Documente Academic
Documente Profesional
Documente Cultură
4
TEMA
Análisis de las evidencias
Esquema
TEMA 4 – Esquema
Esquema de Archivos de interés Archivos de interés Archivos de interés
análisis en Windows en Linux en Mac OS
Pre-análisis
Registro de Partición de Paginación e
• Archivos y
volúmenes
Windows intercambio hibernación
cifrados
• Máquinas
2
virtuales
• Archivos Archivos de
Sudoers Logs
borrados eventos
• Hash
• Firmas
Ideas clave
En este último tema de la asignatura veremos cómo realizar el análisis forense completo
de un equipo informático.
Puesto que cada caso y sistema son únicos, en este tema se plantean las estrategias más
comunes que podemos utilizar en la mayoría de los escenarios con los que nos
encontraremos.
Junto con dichas estrategias, también conoceremos algunos de los elementos más
importantes de cada Sistema Operativo. Estos elementos contendrán información muy
valiosa de cara al análisis y resolución del caso en que nos encontremos.
Conocer el esquema global de un análisis forense y saber qué buscamos en cada etapa
de este.
Conocer algunas de las herramientas necesarias para realizar las tareas de un análisis
forense.
Conocer los archivos y carpetas más importantes a la hora de realizar un análisis en
un sistema Windows, Linux y Mac OS.
Por supuesto, tanto el esquema como las herramientas presentadas en este tema son
orientativas, pudiendo variar en función del caso concreto en que nos encontremos.
Los archivos más importantes de cada Sistema Operativo son aquellos donde siempre
vamos a poder encontrar información de interés. Ahora bien, estos no son los únicos
archivos a analizar puesto que deberemos tener en cuenta también aquellos elementos
que se encuentren directamente relacionados con la pericial.
En el anterior tema hemos visto como recolectar las evidencias que vamos a analizar,
tanto las volátiles como las no volátiles. Ahora, lo que vamos a plantear es el esquema
típico de un análisis de dichas evidencias.
¿Se NO
SI
¿Existe n? pue den Docume ntar
de scifrar?
NO SI
Ide ntificación de
De scrifrar
máquinas virtuale s
SI
¿Existe n?
NO
Re cupe ración de
archivos borrados
Ve rificación de firmas
Búsque da de
palabras clave
Análisis de l
siste ma ope rativo
Análisis de los
compone ntes de red
Fase de pre-análisis
En este paso, nuestra labor como analistas forenses consiste en descubrir los
archivos y volúmenes que pudieran encontrarse cifrados en el equipo.
Para ello podemos hacer uso de programas como Encryption Analyzer, de la empresa
Passware, que realiza una búsqueda de los archivos y volúmenes cifrados existentes en
el equipo, aunque también podemos realizar una búsqueda de archivos cifrados
conocidos, por sus cabeceras o sus extensiones.
Una vez tengamos los elementos que se encuentran cifrados en el equipo, procederemos
a descifrar los mismos con herramientas como Passware Kit Forensics, de la misma
empresa Passware, u otros programas específicos en función del tipo de encriptación
que se pretenda «romper».
Hay que tener en cuenta que no se van a poder descifrar todos los tipos de
cifrado existentes, por lo que en caso de encontrar un archivo que no se pudiera
descifrar y, por lo tanto, no se pudiera leer su contenido, pasaríamos a anotar tal
información en nuestro informe pericial con el fin de que quede constancia de dicho
extremo.
Para identificar las máquinas virtuales que pudieran existir en el equipo, lo ideal es
comenzar por las aplicaciones instaladas en el mismo. Si el equipo tiene instalado el
software VMware, es lógico pensar que puede tener máquinas virtuales en dicho
formato, aunque esto no excluye la búsqueda de otro tipo de máquinas virtuales.
Extensión de
Tipo de máquina virtual
archivo
En caso de encontrarnos con el disco duro de una máquina virtual, al consistir en una
máquina similar a una real, procederemos a analizarla como si de una máquina distinta
se tratara, siendo necesario aplicar sobre ella los mismos pasos que se aplican para
analizar cualquier otro equipo.
Para ello, podemos emplear programas como Sorter, incluido en la suite forense
Autopsy, que nos permite agrupar por categorías (en este caso «malos» y «buenos») los
archivos de un dispositivo, o el propio AccessData FTK que permite importar distintas
Bases de Datos de hashes conocidos.
Junto con estos programas podemos hacer uso de las bases de datos disponibles en la
National Software Reference Library (http://www.nsrl.nist.gov/) para filtrar de forma
rápida los archivos objeto del análisis o ir creándonos nuestra propia base de datos de
hash conforme vallamos realizando casos.
Hay que tener muy en cuenta el algoritmo hash utilizado, puesto que si estamos
realizando una comparativa entre algoritmos hash diferentes nos será imposible
encontrar concordancia. Un ejemplo sería el tener en nuestra Base de Datos de hashes,
los hashes MD5 de archivo de interés e intentar compararlos con hashes SHA1.
