• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seminario computacion forense_piura_abril_2008
 

Seminario computacion forense_piura_abril_2008

on

  • 786 views

 

Statistics

Views

Total Views
786
Views on SlideShare
786
Embed Views
0

Actions

Likes
1
Downloads
26
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Seminario computacion forense_piura_abril_2008 Seminario computacion forense_piura_abril_2008 Presentation Transcript

    • Seminario Computación Forense
      • Es común encontrar estas preguntas , cuando se ha perpetrado un ataque
      • Que fue lo que hicieron ..... ?
      • Como fue que lo hicieron .... ?
      • Es donde la recolección de eventos en la red juega un papel importante al igual que su análisis
    • Investigación de la Escena del Crimen
    • Definición Técnica: Computación Forense
      • “ Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital
      PLUS data recovery
    • Definición para las masas
      • Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento nunca es eliminada completamente…
      • La computación Forense es el conjunto de herramientas y técnicas diseñadas para recuperar esta información de manera que sea aceptable por el Sistema Jurídico.
      21/05/11 Germinal Isern Universidad Nacional de Piura
      • Evidencia Digital . Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)
      • Evidencia Digital . Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000)
      • Evidencia Digital . Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)
      • Evidencia Digital . Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )
      Definiciones Básicas 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Motivación
      • Los archivos eliminados no son eliminados de forma segura
      • Recuperar el archivo eliminado y la fecha!
      • Cambiar el nombre de los archivos para evitar la detección , no tiene sentido
      • El formateo de los discos no elimina mucha información
      • Email sobre el Web puede ser recuperado directamente de su computador( de forma parcial)
      • Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Motivación (2)
      • Desinstalar las aplicaciones es mas difícil de lo que parece…
      • Data “volátil” permanece en el sistema por mucho tiempo (aun después de múltiples arranques y cargas)
      • Remanentes de aplicaciones previas
      • El usar la codificación (encryption) adecuadamente es difícil, ya que la información no es útil hasta que sea decodificada.
      • El software anti-forense (incremento de la privacidad) es violado frecuentemente.
      • Imanes grandes generalmente no funcionan
      • La mutilación de medios (excepto en casos extremos) no funciona.
      • Premisa básica: la información es muy difícil de destruir.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Investigación en computación forense tradicional
      • ¿Qué se puede hacer?
        • Recuperar data borrada
        • Descubrir cuando los archivos fueron modificados, creados, eliminados, organizados.
        • Determinar que dispositivo de almacenamiento fue conectado a un computador especifico
        • Que aplicaciones fueron instaladas, aun si estas fueron desinstaladas por el usuario
        • Que sitios web fueron visitados por el usuario…
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Tradicional (2)
      • Que no…
        • Si un medio físico esta físicamente destruido por completo, la recuperación es imposible.
        • Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Privacidad mediante la mutilación del dispositivo degausser o o Eliminación segura a nivel forense Pero este seguro que funciona o 21/05/11 Germinal Isern Universidad Nacional de Piura
    • ¿Quién la necesita?
      • Agencias policiales o de seguridad del estado
        • Persecución de crímenes que involucran computadoras u otros medios digitales
        • Defensa del inocente
        • Enjuiciamiento del culpable
        • Debe seguir directrices muy estrictas durante el proceso forense completo para garantizar que la evidencia sea admisible en corte.
      • Fuerzas militares
        • Persecución de crímenes internos relacionados con computación.
        • Sigue líneas propias, normas legales regulares no aplican.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Quién (2)
      • Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD)
        • Fuerzas anti-terroristas
        • Una orden de búsqueda o cateo le permite a un individuo saber que esta siendo investigado.
        • Patriot Act minimiza las exigencias requeridas para hacer búsquedas o cateos.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Quién (3)
      • General
        • Mala conducta de un empleado en casos corporativos
        • ¿Qué le pasa a este computador?
        • En caso de eliminación accidental o maliciosa de data por parte de usuario ( o por un programa), ¿ Qué puede ser recuperado?
        • La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario
      • Garantía de la privacidad
        • ¿Qué se puede hacer para garantizar la privacidad?
