Sie sind auf Seite 1von 144

Traducido por Sykrayo Espaa

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com

Traducido por Sykrayo Espaa

DEFT 7 MANUAL
DIGITAL EVIDENCIA FORENSE Y HERRAMIENTAS
Stefano Fratepietro y Alessandro Rossetti & Paolo Dal Checco

Versin Inglese por Jade Dell'Erba, Nicodemo Gawronski (traductores) Neil Torpey (revisin tcnica y correccin)

Traducido por Sykrayo Espaa

LOS AUTORES
STEFANO "YO UN G ST ER" F RA RO TEPIET

Deft 7 Manual 2012

Stefano se gradu en 2006 con una licenciatura en Tecnologa de la Informacin y Gestin (Ciencia de Internet) de la Universidad de Bolonia. Su tesis en informtica forense se titul "Un estudio de caso virus Vierika." Es OSCP ofensivo Certificado en Seguridad y ISECOM OPST. Stephen es actualmente un especialista en seguridad en la oficina del CSE de seguridad informtica (Asociacin Bancaria), donde realiza tareas de los expertos de los tribunales, las fuerzas policiales y particulares, y ha participado como consultor tcnico en casos de hambre nacional: como "Good maana! vitamnico "y" Pirelli-Telecom-Ghioni. " Desde 2005 es el creador y lder del proyecto del sistema de DEFT. De vez en cuando realiza actividades docentes en informtica forense para diversas universidades italianas y privadas cursos.

SA N D RO "B Y O U SB" SS O R E C T S
Alessandro Rossetti vive y trabaja en Roma. l tiene un gran inters en temas tales como: tecnologa de la informacin, seguridad informtica y anlisis forense digital. l es un IACIS miembros y tambin miembro del "CyberWorld" Trabajar Grupo de OSN (Observatorio Nacional de Seguridad) de Ministerio de Defensa italiano.

P A O LO "J E ST E R" D A L C H E C O C
Pablo recibi su doctorado en 2006 en la Universidad de Turn, en el Grupo de Seguridad del Departamento de Ciencias de la Computacin. Ha impartido clases en diferentes universidades, empresas y entornos TIC en las adiciones a las cooperativas con otras empresas que operan en el campo de la seguridad y la privacidad de las comunicaciones. Tambin es socio fundador de la empresa de informtica forense "Oficina Forense Digital" ( www.difob.it ) De Turin.He es director asociado de la Ley Digit Ltd (www.digitlaw.it.) Tambin Pablo ha actuado como asesor tcnico asistir los fiscales en las causas judiciales, los organismos encargados de hacer cumplir la ley y las entidades del sector privado.

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


LICENCIA DE USUARIO FINAL AGR EEMENT

Reconocimiento - NoComercial 3.0 Italia Usted es libre de copiar, distribuir, comunicar al pblico, mostrar pblicamente, representar, actuar y hacer obras derivadas Bajo las condiciones siguientes: Atribucin - Debes atribuir el trabajo de la manera especificada por el autor o el licenciador (pero no de cualquier manera que eso sugiere que usted o su uso de la obra avalan). No comercial - No puede utilizar esta obra para fines comerciales. Renuncia - Alguna de estas condiciones puede no aplicarse bajo la autorizacin del titular de los derechos de autor. Dominio Pblico - Cuando la obra o alguno de sus elementos se halle en el dominio pblico segn la legislacin aplicable, la situacin no es en absoluto afectada por la licencia. Otros derechos - De ninguna manera cualquiera de los siguientes derechos afectados por la licencia: De usos legtimos o derechos de uso justo u otras excepciones de copyright aplicables y limitaciones Los derechos morales de los autores; Otras personas pueden tener derechos, ya sea en la propia obra o en cmo se utiliza el trabajo: como la publicidad o derechos de privacidad. Aviso - Al reutilizar o distribucin, usted debe hacerlo bajo los trminos de esta licencia, que debe ser comunicada con claridad. Esto es un resumen fcilmente legible del texto legal (la licencia completa): http://creativecommons.org/licenses/by-nc/3.0/it/legalcode

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Dedicado a Ele y Silvia por su paciencia infinita. Tambin Dedicado a Esteban y Alejandro, Que la esperanza de que tomen ms despus de finalizada su Sus madres que padres. Para Samantha y Kim.

Traducido por Sykrayo Espaa

Agradecimientos

Deft 7 Manual 2012

Nos gustara dar las gracias a todos aquellos que en los ltimos aos han contribuido a nuestro crecimiento personal. Tambin agradecemos a los que trabaj entre bastidores para la produccin de DEFT tambin indirectamente contribuir a la creacin del manual de usuario. Massimiliano Dal Cero David "Rebus" Gabrini Bartolomeo "Meo" Bogliolo Valerio Leomporra Marco Giorgi Emanuele Gentili

Un enorme "gracias" Tambin va a Simone e Ivn por su ayuda en el doble control de este manual. Queremos agradecer Architecture Technology Corporation por permitirnos insertar "Dropbox Reader " en este distribucin.

Por ltimo, pero no menos importante: la versin Inglese ha sido realizada por Jade Dell'Erba, Nicodemo Gawronski (traductor) y Neil Torpey (revisin tcnica y correccin)

Traducido por Sykrayo Espaa

PRLOGO

Deft 7 Manual 2012

El propsito de este manual es ofrecer al lector una idea de las principales caractersticas y potenciales de la DEFT distribucin, un punto de partida para estimular el crecimiento de sus conocimientos tcnicos con el DEFT. En estas pginas no encontrar explicaciones exhaustivas sobre el uso de todas las aplicaciones y comandos actualmente en la distribucin DEFT. Para tratar de facilitar el estudio, hemos incluido algunos ejemplos que indican cmo realizar algunas de las principales actividades de anlisis forense digital. la consolidacin y preservacin de los dispositivos de almacenamiento (discos duros, memorias USB, reproductores MP3, telfonos inteligentes, etc ..) o trfico telemtico a travs de redes IP; anlisis de casos y su manejo.

Feliz lectura!

Traducido por Sykrayo Espaa

TABLA DE CONTENIDO

Deft 7 Manual 2012

Los Autores Stefano "joven" Fratepietro Sandro "camarero" Rossetti Paul "Jester" Dal Checco Acuerdo de licencia de usuario final Agradecimientos Prefacio Tabla de Captulo 1: Introduccin 1.1 1.2 Qu es

Por DEFT se puede utilizar en el anlisis forense digital? Captulo 2: Requisitos del sistema 2.1 2.2 DART

Captulo 3: Lista de aplicaciones 3.1 3.2 DEFT Linux DART 1.0

Captulo 4: Comenzar DEFT Linux en vivo 4.1 Verificar la integridad del archivo de imagen DEFT despus de haber descargado. .................................................. 12 ...... 4.2 4.3 4.4 Burning DEFT Linux en ptica

Creacin de un stick USB de arranque que contiene DEFT Linux .......................................... ........................................... 13 Configuracin de la BIOS y / o de la seleccin de arranque de popups / Men ...................................... ...................................... 15

Traducido por Sykrayo Espaa

4.5 4.6

Parmetros de arranque de DEFT Instalacin DEFT Linux 7

Deft 7 Manual 2012

Traducido por Sykrayo Espaa

Captulo 5: Modo texto Linux DEFT 5.1 5.1.1 5.1.2 Comandos tiles Monte de los dispositivos de almacenamiento

Deft 7 Manual 2012

Gestin de Medios de Almacenamiento

5.1.3 Montaje de un dispositivo (disco duro, memoria USB, disquete, CD-ROM, etc ...) .................................................. 22 ... 5.1.4 Montar una DD / archivo de imagen RAW

5.1.5 Montar a DD / RAW archivo de imagen dividida en varios archivos (dividida en bruto) .................................................. 24 ............. 5.1.6 5.1.7 Tipo de archivo EWF / Encajar Tipo de archivo AFF 5.2 5.2.1 5.2.2 5.2.3 5.2.4 SHA1SUM MD5 y sha Dhash 5.3 5.3.1 5.3.2 5.3.3 5.3.4 dd ddrescue dcfldd Dhash 5.4 5.4.1 5.4.2 5.5 5.6 5.6.1 5.6.2 Localizar Encontrar Creacin de un Bsqueda de archivos y carpetas fls Creacin de una lnea de tiempo Captura de Medios de Almacenamiento Clculo Hash

Traducido por Sykrayo Espaa

5.7

Talla de

Deft 7 Manual 2012

Traducido por Sykrayo Espaa

5.7.1

Principal Captulo 6: DEFT Linux GUI 6.1 6.2 6.3 6.4 6.5 Introduccin

Deft 7 Manual 2012

Gestin de la memoria de masas Administrador de Montaje Clculo Hash

Adquisicin de la memoria de masas

6.5.1 6.5.2

Dhash Guymager 6.6 Bsqueda de archivos y carpetas

6.6.1

Bagre 6.7 6.8 6.9 Findwild Carving GUI archivos La gestin de un caso de autopsia 06.10

6.10.1

Creacin de una casa 06.11 06.12 13.06 Maltego

Captulo 7: Mobile 7.1 7.2 7.2.1 7.2.2 7.2.3 7.2.4 7.2.5 Gmail Mercado Sistema de archivos en uso Sistema de archivos EXT4 Poltica de uso de almacenamiento masivo Androide

Breve descripcin de Google

Traducido por Sykrayo Espaa

7.2.6 72

El acceso al sistema de archivos del sistema operativo .................................................. .................................. 7.3 Samsung Galaxy S i9000 - caractersticas de hardware

Deft 7 Manual 2012

7.3.1 7.3.2 7.4 7.4.1

Procedimientos de enraizamiento Samsung Galaxy S - la adquisicin de la memoria flash interna .................................................. ............... 75 Samsung Galaxy S - la adquisicin de la memoria externa ......................................... ............................................ 78 Trabajar directamente en el smartphone

7.4.2 Localizacin y anlisis de aplicaciones y archivos de inters comn ........................................ 78 ................ 7.4.3 Ejemplo de anlisis de Google Maps Captulo 8: DART - Digital Respuesta Toolkit avanzada Captulo 9: Profundizar

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


CAPTULO 1: Introduct ION
1,1 W H A T I S D E F T?
El distribution1 Linux Efdi2 se compone de un sistema GNU / Linux y DART (Digital Toolkit Respuesta Avanzada), la suite dedicada a forensics3 digitales y intelligence4 actividades. Actualmente FreeBSD es desarrollado y mantenido por Stefano Fratepietro, con el apoyo de Massimo Dal Cero, Sandro Rossetti, Paolo Dal Checco, David Gabrini, Bartolom Bogliolo, Leomporra Valerio y Marco Giorgi. La primera versin de DEFT Linux fue creado en 2005 gracias a la Informtica Forense Curso de la Facultad de Derecho de la Universidad de Bolonia. Esta distribucin se utiliza actualmente laboratorio durante las horas del curso de Informtica Forense celebrado en el Universidad de Bolonia y en otras muchas universidades italianas y las entidades privadas. Tambin es una de las principales soluciones empleadas por las fuerzas de seguridad durante las investigaciones forenses informticos. En adiciones a un nmero considerable de aplicaciones de Linux y scripts, hbil tambin cuenta con la suite de DART que contiene aplicaciones de Windows (tanto abierta source5 y de cdigo cerrado) Qu son todava viables ya que no hay equivalente en el mundo Unix.

DEFT se distribuye de forma gratuita y sin garantas sobre.

GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel de Linux con el sistema GNU y otros programas de desarrollo de GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel Linux con el sistema GNU y el software desarrollado y distribuido bajo la GNU GPL o cualquier otro licenses.Wikipediaoped libre y se distribuye bajo la GNU GPL o cualquier otro licenses.Wikipedia libre
2 3

Acrnimo de Digital Evidencia y Forensic Toolkit.

Que la ciencia estudia la identificacin, preservacin, proteccin, recuperacin, documentacin y cualquier otra forma de procesamiento de datos de la computadora con el fin de ser evaluado y estudiado en un proceso legal, a efectos probatorios, las tcnicas y las herramientas metodolgicas para el estudio de los sistemas informticos. (Wikipedia)

Traducido por Sykrayo Espaa

4 5

Este aspecto de la distribucin se tratar en otro documento.

El trmino se refiere a permitir que el software libre cuyos autores del estudio y / o para realizar otros cambios por programadores independientes.

Deft 7 Manual 2012

Traducido por Sykrayo Espaa

1.2 WHYCANDEFTBE USO DINDIGITALFO RE N SI CS?

Deft 7 Manual 2012

Software Informtica Forense debe ser capaz de garantizar la integridad de las estructuras de archivos y metadata6 en el sistema que est siendo investigado con el fin de proporcionar un anlisis detallado. Tambin es necesario analizar con fiabilidad el sistema est investigando sin alterar, borrar, sobrescribir o cambiar la fecha de otra manera. Hay ciertas caractersticas inherentes para reducir al mnimo el riesgo de DEFT que la alteracin de la fecha de ser sometida a anlisis. 7 Algunas de caractersticas son: estas

1. Al arrancar, el sistema no utiliza las particiones de intercambio en el sistema que est siendo analizada. 2. Durante el inicio del sistema, no hay secuencias de comandos de montaje automticas. 3. No hay sistemas automatizados para cualquier actividad durante el anlisis de las pruebas; 4. Todo el almacenamiento masivo y las herramientas de adquisicin de trfico de red no alteran los datos sean adquiridos.

RFC 3227: "Minimizar los cambios en los datos a medida que se est recogiendo Esto no se limita a los cambios en el contenido, que debe evitar la actualizacin de los tiempos de acceso del archivo o directorio.".

10

Traducido por Sykrayo Espaa

El artculo 247, apartado 1 bis, con los cambios realizados por la ratificacin de la Convencin de Budapest sobre la Ley 18 de marzo de 2008 no. 48: "[...] La adopcin de medidas tcnicas destinadas a garantizar la conservacin de los datos originales y para evitar la manipulacin"

Deft 7 Manual 2012

11

Traducido por Sykrayo Espaa

CAPTULO 2: REQUISITOS DE SISTEMA DE RE


2.1 DEFT

Deft 7 Manual 2012

Usted puede utilizar completamente las capacidades de gran alcance de la gua DEFT Arrancar desde un CDROM o una memoria USB DEFT cualquier sistema con las caractersticas siguientes: CD / DVD-ROM o puerto USB desde el que el BIOS puede soportar el arranque. X86 CPU (Intel, AMD o Citrix) 166 Mhz o superior para ejecutar DEFT Linux en modo texto, 200Mhz para ejecutar DEFT Linux en modo grfico; 64 MB de RAM para ejecutar DEFT Linux en modo texto o 128 MB para ejecutar el DEFT GUI. DEFT soporta tambin las nuevas arquitecturas basadas en Intel de Apple.

2.2

A RT D

La suite DART ejecuta en todos los sistemas de 32 bits de Microsoft Windows. Algunas limitaciones menores se encontraron resultados para herramientas que no garantizan el pleno apoyo a los sistemas de 64 bits. DART se puede ejecutar directamente en DEFT Linux usando Wine8 .

