre-allocation98; Compatibilidad con versiones anteriores. Ser capaz de montar el sistema de archivos ext2 y ext3 como ext4; Mayor rendimiento para la comprobacin de la integridad del sistema de archivos (fsck); La desfragmentacin con conexin reducir drsticamente la fragmentacin del sistema de archivos. Soporte nativo para ext4 se ha introducido en la versin Android 2.3 para sus nuevas funciones relacionadas con la mejora en la escritura de los archivos y su garanta de la integridad. Desde el punto de vista forense, esta aplicacin ha hecho que sea mucho ms fcil de cortar para analizar los sistemas de archivos porque, hasta la fecha, no existen herramientas gratuitas y comerciales, que apoyan de forma nativa el sistema de archivos YAFFS.
7. 2. 5
POLICASFMASSOTRAGUESE
En la mayora de los dispositivos Android, el usuario final puede decidir cmo utilizar la memoria masiva, interna y externa, a su disposicin. En general, todas las aplicaciones descargadas e instaladas desde el Android Market se almacenan en la memoria interna, con excepcin de aquellos que han aplicado la funcin para seleccionar la memoria de masas en el que se instala. Incluso en el caso de los archivos generados por el actual applications99, dado que es el usuario final la oportunidad de decidir si desea guardar en el interior o en la memoria externa.
7. 2. 6
ACCESSTOTHEFILESYSTEM OFTHEOPERATINGSYSTEM
Todos los principales fabricantes de dispositivos Android se distribuyen sin que el usuario root permitido y sin la posibilidad de acceder directamente al sistema de archivos que contiene el System100 operativo. Sin embargo, existe la posibilidad de superar estas restricciones para prcticamente todos los dispositivos actualmente en el mercado siempre que los cambios invasoras para el propio sistema (mediante la alteracin del sistema de archivos original) son aceptadas. Este proceso se conoce coloquialmente como "arraigo" 101, que se consigue de manera diferente respectiva funcin del dispositivo y el sistema operativo. Los fabricantes de telfonos inteligentes desalientan las races de su dispositivo y moras que probable que se anular la garanta. Desde el punto de vista forense, este tipo de alteracin es estrictamente necesario para poder acceder a la informacin de inters: como el registro de llamadas, SMS, historial de navegacin de Internet y todo lo que podra escribir una aplicacin en un Dada directorio.
98 99
En otras palabras, las aplicaciones tienen la capacidad de pre-asignar espacio de disco. Por ejemplo, guardar archivos adjuntos o imgenes tomadas con el dispositivo.
80
100
Los equipos de las empresas fabricantes ms pequeos de Asia, en algunos casos, no se aplican este tipo de restricciones, tanto Facilitar el acceso a la informacin de inters para nosotros. 101 http://en.wikipedia.org/wiki/Rooting_ (Android_OS)
81
S5PC110 CPU, 45 nm 1 GHz ARM Cortex-A8 basado PowerVRSGX540GPUthat soporta OpenGL ES 1.1/2.0. Memoria: 512 MB dedicados LPDDR2 RAM, 16-32 MB DRAM, 8 GB de memoria de estado slido, con la posibilidad de expansin de hasta 32 GB mediante el uso de una tarjeta microSD.
82
Por tanto, es posible imaginar que todas las distribuciones de Linux y el software comercial para la Informtica Forense estn ya preparados para el anlisis de este tipo de dispositivo.