        • Premisa: Los individuos tienen el derecho de la privacidad, como pueden estar garantizar que su data es privada.
        • Muy difícilmente a menos que una codificación muy fuerte sea usada, y luego el problema pasa a ser el almacenamiento de las llaves.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Computación Forense: Metas (1)
      • Identificación de evidencia digital potencial
        • ¿Dónde puede estar? ¿Qué dispositivos uso el sospechoso ?
      • Preservación de la evidencia
        • En la escena del crimen…
        • Primero estabilizar la evidencia…prevenir la perdida y la contaminación
        • Documentación cuidadosa de todo, que se agarro y como…
        • Si es posible, hagan una copia idéntica a nivel de bits de la evidencia para su revision.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Computación Forense: Metas (2)
      • Extracción cuidadosa y revisión de la evidencia.
        • Análisis de archivos y directorios
      • Presentación de los resultados de la investigación ( si es apropiado)
        • “ La FAT fue fubared, pero usando un editor a hexadecimal cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…”
        • “ El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”
      • Legal: Investigación debe satisfacer los criterios de privacidad
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Restricciones: Computación Forense
      • Orden de volatilidad
        • Algún tipo de data es mas volátil
        • RAM > swap > disk > CDs/DVDs
        • Idea: capture L evidencia mas volátil primero
      • Cadena de custodia
        • Mantenimiento de los registros de posesión para todo
        • Debe ser capaz de hacer seguimiento a la evidencia hasta su fuente original.
        • “ Pruebe” que la fuente no ha sido modificada.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Aspectos Legales
      • Admisibilidad en los juzgados
        • Generalmente si , pero hay precedentes.
        • Disparándole a un objetivo en movimiento. Si se es consistente y no se crea evidencia, debe estar bien.
      • Legalidad de la obtención
        • Si (con una orden apropiada de la corte) y si para otras circunstancias especiales
        • Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores.
        • Network sniffing se considera como wire tap. Sea cuidadoso
          • Requiere una orden titulo III de una corte (18 USC 2510-2521)
          • Muy difícil de obtener en EEUU
          • Lo mismo sucede con mensajes de texto en teléfonos celulares
      • Consulte a un abogado
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Aspectos Legales (2)
      • Las necesidades de la investigación vs. El derecho a la privacidad
      • Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución
      • Quinta enmienda y Codificación ( Encryption)
      • Leyes sobre grabaciones (wiretaps)
      • Cadena de custodia
      • Admisibilidad de la evidencia en corte: Daubert
        • Esencia:
          • ¿Ha sido esta teoría o técnica probada?
          • ¿ Se conoce la tasa de error?
          • ¿ Es ampliamente aceptado dentro de una comunidad científica relevante?
      • Patriot Act
        • Expande el poder del gobierno de forma amplia
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • El proceso investigativo: necesidades
      • Aceptación
        • Pasos y métodos son aceptados como validos
      • Confiabilidad
        • Puede probarse que los métodos apoyan los hallazgos.
        • Por ejemplo puede probarse que el método para recuperar una imagen del espacio de swap puede ser exacto.
      • Repetitividad
        • Los procesos pueden ser repetidos por agentes independientes.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Proceso de investigación (2)
      • Integridad
        • Evidencia no es modificada ( si es posible al máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)
      • Causa y efecto
        • Puede mostrar conexiones fuertes entre individuos, evnetos y evidencias.
      • Documentación
        • Todo el proceso documentado, con cada paso explicado y con la justificación apropiada.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • El principio: Alerta por incidente
      • El administrador del sistema nota un comportamiento extraño en el servidor (lento, se cuelga, no responde)
      • IDS alerta al administrador de un trafico de red sospechoso.
      • La compañía repentinamente pierde muchas ventas
      • Algún ciudadano reporta una actividad criminal
        • Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.
      • Asesinato, hay un computador en la escena del crimen.