El vino es un marco para Linux que permite ejecutar aplicaciones de Windows pueden ser instalados o que se lanz

12

Traducido por Sykrayo Espaa

directamente en una distribucin de Linux (www.winehq.org)

Deft 7 Manual 2012

13

Traducido por Sykrayo Espaa

CAPTULO 3: APLICACIN DE LISTA


3.1 LI N T E D F UX

Deft 7 Manual 2012

Sleuthkit 3.2.3 autopsia 02:24 dff 1.2 ptk forense 1.0.5 Maltego CE KeepNote 0.7.6 archivo hunchbackeed tallador 0.6 Findwild 1.3 Granel Extractor 1.2 Emule Forensic 1.0 Dhash 2.0.1 libewf 20120304 AFF lib 3.6.14 Utilidad de Discos 2.30.1 guymager 0.6.5-1 dd rescate 1,14 dcfldd 1.3.4.1 dc3dd 7 1.5.6 todo photorec 06.13 Administrador de montaje 0.2.6 bistur 2 Limpie veintiuno despus de las doce

hex dump ser ms astuto que 0.2 base de datos SQLite navegador 2.0b1 BitPim 1.0.7 bbwhatsapp convertidor de base de datos Dropbox lector analizador de backup iphone 10/2012 Analizador iphone espeluznante 0.1.9 xprobe2 0.3 xmount 0.4.6trID 02:11 DEFT edicin readpst chkrootkit rkhunter 1.3.8 0.6.41 1.7.8 catfish john pasco 1.0 md5sum sha1sum sha224sum sha256sum

sha512sum md5deep sha1deep sha256deep pdfcrack craqueo herramienta fcrackzip craqueo herramienta almeja Antivirus 0.97.3 mc 4.7.0.9 dmraid TestDisk 6.11 GHEx, luz gtk hex editor Vinetto 0.6 Xplico 1.0 Edicin DEFT Wireshark 0.7.3 ettercap 21,5 Hydra 7.1 log2timeline 0.60 residuos2 Wine 1.3.28 mobius forense nmap 1,6

14

Traducido por Sykrayo Espaa

3.2

A RT D 1 0,0
AlternateStreamView 01.15 ChromeCacheView 25.01

Deft 7 Manual 2012


CurrPorts 1.83 (x86/x64) CurrProcess 01.13 FoldersReport 01.21 IE Cache View 01:32 Las cookies de IE Ver 1,74 IE History View 01:50 Portapapeles 1.11 Dentro Contactos en Vivo Ver 7.1 Mozilla Cache View 1.30 Mozilla Historia View 1.25 Mozilla Galletas Ver 1,30 Archivos abiertos View 1:46 Opera Cache View 01:37 Vista de Outlook Attack 1.35 (x86/x64) Process Activity View 1.11 (x86/x64) Archivos recientes Ver 1,20 RegScanner 1.82 (x86/x64 y win98) ServiWin 1:40 MUI Cache View 1.1 MyEventView 1:37 SkypeLogView 1.15 SmartSniff 1.71 (x86/x64) StartupRun 01.22 MyLastSearch una y cuarenta y cuatro Mozilla Galletas Ver 1,30 Archivos abiertos View 1:46 Opera Cache View 01:37 Vista de Outlook Attack 1.35 (x86/x64)

WinAudit 2.28.2 MiTeC Del Registro de Windows Recuperacin 1.5.1.0 Zeroview 1.0 FTK Imager 3 Nigilant32 0.1 Ventanas Forense Toolchest 3.0.05 MoonSols Win32dd 1.0.2.20100417 MoonSols Win64dd 1.0.2.20100417 Analizador de archivos de Windows 1.0 UltraSearch uno y cuarenta Pre-Search xx.08 XnView 1.97.8 X-AgentRansackk 2010 (compilacin 762) Index.dat Analyzer 2.5 AccessEnum 1.2 Autoruns 10.03 DiskView 2.4 Filemon Process Explorer 12.04 RAM Map 1.1 Regmon Rootkit Revealer 1.71 VMMap 2.62 WinObj 02.15

15

Traducido por Sykrayo Espaa

Process Activity View 1.11 (x86/x64) Archivos recientes Ver 1,20 RegScanner 1.82 (x86/x64 y win98) ServiWin 1:40 USBDeview 1.80 (x86/x64) Ver Usuario Assist 1.1 Ver perfil del usuario 1.1 Vdeo Cache View 1.78 WhatInStartup 01.25 WinPerfectView 10.01 Password Tool ChromePass 01.10 Dialupass 10.03 IE PassView 1.20 LSA Secretos Dump 1.21 (x86/x64) LSA Secretos View 1.21 (x86/x64) Mail PassView 1.65 MessenPass 1:35 Red PassRecovery 1.30 (x86/x64) Opera PassView 1.1 PasswordFox 01.25 PC AnyPass 01.12 Pass View 1.63 Protegida 01:12 PST Password Remote Desktop PassView 1.1 VNC PassView 2.1 Win9x PassView 1.1 WirelessKeyView 1.34 (x86/x64)

Deft 7 Manual 2012

16

Traducido por Sykrayo Espaa

AviScreen Portable 3.2.2.0 HoverDesk 0.8 File Restore Plus 3.0.1.811 WinVNC 3.3.3.2 TreeSizeFree 02:40

PCTime LTFViewer 5.2 Sophos Anti-Rootkit 1.5.4 Terminal con herramientas de lnea de comandos

Deft 7 Manual 2012


Espartaco 1.0 TestDisk 6.11.3 Photorec 6.11.3

17

Traducido por Sykrayo Espaa

CAPTULO 4: START DEF T Linux Live DVD


4.1

Deft 7 Manual 2012

DEFTI MA GEFI LE: INTEG RI TYCHECKOFTHEDOWN LO ADEDFI LE.

Es una buena idea para comprobar la integridad de la versin descargada antes de realizar el anlisis forense digital. Esto asegura que tiene una coincidencia exacta de la copia que se alojan en lnea que no ha cambiado o alterado estado durante el proceso de descarga. Esto se puede hacer mediante el clculo del hash MD5 value9 en la imagen o archivo en el archivo que ha descargado y, posteriormente, compararlo con los valores en md5.txt en el directorio raz de la descarga.

DEFT / DART: Download Directory

Por "deft7.iso" archivo de imagen, por ejemplo, el clculo del valor hash MD5 debe dar el mismo resultado que el que est en el archivo md5.txt recomendado, valor similar al "d98307dc53ca83358a2dfdb33afc2672." Para calcular el valor hash MD5 de un archivo, puede utilizar diferentes herramientas: por ejemplo md5summer10 o hashmyfiles11 (Windows) o la herramienta de lnea de comando md5sum en Linux / MacOS. Si el valor hash del archivo que ha descargado no coincide con el que est en el sitio WEW, podra significar que hubo errores durante el proceso de descarga que ha corrompido el archivo. Esto es posible incluso si su El tamao del archivo descargado es el mismo como el tamao de archivo original.

4.2

B URN INGDEFT LI NUXONOPTICAL ME DIA

12

Traducido por Sykrayo Espaa

http://en.wikipedia.org/wiki/MD5 http://www.md5summer.org/ 11 http://www.nirsoft.net/utils/hash_my_files.htm . Ya Esta aplicacin est incluida en DART.


10

Deft 7 Manual 2012

13

Traducido por Sykrayo Espaa

DEFT Linux 7 (la versin en vivo que se utiliza en las mquinas fsicas) se distribuye como una imagen ISO que luego debe ser quemado en un DVD con el fin de bootable12. Para grabar la imagen ISO que usted necesitar software de grabacin de disco que est disponible gratuitamente en Internet. La mayora de estas aplicaciones son muy fcil de usar, slo tienes que seguir los pasos que se indican Dentro del programa para grabar la imagen ISO en un disco. Imgenes ISO funcionan como una instantnea de todo el sistema. Esto incluye los sistemas de archivos del disco duro. La imagen ISO es una plataforma para el anlisis forense del sistema de destino. El diestro ISO debe ser quemado con la instantnea original. Cmo grabar imgenes ISO es posible con casi todos los quema software13, simplemente seleccionando la opcin para las imgenes.

Deft 7 Manual 2012

ImgBurn puede escribir archivos de imagen en un disco

Online Hay miles de enlaces y HowTo que explican cmo grabar imgenes ISO en un CD / DVD con muchos sistemas operativos diferentes.

4.3

C RE ATINGABOOTAB LA EE.UU. B ST ICKCONTAININGDEFT LI N UX

12 13

Dado su pequeo tamao, DEFT 6 y versiones anteriores tambin pueden grabar en un CD. En Windows sugerimos que usted utilice, por conveniencia, herramientas gratuitas, tales como: InfraRecorder o ImgBurn.

14

Traducido por Sykrayo Espaa

En Linux la quema K3B software tiene la funcionalidad necesaria para quemar el archivo de imagen. En Mac OS es suficiente uso de la aplicacin Utilidad de Discos.

Deft 7 Manual 2012

15

Traducido por Sykrayo Espaa

Una alternativa al uso de medios pticos, es la creacin de una unidad flash USB de arranque que contiene DEFT Linux como si se tratara de un Live CD / DVD (slo en equipos que soportan el arranque desde un dispositivo USB). Hay varias formas de crear dispositivos de almacenamiento masivo USB que contiene DEFT Linux Live. Para Windows, Linux y Los sistemas Mac se recomienda utilizar la aplicacin universal y gratuita UNetbootin14. Se lleva a cabo la operacin de escritura despus de que el usuario seleccione la imagen ISO para ser puesto en la memoria USB y la letra de la unidad del sistema adquirir. Recomendamos que formatee la memoria USB con el sistema de archivos FAT32. Tambin puede establecer por "etiqueta de volumen" para recordarle que su distribucin y la versin se encuentra en la unidad flash USB.

Deft 7 Manual 2012

Preparacin de la unidad flash USB

Inicio UNetbootin - no requiere instalacin - y, al permitir que el botn de radio "DiskImage", seleccione el archivo ISO que desea convertir en un arranque de Live USB, seleccione la letra de unidad de la memoria USB que desee utilizar.

16

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


14

http://unetbootin.sourceforge.net/

17

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

UNetbootin: Pantalla principal

Al final de la operacin de escritura obtendr una versin Live USB que se utilizar para iniciar DEFT Linux en cualquier PC Que soporta el arranque desde el puerto USB, caractersticas comunes en la mayora de las mquinas ms nuevas.

4.4

A ju TH EBIOSAND / ORTHEBOOT SI CTIONPOP ARRIBA / ME NU

Es importante asegurarse de que el BIOS del sistema est siendo analizado para arrancar desde CD-ROM / DVDROM / BD-ROM o desde dispositivos de almacenamiento externos (segn los medios que contienen DEFT). En cualquier otra circunstancia, configurar la BIOS, guardar y reiniciar el sistema, ya sea con el DVD Ya insertada en la unidad de CD / DVD, ya sea con el stick USB Ya connected15. Se recomienda cambiar el orden de arranque de los dispositivos de la BIOS directamente para evitar un reinicio accidental de su PC (por ejemplo, para subidas de tensin).

18

Traducido por Sykrayo Espaa

15

En general, durante el arranque se indica qu tecla pulsar para ver el men de arranque, a menudo llamado "Boot Selection emergente" o "Boot Device Menu". Las teclas dedicadas habitualmente al men de arranque son F8, F9 y F12, pero en algunas arquitecturas tambin al men de inicio se puede acceder pulsando ESC.

Deft 7 Manual 2012

19

Traducido por Sykrayo Espaa

4.5

B O O T A P T U RS RA ME O C D E F T

Deft 7 Manual 2012

Despus de haber iniciado el gestor de arranque DEFT, ver una pantalla con varias opciones de arranque. La primera opcin le pedir que seleccione un idioma para el DEFT16.

Seleccin del idioma

Despus de seleccionar el idioma, puede utilizar las teclas de arriba / abajo para desplazarse por el men desplegable. Mediante el uso de las teclas de funcin, puede septiembre parmetros adicionales: por ejemplo: Ayuda (F1) Idioma (F2) Keyboard (F3) Mode (F4) Accesibilidad (F5) Otras opciones (F6) La tecla de funcin F6 Le permite personalizar algunos de los parmetros de inicio de DEFT. Usted puede elegir entre varias opciones preestablecidas en el men, o personalizar su propia cuenta.

16

Es accesible pulsando F2 en la ventana de configuracin de inicio.

20

Traducido por Sykrayo Espaa

Los parmetros del kernel disponibles pulsando la tecla F6 son:

acpi = off

En Funciones ACPI arranque no se utilizan para la gestin de la electricidad utilizada por el sistema. til en caso de problemas al iniciar la transmisin en vivo, en el caso de que el PC no es compatible con ACPI o si el ACPI causa problemas de reinicio o bloqueos del sistema. Desactiva el controlador de interrupciones APIC (Advanced Programmable Interrupt Controller). nolapic, desactiva las funciones de APIC para arquitecturas de CPU basados en Intel; Permite la unidad de disco mejorada. nodmraid, desactiva la configuracin del kernel para dmraid tipo de RAID de software; Establece la resolucin framebuffer si su tarjeta de vdeo est en modo VESA Puede elegir entre los siguientes modos:

Deft 7 Manual 2012

noapic nolapic edd = on nodmraid

vga = xxx

Parmetros en desuso en rojo, fundada parmetros en negro sin avera. Para obtener ms informacin sobre los parmetros ajustables en el momento del arranque, se puede consultar el Apndice 1. nomodeset Para arrancar DEFT Linux en un Mac Book Air es necesario aadir el nomodeset17parameter. Este parmetro le permite manejar correctamente los controladores de vdeo y utilizar el sistema sin problemas de pantalla.

17

Tomado de www.kernel.org / doc / Documentation / kernelparameters.txt Esta es una opcin de arranque del kernel que le dice al kernel que no active el modo de configuracin del kernel (KMS). El soporte de video suele ser una combinacin de un controlador DRM ncleo y los controladores Xorg trabajando juntos. KMS se utiliza con Intel, Nouveau, y mdulos del ncleo Radeon. KMS es necesaria para Intel y Nouveau, y opcional para Radeon (aunque con caractersticas diferentes). Si desea utilizar el controlador vesa Xorg, y usted tiene el hardware que utiliza el Intel, Nouveau o mdulos del ncleo Radeon, puede que tenga que arrancar con nomodeset o lista negra el mdulo de juego, o simplemente eliminar

21

Traducido por Sykrayo Espaa

los mdulos module.The sern que se encuentra en / lib / modules / <kernel-version> / kernel / drivers / gpu / drm /

Deft 7 Manual 2012

22

Traducido por Sykrayo Espaa

toram

Requiere (cuando sea posible) para cargar toda la imagen de DEFT de RAM, lo que permite extraer el DVD o el dispositivo USB. La velocidad de ejecucin es mucho mayor porque haces las operaciones de lectura desde el disco o la unidad no es necesario flash. Tambin puede utilizar el reproductor de DVD para las adquisiciones forenses (por ejemplo, con guymager18) o para grabar la fecha (por ejemplo, con el programa de grabacin de Xfburn19 en el men "Sound & Video".) El parmetro "toram" se activa slo si la RAM es suficiente para contener la imagen de la DEFT DVD / USB20.The distribucin DEFT 7 ocupa alrededor de 1,4 GB, por lo tanto le recomendamos que inicie en el modo "toram" slo cuando el PC tiene al menos 2 GB de memoria. El DEFT distribucin 6, sin embargo, slo ocupa 700 MB, por lo que es de arranque en "toram" incluso Eso PC en slo tienen 1 GB de memoria.

Deft 7 Manual 2012

Para seleccionar los parmetros del kernel que se muestran en el men, pulse la barra espaciadora o la tecla Intro a los elegidos: Se le colocar una 'X' para confirmar las Adiciones al kernel. Si desea especificar parmetros adicionales del ncleo, despus de pulsar F6, pulse la tecla "Esc" para borrar el men y la vista en el fondo de la lnea de arranque del kernel donde se puede escribir en los parmetros elegidos, mantenindolos separados entre s con espacios.

18

http://guymager.sourceforge.net/

18

Traducido por Sykrayo Espaa

19 20

http://www.xfce.org/projects/xfburn

Deft 7 Manual 2012

Se recomienda en cualquier caso, para dejar una parte de memoria RAM libre para las actividades normales del sistema

19

Traducido por Sykrayo Espaa

4.6

El LLI N ST A LI S P N D E F UX T 7

Deft 7 Manual 2012

Por la sptima Release, DEFT se puede instalar en cualquier sistema x86. Los siguientes son los requisitos del sistema mnimos y recomendados para la instalacin: * Requisitos mnimos X86 CPU 200Mhz 128 MB RAM Disco duro de 20 GB Vesa 16 MB compatible Tarjeta de Video Adaptador de red 10/100 Interfaces USB 2.0 Reproductor de DVD Requisitos ptimos Intel de doble ncleo de la CPU 2 GB de RAM Disco duro SATA de 500 GB Memoria withdedicated IntelVideocard Tarjeta de red 10/100/1000 - WiFi N USB 3.0 y la interfaz e-SATA Reproductor de DVD

El sistema se instala a travs de un asistente estndar donde el usuario debe responder a unas cuantas preguntas. La operacin que se mantienen conectados mayor atencin es la particin de la memoria masiva en el sistema host. A pesar de los cambios que demanda sobre la base de la experiencia y la forma en que el usuario trabaja, nos gustara darle algunos consejos sobre la manera de obtener una instalacin ptima: Mantenga por lo menos 20 GB de espacio en el disco duro; Particiones en el disco segn sus necesidades funcionales mediante la creacin de una particin swap con un nivel de swappiness21 de 10. Esto reducir las desaceleraciones repentinas causadas por el uso de la partition22 intercambio; Crear un usuario durante la instalacin, sin embargo, siempre recordando al hbil uso de Linux con el usuario root para evitar dos problemas a la demanda de ciertas aplicaciones con permiso; o Para habilitar la cuenta de root mediante el establecimiento de la contrasea, escriba el comando "sudo passwd" y responder a las preguntas; o Para ello, escriba "sudo su -" (se requiere la contrasea) o "su -" (se le pedir la contrasea de root); No retire FOR UnNY REASON la congelacin en la actualizacin de algunos paquetes deliberadamente bloqueados: son parte de un proceso de personalizacin de todos los mecanismos de seguridad de los dispositivos de almacenamiento conectados al sistema.

20

Traducido por Sykrayo Espaa

21 22

Para obtener ms informacin https://help.ubuntu.com/community/SwapFaq

Si el equipo tiene moras de 4GB de RAM, una solucin podra ser considerado como no crear una particin de intercambio: de esta manera se evitar retrasos inesperados causados por el uso de la particin de intercambio.

Deft 7 Manual 2012

21

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


CAPTULO 5: DEFT Linu X MODO TEXTO
Una vez que el proceso de arranque ha terminado, el sistema presenta unas sesiones basadas en texto (con seis terminales accesibles a travs de la combinacin de teclas ALT + F1 -> ALT + F6) con un shell bash con la raz permissions23.