83
7. 3. 1
R O O T I N T E D PR O T E S
Los procedimientos para obtener el arraigo de este dispositivo consiste sustancialmente en la modificacin del kernel por las Altas smathphone de un programa llamado busybox103 . Se trata de los procedimientos menos invasivos para el sistema y para presever Permite que la integridad de la memoria (ni sobrescribir ni suprimido), manteniendo sin cambios el contenido de las particiones del sistema de archivos que contienen archivos producidos por las aplicaciones y las aplicaciones en s. Las herramientas necesarias para el enraizamiento del dispositivo Android son: El software de sincronizacin Keies Samsung (instalado e iniciado al menos una vez) 104; El CF-ROOT105 versin adecuada para el dispositivo en investigacin (marque el nmero de compilacin de la configuracin -> Telfono de informacin) que se puede descargar desde el sitio de xda developers106 . Despus de todo lo que necesita, puede continuar con los pasos: Modo de depuracin USB 1.Enable de los ajustes del men> Aplicaciones> Desarrollo, lo que permite que el telfono para transmitir archivos a travs de la conexin USB; 2.Cierre el Galaxy S y reiniciar en upgrade / modo de recuperacin al mismo tiempo presionando el botn central, bajar volumen Tecla y el poder (que usted debe ver una seal de peligro que le advierte de posibles acciones dainas) 107; 3.connect el dispositivo al PC a travs de USB y el lanzamiento de Odin. Si el campo ID: COM es amarillo, el telfono inteligente se reconoce correctamente, de lo contrario es probable que haya un problema con el sistema operativo drivers108; 4.Extract el archivo CF-Root.zip, haga clic en PDA y seleccionar el archivo descomprimido; Slo 5.Seleccione la Auto-Reboot y F. Restablecer Time109 de las opciones disponibles; 6.Haga clic en INICIO y despus de unos 15 segundos, la pantalla mostrar "PASS" est resaltada en verde. Desde ese momento, el dispositivo se reiniciar automticamente con el sistema de races.
103 104
http://www.busybox.net/about.html http://www.samsungapps.com/about/onPc.as 105 archivo para editar el ncleo del dispositivo 106 http://forum.xda-developers.com/showpost.php?p=12651359&postcount=6 107 Esto permite que los procedimientos para iniciar el dispositivo en un modo dedicado a la adquisicin de archivos flash para el funcionamiento de la memoria. 108 Es necesario comenzar Kies con Galaxy S (preferiblemente no la est probando) conectado a travs de USB y una de las
84
herramientas men del botn "instalar la unidad". 109 No seleccione la Re-particin: Esta funcin borrar el ncleo en ejecucin actual!
85
7. 3. 2
Adquisicin de la memoria interna del dispositivo es ciertamente muy incmodo y peligroso si se compara con la de un disco duro. El nico mtodo es usar el comando dd para ser ejecutado, ya sea usando el teclado virtual del dispositivo (despus de instalar una aplicacin como "Terminal Emulator"), ya sea a travs de la red usando ssh (despus de instalar un "demonio de ssh"). El salida del comando dd slo se pueden guardar en la memoria reconocidas por el dispositivo: o la memoria Flash interna o en MicroSD. En nuestro caso hemos elegido para guardar el flujo de bits de imagen dentro de la MicroSD para mayor comodidad y portabilidad de la externa memoria. Razones para la arquitectura, a diferencia de la memoria de masa clsica, no es posible clonar toda la memoria en una sola sesin, pero areobliged para ejecutar el comando dd para cada particin montada por el dispositivo. Para conocer el nmero de todas las particiones usadas por el sistema es necesario para ver a travs de la montar comando.
86
rootfs en rootfs / tipo (ro, noatime, nodiratime) tmpfs en / dev tmpfs tipo (Rw, noatime, nodiratime, mode = 755) devpts en / dev / pts tipo devpts (rw, noatime, nodiratime, mode = 600) proc del tipo proc / proc (rw, noatime, nodiratime) sysfs en / sys tipo sysfs (rw, noatime, nodiratime) ninguno de cgroups tipo / acct (rw, relatime, cpuacct) tmpfs en / mnt / asec tipo tmpfs (rw, noatime, nodiratime, mode = 755, gid = 1000) tmpfs en / mnt / tmpfs tipo OBB (rw, noatime, nodiratime, mode = 755, gid = 1000), ninguno en / dev / cpuctl tipo cgroup (rw, relatime, cpu) / Dev/block/stl9 on / tipo de sistema RFS (ro, noatime, nodiratime, vfat, log_off, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl3 en / efs tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / / Dev/block/mmcblk0p2 en el tipo de datos RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl10 on / dbdata tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl11 en / cache tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl6 en / mnt /. Lfs tipo j4fs (rw, noatime, nodiratime) / Sys / kernel / debug en / sys / kernel debugfs tipo / debug (rw, noatime, nodiratime) / Dev/block/vold/179: 1 on / mnt / sdcard tipo vfat (rw, sincronizacin de directorios, nosuid, nodev, noexec, noatime, nodiratime, uid = 1000, gid = 1015, fmask = 0002, dmask = 0002, todos ow_utime = 0,020, codepage = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/vold/179: 9 en / mnt / sdcard / external_sd tipo vfat (rw, sincronizacin de directorios, nosuid, nodev, noexec, noatime, nodiratime, uid = 1000, gid = 1015, fmask = 0002, dmask = 0,002, todo ow_utime = 0020, la pgina de cdigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/vold/179: 9 on / mnt / secure / asec tipo vfat tmpfs en / mnt / sdcard / external_sd /. tmpfs tipo android_secure (ro, relatime, size = 0k, mode = 000) / Dev/block/dm-0 on / mnt/asec/android.androidVNC-2 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-1 on / mnt/asec/net.androgames.level-2 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,
76
pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro)
77
(Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-3 on / mnt/asec/com.natenai.glowhockey-1 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-4 on / mnt/asec/com.feelingtouch.bocce-1 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-5 on / mnt/asec/com.fridgecat.android.atiltlite-1 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) Antes de iniciar la adquisicin es necesaria para obtener permisos de root tecleando en el command.After unos segundos si el terminal le pedir que confirme la solicitud para autorizar el programa se ejecute con privilegios de administrador. Una vez que tenga estos permisos, el comando que se ejecutar para la adquisicin es el clsico dd configurado de la siguiente manera: dd if = particin of = / mnt / sdcard / nombredearchivo.img Por lo tanto en el caso de querer adquirir la particin / sistema, el comando ser dd if = / dev/block/stl9 of = / mnt / sdcard / system.img Una vez que la adquisicin es ms, se puede acceder a la particin clonada utilizando el comando mount, el tratamiento de la RFS como una particin vfat: mount-o loop-t vfat-o ro system.img / mnt / pruebas / sistema donde -O loop Le permite montar imgenes en formato de flujo de bits; -T vfat Declara que el tipo de particin que desea utilizar es vfat; -O ro Permite acceso de slo lectura a la particin; / Mnt / pruebas / sistema el camino ha sido creado para mostrar el contenido de la memoria adquirida en el directorio.
78
7.4
A diferencia de la memoria flash dentro del dispositivo, la adquisicin de la MicroSD puede ser cualquier acceso root llevado a cabo siguiendo las instrucciones de las mejores prcticas en la informtica forense y no es necesario: 1. extraer la tarjeta MicroSD; 2. conectarlo a una escritura blocker110 o de un sistema que ha features111 equivalente; 3. calcular el hash value112 de la memoria original; 4. adquisicin por el uso de la aplicacin que prefer113 Eso y verificar el hash memoria clonado es el mismo que el hash de la original.
7. 4. 1
TRABAJO DE RECTLYONTHESMARTPHONE
En los casos particulares de urgencia, se puede investigar los archivos de inters directamente desde la pantalla tctil del dispositivo mediante el uso de algunas aplicaciones disponibles de forma gratuita desde el Android Market. Una aplicacin muy til para este tipo de actividad, aunque no es un software especficamente diseado para la informtica forense, Archivo ManagerHD114.Activating es el "Root Explorer" en la configuracin de la aplicacin, se puede navegar por el sistema de archivos, incluso en directorios protegidos: como fecha, dbdata y del sistema, buscar los archivos de inters utilizando la funcin apropiada de la bsqueda y copiarlos a la tarjeta microSD para que un anlisis ms a fondo en una estacin de trabajo equipada con las herramientas necesarias.