      • Asesinato, la victima tiene un PDA
      • Agencias de Seguridad del estado y la policía deben investigar
      • Corporación/militares: pueden investigar, dependiendo de la severidad del caso, otras prioridades.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Escena del crimen
      • Documente, documente, documente
      • Fotografías que describan la organización de los equipos, cableados
      • Inventario detallado de la evidencia
      • Procedimientos adecuados, prenda, deje las reglas apagadas por cada tipo de dispositivo
      • Por ejemplo, para computador:
        • Fotografíe la pantalla, luego desconecte la alimentación de energía.
        • Coloque cinta de marca de evidencia sobre cada dispositivo.
        • Fotografíe/diagrame y etiquete la parte posterior del computador con los componentes y sus conexiones existentes.
        • Etiquete todos los conectores y cables de manera de poder re-ensamblar cuando sea necesario.
        • Si requiere de transportar, empaque los componentes y transpórtelos como mercancía frágil.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Ejemplos de evidencia digital
      • Computadores cada vez mas involucrados en investigaciones corporativas y criminales.
      • La evidencia digital puede jugar un rol preponderante o ser una nube de humo.
      • Correo electrónico
        • Acoso o amenaza
        • Chantaje
        • Transmisión ilegal de documentos corporativos internos.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Ejemplos (2)
      • Puntos de encuentro/horas de encuentro para trafico de drogas
      • Cartas de suicidas
      • Información técnica para construir bombas
      • Archivos con imágenes o video digital (por ejemplo pornografía infantil)
      • Evidencia sobre el uso inapropiado de los recursos del computador o ataques
        • Uso de una maquina como un generador de correo spam
        • Uso de una maquina para distribuir copias ilegales de software.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Delitos Informáticos 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Pornografía Infantil 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Delitos Financieros 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Clonadores de atrjetas de credito 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Fuentes de Evidencia digital
      • Computadores
        • Email
        • Imágenes digitales
        • Documentos
        • Hojas de calculo
        • Bitácoras de conversaciones (Chat logs)
        • Software copiado ilegalmente u otro material con derechos restringidos de copia
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Evidencia digital en un disco
      • Archivos
        • Activos
        • Eliminados
        • Fragmentos
      • Metadata de archivos
      • Espacio ocioso (Slack space)
      • Swap file
      • Información del sistema
        • Registry
        • Bitácora (Logs)
        • Data de configuración
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Mas fuentes (1)
      • Teléfonos celulares
        • Números dicados
        • Llamadas recibidas
        • Números de correo de voz accedidos
        • Números de tarjeta de crédito/debito
        • Direcciones de correo electrónico
        • Llamadas a números forward
      • PDAs/ Teléfonos inteligentes
        • Contactos, mapas, fotos, palabras clave, documentos,…
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Mas fuentes (2)
      • Teléfonos internos/Contestadoras telefónicas
        • Mensajes entrantes/mensajes salientes
        • Números llamados
        • Información de la llamada entrante
        • Códigos de acceso para los sistemas de correos de voz entrantes
        • Copiadoras
        • Especialmente copiadoras digitales, que pueden almacenar trabajos enteros.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Mas fuentes (3)
      • Sistemas de video juego
      • Básicamente sistemas computacionales como la XBox.
      • Dispositivos GPS
        • Rutas, puntos de camino
      • Cámaras Digitales
        • Fotos, video, archivos en tarjetas de almacenamiento (SD, memory stick, CF, …)
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Preservación de la Evidencia
      • Estabilizar la evidencia
      • Depende del tipo de dispositivo, pero debe mantener felices a los dispositivos volátiles.
      • Cuando sea posible haga copias de la evidencia original.
      • Dispositivos de bloqueo de escritura y alguna otra tecnologia para garantizar que la información no sea modificada, son usados comúnmente.
      • Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan
      • Evidencia original debe ir luego a lugar controlado, lugar seguro
      • “ Alimentación” de los dispositivos volátiles continúan en almacenamiento
      • Estas copias serán usadas en la próxima fase de la investigacion.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Preservación de la escena del crimen Sala Solo jala el cable Mueve el mouse para una mirada rapida Tripwires tick…tick…tick… Computo volatil Sotano, aramario Conexion inalambrica “ Querida Susana, No es tu culpa
    • Documentación cuidadosa es esencial 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Preservacion de la imagen
      • Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.