DEFT: Sesin de interfaz de texto

5.1

PERO A G N I P A O ST RA G IN ME D IA

DEFT es compatible con dispositivos de almacenamiento masivo y sistemas de archivos populares. Como ya se ha mencionado, DEFT no se monta automticamente como en la tpica distribucin en directo (por ejemplo Knoppix, Ubuntu, etc ...) a fin de evitar la alteracin accidental de almacenamiento conectado. El contenido de la memoria almacenada todava pueden ser alterados por la operacin de montaje realizado en el modo de lectura / escritura, un DEFT accin que no se ejecuta automticamente.

23

Esta aplicacin es muy til cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un

22

Traducido por Sykrayo Espaa

aprovechamiento ptimo de la interfaz grfica o para el usuario avanzado que prefiere trabajar directamente desde la lnea de comandos

Deft 7 Manual 2012

23

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


5. 1. 1

FUESCOMULANDS

Aqu hay algunos comandos tiles para realizar tareas relacionadas con la gestin de dispositivos de almacenamiento: fdisk-l: listas de todas las particiones y dispositivos de almacenamiento conectados a la red; MMLS / dev / xxx o MMLS filename.dd: enumera las particiones en el dispositivo o en la imagen cruda que indica el desplazamiento inicial de cada particin y los espacios no asignados; hdparm-Ig / dev / xxx: muestra las caractersticas de CA del xxx memoria masiva. Esta aplicacin es muy til cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un aprovechamiento ptimo de la interfaz grfica o para el usuario avanzado que prefiere trabajar desde el smbolo dispositivos directamente linestorage. montar: muestra el tipo de sistema de archivos de dispositivos de almacenamiento conectados a la red y la manera en que stas se han montado (slo lectura / lectura-escritura); df-h: muestra informacin sobre el tamao de los dispositivos montados y su espacio libre.

5. 1. 2

MUNTOSTOFORAGEDEVICES

El comando mount Le permite conectar al sistema de archivos - presente en un dispositivo o en un archivo almacenado en el disco - en un directorio del sistema. En caso de que quiera montar un dispositivo: como un disco duro, memoria USB, CD / DVD / CD-ROM, disquete, etc. ... que va a utilizar, como la fuente, el dispositivo identifica Que. En este caso: / Dev/fdX24 de disquetes (normalmente con un solo disquete tiene / dev/fd0); / Dev / hdX para discos duros IDE; / Dev / sdX para unidades de disco duro SATA o dispositivos USB; / Dev / cdrom de CD-ROM. En medicina forense, el montaje del directo de una prueba (es decir, un disco, una unidad flash USB, etc ...) se debe hacer como de slo lectura y slo cuando necessary25. Esto asegura que la integridad de la evidencia puede ser garantizada. El sistema de archivos seleccionado, as como de ser almacenado en un dispositivo, puede estar contenido dentro de un archivo en el disco, que contiene el volcado o la imagen de flujo de bits de la device.We adquirido tendr, en este caso, las imgenes: en la "imagen de flujo de bits" formato (dd o crudo) 26; en el formato "Encajar" (EWF); en el formato de "Advanced Forensic Format" (AFF).
24

La X indica el nmero de dispositivos en el sistema, que sabe que tendr / dev / sda para el primer disco y / dev / sdb para el segundo, mientras que el nmero observado despus de que el dispositivo con el comando "fdisk-l" (/ dev / sda1, / dev/sda2, etc ...) identificar el nmero de particin dentro del dispositivo

21

Traducido por Sykrayo Espaa

25

Las mejores prcticas indican claramente que nunca se debe trabajar en la memoria masiva original, pero siempre y slo en una copia. 26 A menudo, el formato de flujo de bits se divide en archivos de menor tamao (2-4 Gigabytes cada uno) con el fin de ser salvo en sistemas de archivos con el lmite de tamao del archivo (eg.FAT32), en este caso se define como la fraccin cruda.

Deft 7 Manual 2012

22

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

5. 1. 3

MOUNTINGADEVICE (disco duro, USBSTICK, disquete, CD-ROM, etc ...) mount-t opciones de tipo de cdigo o punto_montaje

Para montar un sistema de archivos como de slo lectura slo tiene que escribir un comando como: donde tipo es el tipo de sistema de ficheros, generalmente vfat, ntfs-3g, ext3 ... etc .., cuando termine un coche o no est seguro del tipo de archivo system27 (Si se omite esta opcin, el monte intentar Reconocer Independientemente del tipo de sistema de archivos, y por lo general Tiene xito); fuente puede ser una particin: por ejemplo, / dev/hda1 o / dev/sda1; de punto de montaje suele ser un directorio en / media - que debe ser creada byfory La ejecucin del montaje command28 . Los parmetros que se utilizan con frecuencia (que debe seguir la opcin-o del comando mount) son: ro - de slo lectura: montar como de slo lectura; rw - read-write: montar como escribir mode29 [29] ; bucle - Para montar un archivo de imagen; noatime - No cambie la hora del ltimo acceso; noexec - No permite la ejecucin de archivos; offset = N - Al montar un archivo de imagen de disco (tema tratado en profundidad en la siguiente seccin) que indica el nmero de bytes para saltar al punto al principio de la particin lgica para montar (o MMLS recuperables fdisk-lu). Ejemplo 1: montar una particin NTFS con acceso de escritura en el que se guardar el volcado de un dispositivo (el resultado de una adquisicin forense): mount-t ntfs-3g-o rw / dev/sdb1 / media / dest Ejemplo 2: montar una particin NTFS de un disco duro que desea adquirir como de slo lectura y g Durante las actividades de trabajo de campo en los archivos de vista previa (es essential utilizar la opcin-o ro para evitar cualquier accidente, escribe en el disco): mount-t ntfs-3g-o ro / dev/sdb1 / media / pruebas

27 28 29

Por lo general, si se omite, el comando mount puede identificar el tipo de sistema de archivos independiente. Por ejemplo con el comando mkdir / media / NameOfTheFolderIWantToCreate

23

Traducido por Sykrayo Espaa

Para ser utilizado para el directorio donde guardar la copia

Deft 7 Manual 2012

24

Traducido por Sykrayo Espaa

5. 1. 4

OMUNTOCADD/WRIMAGEFILE

Deft 7 Manual 2012

Para montar un archivo de imagen como de slo lectura (que contiene el volcado de un disco entero, not de una sola particin) puedes usar el siguiente comando: mount-t tipo-o ro, loop, offset = $ ((512 * particin de arranque)) Opciones image_file.dd punto_montaje Las opciones y la sintaxis del comando de montaje son los mismos que los indicados en el prrafo anterior. En este caso, sin embargo, a partir de un mtodo de montaje de dispositivo de bucle "conversos" (prcticamente sin alteracin de la fuente) a (esttica) archivo de imagen en un dispositivo Linux (dinmico), lo que permite al kernel montar como si fuera un dispositivo real. La opcin Continuo permite este tipo de abstraccin y se deriva de la aplicacin implcita y automtica a la capa de abajo del comando losetup, a travs del cual se puede asociar un dispositivo de bucle a la imagen image.dd. De este modo se pueden ejecutar aplicaciones de trabajo en los dispositivos tambin en las imgenes de almacenamiento masivo. Si desea evitar el uso-o loop, deber, antes de montar, crear un dispositivo de bucle con el comando: losetup-r / dev/loop0 / media/disk1/dump.dd Este dispositivo de bucle se puede utilizar como si se tratara de un disco de origen para ser montado de la manera descrita previously30 . Por lo tanto, la posibilidad de utilizar directamente el o-loop a evitar la creacin de un dispositivo de bucle que usted debe recordar para cerrar con el comando "losetup-d / dev/loop0". La otra opcin esencial a la hora de terminar montar un archivo de imagen que contiene la adquisicin de un disco entero (y, por tanto, not de una sola particin) es "contrarrestar".
A travs de la utilidad MMLS se encuentra el desplazamiento inicial de una particin de disco:

MMLS dump.dd La salida resultante ser similar a:


DOS tabla de particiones Sector Offset: 0 Las unidades se encuentran en sectores de 512 bytes Espaci Iniciar o 0000000000 Meta ----- 0000000000 00:00 00:01 ----0000002048 0000032256 0086598248 Final 0000000000 0000002047 0000032255 0086598247 0976773167 Longitud 0000000001 0000002048 0026624000 0000204800 0000002048 Descripcin Cuadro Principal (# 0) Sin asignar Desconocido Tipo (0x27) NTFS (0x07) Sin asignar

00: 01: 02: 03: 05:

25

Traducido por Sykrayo Espaa

30

Usted tendr que escribir un comando como mount-o ro / dev/loop0 / mnt / dest

Deft 7 Manual 2012

26

Traducido por Sykrayo Espaa

Monte la particin 03, sealados por las MMLS Especificacin de la salida de desplazamiento multiplicado por 51.231:

Deft 7 Manual 2012

mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 dump.dd / media / dest En lugar de realizar el clculo de la compensacin multiplicando por 512 el punto "de partida" de la particin obtenida con MMLS, puede utilizar un shell operadores matemticos mediante la inclusin como un desplazamiento, el valor de $ ((512 * particin de arranque)) , donde "particin de arranque" Indica el desplazamiento de bytes de la particin que desea montar (en el ejemplo anterior, el valor de 33.256). Por lo tanto con el comando mount: mount-t ntfs ro, loop, noatime, noauto, noexec, offset = $ ((512 * 32,256)) dump.dd / media / dest
Has completado todas las operaciones en los dispositivos de memoria, antes de desconectar el dispositivo del sistema, es necesssary utilizar el comando umount:

umount / media / mntpoint. Como se mencion anteriormente en el manual, Estos comandos pueden utilizarse para montar un archivo que contiene el volcado de un disco entero. En el caso de que - raro pero posible - se hizo el volcado de una sola particin, no es necesario utilizar el parmetro "desplazamiento" como el comienzo de la particin coincide con la del archivo.
5. 1. 5

MOUNTA DD / RAWIMAGEFILESPLITINTO MULTIPLEFIL ES (SPLITRAW)

En el caso de que los archivos de imagen RAW (tanto flujo de bits o una imagen poco a poco de un disco) dd / se divide en varios archivos, es necesario preparar el archivo que se va a montar con el comando mount se muestra en la seccin anterior. Supongamos que tenemos una imagen compuesta por dump.001, dump.002, dump.003, dump.004 y dump.005 archivos. No se puede aplicar directamente a las instrucciones que se indican en el prrafo anterior, porque en este caso no tiene un solo archivo de imagen en el que se ejecutar el comando mount, pero five32. Para montar archivos de imagen RAW, formato divisin dividida prima, usted tiene tres posibilidades. El primer mtodo consiste en la concatenacin de los archivos individuales en un solo archivo de imagen, trayendo de vuelta al caso descrito en el prrafo anterior de un solo archivo dump.dd mounting.The desventaja obvia es que, en este caso, el espacio necesario para la operacin ser igual a la ocupada por la suma de los archivos individuales, ya que tendra hacer una copia, concatenar en un nico file33 [33] . El comando a ejecutar es la siguiente: dump gato. *> image.raw

27

Traducido por Sykrayo Espaa

31 32 33

512 bytes es el tamao predeterminado de un sector que constituye una memoria de almacenamiento

Deft 7 Manual 2012

De hecho, en el caso de adquisiciones de discos de gran tamao, el nmero se elevar a decenas o cientos de personas. Esta solucin se ilustra nicamente con fines explicativos, ya que uno de los dos siguientes se prefiere generalmente.

28

Traducido por Sykrayo Espaa

El resultado es un nico archivo que contiene toda la image.raw disco obtiene por la concatenacin de segmentos de imagen individuales. En este archivo se proceder como se indica en el prrafo anterior. El segundo mtodo es utilizar la affuse mando de la Afflib suite34. Se utilizar ms adelante para montar la imagen en el formato de AFF. Este comando crear un tipo de imagen "virtual" (y por lo tanto visible por el sistema, pero no existente en reality35) que se monta como se describe en el prrafo anterior. El comando a ejecutar, despus de crear el directorio / mnt / prima, ser: affuse dump.001 / mnt / RAW Este comando va a producir, en el directorio / mnt / prima, un archivo "virtual" que contiene el dd / imagen en bruto hecha por la concatenacin de los diversos archivos conformarn el image.This verdadera Ese archivo aparecer como dump.001.raw y se puede utilizar como un parmetro de la montura en la seccin anterior. mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 / mnt/raw/dump.001.raw / media / dest Usted debe recordar que, cuando termine el juego con el comando mount affuse, es necesario desmontarlo montado Adiciones al archivo "virtual" que contiene la imagen con el comando: fusermount-u / mnt / RAW El tercer mtodo para montar una imagen dividida en bruto es usar la herramienta de lnea de comandos xmount36. Al igual que el comando affuse, xmount Crea un archivo virtual que contiene la imagen hecha por la concatenacin de los distintos segmentos que componen la imagen real. El comando en este caso es: xmount - dd -. a dump * dd / mnt / RAW Un archivo "virtual", llamado "basura", sin extensin se crear en el directorio / mnt / raw. Este archivo puede ser montado, como se muestra en el caso anterior, Seleccin de la deseada de desplazamiento del sistema de archivos en modo de slo lectura.

Deft 7 Manual 2012

5. 1. 6

ASE

F I L E T E S P EW F / N C E

Montaje adquiridos en la memoria. Formato EWF se lleva a cabo con el programa mount_ewf application.This es capaz de convertir prcticamente archivos EWF al formato RAW que permite que el dispositivo se monta como si se adquiri en el formato dd. Ejemplo: la disk01 memoria se divide en los siguientes archivos disk01.E01 disk01.E07 disk01.E13 disk01.E19 disk01.E02 disk01.E08 disk01.E14 disk01.E20 disk01.E03 disk01.E09 disk01.E15 disk01.info disk01.E04 disk01.E10 disk01.E16 disk01.E05 disk01. E11 disk01.E17 disk01.E06 disk01.E12 disk01.E18

29

Traducido por Sykrayo Espaa

34 35 36

http://afflib.org/

Deft 7 Manual 2012

De manera similar a lo que ocurre con los archivos en la carpeta de sistema de archivos / proc del http://www.forensicswiki.org/wiki/Xmount

30

Traducido por Sykrayo Espaa

Con el comando

mount_ewf / media/case1/disk01.E * / mnt / RAW

Deft 7 Manual 2012

es posible concatenar la imagen dividida y perfom una conversin virtual en el formato RAW. La operacin dar lugar a la creacin del fichero de datos brutos / mnt/raw/disk01, en la carpeta / mnt / raw /. Se identifica por el sistema de archivos como un solo dd, bien virtual, y puede ser montado Siguiendo los procedimientos indicados en el prrafo anterior. Ejemplo: mount-t ntfs-o ro, loop, offset = $ ((512 * 63)) / mnt/raw/disk01 / mnt / c
5. 1. 7

F I L E T E S P A FF

En cuanto al formato de EWF, los recuerdos adquiridos en el formato PAC se pueden montar con el affuse utilidad mount.

Affuse Le permite utilizar la adquisicin en el formato de AFF, ya que eran imgenes en bruto. La sintaxis del comando es: affuse / media/disk/disk01.aff / mnt / RAW El archivo de salida ser / mnt/raw/disk01.aff.raw que se puede montar Siguiendo los procedimientos para montar la imagen en bruto, que se muestra anteriormente.

5.2

SH H A M A C I O N LC ULA

El hash de un bloque de datos (por ejemplo, un archivo) es una secuencia de caracteres alfanumricos de longitud fija calculada por una funcin matemtica. Esta funcin matemtica es mono-direccional: es imposible reconstruir el bloque que tiene su origen en una cadena de hash. Cualquier alteracin de la fecha, aunque sea mnimo, se traducir en un hash completamente diferente. Con los sistemas Linux se puede utilizar una de las siguientes aplicaciones para generar una cadena de hash: md5sum; sha1sum; MD5, SHA1 y SHA256 profunda; Dhash.

31

Traducido por Sykrayo Espaa

5. 2. 1

D5SUM

Deft 7 Manual 2012

El acrnimo MD537 (Mensaje algoritmo Digest 5) identifica un algoritmo hash criptogrfico desarrollado por Ronald Rivest en 1991 y estandarizada con la solicitud de comentarios RFC 1321. Este algoritmo, tomando como entrada una cadena de longitud arbitraria (como un archivo), que produce como salida de otra cadena de 128 bits que se utilizan para calcular la firma digital de la entrada. El clculo es muy rpido y el resultado devuelto (tambin conocido como "MD5 checksum" o "Hash MD5") es tal que es muy poco probable que se producir un conflicto entre los valores hash de dos archivos diferentes. Finalmente, como para la mayora de los algoritmos de hash, la posibilidad de derivar la cadena inicial a partir del hash resultante es casi nonexistent38. Por ejemplo, para calcular el valor hash MD5 de un disco utilice el comando: md5sum / dev / sda
5. 2. 2

A1HSSU

El SHA term39 Indica una familia de cinco funciones hash criptogrficas desarrollado desde 1993 por la National Agencia de Seguridad (NSA) y publicado por el NIST como estndar por el gobierno federal de los EE.UU.. Al igual que cualquier algoritmo hash SHA genera un valor de longitud fija a partir de un mensaje de longitud variable mediante el uso de una funcin mono-direccional. Los algoritmos de esta "familia" se les llama SHA-1, SHA-224, SHA-256, SHA-384 y SHA-512. El primer tipo, SHA1 Calcula una cadena de slo 160 bits, mientras que otros calculan el resumen de una longitud en bits igual al nmero indicado en su acronym40. En este momento el algoritmo empleado ms ampliamente de la familia SHA es el SHA-1 y se utiliza en muchas aplicaciones y protocolos. Para calcular el valor hash SHA-1 de un disco, por ejemplo, utilice el comando: sha1sum / dev / sda
5. 2. 3

EP

D5MANDSHADE

MD5, SHA1, SHA256 y SHA512 profunda permiten calcular el valor hash de los archivos de moras recursiva. Ejemplo: md5deep-l / root / pruebas /> hash_device.txt
La sintaxis mencionado anteriormente Calcula el hash md5 de todos los archivos en / root / pruebas / y guarda los valores hash en el archivo hash_device.txt.