5. Verificación de firmas
Lo que realmente indica de qué tipo es un fichero es su cabecera o firma, puesto que
la extensión puede ser fácilmente cambiada. Para comprobar si en los archivos que
vamos a analizar coincide lo que la extensión indica con el contenido del archivo es por
lo que se realiza la verificación de firmas.
Fase de análisis
En ocasiones nos podemos encontrar con análisis en los que es necesario obtener
documentos relacionados con determinadas palabras, por ejemplo, que
tengamos que obtener los documentos en los que se menciona a una determinada
persona. Para estos casos, realizaremos una búsqueda de palabras clave en las evidencias
recolectadas.
Este tipo de búsquedas es muy similar a la que podemos realizar con nuestro propio
sistema operativo, con la diferencia de que también se busca sobre los espacios libres de
la evidencia y en el interior de los archivos.
Para realizar la búsqueda podemos utilizar el mismo AccessData FTK, que permite
realizar búsquedas mediante palabras clave o mediante expresiones regulares las cuales
nos permiten definir patrones de búsqueda mucho más complejos que una simple
búsqueda literal.
Durante el análisis del sistema operativo tenemos que seguir una serie de pasos, durante
los cuales tenemos que intentar responder a las siguientes preguntas:
3. Programas instalados.
a. ¿ Hay programas que permitan realizar el hecho investigado?
Ejemplo: Si estamos investigando la clonación de tarjetas, ¿hay algún programa
que permita su copia?
Con el análisis de estos seis apartados tendremos una idea general de lo que se puede
o no hacer con el equipo. Además de que gracias a los archivos de registro analizados
(posteriormente se especifican los archivos interesantes al respecto) podremos obtener
información sobre las acciones realizadas sobre el equipo.
Al igual que durante el análisis del sistema operativo, durante el análisis de los
componentes de red tendremos que seguir una serie de pasos e intentar responder a
las siguientes preguntas:
3. Exploradores de Internet
a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación
Como todos los sistemas operativos, Windows tiene una serie de archivos que nos van a
proporcionar una valiosa información a la hora de realizar un análisis del mismo.
Estos archivos son:
1 El registro de Windows
Registro de Windows
Es una gran base de datos donde se almacena información sobre el propio
sistema operativo y los programas instalados. De él podemos obtener
información como: el histórico de dispositivos USB conectados, el hardware
configurado en el equipo, las redes Wifi a las que el equipo ha estado conectado, los
programas instalados, contraseñas de los usuarios, etc.
El registro de Windows está compuesto por varios archivos, los cuales, en Windows 7 y
8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM», ubicados en la ruta
«[WINDOWS INSTALL DIR]\System32\config\». Además del archivo «NTUSER.DAT»
ubicado en la carpeta personal de cada usuario. Estos archivos pueden ser analizados
fácilmente con la herramienta Windows Registry Recóvery de MiTeC.
Archivos de eventos
Son archivos que almacenan los eventos ocurridos en el sistema operativo. En ellos
podemos encontrar eventos sobre los accesos de los usuarios al equipo, las
conexiones a la red, errores en la impresión de archivos, la creación de usuarios, etc.
Sobre estos archivos podemos realizar el mismo tipo de análisis que sobre la memoria
RAM. Podemos realizar búsquedas de cadenas, recuperación de archivos, etc.
Además, también una serie de artefactos que también pueden resultar de mucho interés,
en función del caso objeto de análisis como son los relacionados con los archivos
descargados, programas ejecutados, los archivos abiertos y creados, etc.
En 2012, el Instituto SANS publicó un poster con la ubicación y forma de proceder ante
todos estos artefactos.
Dentro de un sistema operativo tipo Linux, los archivos y carpetas de los que más
información podremos extraer son:
Por su parte, el archivo «/etc/ passwd» también es muy relevante en casos en los que el
sistema se haya visto comprometido, ya que de su análisis podremos obtener
información sobre posibles usuarios creados o usuarios que han cambiado de un grupo
sin privilegios a otro con mayores privilegios de acceso.
La estructura de las entradas del archivo «/etc/ passwd» es la que se puede observar en
la imagen anterior.
Como vemos, dicho archivo almacena el nombre de usuario, la contraseña cifrada, los
identificadores del usuario, una descripción del usuario, la ruta de su carpeta home y la
Shell del usuario.
Cuando tengamos que analizar un sistema operativo Mac OS (nos referimos al sistema
operativo de Mac para ordenadores portátiles o de sobremesa, no estamos hablando de
iOS, que es el sistema operativo del iPhone y del iPad) hay una serie de archivos y
carpetas con especial interés. Estos son:
Los archivos plist, o archivos de lista de propiedades, son archivos que almacenan multitud
de información de interés sobre programas utilizados por el usuario y la configuración de los
mismos.