      • Bloqueadores de escritura ; buen plan.
      • Herramientas para obtener imagenes:
        • dd bajo Linux
        • Floppies de arranque DOS
        • Soluciones propietarias
      Drivelock write blocker
    • Investigar
    • Análisis: Arte, Ciencia, Experiencia
      • Conocer donde se puede encontrar la evidencia
      • Entender las técnicas usadas para esconder o destruir la data digital
      • Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida
      • Habilidad para manipular gigantesca cantidad de data digital…
      • Ignorar lo irrelevante, apuntar a lo relevante
      • Comprender completamente las circunstancias que hacen a la evidencia no confiable
        • Ejemplo: Creación de nuevos usuarios bajo Windows 95/98
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Computadores Tradicionales: ¿Dónde está la evidencia?
      • Archivos no eliminados, espere que los nombres sean incorrectos
      • Archivos eliminados
      • Windows registry
      • Archivos de impresión del spool
      • Archivos en Hibernación
      • Archivos temporales (todos los .TMP en Windows!)
      • Espacio ocioso (Slack space)
      • Swap files
      • Browser caches
      • Particiones alternas u ocultas
      • Otra variedad de medios removibles como (floppies, ZIP, tapes, …)
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Análisis (1)
      • Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible
      • Descubrimiento de archivos eliminados
      • Descubrimiento de archivos renombrados
      • Recuperación de bloques de datos para archivos grandes eliminados
      • Descubrimiento de material codificado
      • Creación de índices de claves para realizar búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado.
      • Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Análisis (2)
      • Tallado de archivos para recuperar archivos eliminados, fragmentos del espacio no asignado
      • Descubrimiento de los archivos conocidos usando diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, …
      • Categorización de evidencia
        • x Archivos JPEG
        • y Archivos Word
        • z Archivos codificados ZIP
      • Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado
      • Muchos de estos procesos pueden ser automatizados
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Análisis (3)
      • Creación de un archivo de ilustración de las fechas de creación, modificación y eliminación de archivos.
      • Para el sistema de archivos de Unix : inode # “timelines”
      • La actividad inusual saltara en el diagrama de tiempos (timeline)
      • Cuidado! Problemas del reloj, confusiones con los husos horarios , batería del CMOS muerta…
      • Revisión de data no eliminada y recuperada con cumpla con ciertos criterios.
        • Por ejemplo, en un caso de pornografía infantil, busque imágenes JPEG/GIF recuperadas en cualquier archivo multimedia
        • Probablemente no investigue Excel o documentos financieros
      • Formulación de hipótesis y búsqueda de evidencia adicional para justificar o refutar la hipótesis.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Proceso Forense Autorización y Preparación Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción Reportes y Resultados 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características Flag(Forensic and Log Analysis GUI ) www.dsd.gov.au/library/software/flag/ *nix L Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS Sleuth9 www.deepnines.com/sleuth9.html *nix CSR Dragon IDS www.enterasys.com/products/ids/ *nix CLSR NSM Incident response www.intellitactics.com Windows CLSRW neuSecure www.guarded.net *nix CLSRW NetIntercept www.sandstorm.net Linux box CSRA NetWitness www.forensicexplorer.com Windows CLSRA OSSIM www.ossim.net *nix CLSRA SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
    • Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C Ngrep http://ngrep.sourceforge.net *nix C Network Stumbler http://netstumbler.com Windows C Kismet www.kismetwireless.net Windows, Linux C Argus www.qosient.com/argus7/ *nix CL Flow-tools www.splintered.net/sw/flow-tools/ *nix CL Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L Etherape http://etherape.sourceforge.net *nix C Ethereal www.ethereal.com Windows-Linux CLS Etherpeek www.wildpackets.com Windows CLS
      • Algunas otras herramientas que ayudan en el proceso de recolección de la información.