27

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


37 38 39 40

http://en.wikipedia.org/wiki/MD5 El rango de posibles valores de salida es de hecho igual a 2 a la potencia de 128. Asegure Algoritmo Hash - http://en.wikipedia.org/wiki/Secure_Hash_Algorithm Por ejemplo: SHA-256 produce un resumen de 256 bits.

27

Traducido por Sykrayo Espaa

5. 2. 4

DAHS

Deft 7 Manual 2012

Dhash, disponible en Ingls y Inglese, permite calcular los valores hash de los archivos y dispositivos de almacenamiento, proporcionando informacin en tiempo real: como el tiempo estimado antes del final de la operacin y el progreso de la operacin. Adems, puede generar un informe en html format41. A partir de ensayos de laboratorio Dhash result ser 10% ms rpido que las herramientas mencionadas anteriormente. Ejemplo: Dhash-t-f / dev / sda - md5 - sha1-l dhashlog.html La sintaxis mencionado Le permite calcular simultneamente el hash sha1 y md5 del dispositivo / dev / sda y guardar los valores en el archivo dhashlog.html.

5.3

M A S T O P T URE RA ME D I A G E

La adquisicin de una memoria de masa es el proceso que le permite clonar una memoria fsica, objeto del anlisis. Dentro de los sistemas Linux, esta operacin es posible mediante el uso de herramientas lo siguiente: dd; ddrescue; dcfldd; Dhash. En adiciones a estos comandos, el equipo ha creado DEFT Cyclone, un ejecutable de asistente de la terminal para hacer una adquisicin guiada a travs de la simple respuesta a las preguntas que aparecen en la pantalla.
5. 3. 1

DD

dd Toma como entrada un archivo o un dispositivo y vuelve, en un archivo o dispositivo diferente, la secuencia binaria exacta que lo compone.
Ejemplo:

dd if = / dev / sda of = / media / diskimage.img El comando toma como entrada los dispositivos de almacenamiento / dev / sda y retornos masivos como salida de su clon Dentro del archivo diskimage.img en el directorio / media / carpeta. Puede hacer que la adquisicin de la memoria masiva en un archivo o en un dispositivo de almacenamiento masivo (y vice versa) 42.
Ejemplo:

dd if = / dev / sda of = / dev

28

Traducido por Sykrayo Espaa

/ sdb
41 42

Deft 7 Manual 2012

Tambin Dhash es capaz de ejecutar al mismo tiempo las actividades de adquisicin y el clculo del valor hash. Esta prctica se utiliza mucho menos en el campo de la informtica forense.

29

Traducido por Sykrayo Espaa

Es importante prestar atencin a este mandato porque el desestaoacin devlaall (en this antiguoampla /dev/sdb) esdelectrnicoand y orverwritten para el tamao del dispositivo de origen (en este ejemplo, / dev / SDA). Esto significa que si / dev / sda es el disco duro de 60GB y / dev / sdb es un disco duro de 250 GB, el comando anterior se sobrescribir el primero 60GB del disco de destino (/ dev / sdb) con el bit-a-bit entero contenido del disco de origen (/ dev / sda), por lo que su contenido totalmente irrecuperables, lo comprometer los datos en el disco que no se sobrescribe.
5. 3. 2

Deft 7 Manual 2012

CU

DDRESE

Como dd, ddrescue te permite clonar el contenido de un disco y guardarlo directamente a otro dispositivo de memoria. ddrescue es una evolucin de dd: le permite adquirir los dispositivos de memoria de masa que contienen errores al suministrado para acceder determinado por la adquisicin sectors.The disco puede ddrescue abarca tambin a aquellos sectores daados que sern adquiridas por puesta a cero toda la bits.During leer la ddrescue proceso de adquisicin Proporciona informacin actualizada sobre el nmero de bytes son ledos y escritos, cuntos errores han encontrado Sido y el tipo de adquisicin calculado en bytes / s. Ejemplo: ddrescue / dev / sda / media / disk.img
5. 3. 3

DCDEP

dcfldd es otra versin mejorada de dd que se puede utilizar para calcular el valor hash (MD5 y SHA1, individualmente o en conjunto) Durante la adquisicin de la memoria. Durante la adquisicin se proporciona informacin detallada

sobre lo que se ha ledo y escrito. Ejemplo: dcfldd if = / dev / sda of = / media / disk.img hash = md5 hash = sha1
5. 3. 4

DAHSH

Este software permite la adquisicin en formato dd y el clculo simultneo del hash. Result ser ms de 10% ms rpido que otros programas disponibles. Ejemplo: Dhash-t-f / dev / sda - md5 - sha1-o disco.dd
La sintaxis mencionado anteriormente le permiten adquirir y calcular simultneamente el valor hash sha1 y md5 del / Dev / sda dispositivo y guardar las cuerdas dhashlog.html resultantes en el archivo de registro.

30

Traducido por Sykrayo Espaa

5.4

RE C A C I O N A C I O N E F I L ME

Deft 7 Manual 2012

Una de las herramientas ms populares para la creacin de lneas de tiempo es mac-tiempo, la aplicacin de la suite Sleuthkit desarrollado y mantenido por Brian Carrier.

Hay dos comandos principales para generar lneas de tiempo del sistema de archivos: fls43 toma como entrada un archivo RAW derivado de la adquisicin de una memoria de masa (una sola particin ya sea una imagen cruda de un disco con varias particiones), y devuelve una lista de todos los archivos (quin asignado o no, sin embargo, el registro sigue siendo que figura en la tabla de asignacin de archivos), para su uso con Mac en tiempo posterior; mactime44 Toma como entrada una lista, creada por fls, con todos los datos contenidos en el sistema de archivos que se analiza y proporciona una lnea de tiempo en formato ASCII.
5. 4. 1

FL

Aqu un ejemplo de cmo utilizar FLS en el caso en el que la imagen imagen-1.DD contiene un nico archivo system/partition45: fls-z GMT-s 0-m C:-f ntfs-r / images / hard-c.dd> / workdir / disco duro-c.body En el ejemplo, los siguientes han sido los parmetros utilizados: -Z: zona horaria en el sistema utilizado para analizar; -S: falta de coincidencia en segundos de tiempo del sistema con el tiempo real 46; -M: Que el texto tiene que ser puesto antes de la ruta y el nombre del archivo en el Timeline47 ; -F: el sistema de archivos de la memoria adquirida; / Images / disco c.dd: la imagen tomada como entrada para la extraccin de la lnea de tiempo; / Workdir / disco duro-c.body: el archivo, en el bodyfile formato que contiene la lnea de tiempo Dado extrado de la entrada. En el caso de que la imagen contiene dd moras particiones, debe utilizar el parmetro-o al fls dadas al sector offset (ynot byusteds,como en el caso del parmetro offset del comando mount), el punto de la particin que se va a analyse.To obtener una lista de particiones y sus valores de desplazamiento (Expresado en sectores y no en bytes) de partida, se recomienda utilizar MMLS el mando del comando fdisk privado TSK o "-lu" parameters.In el caso de una imagen que contiene un disco con una particin a partir del sector 63 (Por lo general, las particiones individuales y la primera particin de un disco siempre comenzar en el sector 63): fls-o 63-z GMT-s 0-m C:-f ntfs-r / images / disco c.dd> / workdir / disco c.body En esta pasanta tiene un archivo (por conveniencia con la extensin del cuerpo.) En el cuerpo format48 que contiene la lnea de tiempo del sistema bajo anlisis.
43 44

http://wiki.sleuthkit.org/index.php?title=Fls http://wiki.sleuthkit.org/index.php?title=Mactime

30

Traducido por Sykrayo Espaa

45 46

Cabe sealar la ausencia del parmetro "Offset". La diferencia entre la hora del sistema y en tiempo real se obtiene de bios, durante la adquisicin. 47 Se puede comprobar Obtener la diferencia entre el tiempo de BIOS y el tiempo real (Durante la etapa de adquisicin). 48 Generalmente se establece la carta en la que se monta la unidad "C", "D" y as sucesivamente.

Deft 7 Manual 2012

30

Traducido por Sykrayo Espaa

Este formato no es inmediatamente accesible por el examinador, ya que contiene las fechas y los registros codificados desordenadas. Por lo tanto, es necesario procesarlo para que sea legible, y con el fin de los elegidos format49. He aqu un extracto de un archivo de cuerpo que deja claro la dificultad de interpretar el contenido del examinador:
[...] 0 | C :/ windows / inf / mdmpin.PNF | 4718-128 3 | r / rrwxrwxrwx | 0 | 0 | 19268 | 1299255392 | 1299255392 | 1299255392 | 1299257718 0 | C :/ WINDOWS/inf/mdmpn1.inf | 804-128 3 | r / rrwxrwxrwx | 0 | 0 | 6376 | 1299257379 | 1092916800 | 1299257709 | 1092916800 0 | C :/ WINDOWS/inf/mdmpn1.PNF | 4717-128 3 | r / rrwxrwxrwx | 0 | 0 | 10424 | 1299255392 | 1299255392 | 1299255392 | 1299257718 0 | C :/ windows / inf / mdmmod.PNF | 4747-128 3 | r / rrwxrwxrwx | 0 | 0 | 18540 | 1299255386 | 1299255386 | 1299255386 | 1299257719 0 | C :/ windows / inf / mdmmoto.inf | 779-128 3 | r / rrwxrwxrwx | 0 | 0 | 96032 | 1299257378 | 1092916800 | 1299257709 | 1092916800 [...]

Deft 7 Manual 2012

5. 4. 2

ME

MACTI

Mactime es la herramienta de la suite TSK que convierte el formato de lnea de tiempo desde el cuerpo al formato CSV, ordenando cosas y cambiar los parmetros de la pantalla en funcin del examinador necesita. Por lo general, el comando a ejecutar es la siguiente:
MassachusettsConnecticutIME-B / Workdir / disco c.body

GM ZT -D> / Workdir / disco c.csv

-B Especifica el archivo de entrada, el Z-zona horaria,-d> / workdir / disco c.csv Representa el archivo de salida que contiene la lnea de tiempo en csv format50. El comando tiene que mactime caracterstica informes resumen de las actividades diarias y por hora detectados en el sistema de archivos, que se aade a la funcin de conversin de formato CSV y para la funcin de ordenar los registros generados por la informacin fls command.This puede ser esencial para evaluar qu da - o en qu momento - las actividades de uso son detectables en el PC, mostrando picos y anomalas quizs dos de las actividades de fin de semana que casi saltan de una lnea de tiempo tradicional. Para obtener un informe de las actividades diarias se produjeron en el sistema de archivos, slo tiene que aadir los parmetros-d-i seguido del nombre del archivo que desea guardar ese informe to.The informe sobre las actividades de tiempo se obtiene con-h-i parmetros Seguido por el nombre del archivo que desea guardar ese informe. Obtendrs, de este modo, un archivo que contiene registros similares a los siguientes:
[...] Mi 12 de octubre 2011: 801 Jue 13 Oct de 2011: 987 Vie 14 Oct de 2011: 252 Dom 16 de octubre 2011: 25.352 Lun 17 de octubre 2011: 463 Mar 18 de octubre

31

Traducido por Sykrayo Espaa

2011: 711 [..]


49 50

En general, se utiliza el formato. CSV para la compatibilidad con los editores y hojas de clculo. Es preferible exportar en formato CSV para facilitar la consulta por parte de aplicaciones como OpenOffice o Excel.

Deft 7 Manual 2012

32

Traducido por Sykrayo Espaa

En el ejemplo anterior se puede ver que el 16 de octubre de 2011 haba 25.352 en files51 actividades. Este valor no puede ser de su inters, pero puede, en algunos casos, ser de gran importance52. Es recomendable comprobar la continuidad o el promedio de los valores de los analizados durante casi todos los das, tal vez que se apoya en un cierto valor (por ejemplo, <1,000), y llegar, como en el ejemplo, los picos de decenas de miles de personas en un da especfico . El examinador debe proceder en este momento a analizar con ms detalle la lnea de tiempo del da en que la anomala fue found53. La siguiente tabla es til para entender el significado de los valores que aparecen en la columna "Tipo de Actividad". Indicaron las acciones realizadas en archivos y carpetas en un plazo determinado.

Deft 7 Manual 2012

Aqu es un ejemplo del resultado del procesamiento de un archivo de mactime cuerpo generada por el comando:
[...] Vie 04 de marzo 2011 16:08:04 618 605. Ac. r / rrwxrwxrwx C :/ WINDOWS/system32/dllcache/fp4autl.dll Vie 04 de marzo 2011 16:08:11 17672 ... b r / rrwxrwxrwx C :/ WINDOWS/Prefetch/IMAPI.EXE-0BF740A4.pf Vie 04 de marzo 2011 16:11:20 3014 ... b r / rrwxrwxrwx C :/ WINDOWS/system32/wbem/Logs/wmiadap.log Vie 04 de marzo 2011 16:11:29 10296 .. cb r / rrwxrwxrwx C :/ WINDOWS/system32/drivers/ASUSHWIO.SYS [...] 0 0 0 0 0 0 0 0 10618-128-1 10624-128-4 10630-128-3 10631-128-3

51 52

La intencin: el acceso, la creacin o modificacin de ficheros de entrada MFT o archivo. Por ejemplo, si el PC que se analiza es un activo de una empresa en la que el trabajo se lleva a cabo de lunes a viernes, el Si investigador investigado por qu ya disposicin de alta actividad se ha producido el domingo. 53 Mediante la realizacin de nuevos anlisis del registro, la insercin de las memorias USB, el lanzamiento de programas, creacin de archivos LNK, etc ..

33

Traducido por Sykrayo Espaa

5.5

RE C A N T I G A SUP E RT I ME LI N E

Deft 7 Manual 2012

La lnea de tiempo, como se indica en el prrafo anterior, son muy tiles, pero limitado a las actividades detectadas en la filesystem54. En adiciones a la fecha y hora de los archivos, hay varios metadatos en el sistema de anlisis que se puede integrar con la lnea de tiempo del filesystem55. Las herramientas para crear este tipo de lneas de tiempo "enriquecidos" 56are incluido en diestro. En este caso tambin, el punto de partida es la imagen de un disco o un disco en s, as como para la lnea de tiempo tradicional elaborada con FLS + mactime (o con la autopsia interfaz grfica). La herramienta especfica se utiliza log2timeline57 . El marco fue escrito por Kristinn Gudjonsson, y el desarrollo de sus plugins involucr a toda la comunidad forense de cdigo abierto. Procesos Log2timeline (anlisis), recurrentemente, los archivos de una particin montada con unos parmetros especficos, que permiten el acceso a los metadatos del sistema de archivos. En particular, el log2timeline metadatos es capaz hasta la fecha para procesar e introducir en un supertimeline figuran en esta modos de entrada list: 1.Apache2 registro de acceso; 2.Apache2 registro de errores; Historia Chrome 3.Google; 4.Encase listado de registros; Los archivos de registro de eventos 5.Windows (EVT); Los archivos de registro de eventos 6.Windows (evtx); 7.EXIF; Marcadores 8.Firefox; 2 historia 9.Firefox; 10. Firefox 3 la historia; 11. FTK Imager archivos CSV listado de registros; 12. Los archivos de registro de Linux genricos; 13. Archivos del historial de Internet Explorer, de anlisis index.dat; 14. Los archivos de registro de Windows IIS W3C; 15. Exportacin de texto ISA Server; 16. File cuerpo mactime; 17. McAfee AntiVirus Registros; 18. MS-SQL registro de errores; 19. Global y directo historial del navegador Opera; 20. Metadatos OpenXML (Office 2007); 21. Archivos PCAP; 22. PDF;
the registry, the link file in the LNK format, the prefetch etc.. 56 In the forensic jargon they are now indicated by the term "supertimeline". 57 http://log2timeline.net

33

Traducido por Sykrayo Espaa

54 55

As que se limita a crear, editar o acceder a los archivos. Algunos ejemplos: el registro de un navegador, las visitas a los cambios en las claves del registro del sistema, antivirus registros, la actividad de

Deft 7 Manual 2012

the registry, the link file in the LNK format, the prefetch etc.. 56 In the forensic jargon they are now indicated by the term "supertimeline". 57 http://log2timeline.net

34

Traducido por Sykrayo Espaa

23. Directorio Prefetch de Windows; 24. Papelera de reciclaje de Windows (INFO2 o I $); 25. Punto de restauracin de Windows; 26. Safari archivo historial del navegador; 27. Archivo setupapi.log Windows XP; 28. Adobe fichero objeto compartido local (SOL / LSO), tambin conocidos como cookies de Flash; 29. Registros de acceso Squid (httpd_emulate off); 30. TLN archivos corporales (lnea de tiempo); 31. Clave UserAssist del registro de Windows; 32. Volatilidad (psscan y psscan2 salida); 33. Archivos de acceso directo de Windows (LNK); 34. Archivo de registro de Windows WMIProv; 35. Archivo de registro de Windows XP Firewall (formato W3C).

