La suite OsForensics es una pieza clave en investigaciones

forenses digitales (digital forensics, como se conoce en inglés), un

todo en uno que permite localizar pistas, mirar en el interior de
archivos y sus cabeceras y, finalmente, organizar e indexar todos
los datos hallados para un tratamiento posterior y su
presentación.

Podemos definir la informática forense como:

La ciencia o informática forense puede definirse como el proceso

de recolección, preservación, análisis e información de pruebas
legalmente admisibles ante un tribunal o ante un tercero que las
solicite.
La herramienta que te presento hoy te permite investigar
cualquier clase de información contenida en un soporte
informático, tanto visible como oculta, para adquirir la evidencia
necesaria a presentar en un caso ante un jurado, o simplemente
para conocer aspectos ocultos de tu ordenador, como
contraseñas, metadatos e información oculta en archivos (por
ejemplo mediante esteganografía), entre muchos otros.

Análisis de la suite
OsForensics
Desarrollado por Passmark -una empresa conocida por productos
como PerformanceTest9 y otros muchos relacionados con
benchmarking- lo cierto es que OsForensics va actualmente por
su versión 6, así que es una herramienta con un largo recorrido
en el sector del análisis forense.

Hablamos de un conjunto de herramientas forenses muy

completo. Esta suite nos permite completar todos los puntos de
un caso forense desde la A a la Z.
Análisis de actividad reciente que incluye una linea temporal de acontecimientos
Es decir, desde la creación de un caso y un índice de información
hasta la obtención de todo tipo de evidencias a incorporar al
mismo y la generación de un informe final en HTML, que
presentará los hallazgos.

Funcionamiento
OsForensics trabaja la información en 3 fases.

1. Descubrimiento
 La herramienta realiza búsquedas de gran rapidez en toda la
superficie del disco o dispositivo elegido, creando además un
índice de información. Es capaz de extraer contraseñas, descifrar
archivos y recuperar elementos borrados de diferentes sistemas
de archivos: Windows, Mac y Linux.

2. Identificación

Las evidencias y actividades halladas son comparadas mediante

su valor hash contra una base de datos. Además, se analizan
todos los archivos y permite crear una linea de tiempo (timeline)
de toda la actividad del usuario, para presentarla en orden
cronológico.

3. Administración

Finalmente, la suite nos permite organizar todas nuestras

evidencias en un guión ordenado, incorporando los datos del
examinador forense, presentando los hechos acontecidos y
adjuntando datos de otras herramientas forenses si es necesario.

Algunas novedades en OsForensics v6

 Mejora x3 en velocidad de indexado, añadiendo soporte multi-hilo,
disco RAM y bypass de pre-escaneo
 Soporte para OCR en Windows 10
 Informes cifrados en PDF
 Salto desde el Visor de disco en bruto al registro MFT
 Función de quick hashing
 Soporte para EFS o Encrypted File System
 Incorpora la última versión de Volatility Workbench con soporte
para Mac y Linux
 Recuperación de claves de Bitlocker
 Función de auto-descubrimiento mejorada
 Extracción de vídeos en formato MP4 desde webs como Youtube
Módulos incluidos en esta
suite forense digital
Al abrir el programa en seguida veremos que nos ofrece una
cantidad ingente de herramientas para obtener información,
abarcando desde contraseñas de sistema/navegadores hasta
recuperación de emails, información oculta o adquisición de
memoria RAM, entre otros.
A continuación veremos algunos de ejemplos de módulos que
podemos explotar con buenos resultados.

Auto-adquisición de pruebas
La opción Auto Triage de OsForensics v6 nos permite acelerar
bastante el proceso de captura de evidencias (es algo así como
un modo semi-automático) por lo que podemos definir datos
básicos del caso y proceder directamente al volcado de
información.
Bastará con definir las áreas a buscar y las rutas de análisis /
presentación de evidencias. Tras pulsar Start Scan la herramienta
lo hará todo automáticamente.
Esta opción recopila importante información contextual
(información de sistema) e incluso nos presenta los datos en un
informe final.