        • Nessus. www.nessus.org
        • Nmap. www.insecure.org
      • También existen las llamadas distribuciones booteables, que son definidas como el conjunto de herramientas en el proceso forense. FIRE,Sleuth,Helix,Plan-B
      • Dentro del conjunto de herramientas existen dos herramientas que se consideran vitales para el manejo de incidentes y análisis forense.
        • IDS/IPS
        • Honeytrap
      Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Demostración FTK 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
    • FTK pantallas: Caso nuevo 21/05/11 Germinal Isern Universidad Nacional de Piura
    • FTK : Comienza la investigación 21/05/11 Germinal Isern Universidad Nacional de Piura
    • FTK : Sumario del caso 21/05/11 Germinal Isern Universidad Nacional de Piura
    • FTK : Thumbnail 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Una muestra de investigacion
      • Windows Registry
      • Swap File
      • Hibernation File
      • Recycle Bin
      • Print Spool Files
      • Filesystem Internals
      • File Carving
      • Slack Space
      • (Estructuras similares Linux, Mac OS X, etc.)
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Acceso al Registry (en vivo Image the machine -- or – Use “Obtain Protected Files” in the FTK Imager 21/05/11 Germinal Isern Universidad Nacional de Piura
    • FTK Registry Viewer 21/05/11 Germinal Isern Universidad Nacional de Piura
    • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • SAM file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • ** VERY IMPORTANT ** “ Select” key chooses which control set is current, which is “last known good” configuration SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • 750GB USB hard drives (same type) Two Jumpdrive Elite thumbdrives SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Mas del Registry
      • Otra información :
        • Tipo de CPU
        • Información Interfaz de Red
          • IP addresses, default gateway, DHCP configuration, …
        • Software instalado
        • Hardware instalado
      • Información del registry tipo “aja te agarre”
        • redundante, información no documentada
        • profile cloning on older versions of Windows (95/98)
          • (e.g., typed URLs, browser history, My Documents, …)
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Sistema de Archivos Esencial conocerlo FAT 12, 16, 32 NTFS EXT 2, 3 ………….. 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
    • Mejor Auditoria 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Criminales en la computacion… 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark (….. Ethereal) Detailed packet data at various protocol levels Packet listing Raw data 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark: Siguiendo un flujo TCP 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark: control flujo FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark: flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark: Flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark: Sesion HTTP save, then trim away HTTP headers to retrieve image Use: e.g., WinHex 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Psinfo ( Detección , análisis ) 21/05/11 Germinal Isern Universidad Nacional de Piura
    • pslist 21/05/11 Germinal Isern Universidad Nacional de Piura
    • handle 21/05/11 Germinal Isern Universidad Nacional de Piura
    • filemon 21/05/11 Germinal Isern Universidad Nacional de Piura
    • psfile 21/05/11 Germinal Isern Universidad Nacional de Piura
    • promiscdetect 21/05/11 Germinal Isern Universidad Nacional de Piura
    • promiscdetect (Wireshark está corriendo ) 21/05/11 Germinal Isern Universidad Nacional de Piura
    • psloggedon 21/05/11 Germinal Isern Universidad Nacional de Piura
    • netstat -a Ataque al corazon?! 21/05/11 Germinal Isern Universidad Nacional de Piura
    • netstat –a -b fuiiii! 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Linux Listado de procesos Salida parcial # ps aux | less 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Linux: lsof Salida parcial # lsof | less 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Linux: Informacion de procesos detallada 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
    • 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Análisis Forense en vivo 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Crear consulta 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Crear 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Objetivo 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Confirmar informacion 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Password 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Adquisicion inicial 21/05/11 Germinal Isern Universidad Nacional de Piura
    • 21/05/11 Germinal Isern Universidad Nacional de Piura