Deft 7 Manual 2012

El supertimeline se pueden guardar en diferentes formatos. El formato ms utilizado es el CSV format58 , compatible con varias hojas de clculo, se pueden mostrar con sencillez y editado con un editor de texto. La lista completa de modos de salida en la que el procesamiento de la supertimeline Actualmente se puede exportar como es siguiente: BeeDocs; CEF; CFTL; CSV; Mactime; SIMILAR; SQLite; TLN; TLNX.

34

Traducido por Sykrayo Espaa

58

https://en.wikipedia.org/wiki/Comma-separated_values

Deft 7 Manual 2012

35

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


El primer paso es generar una supertimeline-as-Poseer mencionado previamente la imagen en bruto que contiene la particin que se vaya a examinar. Se puede utilizar un dispositivo (por ejemplo / dev / sda) a dd / archivo de imagen RAW, o incluso para EWF, archivo AFF o escisin prima convertida segn se explica en los prrafos anteriores. Suponga que tiene un archivo image.dd que contiene la imagen de disco que desea analizar. Lo primero es montar en la forma descrita anteriormente, las particiones que desea obtener una supertimeline de. Usted decide analizar solamente la particin NTFS del disco, situada en el sector offset y 63 identificados por la letra C: en Windows. Con el comando: mount-o ro, loop, show_sys_files, streams_interface = windows, offset = $ ((512 * 63)) / mnt / raw / img.dd / Mnt / c La unidad C: ser montado en / mnt / c donde ejecutamos log2timeline: log2timeline-p-r-z-f winxp Europa / Roma / mnt / c / m-C:-w-c-log2t unsorted.csv Los parmetros sugeridos son: -P: Indica log2timeline hacer un recursivo "preprocesamiento" de que se est analizando con el fin de obtener informacin til para los plugins que se ejecutar later59; -F: Indica el tipo de sistema operativo (y por lo tanto el conjunto de plugins) que desea aplicar al directorio dado como input60; -R: dice log2timeline para explorar los archivos de forma recursiva lo tanto no detener a los del directorio especificado; -Z: Indica los conjuntos de zona horaria en el PC bajo anlisis 61; -M: Indica la cadena que se sometera a la ruta y el nombre del archivo en la creacin supertimeline salida Normalmente la letra de unidad del disco en estudio (por ejemplo, "C:", "D", etc ..); -W: Especifica el archivo de la supertimeline generado en formato CSV tiene que ser guardado en. El resultado de este proceso es un archivo CSV que contiene los elementos individuales obtenidos a partir del anlisis de los distintos artefactos, dispuestas en el orden en que fueron analizados. Por lo tanto, es necesario utilizar una herramienta para ordenar las entradas y si es necesario, seleccione un perodo de inters y palabras clave de forma simultnea filtros de inters. La herramienta se proporciona con estas caractersticas l2t_process, parte del marco log2timeline tambin. Para ordenar y ver, por ejemplo, las actividades de la PC, que tuvo lugar en 2011, registrados en el c-log2tunsorted.csv

36

Traducido por Sykrayo Espaa

arc hivo :
59

Deft 7 Manual 2012

Por ejemplo, el nombre de host de la computadora, los usuarios, el navegador por defecto, zona horaria, etc .. puede ser obtenido. 60 Podra ser omitido, lo que indica que log2timeline probar todos los plugins en todos los archivos. 61 Se puede obtener de forma automtica con el parmetro "-p", pero a menudo es til para establecer de forma manual.

37

Traducido por Sykrayo Espaa

l2t_process-i-b-c-log2t unsorted.csv-y .. 2008-01-01 2008-12-31 keywords.txt-k> c-log2t-2008.csv Algunas de las opciones tiles de l2t_process son:

Deft 7 Manual 2012

-I: Tambin se incluyen las entradas en la salida fuera del intervalo de tiempo especificado, si stos sugieren que contienen informacin de las actividades sospechosas timestomping62; -Y: forzar el formato de fecha aaaa-mm-dd en lugar del formato predeterminado dd-mm-aaaa; -B Indica Qu archivo debe ser Analizada por el guin; -K: especifica el archivo que contiene las palabras clave que usted est interesado, excepto la salida de los registros que no contengan ellos. El resultado de log2timeline y l2t_process ser una larga lista de actividades reconocidas en el filesystem63 y los metadatos extrados de los tipos de archivo se ha indicado anteriormente (log, eventos, enlaces, historial de navegacin, etc ....). Las columnas del archivo de cabecera tendrn el siguiente:
1. Fechas 2. Tiempo 3. Zona Horaria 4. MACB 5. Fuente 6. SourceType 7. Tipo 8. Usuario 9. Hosts 10. Corto 11. Descripcin 12. Versin 13. Nombre de archivo 14. Inode 15. Notas 16. Formato 17. Extra

62

Por ejemplo, registro MFT con el valor 0 milisegundos.

38

Traducido por Sykrayo Espaa

63

En el caso de NTFS, tendremos elementos obtenidos de la tabla MFT.

Deft 7 Manual 2012

39

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


En esta prctica, la dificultad radica en centrarse en los artculos pertinentes Miles de Dentro de resultados. Desde la lnea de comandos grep puede proporcionar un valioso apoyo para la exclusin o la inclusin en la lista de algunos tipos de actividad. Tambin es posible importar el supertimeline en un spreadsheet64 para filtrar y analizar el contenido con las caractersticas tpicas de este tipo de aplicaciones. Una de las principales categoras en las que es til aplicar filtros es el relativo al tipo de metadatos que se encuentra en la columna 6 SourceType.Among los tipos disponibles que va a tener inters para filtrar, hay NTFS $ MFT, REG, registro de eventos, WEBHIST, XP Prefetch etc. ... Eso le permitir distinguir entre Internet navegando, insercin palos USB (USBSTOR buscar en los registros relativos al registro), los archivos abiertos (NTFS $ MFT), o cualquier otra cosa de inters para usted.

5.6

SE A RC F H I L E S A N D O C L D E R S

Puede buscar archivos y carpetas mediante una de las siguientes herramientas: localizar; encontrar.
5. 6. 1

LOCATE

Localizar Le permite buscar archivos en un dispositivo de almacenamiento masivo. Primero debe actualizar la base de datos de indexacin de ejecutar el comando updatedb. Ejemplo: localizar las finanzas-q-i Bsqueda, sin distinguir entre maysculas y minsculas (-i), para los archivos que contienen la palabra finanzas en su propio name.Thanks opcin de-q, errores suministrados para acceder a un directorio especfico se inform, as como la razn de dicho error ( por ejemplo, "acceso denegado"). Ejemplo: localizar "*. png"-q que buscar todos los archivos PNG.
5. 6. 2

FIND

Buscar Le permite buscar archivos sin indexacin previa. Ejemplo: encontrar. -Iwholename "* porn *. Png" La herramienta se encuentra todos los archivos PNG que contienen la cadena de porno en Su nombre, sin

40

Traducido por Sykrayo Espaa

distincin entre las casas.


64

Deft 7 Manual 2012

Hbil ofrece la suite LibreOffice Eso incluye la hoja de clculo Calc.

41

Traducido por Sykrayo Espaa

Ejemplo: encontrar. -CTime -2> list.txt

Deft 7 Manual 2012

La herramienta se encuentra todos los archivos creados en los ltimos 2 das y que le ahorrar a la lista en el archivo list.txt.

5.7

RV M U E S P A O F F I LE S

Carving es el proceso de recuperacin de archivos ya no se hace referencia al sistema de archivos, a travs del reconocimiento de la cabecera y el footer65 del archivo. Es un proceso largo, porque el disco se examina desde la primera hasta la ltima gota. Metafricamente hablando, se puede comparar este proceso con la lectura de una unidades de cinta.
5. 7. 1

FOREMOST

Foremost puede recuperar archivos borrados directamente desde dispositivos de almacenamiento, o preferiblemente, de "flujo de bits de imagen" archivos. El comando ante todo-o outpdir dump.img se iniciar el proceso de tallado en dump.img basado en el archivo de configuracin del archivo / etc / foremost.conf y guardar los archivos extrados en el directorio outpdir. El comando todo-t-o png outpdir dump.img se iniciar el proceso de forjar todos los archivos dump.img png en el archivo y guardar los archivos extrados en la carpeta outpdir. La opcin-t le permitir buscar los siguientes tipos de archivo:

65

Encabezado y pie de pgina son las firmas que caracterizan el comienzo y el final de un tipo de archivo determinado,

42

Traducido por Sykrayo Espaa

en detalle que consisten en un grupo de octal consecutivos o valores hexadecimales siempre presentes en una determinada posicin de un archivo determinado al inicio o al final de la misma.

Deft 7 Manual 2012

43

Traducido por Sykrayo Espaa

jpg jpeg png bmp exe avi mpg wmv wav riff

mov ole doc pdf zip rar htm cpp

Deft 7 Manual 2012

44

Traducido por Sykrayo Espaa

CAPTULO 6: DEFT Linu X GUI MODE


6.1 I N T RO D UC C I N

Deft 7 Manual 2012

El DEFT Linux GUI se basa en la LXDE "entorno de escritorio" 66 (Lightweight X11 Desktop Environment). El eleccin del

gestor de escritorio cay en este proyecto hasta la fecha porque es una de las interfaces grficas de usuario ms ligero y ms eficiente del mundo Linux. El uso del modo grfico se solicita en los casos en que los programas, no desarrollados para el uso en la lnea de comandos, se van a utilizar,: como, por ejemplo, Marco Forense Digital (DFF) 67 o bagre. Desde la versin 6, las aplicaciones nativas de Windows, por lo que no hay equivalente para Linux ms potente, integrado y emulado han sido directamente por DEFT Linux usando Wine software68. Para iniciar la interfaz grfica de DEFT Linux simplemente escriba hbil-gui.

Hbil: Linux GUI

66 67

http://www.lxde.org http://www.digital-forensic.org/ 68 http://www.winehq.org/

45

Traducido por Sykrayo Espaa

Usted puede encontrar los elementos en el escritorio lo siguiente:


1. 2. 3. 4. 5. 6. 7.

Una gua para la obtencin de pruebas Los procedimientos para instalar DEFT Linux La Terminal El men de la aplicacin Pcmanfm Administrador de archivos Keyboard Language Manager Mostrar escritorio

8. De espacios de trabajo

Deft 7 Manual 2012

9. Sistema de control de audio 10. Los administradores de red 11. Fecha y hora 12. Gerente de Zona Horaria 13. Apagado del sistema y el botn de

reinicio

El men de aplicaciones tiene las siguientes secciones:

Accesorios: Archive Manager, Mapa de caracteres, la Utilidad de Discos, Administrador de archivos, calculadora, visor de imgenes, Leafpad, LXterminal, TrueCrypt y Xpad. DEFT: Herramienta de anlisis, herramientas anti-malware, tallando las herramientas, algoritmos hash herramientas, herramientas de imagen, forenses mviles, anlisis forense de redes, herramientas OSINT, recuperacin de contraseas, herramientas de reporte, Utilidad de Discos, Administrador de archivos, GParted, Midnight Commander, Mount ewf, MountManager, Barrido y Xmount. Grficos: Visor de documentos. Internet: Firefox y Sun Inicio 6 de Java Web. Servicios: Apache arranque, parada Apache, Mysql marcha, paro MySQL, Samba marcha, paro Samba, SSH marcha, paro SSH, Xplico inicio, parada Xplico.

Sonido y vdeo: Audaz, escritorio Recorder, VLC media player y Xfburn. Wine. Herramientas del sistema: Gdebi instalador de paquetes, GParted, Prensa, gestor de paquetes Synaptic, Perfil de Sistema y de referencia, el Administrador de tareas, hora y fecha, gestor de

46

Traducido por Sykrayo Espaa

actualizaciones, usuarios y grupos y los controladores inalmbricos de Windows.

Preferencias: Los conductores adicionales, Adobe Flash Player, personalizar la apariencia, la configuracin de sesin del escritorio, la Utilidad de Discos, teclado y ratn, soporte de idiomas, Lxkeymap, ajustes del monitor, Red

Deft 7 Manual 2012

47

Traducido por Sykrayo Espaa

conexiones, configuracin de Openbox, aplicaciones preferidas, las fuentes de software, Sun Java 6 Programas Panel de control y Sun Java 6 Herramienta Poltica.

Deft 7 Manual 2012

6.2

SS MA ME MO MA RY N A G E ME NT

Como ya se mencion, el sistema no realiza ninguna accin con la excepcin de la deteccin de los dispositivos conectados al sistema. Durante el uso del gestor de archivos, a los dispositivos de almacenamiento masivo conectados al sistema (interna y externa) no se montar automticamente. Haga clic en el icono del dispositivo de almacenamiento masivo, se mostrarn las polticas para el montaje: Monte slo lectura: Permite el acceso al dispositivo de almacenamiento en masa como de slo lectura sin alterar los datos almacenados en el dispositivo de memoria; Montaje de volumen: Permite el acceso al dispositivo de memoria masiva con la lectura / escritura; Volumen de expulsin: Permite la eliminacin segura de la memoria del sistema. Con la aplicacin Administrador de Montaje de el examinador puede montar Establecer las polticas basadas en sus necesidades operativas.

Actividades en las que utilizar PcmanFMr

48

Traducido por Sykrayo Espaa

6.3

MO A T M A N A G E R

Deft 7 Manual 2012

Administrador de montaje Le permite crear polticas de montaje avanzadas con slo unos clics. En la imagen que compartimos los procedimientos para montar un dispositivo de almacenamiento de memoria como RO (slo lectura), el bloqueo de las acciones que puedan producir alteraciones en el sistema de archivos.

Montar la poltica para bloquear posibles cambios en el sistema de archivos

Para el montaje es necesario asociar un directorio existente a una particin en la memoria asegurndose que ajuste los parmetros tienen noatime, noauto, ro, noexec, que aseguran que la memoria masiva no se altera durante usage.Only de esta manera usted tendr acceder al sistema de archivos como de slo lectura y utilizarlo sin tener que actualizar el tiempo de acceso inode69 . Con el Administrador de montaje, se puede montar tambin archivos adquiridos en formato dd y los sistemas de archivos de red: como Samba (Windows share) y NFS.

49

Traducido por Sykrayo Espaa

69

Fecha y hora del ltimo acceso al expediente de un sistema de archivos.

Deft 7 Manual 2012

50

Traducido por Sykrayo Espaa

6.4

SH H A M A C I O N LC ULA

Deft 7 Manual 2012

Dhash es la nica herramienta de DEFT Linux dedicada al clculo del hash en modo grfico.

Dhash: Calcular el valor hash de un dispositivo

Despus de iniciar la aplicacin, haga clic en Abrir dispositivo para seleccionar un dispositivo de almacenamiento masivo o Abrir archivo para seleccionar un archivo. Seleccione el tipo de hash para calcular (MD5, SHA1 o ambos) y haga clic en Inicios. Despus de terminar, puede guardar un informe HTML con los resultados, haga clic en "Guardar registro".

51

Traducido por Sykrayo Espaa

6.5

MA ME MO RY SS A Q UI SI C T I O N

Deft 7 Manual 2012

Como se ha demostrado anteriormente, con DEFT Linux puede adquirir memorias de almacenamiento masivo a travs de interfaz grfica o mediante el uso de Guymager Dhash. El primero es adecuado para adquisiciones en el formato dd, mientras que el ltimo es muy recomendable para las adquisiciones paralelas en el formato ewf.

6. 5. 1

DAHS

En Dhash, los procedimientos para la adquisicin es similar a la que para el clculo hash. Seleccione el dispositivo que desea adquirir haciendo clic en "dispositivo abierto" Seleccin y "Adquirir". Tambin puede optar por adquirir y comprimir al formato gz marcando la casilla Comprimir y / o elegir si para llevar a cabo el clculo de comprobacin aleatoria de uno o ms archivos.

Adquisicin con el clculo simultneo de md5 y sha1 valores hash

45

Traducido por Sykrayo Espaa

Al pulsar el botn, se inicia comienza la adquisicin.

Deft 7 Manual 2012

Al final de todas las actividades, se puede guardar un informe en formato HTML, haga clic en la opcin "Guardar registro".

45

Traducido por Sykrayo Espaa

6. 5. 2

ER

UTAMAG

Deft 7 Manual 2012

Guymager les permite una administracin ms avanzada de las adquisiciones ms Dhash.

