Un caso de Forense: Delito de pederastia en Windows

Reto Ciberbullyng DragonJar I Alejandro Ramos Computer Hacking Forensic Investigator SecurityByDefault.com

Yo. Ego - presentación Manager del TigerTeam de SIA Profesor en el MOSTIC de la Universidad Europea de Madrid (Hardening Linux y Análisis Forense) Editor de SecurityByDefault.com Blah Blah…

EJEMPLO - Cyberbullying Concurso – Reto Forense Dragon Jar I Se obtiene una imagen (VM) del equipo de un sospechoso de ciber-acoso Se solicita un análisis forense del equipo para confirmar la sospecha. Imágenes disponibles en:http://www.dragonjar.org/resultado-del-primer-reto-forense-de-la-comunidad-dragonjar.xhtml

Adquisición de imagen Por tratarse de un Vmware: ◦ Se añade un disco duro virtual > al original ◦ Se arranca con un livecd tipo CAINE/DEFT ◦ Se crea partición FAT32 y se formatea (mkfs.vfat) ◦ Se monta sobre /mnt ◦ Se genera la imagen: guymager  dcfldd

Adquisición

Información básica Registrado: Scarface XP SP3 AMD Athlon 512Mb Usuario: Administrador Uso horario GMT+5

Fecha de instalación HKLMSOFTWAREMicrosoftWindows NTCurrentVersion UnixTime: 1260862666 = 15 Dec 2009

Software instalado TrueCrypt Windows Live IrfanView

Procesos en ejecución No se detecta malware Ni procesos extraños

Servicios en ejecución No se detecta malware Ni servicios extraños

Análisis de arranque No se detecta malware Ni servicios extraños

Drivers instalados Driver de truecrypt instalado

Aplicaciones ejecutadas – Prefetch

Aplicaciones ejecutadas – PrefetchAplicación FuncionalidadS-TOOLS EstenografíaTIMESTOMP Anti-forense, modificación de fechasTRUECRYPT Cifrado de volúmenes y discos

Archivos recientes C:Documents and SettingsAdminReciente

Búsqueda de ADS AlternateStremView (nirsoft) Archivo: Scarface.jpg contine: «oculto» «oculto» es un ejecutable de «Steganos LockNote»

Busqueda de archivos TrueCrypt  Búsqueda con fecha  Tamaño de archivo

Busqueda de aplicación TrueCrypt No se encuentra TrueCrypt en «Inicio» ni en «Archivos de programa» Se busca en el registro «Uninstall»: HKLMSoftwareMicrosoftWindowsCurr entVersionUninstall

Búsquedas en Internet MyLastSearch de Nirsoft Búsquedas en Google de contenido sexual infantil

Archivos temporales de Internet Uso de index.dat Analyzer para facilitar el proceso Se detectan búsquedas de sexo infantil en Google Se detecta navegación de imágenes con contenido sexual

index.dat Analyzerhttp://www.systenance.com/indexdat.php

Imágenes pedófilas en la cache Uso de irfanview para ver imágenes cacheadas Se detecta pornografía infantil

Cache del navegador El usuario se registra en el portal Se obtiene usuario y correo electrónico

Cache del navegador Se comparte contenido pornográfico

Cache del navegador Contraseña y comentarios

Cache del navegador Usuario añadido en hotmail ¿victima?

Cache del Navegador Se obtiene contraseña del portal imgsrc.ru

Búsquedas en el Historial Se encuentran referencias a imágenes «sexy (n).jpg» en «Mis imágenes» Los ficheros ya no existen

Búsquedas en el Historial Referencias a los archivos anteriores en «Z:»

Historial de MSN No hay registros de MSN No hay archivos en «Mis archivos recibidos» Se encuentran imágenes en la cache de MSN

Contactos MSN C:Documents and SettingsAdministradorConfiguración localDatos de programaMicrosoftWindows Live Contacts{2b8788be-f69b-4265-9430- 326604e4a5c0}DBStorecontacts.edb

Disco Duro

Disco duros - interfaces

Estructura disco duro • A Pista • B Sector • C Sector de una pista • D Cluster

Sector / Cluster Cluster es la mínima unidad de almacenamiento para el sistema operativo Los clusters se componen de sectores. El mínimo es un cluster = un sector Los sectores pueden estar marcados como defectuosos y no ser usados.

Espacio Slack1. Fichero ocupa: 768Bytes2. Un cluster son 4 sectores3. El sector 2 es ocupado parcialmente y dependiendo del SO puede sobrescribirse o no el espacio libre4. El resto de sectores no se sobrescribe quedando datos no eliminados

Busqueda en «slack space»

Camila

¿LockNote? Se obtienen las credenciales de imgsrc.ru (ya obtenidas)

TrueCrypt La contraseña esta cacheada en memoria y no es necesaria Aunque haciendo pruebas, se puede averiguar que es «Scarface»

Línea temporal 19/12/2009 – 21:06:15 21:08:52 Obtención de datos High School Music 19/12/2009 – 21:16:04 21:20:44 Conversación MSN con Natalia 19/12/2009 – 21:35:14 Se suben imagen de Natalia«luna.jpg» a imgsrc.ru 19/12/2009 – 23:04:07 – 23:13:54 Conversación MSN con Camila 19/12/2009 – 23:38:41 Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru 20/12/2009 – 2:59:43 Archivos copiados a volumen cifrado TrueCrypt

¿PREGUNTAS?

Gracias Alejandro Ramos www.securitybydefault.com

Un caso de Forense: Delito de pederastia en Windows

by Eventos Creativos on Jul 08, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Un caso de Forense: Delito de pederastia en Windows — Presentation Transcript