    • 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Informacion General 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Informacion Interfaz IP 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Analisis de datos 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Puertos vmware phoning home to check for updates SMB file server 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Procesos en ejecucion 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Conexiones 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Archivos abiertos 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Analisis vaciados de memoria 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
    • FATKIT / Volatools
      • Python-based system for examining physical memory dumps
      • C:VolatoolsBasic-1.1.1>python volatools
      • usage: volatools cmd [cmd_opts]
      • Supported Commands:
      • connections Print list of open connections
      • datetime Get date/time information for image
      • dlllist Print list of loaded dlls for each process
      • files Print list of open files for each process
      • ident Identify image properties such as DTB and VM type
      • modules Print list of loaded modules
      • pslist Print list of running processes
      • sockets Print list of open sockets
      • strings Match physical offsets to virtual addresses
      • vaddump Dump the VAD sections to files
      • vadinfo Dump the VAD info
      • vadwalk Walk the VAD tree
      21/05/11 Germinal Isern Universidad Nacional de Piura
      • C:VolatoolsBasic-1.1.1>python volatools pslist -f d:MEMDUMP.1GB
      • Name Pid PPid Thds Hnds Time
      • System 4 0 65 262 Thu Jan 01 00:00:00 1970
      • smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007
      • csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007
      • winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007
      • services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007
      • lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007
      • svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007
      • svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007
      • svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007
      • svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007
      • svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007
      • spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007
      • MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007
      • ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007
      • tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007
      • OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007
      • alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007
      • XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007
      • AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007
      • explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007
      • jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007
      • PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007
      • ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007
      • reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007
      • cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007
      • dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007
      21/05/11 Germinal Isern Universidad Nacional de Piura
      • C:VolatoolsBasic-1.1.1>python volatools sockets -f d:memdump.bluelu
      • Pid Port Proto Create Time
      • 1828 500 17 Wed Mar 28 02:22:36 2007
      • 4 445 6 Wed Mar 28 02:22:20 2007
      • 736 135 6 Wed Mar 28 02:22:25 2007
      • 468 1900 17 Wed Mar 28 02:22:58 2007
      • 196 1031 6 Wed Mar 28 02:22:54 2007
      • 1936 1025 6 Wed Mar 28 02:22:35 2007
      • 4 139 6 Wed Mar 28 02:22:20 2007
      • 1828 0 255 Wed Mar 28 02:22:36 2007
      • 1112 123 17 Wed Mar 28 02:22:39 2007
      • 1804 1029 17 Wed Mar 28 02:22:37 2007
      • 384 1028 6 Wed Mar 28 02:22:36 2007
      • 384 1032 6 Wed Mar 28 02:22:56 2007
      • 4 137 17 Wed Mar 28 02:22:20 2007
      • 1936 1026 6 Wed Mar 28 02:22:35 2007
      • 316 1030 6 Wed Mar 28 02:22:44 2007
      • 1164 3793 6 Wed Mar 28 02:22:28 2007
      • 468 1900 17 Wed Mar 28 02:22:58 2007
      • 1828 4500 17 Wed Mar 28 02:22:36 2007
      • 4 138 17 Wed Mar 28 02:22:20 2007
      • 196 1037 6 Wed Mar 28 02:23:03 2007
      • 1936 1027 6 Wed Mar 28 02:22:35 2007
      • 4 445 17 Wed Mar 28 02:22:20 2007
      • 1112 123 17 Wed Mar 28 02:22:39 2007
      21/05/11 Germinal Isern Universidad Nacional de Piura
      • C:VolatoolsBasic-1.1.1>python volatools files -f d:MEMDUMP.1GB
      • ************************************************************************
      • Pid: 4
      • File Documents and SettingsAdministrator.HE00NTUSER.DAT
      • File Documents and SettingsAdministrator.HE00NTUSER.DAT.LOG
      • File System Volume Information_restore{1625C426-0868-4E67-8C21-25BB305F7E1E}RP228change.log
      • File Topology
      • File pagefile.sys