Casas gestin Guymager para la fase de adquisicin

Permite Guymager en adiciones a la adquisicin simultnea de mltiples dispositivos de almacenamiento masivo, la inclusin de informacin: por ejemplo: Cdigo de Viviendas; Evidencia de catalogacin; Nombre del examinador que est llevando a cabo las operaciones; Descripcin del objeto que est adquiriendo. El programa soporta todos los principales formatos de adquisicin (dd, AFF y encierran) y le permite ejecutar la comprobacin de integridad, a travs de la verificacin MD5 o sha256 valor hash, ambos de la recin creada y la imagen del dispositivo original (incluyendo imgenes divididas) . Para iniciar el proceso de adquisicin de Guymager clic derecho sobre la memoria masiva para ser clonado y seleccione Adquirir imagen.

46

Traducido por Sykrayo Espaa

En la ventana Adquirir imagen puede especificar varios parmetros de la adquisicin o gestin del caso.

Deft 7 Manual 2012

47

Traducido por Sykrayo Espaa

6.6
6. 6. 1

F I N D I N G F I LE S A N D E F O LD RS
FACTIS

Deft 7 Manual 2012

Bagre Que puede realizar las mismas operaciones se pueden ejecutar a travs de comandos de lnea de comandos a encontrar y localizar. En el ejemplo que se muestra a continuacin, la memoria seleccionada o la carpeta en la que desea buscar, la bsqueda se inicia para todos los archivos con extensin JPG por escrito *. Jpg en el campo de bsqueda. Cuando se complete la bsqueda, puede abrir los archivos de la lista con un simple doble clic.

Catfish: Bsqueda de archivos

En la ventana de informacin de los archivos se indican: ltima fecha de modificacin, la ubicacin y el tamao del archivo.

48

Traducido por Sykrayo Espaa

6.7

F I N D I W LD

Deft 7 Manual 2012

Findwild es un programa que le permite buscar palabras files.Specifying Dentro del directorio de inters y palabras clave asociadas le proporcionar una lista de los archivos que contienen las claves de bsqueda.

Findwild: Busca contenido

48

Traducido por Sykrayo Espaa

6.8

IU G F I LE S M U E S P RV

Deft 7 Manual 2012

Jorobado 4most (H4M), disponible en Ingls y Inglese, es una interfaz grfica para la gestin de las funciones principales del lugar y el bistur. A travs H4M, una vez que elija el programa que se utilizar como un fichero de tallador, puede ejecutar el tallado con unos simples clics.

4most Jorobado: Archivo Talla con Foremost

H4M, una vez que usted ha indicado en el archivo o dispositivo en el que desea buscar, y la carpeta donde desea almacenar los archivos recuperados, bsquedas y guarda todos los archivos con el encabezado y pie de pgina especificado por el examinador.

49

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

4most Jorobado: Talla de archivo con bistur

En adiciones a los formatos de archivo tradicionales apoyados por Foremost y Scalpel, usted puede personalizar su bsqueda indicando un nuevo archivo de configuracin que contiene encabezado y pie de pgina de su inters.

6.9

MA N I N G A G A C A SE W I T H A UT O P SY

El navegador forense Autopsy es una interfaz grfica para la gestin de la lnea de herramientas de investigacin digitales comando en el Kit70 Sleuth. Se utiliza principalmente para el tratamiento de los casos en que se requiere un anlisis de los dispositivos de almacenamiento masivo. Autopsia permite: Directamente utilice el dispositivo o las adquisiciones en el formato dd, AFF y encierran; ver la informacin sobre el tipo de sistema de archivos; analizar e identificar el contenido de archivos y directorios y sus referencias de tiempo; recuperar archivos borrados;

50

Traducido por Sykrayo Espaa

70

http://www.sleuthkit.org/

Deft 7 Manual 2012

51

Traducido por Sykrayo Espaa

gestionar una base de datos de los valores hash de los archivos del caso bajo anlisis; crear y analizar lneas de tiempo; buscar los archivos por palabra clave; analizar los metadatos; creado informes de resultados; creado en los hogares.

Deft 7 Manual 2012

Una vez que comenz desde la seccin de disco forense Autopsy, solicitar al examinador que especifican si tiene la intencin de crear un nuevo hogar o abrir uno existente. En este ejemplo, haga clic en Nuevo para crear un caso de prueba y coloque la fecha en su posesin para la catalogacin: como el nombre, la descripcin y los nombres de los examinadores:

Creacin de un nuevo caso

Una vez que haya confirmado sus datos, en / root / pruebas / casename se crea un directorio que contiene toda la fecha casas. En el caso de que uno o ms objetos (ya sea de pie para los miembros de cualquiera de los sistemas) se pueden agregar haciendo clic Agregar host dentro de la caja y al ingresar los datos requeridos:

52

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Adicin de hogares anfitriones

Uno o ms dispositivos de almacenamiento masivo se pueden aadir a cada objeto: simplemente clic en el archivo imagen adicional, escriba la ubicacin campo sea el enlace directo a un dispositivo de almacenamiento masivo (por ejemplo / dev / SDX) o la ruta que contiene el archivo adquirida (por ejemplo: / Media/forensic/disco001.dd) y especifique la memoria si va a aadir una particin o un almacenamiento de toda la masa; En cuanto al mtodo de importacin, para facilitar su uso, se recomienda encarecidamente que deje los enlaces simblicos por defecto.

52

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Adicin de una memoria de masa del objeto

Despus de la adicin de la memoria, se pregunt si se debe calcular, o introduzca manualmente si se ha calculado ya, el hash md5 value71 y especifique el nombre simblico de la particin y sistema de archivos.

53

Traducido por Sykrayo Espaa

71

Autopsia slo admite el algoritmo de hash MD5.

Deft 7 Manual 2012

54

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Administrar el valor hash y el tipo de sistema de archivos y particiones

La creacin de Disco001 objeto se completar al final de las operaciones anteriores. Puede seguir aadiendo al

objeto o recuerdos moras comenzar su anlisis haciendo clic en Analizar.

55

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Gestin de objeto "Disco001" asignado al caso

La interfaz de mdulo de anlisis permite al mdico visualizar el rbol de directorios de la particin bajo anlisis y en vez de archivos se selecciona para tener una vista previa de su contenido. El acceso al archivo es de slo lectura a fin de no afectar ni el tiempo ni las referencias de metadatos. En la ventana de anlisis se puede ver: El nombre / y la ruta del archivo; Los valores de tiempo como fecha de creacin, ltimo acceso y ltima modificacin; El tipo de datos; Si los datos se han eliminado o no (en rojo si se ha solicitado la supresin de los datos).

55

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Autopsia: Anlisis de archivos

Otra caracterstica interesante es la bsqueda por palabras clave. Esta caracterstica le permite realizar bsquedas utilizando el grep comando y se ejecuta en todo el rbol del sistema de archivos, incluido el espacio no asignado. Esta operacin puede ser muy lento cuando termines los patrones de bsqueda de los dispositivos de almacenamiento que contienen muchos archivos o tienen grandes capacidades. En estos casos le sugerimos que abra un "shell del sistema" y realizar la bsqueda, usar grep, desde la lnea de comandos. La misma recomendacin se aplica a la lista de la creacin de lneas de tiempo.

56

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Bsqueda de archivos por tema

57

Traducido por Sykrayo Espaa

6.10 X P O LI C
DEFT apoyado la evolucin Xplico proyecto desde el primer releases72.

Deft 7 Manual 2012

El uso de Xplico es muy simple: dado como entrada para pcap file73 contiene un volcado de trfico de red IP, el programa es capaz de reconstruir los contenidos de los datos que se pasan en ese momento en la red IP, hacindolos disponibles y accesibles a travs de una interfaz web conveniente. Desde el 7 de liberacin DEFT, Xplico se gestiona como un servicio. Por lo tanto, con el fin de ejecutar la aplicacin, debe iniciar los servicios siguientes en secuencia: 1. Servidor web Apache; 2. Xplico. El inicio de los servicios antes mencionados se puede realizar por DEFT> men de servicios, o mediante la lnea de comandos. Una vez que los servicios iniciados, puede iniciar desde el men Network Forensics Xplico.
6. 1 0. 1

SE

C E R A C I N DE A C A

72

La herramienta, disponible en la siguiente direccin http://www.xplico.org/ , Es en estos momentos uno de los ms poderosos de red de cdigo abierto

58

Traducido por Sykrayo Espaa

Herramienta forense. 73 Este archivo de datos contiene los paquetes capturados por los programas de "deteccin de paquetes." Por lo general son paquetes que se registraron durante una transmisin de la red.

Deft 7 Manual 2012

59

Traducido por Sykrayo Espaa

Ejecutar Xplico de la seccin Network Forensics de men DEFT y escriba la informacin de inicio de sesin siguiente para acceder al administrador de casos: usuario: contrasea xplico: xplico

Deft 7 Manual 2012

Esto cerrar la sesin como usuario predeterminado que slo puede crear y gestionar los casos, pero no cambia la configuracin de la aplicacin. Si desea personalizar la configuracin del panel de control, crear nuevos usuarios, etc, tienes que acceder con las credenciales de administrador.: usuario: admin contrasea: xplico En el siguiente ejemplo, hemos creado un nuevo caso llamado Foo donde todo el trfico en ese momento que se pasa a travs de la interfaz eth0 de nuestra ubicacin, y luego adquirida y analizada.

Administrador de casos: Xplico

60

Traducido por Sykrayo Espaa

Al final de la fase de adquisicin, Xplico ya han decodificar y reconstruir todos los tipos de datos compatibles, como: imap rtp http sorbo pjl dns telnet Facebook Chat correo ftp msn web tftp irc smtp pop3

Deft 7 Manual 2012

Informe de los datos reconstruidos

En el ejemplo anterior, visitamos el "http://www.libero.it " El sitio solicitado por el usuario.

La lista contiene todas las reconstrucciones de los sitios Web y todos los contenidos se muestra en la seccin del men del sitio web.

60

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Lista de todos los se hacen en el navegador

Se debe tener en cuenta que la lista de todos los get74 realiz, tambin los que incluye el usuario realiza involuntariamente que como todas las solicitudes se hacen de la pgina web a la URL que contiene varios anuncios o secuencias de comandos de seguimiento.

74

Solicite a un servidor web para mostrar una direccin URL especfica.

61

Traducido por Sykrayo Espaa

06.11

H Y D RA

Deft 7 Manual 2012

Hydra es uno de los software ms populares utilizados para forzar usuario y contraseas con fuerza bruta attack75.

Hydra: Seleccin de protocolos

La lista siguiente muestra los protocolos y aplicaciones en la que puede ejecutar un ataque de fuerza bruta usando Hydra:

62

Traducido por Sykrayo Espaa

75

http://en.wikipedia.org/wiki/Brute-force_search

Deft 7 Manual 2012

63

Traducido por Sykrayo Espaa

AFP Cisco AAA Cisco auth Cisco enable CVS Firebird FTP HTTP-GET-FORM HTTP-FORMPUBLICAR HTTP-GET HTTP-PISTA HTTP-proxy HTTPS-FORM-GET HTTPS-FORMPUBLICAR HTTPS-GET HTTPS-PISTA

HTTP-proxy ICQ IMAP IRC LDAP MS-SQL MYSQL PNC NNTP Oracle Listener Oracle SID Orculo PC-En cualquier lugar PCNFS POP3 POSTGRES RDP Rexec

Deft 7 Manual 2012

Rlogin Rsh SAP/R3 SIP SMB SMTP SMTP Enum SNMP SOCKS5 SH (v1 y v2) Subversin Teamspeak (TS2) Telnet VMware-Auth VNC XMPP

Dentro diccionarios DEFT para realizar las actividades para romper contraseas de Linux no estn incluidos. Con Cupp, puede crear diccionarios personalizados: responder a las preguntas de la solicitud pide, se puede generar una lista de palabras clave basndose en la informacin presente en el pc protegido por las credenciales que desea force76.

76

Una lista de palabras se puede encontrar fcilmente en Internet en diferentes tipos: idiomas, colecciones de

64

Traducido por Sykrayo Espaa

contraseas, etc .. : Como ftp://ftp.ox.ac.uk/pub/wordlists/ o http://wordlist.sourceforge.net/

Deft 7 Manual 2012

65

Traducido por Sykrayo Espaa

06.12

KEEPONTE

Deft 7 Manual 2012

KeepNote es un software utilizado para la recogida y clasificacin de la informacin. En el campo de la informtica forense que podra ser utilizado para la gestin de pruebas por la catalogacin de las memorias de masa y todos los resultados de los anlisis a otros objetos.

KeepNote: la obtencin de pruebas

Usted puede crear un rbol de objetos (directorios y pginas), y estructurar de acuerdo a sus necesidades funcionales y encajar dentro de la informacin de la pgina: por ejemplo: Texto sin formato; Html; Pictures; Archivos. La informacin contenida en el cuaderno introducida por Creado con KeepNote KeepNote se puede guardar en un archivo o exportar a HTML.

66

Traducido por Sykrayo Espaa

13.06 LT MA E F G O
Maltego77 se puede utilizar tanto en las Forense y Cyber Inteligencia.

Deft 7 Manual 2012

Maltego es compatible multiplataforma, escrito en Java y se puede encontrar y demostrar visualmente las conexiones entre las personas, grupos, empresas, pginas web, ciudades, calles, direcciones de correo, nmeros de telfono, direcciones IP, nombres de dominio, archivos, documentos, etc ..

Maltego CE, la creacin de un diagrama

A medida que el uso de este programa est ms all del alcance de este documento, su funcionamiento no se discute en detalle. Le sugerimos que consulte la documentacin oficial exhaustiva en esta direccin: http://www.paterva.com/web5/documentation/userguide.php

67

Traducido por Sykrayo Espaa

77

http://www.paterva.com/

Deft 7 Manual 2012

68

Traducido por Sykrayo Espaa

CAPTULO 7: RENSICS FO MVILES

Deft 7 Manual 2012

La sptima versin de DEFT Linux incluye algunas herramientas para el anlisis de los dispositivos mviles. Ahora est disponible navegador de base de datos SQLite para permitir el anlisis de bases de datos SQLite, que se utiliza en la mayora de aplicaciones para Android, Iphone y Ipad. Para el anlisis de los telfonos mviles, se incluye: IpdDump para el anlisis de las copias de seguridad en los dispositivos BlackBerry; Analizador Iphone para el anlisis de iPhone desde la versin 3 a la versin anterior; Analizador de backup Iphone para el anlisis de las copias de seguridad en dispositivos iPhone; Bitpim Que soporta los siguientes dispositivos: Audiovox CDM8900 LG AX-8600 LG C2000 LG G4015 LG LX570 LG PM225 LG UX-5000 LG VX-3200 LG VX-4400 LG VX-4500 LG VX-4650 LG VX-5200 LG VX-5300 LG VX-6000 LG VX-6100 LG VX-7000 LG VX-8000 LG VX-8100 LG VX-8300 LG VX-8500 LG VX-8560 LG VX-8600 LG VX-8610 LG VX-8700 LG VX-8600 LG VX-8800 LG VX-9100 LG VX-9200 LG VX-9600 LG VX-9700 LG VX-9800 LG VX-9900 LG VX-10000 LG VX-11000 Motorola E815 Motorola E815m Motorola K1m Motorola V325 Motorola V325M Motorola V3c V3m Motorola Motorola Motorola V3cm V3mM Motorola V710 Motorola V710m Samsung SCH-A870 Samsung SCH-A930 Samsung SCH-A950 Samsung SCH-U470 Samsung SCH-U740 Samsung SCH-U750 Samsung SPH-M300 Sanyo SCP-6600 (Katana) Otros telfonos Toshiba Sanyo VM-4050

69

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Bitpim: la lista de telfonos compatibles

7.1

A N D I D RO
Android es un sistema operativo de cdigo abierto derivado de Linux que se ha diseado para dispositivos mviles (smartphones, tablets, netbooks). Particularmente comn en los sistemas de bajo costo de China, que est presente en una amplia variedad de dispositivos, por encima en trminos de difusin iOS (incluso se puede instalar en el Apple iPhone78) y el ahora anticuado, pero todava se utiliza ampliamente Nokia OS79. El sistema, actualmente desarrollado por la Open Handset Alliance80 (OHA) liderada por Google, ha visto la luz por primera vez en noviembre de 2007 y, para cada versin, se ha enriquecido con las caractersticas que se han asegurado su notable madurez.

