Un caso de Forense: Delito de pederastia en Windows
Upcoming SlideShare
Loading in...5
×
 

Un caso de Forense: Delito de pederastia en Windows

on

  • 2,299 views

Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

Statistics

Views

Total Views
2,299
Views on SlideShare
2,299
Embed Views
0

Actions

Likes
0
Downloads
135
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Un caso de Forense: Delito de pederastia en Windows Un caso de Forense: Delito de pederastia en Windows Presentation Transcript

  • Reto Ciberbullyng DragonJar I Alejandro Ramos Computer Hacking Forensic Investigator SecurityByDefault.com
  • Yo. Ego - presentación Manager del TigerTeam de SIA Profesor en el MOSTIC de la Universidad Europea de Madrid (Hardening Linux y Análisis Forense) Editor de SecurityByDefault.com Blah Blah…
  • EJEMPLO - Cyberbullying Concurso – Reto Forense Dragon Jar I Se obtiene una imagen (VM) del equipo de un sospechoso de ciber-acoso Se solicita un análisis forense del equipo para confirmar la sospecha. Imágenes disponibles en:http://www.dragonjar.org/resultado-del-primer-reto-forense-de-la-comunidad-dragonjar.xhtml
  • Adquisición de imagen Por tratarse de un Vmware: ◦ Se añade un disco duro virtual > al original ◦ Se arranca con un livecd tipo CAINE/DEFT ◦ Se crea partición FAT32 y se formatea (mkfs.vfat) ◦ Se monta sobre /mnt ◦ Se genera la imagen: guymager  dcfldd
  • Adquisición
  • Información básica Registrado: Scarface XP SP3 AMD Athlon 512Mb Usuario: Administrador Uso horario GMT+5
  • Fecha de instalación HKLMSOFTWAREMicrosoftWindows NTCurrentVersion UnixTime: 1260862666 = 15 Dec 2009
  • Software instalado TrueCrypt Windows Live IrfanView
  • Procesos en ejecución No se detecta malware Ni procesos extraños
  • Servicios en ejecución No se detecta malware Ni servicios extraños
  • Análisis de arranque No se detecta malware Ni servicios extraños
  • Drivers instalados Driver de truecrypt instalado
  • Aplicaciones ejecutadas – Prefetch
  • Aplicaciones ejecutadas – PrefetchAplicación FuncionalidadS-TOOLS EstenografíaTIMESTOMP Anti-forense, modificación de fechasTRUECRYPT Cifrado de volúmenes y discos
  • Archivos recientes C:Documents and SettingsAdminReciente
  • Búsqueda de ADS AlternateStremView (nirsoft) Archivo: Scarface.jpg contine: «oculto» «oculto» es un ejecutable de «Steganos LockNote»
  • Busqueda de archivos TrueCrypt  Búsqueda con fecha  Tamaño de archivo
  • Busqueda de aplicación TrueCrypt No se encuentra TrueCrypt en «Inicio» ni en «Archivos de programa» Se busca en el registro «Uninstall»: HKLMSoftwareMicrosoftWindowsCurr entVersionUninstall
  • Búsquedas en Internet MyLastSearch de Nirsoft Búsquedas en Google de contenido sexual infantil
  • Archivos temporales de Internet Uso de index.dat Analyzer para facilitar el proceso Se detectan búsquedas de sexo infantil en Google Se detecta navegación de imágenes con contenido sexual
  • index.dat Analyzerhttp://www.systenance.com/indexdat.php
  • Imágenes pedófilas en la cache Uso de irfanview para ver imágenes cacheadas Se detecta pornografía infantil
  • Cache del navegador El usuario se registra en el portal Se obtiene usuario y correo electrónico
  • Cache del navegador Se comparte contenido pornográfico
  • Cache del navegador Contraseña y comentarios
  • Cache del navegador Usuario añadido en hotmail ¿victima?
  • Cache del Navegador Se obtiene contraseña del portal imgsrc.ru
  • Búsquedas en el Historial Se encuentran referencias a imágenes «sexy (n).jpg» en «Mis imágenes» Los ficheros ya no existen
  • Búsquedas en el Historial Referencias a los archivos anteriores en «Z:»
  • Historial de MSN No hay registros de MSN No hay archivos en «Mis archivos recibidos» Se encuentran imágenes en la cache de MSN
  • Contactos MSN C:Documents and SettingsAdministradorConfiguración localDatos de programaMicrosoftWindows Live Contacts{2b8788be-f69b-4265-9430- 326604e4a5c0}DBStorecontacts.edb
  • Disco Duro
  • Disco duros - interfaces
  • Estructura disco duro • A Pista • B Sector • C Sector de una pista • D Cluster
  • Sector / Cluster Cluster es la mínima unidad de almacenamiento para el sistema operativo Los clusters se componen de sectores. El mínimo es un cluster = un sector Los sectores pueden estar marcados como defectuosos y no ser usados.
  • Espacio Slack1. Fichero ocupa: 768Bytes2. Un cluster son 4 sectores3. El sector 2 es ocupado parcialmente y dependiendo del SO puede sobrescribirse o no el espacio libre4. El resto de sectores no se sobrescribe quedando datos no eliminados
  • Busqueda en «slack space»
  • Busqueda en «slack space»
  • Camila
  • ¿LockNote? Se obtienen las credenciales de imgsrc.ru (ya obtenidas)
  • TrueCrypt La contraseña esta cacheada en memoria y no es necesaria Aunque haciendo pruebas, se puede averiguar que es «Scarface»
  • Línea temporal 19/12/2009 – 21:06:15 21:08:52 Obtención de datos High School Music 19/12/2009 – 21:16:04 21:20:44 Conversación MSN con Natalia 19/12/2009 – 21:35:14 Se suben imagen de Natalia«luna.jpg» a imgsrc.ru 19/12/2009 – 23:04:07 – 23:13:54 Conversación MSN con Camila 19/12/2009 – 23:38:41 Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru 20/12/2009 – 2:59:43 Archivos copiados a volumen cifrado TrueCrypt
  • ¿PREGUNTAS?
  • Gracias Alejandro Ramos www.securitybydefault.com