Actividades recientes
Hablamos de una potente característica que nos permite obtener
de un “plumazo” toda la información de tareas, eventos,
descargas y otras actividades recientes acaecidas en el sistema.
Esta función es ideal para crear un contexto más amplio y
establecer relaciones entre pruebas de diferente tipo.

Aparecerán toda suerte de archivos abiertos recientemente,

jumplists, comandos ejecutados, programas instalados, favoritos
de navegadores, descargas de archivos, cookies, unidades de
disco montadas, búsquedas de Windows Search,
archivos prefetch y un largo etcétera.

Información del sistema

Si hay algo que nos debe preocupar antes de entrar en la fase de
recopilación de evidencias, es la tarea de identificación
inequívoca del sistema afectado.
 Para ello, OSForensics nos permite mediante diferentes listas
obtener datos muy concretos sobre el equipo, por ejemplo
mediante la lista información básica de sistema:

 Nombre del equipo

 Sistema operativo
 Información de CPU, memoria, gráficos, USB, puertos o
impresoras conectadas
 Información de red (adaptadores, asignaciones de IP, resolución
de nombres)
 Información sobre unidades ópticas y físicas de almacenamiento
 Información sobre volúmenes / particiones de disco

Inspección de disco en bruto

El módulo Raw Disk Viewer permite acceso sin restricciones a
todos los sectores del disco, posibilitando un análisis en
profundidad de todos sus datos.

Este módulo es capaz de leer más allá de directorios o sistemas

de archivos, ya que accede al nivel más bajo posible.
Gracias a esta funcionalidad podemos analizar información
sospechosa que pudiera estar oculta en sectores sin asignar del
disco (raw) que no son normalmente accesibles con mecanismos
habituales del sistema operativo: clústeres marcados como libres
o slack space restante en archivos.
Tras seleccionar la partición/disco o la imagen de dico que
queremos analizar, podremos realizar técnicas de Data
Carving como búsqueda de cadenas de texto/hexadecimal,
marcado de offsets de disco y decodificación de estructuras de
disco invisibles.

Análisis forense de memoria

Este módulo diseñado especificamente para analizar memoria
volátil del sistema nos ofrece la opción de capturar en modo Live
(usada por el sistema encendido o “vivo”) así como analizar un
volcado de memoria previamente capturado.
OsForensics v6 por supuesto nos permite realizar un volcado de
memoria, así como trabajar con volcados ya creados mediante
otras herramientas como Volatility o mecanismos como dd.

Recuperación de contraseñas
 Podemos obtener contraseñas de diversas fuentes como
navegadores, sistemas operativos (Windows login) e intentar
atacar los hashes de estas mediante Rainbow tables. También
permite el descifrado de documentos de ofimática.

La obtención de las mismas se puede hacer desde el sistema en

vivo así como desde el análisis estático de archivos en las
diferentes unidades de disco.

Contraseñas recuperables

 Outlook, Windows Live mail

 Contraseñas de WiFi
 Contraseñas de autologon para Windows
 Claves de producto para Windows 7, 8 y 10
 Claves de producto para Microsoft Office y Visual Studio
 Puertos (paralelo y serie)
 Adaptadores de red
 Unidades de disco físicas y ópticas
 Claves de cifrado de Bitlocker

Estos son solo algunos de los módulos que he decidido mostraros

hoy, pero lo cierto es que hay muchos más.
Merece la pena destacar el $UsnJrnl Viewer, que nos ofrece los
datos almacenados por sistemas de archivos NTFS para
mantener un registro de cambios en el volúmen. También permite
un análisis eficiente de bases de datos SQLite y ESE (Windows
Search / Microsoft Exchange)

Creación de versión portable

Merece la pena destacar que podemos contar con una versión
portable de OsForensics para llevar con nosotros en un pendrive
o unidad externa. NOTA: esta opción no está soportada en la
versión de evaluación de OsForensics v6.
Además podemos hacer que la unidad sea auto-booteable
mediante WinPE. Solo tenemos que confirmar la clave de licencia
adquirida y seguir los pasos indicados.