En este momento las versiones ms recientes del sistema operativo son: Jellybean 4.1.x: generalizada especialmente entre los smartphones de gama baja y tabletas; 3.2 Honeycomb: dedicado a las tabletas, tiene moras introdujo el soporte para pantallas ms grandes, Multiprocesadores y aceleracin de grficos de hardware.
78 79

http://www.giardiniblog.com/guida-installare-android-su-iphone-3g [Ingls] Todos los sistemas operativos instalados en los dispositivos Nokia, creado por Nokia deben ser considerados: http://en.wikipedia.org/wiki/Nokia_OS

70

Traducido por Sykrayo Espaa

80

http://www.openhandsetalliance.com/

Deft 7 Manual 2012

71

Traducido por Sykrayo Espaa

En este captulo, por razones de espacio, vamos a dirigir nuestra atencin slo a la versin 4.1.x Jellybean Sin embargo, la OHA no se ocupa de la actualizacin del sistema operativo instalado en cada dispositivo, sino que delega esta tarea a cada productor, que es libre de decidir libera parches para corregir problemas de seguridad o implementar nuevas caractersticas. Esta poltica de mercado ha causado indirectamente el nacimiento de un gran nmero de "rom cocinada", tomado de la versin 2.3, personalizada para cada modelo y ms eficiente que la versin predeterminada del dispositivo. Esto afecta enormemente el trabajo del operador que desee realizar un anlisis forense, porque no saben a ciencia cierta cul es la versin de Android se instala en el dispositivo para examine81. El sistema operativo de base compatible con las caractersticas esenciales de un telfono inteligente: conexiones va GSM / EDGE, UMTS, Bluetooth, Wi-Fi, WiMAX; llamadas; transmisin y recepcin de SMS y MMS; soporte multilinge; navegacin web; "Mquina virtual Dalvik" 82; audio / soporte multimedia de vdeo; multitarea; comandos de voz; tethering. Las caractersticas adicionales pueden estar disponibles segn el tipo de hardware (pantalla tctil, GPS, acelermetro, tarjeta 3D, etc.), O los suplementos de aplicaciones especficas (cliente para las redes sociales, todo tipo de gestin, seguridad, juegos, etc.). El hardware utilizado en los telfonos inteligentes est estrechamente relacionada con las caractersticas de diseo establecidas por el fabricante, sino que vara en funcin del presupuesto funcional destinado a la produccin y el mercado de destino. Con respecto a la memoria del dispositivo, en la mayora de los casos, el sistema operativo est instalado dentro de la memoria flash de un no extrable generalmente sin desoldar de la propia memoria de la placa base. A menudo se apoya en una ranura de expansin para memoria externa (MicroSD). Diferentes de las opciones indicadas en el prrafo anterior son las llevadas a cabo por los productores ms pequeos a menudo, las empresas generalmente de origen chino, que pueden disear la arquitectura tan drsticamente diferente. Por ejemplo, en lo que se refiere al almacenamiento del sistema operativo, que a veces es beneficioso utilizar tarjetas MicroSD, cuestan menos y son rpidamente extrable. La dificultad en suministrada para acceder a la memoria del telfono puede variar enormemente dependiendo del dispositivo que est siendo analizado. A menudo es necesario recurrir a los procedimientos que nos permitan ir y leer el contenido de las particiones accesibles slo con permisos de root, y sin tener que quitar la memoria de estado slido del dispositivo.

Deft 7 Manual 2012

72

Traducido por Sykrayo Espaa

81

Por ejemplo, la ROM CyanogenMod (www.cyanogenmod.com) o MIUI ROM (miui.nexus-lab.com) desarrollaron alrededor tanto en la versin 2.3 y 4.0. 82 Mquina Virtual de Java optimizado para trabajar con menor consumo de energa en los dispositivos con menor potencia de clculo.

Deft 7 Manual 2012

73

Traducido por Sykrayo Espaa

La principal debilidad de este tipo de procedimientos es que el contenido de la memoria de masa se modificarn, aunque minimally.Therefore es deseable que el operador, que intervengan en el proceso penal, mantenerse en contacto con la norgimen peritaje repetible para la actividad de los datos acquisition83.

Deft 7 Manual 2012

7.2

B RI EFOVE RV IEWOFGOOG LAS APLICACIONES

Aunque es comn para el sistema operativo que ha sido modificada por los fabricantes de telfonos inteligentes o por la compaa telefnica, es probable que google applications84 estn incluidos y pueden constituir una fuente primaria de informacin para el informe. Entre las diferentes aplicaciones, las dos principales son el perfil de Gmail y Market85.

7. 2. 1

PMUEL A los efectos de la investigacin, vale la pena considerar la profunda conexin entre la gestin interna smartphone y una cuenta de Google. Muchas de las caractersticas internas (gestin de contactos, calendario, Google Talk, mercado de google, etc.) Dependen de ste o se puede confiar, una cuenta activa en los sistemas de Google.

Algunos ejemplos: Usted debe registrar una cuenta de Google para descargar / comprar aplicaciones desde el Android Market; Contactos y datos del calendario se pueden guardar de forma automtica, incluso en el perfil de Google; Si est instalado, el cliente Google+ ofrece la oportunidad de subir automticamente las fotos tomadas por el ambiente interno en un lbum privado de un perfil de Google+, no necesariamente relevantes para su default Google account86; La funcin Latitude, en la aplicacin Maps, que se apoya en el perfil de Google registrada y almacena la ubicacin del telfono, los controles in, etc. Luego, estos transmitida y la fecha se registraron en el perfil, donde se almacenan hasta suprimido por el usuario.

83

El artculo 360 del Cdigo de Procedimiento Penal (inspecciones tcnicas no repetible}

74

Traducido por Sykrayo Espaa

84 85

Ver http://www.google.com/mobile/android/ Hay muchas excepciones a lo que se ha escrito, un ejemplo puede ser el Toshiba Netbook AC 100: Google aplicaciones estn ausentes y la tienda de aplicaciones para las aplicaciones es el mercado Camangi (www.camangimarket.com). 86 http://www.google.com/support/mobile/bin/answer.py?answer=1304818

Deft 7 Manual 2012

75

Traducido por Sykrayo Espaa

7. 2. 2

PLAYMARTEK

Deft 7 Manual 2012

Similar a lo que ocurre dentro del sistema con el iOS App Store, el Android Juego Market87 se utiliza para descargar y / o comprar juegos o aplicaciones que aumentan la funcionalidad de su telfono inteligente. Puede obtener las actualizaciones de las aplicaciones instaladas a travs del mercado como well88. En adiciones a este modo, el sistema operativo Android Ofrece la posibilidad de instalar aplicaciones de terceros a travs de (AppLibs, Amazon, Android, etc ..) o mediante copia directa de la aplicacin en el telfono. Cabe sealar que el cojn polticas adoptadas por Google en los ltimos meses han permitido la presencia de malware y la proliferacin posterior de diversos infections89.The propagacin de malware ha sido parcialmente obstaculizada tanto por la rpida publicacin de actualizaciones de Google y la desinstalacin remota application90 del malware. La seguridad de las aplicaciones es incluso menos impresionante, si no ausentes, en el caso de los mercados de terceros. Hay muchos casos de malware distintos presentes en estos channels91. El efecto de las actividades antes mencionadas se vio limitado por una gestin eficaz, y la liberacin de las actualizaciones de firmware especial de los fabricantes de telfonos inteligentes y los proveedores de telefona que distribuyen los telfonos inteligentes Android. Esto afecta seriamente la posibilidad de cerrar los agujeros de seguridad en los distintos modelos de la circulacin y contribuye a la persistencia y propagacin de malware.The presencia de caliente gratuito ROM92 aliviara el problema, pero la instalacin de ROM no originales que no se desalientan a menudo por los fabricantes. En teora, la venta y la liberacin de las polticas de actualizacin podra abrir la posibilidad de atacar a zonas geogrficas especficas o usuarios de ciertos proveedores.
7. 2. 3

FILESYSTEMUSINE

Yaffs2 (otro sistema de archivos de Flash) es el sistema de archivos utilizado en los dispositivos Android hasta la versin 2.2.Created por Charles Manning para el Aleph Una empresa finlandesa, est disponible bajo la licencia GPL. Hoy est oficialmente soportado por los sistemas operativos siguientes: Androide Linux Windows CE pSOS
87

Tambin Jugar La tienda es accesible a travs de la pgina web https://market.android.com. Tambin permite instalar de forma remota las aplicaciones. 88 Las empresas de la casa de software son tambin capaces de limitar la disponibilidad de las aplicaciones a reas geogrficas especficas o Sus proveedores de servicios telefnicos basados en las necesidades de venta. 89 https:// Www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf 90 Un ejemplo reciente de malware es Anserverbot

76

Traducido por Sykrayo Espaa

(http://www.csc.ncsu.edu/faculty/jiang/pubs/AnserverBot_Analysis.pdf ) 91 https:// Www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf 92 Vase, por ejemplo, mod ciangeno (Http:/ / Www.cyanogenmod.com / devices) o MIUI (Http:/ / Miuiandroid.com /)

Deft 7 Manual 2012

77

Traducido por Sykrayo Espaa

eCos ThreadX

Deft 7 Manual 2012

La segunda versin de este sistema de archivos asegura un alto nivel de integridad de los datos escritos en la memoria y, al mismo tiempo, intenta mantener el rendimiento ms elevado posible data93 Cuando suministrada a acceder. En comparacin con la primera versin del sistema de archivos, el rendimiento de escritura de un archivo se ha mejorado en un 500% y el rendimiento de deleting94 en un 400%. Desde la versin Android 2.3, los desarrolladores decidieron abandonar esta migracin al sistema de archivos EXT4.
7. 2. 4

E X T 4 F I L E S T E M SY

Ext495 (Cuarto sistema de archivos extendido) es un archivo de diario system96 nace como una mejora de la Ext3 para aumentar los lmites de almacenamiento de 64 bits y mejorar su rendimiento. En cuanto a presentar la lectura, a pesar de las actuaciones son ms bajos que los de los competidores system97 archivos, Ext4 utiliza menos recursos de CPU y es ms poderoso escribe procedimientos. Hoy en da se considera ms seguro que otros sistemas de ficheros de Linux debido a su simplicidad y la instalacin base ms amplia para realizar pruebas.

93 94

Tambin se considera que el hardware es "portable" y el tipo de unidad en el 99% de los casos es de estado slido. http://www.yaffs.net/yaffs-2-specification-and-development-notes. 95 Hasta la fecha, ext4 est soportado nativamente por cualquier distribucin de Linux, gracias a la Ext2 de Windows por proyecto y por el principal aplicaciones, comerciales o no, de la informtica forense. 96 Es una tecnologa utilizada por muchos sistemas de archivos modernos para preservar la integridad de los datos de cualquier apagones repentinos o

78

Traducido por Sykrayo Espaa

paradas. Se basa en el concepto de transaccin, cada escritura en el disco es interpretado por el sistema de archivos como una transaccin. 97 Tales como, por ejemplo, JFS, ReiserFS y XFS, Ext4.

Deft 7 Manual 2012

79

Traducido por Sykrayo Espaa

Las principales caractersticas de EXT4 son: sistema tamao de los archivos hasta 1 Exabyte (1,000,000 terabytes); La eliminacin del lmite de 32000 subdirectorios; Persistente pre-allocation98; Compatibilidad con versiones anteriores. Ser capaz de montar el sistema de archivos ext2 y ext3 como ext4; Mayor rendimiento para la comprobacin de la integridad del sistema de archivos (fsck); La desfragmentacin con conexin reducir drsticamente la fragmentacin del sistema de archivos. Soporte nativo para ext4 se ha introducido en la versin Android 2.3 para sus nuevas funciones relacionadas con la mejora en la escritura de los archivos y su garanta de la integridad. Desde el punto de vista forense, esta aplicacin ha hecho que sea mucho ms fcil de cortar para analizar los sistemas de archivos porque, hasta la fecha, no existen herramientas gratuitas y comerciales, que apoyan de forma nativa el sistema de archivos YAFFS.
7. 2. 5

Deft 7 Manual 2012

POLICASFMASSOTRAGUESE

En la mayora de los dispositivos Android, el usuario final puede decidir cmo utilizar la memoria masiva, interna y externa, a su disposicin. En general, todas las aplicaciones descargadas e instaladas desde el Android Market se almacenan en la memoria interna, con excepcin de aquellos que han aplicado la funcin para seleccionar la memoria de masas en el que se instala. Incluso en el caso de los archivos generados por el actual applications99, dado que es el usuario final la oportunidad de decidir si desea guardar en el interior o en la memoria externa.
7. 2. 6

ACCESSTOTHEFILESYSTEM OFTHEOPERATINGSYSTEM

Todos los principales fabricantes de dispositivos Android se distribuyen sin que el usuario root permitido y sin la posibilidad de acceder directamente al sistema de archivos que contiene el System100 operativo. Sin embargo, existe la posibilidad de superar estas restricciones para prcticamente todos los dispositivos actualmente en el mercado siempre que los cambios invasoras para el propio sistema (mediante la alteracin del sistema de archivos original) son aceptadas. Este proceso se conoce coloquialmente como "arraigo" 101, que se consigue de manera diferente respectiva funcin del dispositivo y el sistema operativo. Los fabricantes de telfonos inteligentes desalientan las races de su dispositivo y moras que probable que se anular la garanta. Desde el punto de vista forense, este tipo de alteracin es estrictamente necesario para poder acceder a la informacin de inters: como el registro de llamadas, SMS, historial de navegacin de Internet y todo lo que podra escribir una aplicacin en un Dada directorio.

98 99

En otras palabras, las aplicaciones tienen la capacidad de pre-asignar espacio de disco. Por ejemplo, guardar archivos adjuntos o imgenes tomadas con el dispositivo.

80

Traducido por Sykrayo Espaa

100

Los equipos de las empresas fabricantes ms pequeos de Asia, en algunos casos, no se aplican este tipo de restricciones, tanto Facilitar el acceso a la informacin de inters para nosotros. 101 http://en.wikipedia.org/wiki/Rooting_ (Android_OS)

Deft 7 Manual 2012

81

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


7.3 SA masas solares GGA LA XYSI 9 0 00 - hardwa RE HAZAA URE S
El dispositivo se est analizando en el Samsung Galaxy S i9000 con Android 2.3.3. Samsung, al igual que otros fabricantes de smartphones, ha decidido personalizar mucho la arquitectura de Android en sus dispositivos. El sistema de archivos en uso en este dispositivo es una aplicacin propietaria que pertenece a Samsung y nombr RFS (robusto sistema de archivos FAT). Este es un sistema de archivos FAT al que se aadi un sistema de registro en diario que debera hacerlo ms seguro, prevencin de prdida de datos en caso de error. Esta aplicacin ha sido en realidad bastante xito porque la mayora de los usuarios se han quejado de las caractersticas de los dispositivos, en relacin con los malos resultados establecen que hara RFS en cuanto a lectura y escritura rpida. Desde un punto de vista forense, las particiones de tipo RFS pueden ser tratados como VFAT. Por lo tanto, todo el software de la computadora forense que apoyan los sistemas de archivos VFAT pueden leer en el archivo RFS system102. Las principales caractersticas de hardware de este dispositivo son:
Procesador :

S5PC110 CPU, 45 nm 1 GHz ARM Cortex-A8 basado PowerVRSGX540GPUthat soporta OpenGL ES 1.1/2.0. Memoria: 512 MB dedicados LPDDR2 RAM, 16-32 MB DRAM, 8 GB de memoria de estado slido, con la posibilidad de expansin de hasta 32 GB mediante el uso de una tarjeta microSD.

82

Traducido por Sykrayo Espaa

Deft 7 Manual 2012


102

Por tanto, es posible imaginar que todas las distribuciones de Linux y el software comercial para la Informtica Forense estn ya preparados para el anlisis de este tipo de dispositivo.

83

Traducido por Sykrayo Espaa

7. 3. 1

R O O T I N T E D PR O T E S

Deft 7 Manual 2012

Los procedimientos para obtener el arraigo de este dispositivo consiste sustancialmente en la modificacin del kernel por las Altas smathphone de un programa llamado busybox103 . Se trata de los procedimientos menos invasivos para el sistema y para presever Permite que la integridad de la memoria (ni sobrescribir ni suprimido), manteniendo sin cambios el contenido de las particiones del sistema de archivos que contienen archivos producidos por las aplicaciones y las aplicaciones en s. Las herramientas necesarias para el enraizamiento del dispositivo Android son: El software de sincronizacin Keies Samsung (instalado e iniciado al menos una vez) 104; El CF-ROOT105 versin adecuada para el dispositivo en investigacin (marque el nmero de compilacin de la configuracin -> Telfono de informacin) que se puede descargar desde el sitio de xda developers106 . Despus de todo lo que necesita, puede continuar con los pasos: Modo de depuracin USB 1.Enable de los ajustes del men> Aplicaciones> Desarrollo, lo que permite que el telfono para transmitir archivos a travs de la conexin USB; 2.Cierre el Galaxy S y reiniciar en upgrade / modo de recuperacin al mismo tiempo presionando el botn central, bajar volumen Tecla y el poder (que usted debe ver una seal de peligro que le advierte de posibles acciones dainas) 107; 3.connect el dispositivo al PC a travs de USB y el lanzamiento de Odin. Si el campo ID: COM es amarillo, el telfono inteligente se reconoce correctamente, de lo contrario es probable que haya un problema con el sistema operativo drivers108; 4.Extract el archivo CF-Root.zip, haga clic en PDA y seleccionar el archivo descomprimido; Slo 5.Seleccione la Auto-Reboot y F. Restablecer Time109 de las opciones disponibles; 6.Haga clic en INICIO y despus de unos 15 segundos, la pantalla mostrar "PASS" est resaltada en verde. Desde ese momento, el dispositivo se reiniciar automticamente con el sistema de races.