7. 4. 2
Por lo general, se hace una solicitud por su archivo ejecutable con. Apk extensin y sus archivos de configuracin o database115 . Las carpetas que moras son interesantes para el examinador: / System / app /: contiene aplicaciones bsicas proporcionadas por el fabricante del dispositivo; / Data / app /: Que contiene las aplicaciones que el usuario ha instalado a travs del Android Market; / Data / data /: contiene los archivos de configuracin y las bases de datos de las aplicaciones;
110 111
Dispositivo utilizado para evitar que se escribe en el sistema de almacenamiento que se analiza. Distribuciones de Linux para informtica forense. 112 El hash es una funcin matemtica nica y unidireccional (es decir, que no puede ser revertida), que transforma un texto de cualquier longitud (de entrada) en un texto de longitud fija (de salida) relativamente limitado en la prctica mediante la aplicacin de una funcin hash a un archivo o en un disco duro entero, se obtiene una secuencia de caracteres, por ejemplo. de 32 caracteres, lo que representa una especie de "huella digital" del archivo, y se llama el valor hash. 113 Ejemplo: FTK Imager para Windows o para Linux Guymager dd-
78
114 115
https://market.android.com/details?id=com.rhmsoft.fm Samsung, al igual que todos los dems manufacters dispositivo, prefiere no cambiar la parte estndar de la memoria en la que el grupo las aplicaciones.
79
/ Dbdata / bases de datos /: aqu hay bases de datos que contienen SMS, MMS, contactos y todo lo relacionado para expresar parte.
El anlisis de los archivos de configuracin y la base de datos de las aplicaciones se puede realizar utilizando herramientas como editor de texto para el texto y las configuraciones de xml y un nivel SQLite116 cliente de la base de datos con extensin db..
En el ejemplo mostrado en la imagen, se utiliz un cliente para abrir la base de datos SQLite SMS y MMS llamado mmssms.db almacenado en / Dbdata / bases de com.android.providers.telephony / datos /
y analizar su contenido, mediante la exportacin de la fecha til deseada en el formato (txt, xml o csv). El anlisis de las tablas de una base de datos SQLite se puede realizar mediante el uso de SQL tambin query117 sin necesidad de utilizar dedicado tools118. Ejemplos: Puede ver todos los campos contenidos en la tabla SMS con la solicitud: Seleccionar * de sms En el caso de que slo el contenido de todos los mensajes de los intereses de texto: Seleccione cuerpo
80
sms
116
SQLite (http://www.sqlite.org) Le permite crear una base de datos, incluyendo tablas, consultas, formularios e informes en un solo archivo. 117 Consulta de bases de datos para realizar ciertas operaciones (seleccionar, insertar, eliminar, fecha, etc ...) para ser ejecutado en una o ms bases de datos. Una consulta se interpreta generalmente por el lenguaje SQL para que sea comprensible para l as moras DBMS. 118 Tal como http://www.filesig.co.uk/sqlite-forensic-reporter.html
81
Si quisiramos mostrar slo los mensajes de texto recibidos por nmero +3912345: Select * from sms donde address = +3912345' '
7. 4. 3
EXAMPLEOFANALYSISONGO OGLEMAPS Google Maps application119 Android ofrece en ambos sistemas la funcin de mapa y el sistema de navegacin con comandos de voz. La aplicacin, al igual que la versin web del mismo nombre, es capaz de mostrar la zona en las dos imgenes grficas y de satlite en 3D, para proporcionar informacin sobre el trfico local, en los pubs y en los servicios en la zona y, a travs de la funcin Latitude, Proporcionar informacin sobre la posicin de los contactos (tambin a travs de Llegada / salida). Los directorios de inters para el observador son
/ Data / data / com.google.android.apps.maps / en la tarjeta de memoria SD / Mnt / sdcard / Android / data / com.google.android.apps.maps / entre las bases de datos ms interesantes de anlisis se recomienda da_destination_history 120
82
119 120
Disponible en http://www.google.com/mobile/maps/ Tenga en cuenta que esto no tiene la base de datos SQLite. Extensin Db igual que otras bases de datos.
83
Estos son slo dos de las bases de datos utilizadas por las aplicaciones, la informacin adicional puede y debe obtenerse de otros archivos (por ejemplo data_laywe_24 si existe). Tambin de gran inters es el contenido de la carpeta en la tarjeta SD: En adiciones a la memoria cach de los mapas descargados por las aplicaciones durante su uso, tambin hay archivos de audio individuales que contienen las instrucciones de audio para el usuario. El anlisis de la timestamp121 archivos, combinados con los datos de navegacin contenidos dentro de los carpeta raz puede proporcionar informacin precisa sobre cuando un camino particular, y sugiri que se ha seguido.