      • File WINDOWSsystem32configSECURITY
      • File WINDOWSsystem32configSECURITY.LOG
      • File WINDOWSsystem32configsoftware
      • File WINDOWSsystem32configsoftware.LOG
      • File hiberfil.sys
      • File WINDOWSsystem32configsystem
      • File WINDOWSsystem32configsystem.LOG
      • File WINDOWSsystem32configdefault
      • File WINDOWSsystem32configdefault.LOG
      • File WINDOWSsystem32configSAM
      • File WINDOWSsystem32configSAM.LOG
      • File Documents and SettingsNetworkService.NT AUTHORITYNTUSER.DAT
      • File Documents and SettingsNetworkService.NT AUTHORITYntuser.dat.LOG
      • File
      • File Documents and SettingsLocalService.NT AUTHORITYntuser.dat.LOG
      • File Documents and SettingsLocalService.NT AUTHORITYNTUSER.DAT
      • File WINDOWSCSC00000001
      • ************************************************************************
      • Pid: 436
      • File WINDOWS
      • File WINDOWSsystem32
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Analisis de la muerte de un computador FTK Interlude 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
    • Email en el computador de Daryl 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Analisis en vivo del computador 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
    • Command: pslist > pslist.txt ? Nada interesante 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Command: pmdump –list > pmdump-list.txt ? Nada interesante? 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Command: handle > handle.txt !! 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Command: dd if=.PhysicalMemory of=PhysicalMemory.dd Command: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt 21/05/11 Germinal Isern Universidad Nacional de Piura
    • El archivo “ log.txt” en directorio c:taxes en Word Para resaltar las sesiones importantes DARYL_EVIDENCElog.doc Examen c:taxes directorio: turbotax97.exe era realmente un keylogger 21/05/11 Germinal Isern Universidad Nacional de Piura
    • 21/05/11 Germinal Isern Universidad Nacional de Piura
    • ¡Algo es sospechoso!
      • Inmediatamente se conectan e ingresan a la red corporativa
      • Atención especial al trafico de “sparelaptop3”
      • Se inicia la investigación de sparelaptop3, que se encuentra en la sala de impresión de la compania
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Wireshark Interlude Analisis de red 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
    • Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare
      • bobotie-notes.txt.bfe:
        • Directory info enumerated at packet 2029-2030.
        • 662 bytes (entire file) transferred in packet 2202.
      • pate.txt (un-encrypted):
        • choose any packet in stream and follow TCP stream, e.g., packet 3360.
        • data transfer is actually at packet 3479.
      • pistachio-macaroons.txt.bfe:
        • 246 bytes (entire file) transferred in packet 4693.
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Historia de inserción de USB (análisis de laptop flotante ) HKEY_LOCAL_MACHINE/SYSUSBSTOR Almacenamiento USB perteneciente a Niles Boudreaux, otro empleado de TurboChef. 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Historia USB HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR ¡Concordo! 21/05/11 Germinal Isern Universidad Nacional de Piura
    • En la computadora de Niles
      • Copias de recetas codificadas y no codificadas (eliminadas)
      • E-mail original de Ignatius Q. Riley (eliminado)
      21/05/11 Germinal Isern Universidad Nacional de Piura
    • Email original de Ignatius ( Maquina N. Boudreaux’s ) 21/05/11 Germinal Isern Universidad Nacional de Piura
    • A Closer Look at Email on Daryl Popper’s Computer 21/05/11 Germinal Isern Universidad Nacional de Piura
    • Una vista mas cerca del e-mail en el computador de Daryl ( HTML SOURCE ) 21/05/11 Germinal Isern Universidad Nacional de Piura
    • La historia real
      • Niles infeliz, contacta a Lick-My-Spoon
      • Niles instala un key logger en la maquina de Daryl while she’s at lunch, and enables guest account and file sharing
      • Key logger records Daryl’s encryption passwords
      • Niles digs up unused, spare laptop
      • Niles gets keystroke log remotely using spare laptop / file sharing
      • Niles copies some recipes to spare laptop using file sharing
      • Niles copies stolen recipes from spare laptop to USB disk
      • Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius
      • Ignatius sends reply to Niles
      • Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops)
      • Niles deposits forged reply on Daryl’s machine
      • Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO, investigation begins
      • Niles continues periodically to copy recipes from Daryl’s machine to spare laptop
      • (These transfers were captured during network logging)
      • Facing mounting evidence, Niles confesses
      21/05/11 Germinal Isern Universidad Nacional de Piura