103 104

http://www.busybox.net/about.html http://www.samsungapps.com/about/onPc.as 105 archivo para editar el ncleo del dispositivo 106 http://forum.xda-developers.com/showpost.php?p=12651359&postcount=6 107 Esto permite que los procedimientos para iniciar el dispositivo en un modo dedicado a la adquisicin de archivos flash para el funcionamiento de la memoria. 108 Es necesario comenzar Kies con Galaxy S (preferiblemente no la est probando) conectado a travs de USB y una de las

84

Traducido por Sykrayo Espaa

herramientas men del botn "instalar la unidad". 109 No seleccione la Re-particin: Esta funcin borrar el ncleo en ejecucin actual!

Deft 7 Manual 2012

85

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

7. 3. 2

SAMSUNGGALAXYS - ADQUIRIDOS EN EL ALF RN OFTHEINTE SHMEMORY

Adquisicin de la memoria interna del dispositivo es ciertamente muy incmodo y peligroso si se compara con la de un disco duro. El nico mtodo es usar el comando dd para ser ejecutado, ya sea usando el teclado virtual del dispositivo (despus de instalar una aplicacin como "Terminal Emulator"), ya sea a travs de la red usando ssh (despus de instalar un "demonio de ssh"). El salida del comando dd slo se pueden guardar en la memoria reconocidas por el dispositivo: o la memoria Flash interna o en MicroSD. En nuestro caso hemos elegido para guardar el flujo de bits de imagen dentro de la MicroSD para mayor comodidad y portabilidad de la externa memoria. Razones para la arquitectura, a diferencia de la memoria de masa clsica, no es posible clonar toda la memoria en una sola sesin, pero areobliged para ejecutar el comando dd para cada particin montada por el dispositivo. Para conocer el nmero de todas las particiones usadas por el sistema es necesario para ver a travs de la montar comando.

86

Traducido por Sykrayo Espaa

Un ejemplo de salida del comando puede ser el siguiente:

Deft 7 Manual 2012

rootfs en rootfs / tipo (ro, noatime, nodiratime) tmpfs en / dev tmpfs tipo (Rw, noatime, nodiratime, mode = 755) devpts en / dev / pts tipo devpts (rw, noatime, nodiratime, mode = 600) proc del tipo proc / proc (rw, noatime, nodiratime) sysfs en / sys tipo sysfs (rw, noatime, nodiratime) ninguno de cgroups tipo / acct (rw, relatime, cpuacct) tmpfs en / mnt / asec tipo tmpfs (rw, noatime, nodiratime, mode = 755, gid = 1000) tmpfs en / mnt / tmpfs tipo OBB (rw, noatime, nodiratime, mode = 755, gid = 1000), ninguno en / dev / cpuctl tipo cgroup (rw, relatime, cpu) / Dev/block/stl9 on / tipo de sistema RFS (ro, noatime, nodiratime, vfat, log_off, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl3 en / efs tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / / Dev/block/mmcblk0p2 en el tipo de datos RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl10 on / dbdata tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl11 en / cache tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8) / Dev/block/stl6 en / mnt /. Lfs tipo j4fs (rw, noatime, nodiratime) / Sys / kernel / debug en / sys / kernel debugfs tipo / debug (rw, noatime, nodiratime) / Dev/block/vold/179: 1 on / mnt / sdcard tipo vfat (rw, sincronizacin de directorios, nosuid, nodev, noexec, noatime, nodiratime, uid = 1000, gid = 1015, fmask = 0002, dmask = 0002, todos ow_utime = 0,020, codepage = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/vold/179: 9 en / mnt / sdcard / external_sd tipo vfat (rw, sincronizacin de directorios, nosuid, nodev, noexec, noatime, nodiratime, uid = 1000, gid = 1015, fmask = 0002, dmask = 0,002, todo ow_utime = 0020, la pgina de cdigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/vold/179: 9 on / mnt / secure / asec tipo vfat tmpfs en / mnt / sdcard / external_sd /. tmpfs tipo android_secure (ro, relatime, size = 0k, mode = 000) / Dev/block/dm-0 on / mnt/asec/android.androidVNC-2 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-1 on / mnt/asec/net.androgames.level-2 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,

76

Traducido por Sykrayo Espaa

pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro)

/ Dev/block/dm-2 on / mnt/asec/punteroanull.app.androick-1 tipo vfat

Deft 7 Manual 2012

77

Traducido por Sykrayo Espaa

(Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-3 on / mnt/asec/com.natenai.glowhockey-1 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-4 on / mnt/asec/com.feelingtouch.bocce-1 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) / Dev/block/dm-5 on / mnt/asec/com.fridgecat.android.atiltlite-1 tipo vfat (Ro, sincronizacin de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222, pgina de cdigos = cp437, iocharset = iso 8859-1, nombre corto = mixtas, utf8, errors = remount-ro) Antes de iniciar la adquisicin es necesaria para obtener permisos de root tecleando en el command.After unos segundos si el terminal le pedir que confirme la solicitud para autorizar el programa se ejecute con privilegios de administrador. Una vez que tenga estos permisos, el comando que se ejecutar para la adquisicin es el clsico dd configurado de la siguiente manera: dd if = particin of = / mnt / sdcard / nombredearchivo.img Por lo tanto en el caso de querer adquirir la particin / sistema, el comando ser dd if = / dev/block/stl9 of = / mnt / sdcard / system.img Una vez que la adquisicin es ms, se puede acceder a la particin clonada utilizando el comando mount, el tratamiento de la RFS como una particin vfat: mount-o loop-t vfat-o ro system.img / mnt / pruebas / sistema donde -O loop Le permite montar imgenes en formato de flujo de bits; -T vfat Declara que el tipo de particin que desea utilizar es vfat; -O ro Permite acceso de slo lectura a la particin; / Mnt / pruebas / sistema el camino ha sido creado para mostrar el contenido de la memoria adquirida en el directorio.

Deft 7 Manual 2012

78

Traducido por Sykrayo Espaa

7.4

SA masas solares GGA LA XYS - ACQ UI SI TIONOFTHEEXTE RN AL ME MO RY

Deft 7 Manual 2012

A diferencia de la memoria flash dentro del dispositivo, la adquisicin de la MicroSD puede ser cualquier acceso root llevado a cabo siguiendo las instrucciones de las mejores prcticas en la informtica forense y no es necesario: 1. extraer la tarjeta MicroSD; 2. conectarlo a una escritura blocker110 o de un sistema que ha features111 equivalente; 3. calcular el hash value112 de la memoria original; 4. adquisicin por el uso de la aplicacin que prefer113 Eso y verificar el hash memoria clonado es el mismo que el hash de la original.
7. 4. 1

TRABAJO DE RECTLYONTHESMARTPHONE

En los casos particulares de urgencia, se puede investigar los archivos de inters directamente desde la pantalla tctil del dispositivo mediante el uso de algunas aplicaciones disponibles de forma gratuita desde el Android Market. Una aplicacin muy til para este tipo de actividad, aunque no es un software especficamente diseado para la informtica forense, Archivo ManagerHD114.Activating es el "Root Explorer" en la configuracin de la aplicacin, se puede navegar por el sistema de archivos, incluso en directorios protegidos: como fecha, dbdata y del sistema, buscar los archivos de inters utilizando la funcin apropiada de la bsqueda y copiarlos a la tarjeta microSD para que un anlisis ms a fondo en una estacin de trabajo equipada con las herramientas necesarias.
7. 4. 2

UN LUGAR DANALYSISOFAPPLICATIO NSANDFILESOFCOMMONINT EREST

Por lo general, se hace una solicitud por su archivo ejecutable con. Apk extensin y sus archivos de configuracin o database115 . Las carpetas que moras son interesantes para el examinador: / System / app /: contiene aplicaciones bsicas proporcionadas por el fabricante del dispositivo; / Data / app /: Que contiene las aplicaciones que el usuario ha instalado a travs del Android Market; / Data / data /: contiene los archivos de configuracin y las bases de datos de las aplicaciones;

110 111

Dispositivo utilizado para evitar que se escribe en el sistema de almacenamiento que se analiza. Distribuciones de Linux para informtica forense. 112 El hash es una funcin matemtica nica y unidireccional (es decir, que no puede ser revertida), que transforma un texto de cualquier longitud (de entrada) en un texto de longitud fija (de salida) relativamente limitado en la prctica mediante la aplicacin de una funcin hash a un archivo o en un disco duro entero, se obtiene una secuencia de caracteres, por ejemplo. de 32 caracteres, lo que representa una especie de "huella digital" del archivo, y se llama el valor hash. 113 Ejemplo: FTK Imager para Windows o para Linux Guymager dd-

78

Traducido por Sykrayo Espaa

114 115

https://market.android.com/details?id=com.rhmsoft.fm Samsung, al igual que todos los dems manufacters dispositivo, prefiere no cambiar la parte estndar de la memoria en la que el grupo las aplicaciones.

Deft 7 Manual 2012

79

Traducido por Sykrayo Espaa

/ Dbdata / bases de datos /: aqu hay bases de datos que contienen SMS, MMS, contactos y todo lo relacionado para expresar parte.

Deft 7 Manual 2012

El anlisis de los archivos de configuracin y la base de datos de las aplicaciones se puede realizar utilizando herramientas como editor de texto para el texto y las configuraciones de xml y un nivel SQLite116 cliente de la base de datos con extensin db..

En el ejemplo mostrado en la imagen, se utiliz un cliente para abrir la base de datos SQLite SMS y MMS llamado mmssms.db almacenado en / Dbdata / bases de com.android.providers.telephony / datos /

y analizar su contenido, mediante la exportacin de la fecha til deseada en el formato (txt, xml o csv). El anlisis de las tablas de una base de datos SQLite se puede realizar mediante el uso de SQL tambin query117 sin necesidad de utilizar dedicado tools118. Ejemplos: Puede ver todos los campos contenidos en la tabla SMS con la solicitud: Seleccionar * de sms En el caso de que slo el contenido de todos los mensajes de los intereses de texto: Seleccione cuerpo

80

Traducido por Sykrayo Espaa

sms
116

Deft 7 Manual 2012

SQLite (http://www.sqlite.org) Le permite crear una base de datos, incluyendo tablas, consultas, formularios e informes en un solo archivo. 117 Consulta de bases de datos para realizar ciertas operaciones (seleccionar, insertar, eliminar, fecha, etc ...) para ser ejecutado en una o ms bases de datos. Una consulta se interpreta generalmente por el lenguaje SQL para que sea comprensible para l as moras DBMS. 118 Tal como http://www.filesig.co.uk/sqlite-forensic-reporter.html

81

Traducido por Sykrayo Espaa

Si quisiramos mostrar slo los mensajes de texto recibidos por nmero +3912345: Select * from sms donde address = +3912345' '

Deft 7 Manual 2012

7. 4. 3

EXAMPLEOFANALYSISONGO OGLEMAPS Google Maps application119 Android ofrece en ambos sistemas la funcin de mapa y el sistema de navegacin con comandos de voz. La aplicacin, al igual que la versin web del mismo nombre, es capaz de mostrar la zona en las dos imgenes grficas y de satlite en 3D, para proporcionar informacin sobre el trfico local, en los pubs y en los servicios en la zona y, a travs de la funcin Latitude, Proporcionar informacin sobre la posicin de los contactos (tambin a travs de Llegada / salida). Los directorios de inters para el observador son

/ Data / data / com.google.android.apps.maps / en la tarjeta de memoria SD / Mnt / sdcard / Android / data / com.google.android.apps.maps / entre las bases de datos ms interesantes de anlisis se recomienda da_destination_history 120

82

Traducido por Sykrayo Espaa

119 120

Disponible en http://www.google.com/mobile/maps/ Tenga en cuenta que esto no tiene la base de datos SQLite. Extensin Db igual que otras bases de datos.

Deft 7 Manual 2012

83

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

Estos son slo dos de las bases de datos utilizadas por las aplicaciones, la informacin adicional puede y debe obtenerse de otros archivos (por ejemplo data_laywe_24 si existe). Tambin de gran inters es el contenido de la carpeta en la tarjeta SD: En adiciones a la memoria cach de los mapas descargados por las aplicaciones durante su uso, tambin hay archivos de audio individuales que contienen las instrucciones de audio para el usuario. El anlisis de la timestamp121 archivos, combinados con los datos de navegacin contenidos dentro de los carpeta raz puede proporcionar informacin precisa sobre cuando un camino particular, y sugiri que se ha seguido.

84

Traducido por Sykrayo Espaa

121

http://en.wikipedia.org/wiki/Timestamp

Deft 7 Manual 2012

85

Traducido por Sykrayo Espaa

CAPTULO 8: DART - ADVANCED DIGITAL GUA res Ponse

Deft 7 Manual 2012

DART

DART (Digital Toolkit Respuesta Avanzada) es una aplicacin que organiza, recopila y se ejecuta en el software de modo seguro a efectos de anlisis forense en vivo y respuesta a incidentes. Puede personalizar DART modificando el archivo dart.xml que mantiene la lista de aplicaciones de DART que se pueden ejecutar. Si se solicita, DART puede crear un registro de auditora para realizar un seguimiento de todas las operaciones realizadas y los problemas encontrados. Una de las principales caractersticas es que las aplicaciones que se ejecutan en modo seguro inicia una comprobacin de integridad antes del inicio de cada programa, de esta manera que el examinador est seguro de ejecutar sus propias herramientas de seguridad. Esto excluye cualquier dao preexistente de los binarios de malware. Los valores hash de las aplicaciones estn contenidos dentro del archivo XML que a su vez se comprueba cada vez que el Starts122.This DART que permite al mdico para verificar el contenido de su archivo xml no se ha altered123.

86

Traducido por Sykrayo Espaa

122 123

El valor hash del archivo XML se muestra en la esquina superior derecha de la ventana. Por ejemplo, el hash de un archivo ejecutable.

Deft 7 Manual 2012

87

Traducido por Sykrayo Espaa

Deft 7 Manual 2012

DART: aviso inicial

Una vez iniciado, DART debe ejecutar como administrador del sistema o como una cuenta con privilegios de administrador. DART le informar de que no hay ninguna garanta de evitar alteraciones en el sistema en uso, ya que algunos programas pueden realizar anlisis de manera invasiva. Al mismo tiempo, se informa al usuario de que algunos programas podran ser considerados herramientas de malware o la piratera del software antivirus. Puede que sea necesario desactivar el software antivirus o cortafuegos.

DART: Guardar el registro de auditora

88

Traducido por Sykrayo Espaa

dart.xml contiene los valores hash de todas las aplicaciones, tanto en el caso en el que se actualiza un archivo ejecutable incluido en el paquete de DART, su hash tambin debe actualizarse dentro del archivo XML. Si esto no se hace a continuacin, se informar al examinador que tiene los valores no coinciden. La estructura del archivo XML se inicia con la etiqueta "deft_extra" tag 124.The "alerta" contiene el texto de la nota inicial, dardo renuncia. Dentro de ella, debe haber una etiqueta de "texto", que mostrar la descripcin de la aplicacin incluida en <! [CDATA [y]]>. Ejemplo: <text> <! [CDATA [ insertar texto ]]> </ Text> Los apps_groups etiqueta indica los grupos con los que las aplicaciones estn divididas. "Grupo" tiene los atributos siguientes: id: Debe contener un identificador nico, pero no necesariamente uno numrico; etiqueta: Que aparecer el texto debajo del icono de la ventana de la aplicacin; ico: Qu camino del icono representar al grupo. Dentro del grupo de variables a encontrar la aplicacin de la etiqueta con los siguientes atributos: etiqueta: el texto mostrado en la aplicacin de men izquierda; ExePath: familiar o ruta absoluta donde se puede encontrar el ejecutable; MD5Hash: valor hash a comprobar (no es obligatorio). En las etiquetas de aplicaciones que hay un "texto" Qu etiqueta contiene la descripcin de la aplicacin, tambin en formato HTML, que tambin es limitada por <! [CDATA [y]]>. Ejemplo: <text> <! [CDATA [ insertar texto ]]> </ Text>

Deft 7 Manual 2012

124

El atributo "lang" le permitir acceder al Administrador multilinge. Actualmente esta funcin no est activa.

89

Traducido por Sykrayo Espaa

CAPTULO 9: profundizar

Deft 7 Manual 2012

El contenido antes mencionado en este manual toca ligeramente sobre el potencial de hbil en el campo de la Digital Forense. Nos gustara sugerir algunos libros que aclaran los temas que hemos cubierto en este manual. NIST Guidentificacin elines Directrices sobre Telfonos Mviles y Seguridad PDA - SP 800-124 Incidentes de Seguridad Informtica Gua Manutencin - SP 800-61 Digital FoRensics Evidencia Digital y Delitos Informticos, tercera edicin: Ciencias Forenses, Informtica e Internet Eoghan Casey ISBN-10: 0123742684 Academic Press Digital Forensics con herramientas Open Source Cory Altheide y Harlan Carvey ISBN-10: 1597495867 Syngress Android Forensics: Investigacin, anlisis y seguridad mvil para Google Android Andrew Hoog ISBN-10: 1597496510 Syngress

90

Das könnte Ihnen auch gefallen