Este tipo de archivos está presente tanto en los equipos con sistemas operativos MacOS,
como en los terminales móviles con sistemas operativos iOS y pueden ser visualizados
directamente desde el propio sistema operativo del equipo, o bien haciendo uso de
herramientas de terceros como Plist Explorer o Plist Editor, ambos para sistemas operativos
Windows.
Lo + recomendado
Lecciones magistrales
En esta lección magistral vamos a realizar el análisis de los archivos de eventos de los
sistemas operativos Windows.
TEMA 4 – Lo + recomendado 15
Análisis Forense
No dejes de leer…
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://studylib.net/doc/8132623/computer-forensics-methods-and-procedures
Nolan, R., O’Sullivan, C., Branson, J. y Waits, C. (2005). First Responders Guide to
Computer Forensics. Pittsburgh: CERT.
Póster publicado por SANS sobre elementos de interés en Sistemas Operativos Windows.
TEMA 4 – Lo + recomendado 16
Análisis Forense
Presentación Nicole Ibrahim para el SANS DFIR 2017 sobre eventos en Sistemas
Operativos Mac OS e iOS.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.sans.org/summit-archives/file/summit-archive-1498158287.pdf
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://files.peelman.us/BasicMacForensics.pdf
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://www.deer-run.com/~hal/LinuxForensicsForNon-LinuxFolks.pdf
TEMA 4 – Lo + recomendado 17
Análisis Forense
Tal y como dice su título, se trata de una guía muy útil sobre el análisis forense de equipos
Linux. Está actualizada a la versión 4.31 en octubre de 2017.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://linuxleo.com/Docs/linuxintro-LEFE-4.31.pdf
Accede a la documentación a través del aula virtual o desde la siguiente dirección web:
https://digital-forensics.sans.org/community/downloads
TEMA 4 – Lo + recomendado 18
Análisis Forense
No dejes de ver
TEMA 4 – Lo + recomendado 19
Análisis Forense
+ Información
Webgrafía
Bibliografía
Altheide, C. y Carvey, H. (2011). Computer forensics with Open Source tools. Syngress.
Jones, K., Bejtlich, R. y Rose, C. (2005). Real Digital Forensics: Computer Security and
Incident Response. Addison-Wesley Educational Publishers Inc.
TEMA 4 – + Información 20
Análisis Forense
Actividades
La empresa Fake S.A. le contrata como perito para realizar la adquisición y el análisis
forense del equipo informático de uno de sus empleados, el señor Joaquín López.
Puesto que el equipo se encuentra encendido, lo primero que debe hacer es realizar la
adquisición de la memoria RAM de este (al ser un proceso largo y, puesto que no vamos
a analizar su contenido, basta con que inicie el proceso y luego lo cancele). Seguidamente,
haciendo uso de las herramientas que considere oportunas, adquiera y analice los
archivos necesarios para responder a las preguntas que se le plantean.
Notas
TEMA 4 – Actividades 21
Análisis Forense
¿Qué usuarios han iniciado sesión en el equipo? ¿Cuál ha sido la fecha y hora de último
acceso de estos usuarios?
• Nombre del usuario: xx
• Fecha y hora de inicio de sesión: xx
Se sospecha que uno de los usuarios del sistema modificó su cuenta para obtener
privilegios de administración. Analizando los registros de eventos indique qué usuario
fue y en qué fecha y hora realizó dicha modificación.
• Nombre del usuario: xx
• Fecha y hora de la modificación: xx
Analizando los registros de eventos, indique los encendidos y apagados del sistema y
los inicios y cierres de sesión de los usuarios.
• Fecha y hora: xx/xx/xxxx xx:xx
• Tipo de evento: Encendido / Apagado / Inicio de sesión / Cierre de sesión
• Usuario: Que ha iniciado o cerrado la sesión
TEMA 4 – Actividades 22
Análisis Forense
Analizando los registros de eventos, responda a las siguientes preguntas sobre los
posibles cambios en la fecha y hora del sistema.
• Se ha realizado algún cambio en la fecha y hora del sistema:
• ¿Qué usuario ha realizado dicho cambio?:
• ¿Qué fecha y hora era originalmente?:
• ¿Qué nueva fecha y hora se indicó?:
• ¿Se revirtió el sistema a la fecha y hora real?:
El sistema disponía de los navegadores Internet Explorer y Microsoft Edge. Aun así, se
sospecha que uno de los usuarios instaló un navegador web alternativo. ¿Qué navegador
se instaló?, ¿qué usuario instaló dicho navegador?
• Navegador instalado:
• Ruta de instalación:
• Nombre del usuario que lo instaló:
TEMA 4 – Actividades 23
Análisis Forense
Test
TEMA 4 – Test 24
Análisis Forense
8. El registro de Windows:
A. Es uno de los archivos de interés del sitema operativo Windows.
B. Es una gran base de datos donde se almacena información.
C. Las respuestas A y B son correctas.
D. Windows no dispone de registro.
TEMA 4 – Test 25
Análisis Forense
TEMA 4 – Test 26