84
121
http://en.wikipedia.org/wiki/Timestamp
85
DART
DART (Digital Toolkit Respuesta Avanzada) es una aplicacin que organiza, recopila y se ejecuta en el software de modo seguro a efectos de anlisis forense en vivo y respuesta a incidentes. Puede personalizar DART modificando el archivo dart.xml que mantiene la lista de aplicaciones de DART que se pueden ejecutar. Si se solicita, DART puede crear un registro de auditora para realizar un seguimiento de todas las operaciones realizadas y los problemas encontrados. Una de las principales caractersticas es que las aplicaciones que se ejecutan en modo seguro inicia una comprobacin de integridad antes del inicio de cada programa, de esta manera que el examinador est seguro de ejecutar sus propias herramientas de seguridad. Esto excluye cualquier dao preexistente de los binarios de malware. Los valores hash de las aplicaciones estn contenidos dentro del archivo XML que a su vez se comprueba cada vez que el Starts122.This DART que permite al mdico para verificar el contenido de su archivo xml no se ha altered123.
86
122 123
El valor hash del archivo XML se muestra en la esquina superior derecha de la ventana. Por ejemplo, el hash de un archivo ejecutable.
87
Una vez iniciado, DART debe ejecutar como administrador del sistema o como una cuenta con privilegios de administrador. DART le informar de que no hay ninguna garanta de evitar alteraciones en el sistema en uso, ya que algunos programas pueden realizar anlisis de manera invasiva. Al mismo tiempo, se informa al usuario de que algunos programas podran ser considerados herramientas de malware o la piratera del software antivirus. Puede que sea necesario desactivar el software antivirus o cortafuegos.
88
dart.xml contiene los valores hash de todas las aplicaciones, tanto en el caso en el que se actualiza un archivo ejecutable incluido en el paquete de DART, su hash tambin debe actualizarse dentro del archivo XML. Si esto no se hace a continuacin, se informar al examinador que tiene los valores no coinciden. La estructura del archivo XML se inicia con la etiqueta "deft_extra" tag 124.The "alerta" contiene el texto de la nota inicial, dardo renuncia. Dentro de ella, debe haber una etiqueta de "texto", que mostrar la descripcin de la aplicacin incluida en <! [CDATA [y]]>. Ejemplo: <text> <! [CDATA [ insertar texto ]]> </ Text> Los apps_groups etiqueta indica los grupos con los que las aplicaciones estn divididas. "Grupo" tiene los atributos siguientes: id: Debe contener un identificador nico, pero no necesariamente uno numrico; etiqueta: Que aparecer el texto debajo del icono de la ventana de la aplicacin; ico: Qu camino del icono representar al grupo. Dentro del grupo de variables a encontrar la aplicacin de la etiqueta con los siguientes atributos: etiqueta: el texto mostrado en la aplicacin de men izquierda; ExePath: familiar o ruta absoluta donde se puede encontrar el ejecutable; MD5Hash: valor hash a comprobar (no es obligatorio). En las etiquetas de aplicaciones que hay un "texto" Qu etiqueta contiene la descripcin de la aplicacin, tambin en formato HTML, que tambin es limitada por <! [CDATA [y]]>. Ejemplo: <text> <! [CDATA [ insertar texto ]]> </ Text>
124
El atributo "lang" le permitir acceder al Administrador multilinge. Actualmente esta funcin no est activa.
89
CAPTULO 9: profundizar
El contenido antes mencionado en este manual toca ligeramente sobre el potencial de hbil en el campo de la Digital Forense. Nos gustara sugerir algunos libros que aclaran los temas que hemos cubierto en este manual. NIST Guidentificacin elines Directrices sobre Telfonos Mviles y Seguridad PDA - SP 800-124 Incidentes de Seguridad Informtica Gua Manutencin - SP 800-61 Digital FoRensics Evidencia Digital y Delitos Informticos, tercera edicin: Ciencias Forenses, Informtica e Internet Eoghan Casey ISBN-10: 0123742684 Academic Press Digital Forensics con herramientas Open Source Cory Altheide y Harlan Carvey ISBN-10: 1597495867 Syngress Android Forensics: Investigacin, anlisis y seguridad mvil para Google Android Andrew Hoog ISBN-10: 1597496510 Syngress
90