HERRAMIENTAS DE COMPUTACION FORENSE

6,234
-1

Published on

LABORATORIO CON PHOTOREC,TESTDISK y OPENCRACK

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
6,234
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
226
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

HERRAMIENTAS DE COMPUTACION FORENSE

  1. 1. LABORATORIOS CON HERRAMIENTAS DE COMPUTACION FORENSEEl grupo realizo una investigación completa del software de cómputo forense que es para nuestro trabajode investigación (CAINE2.0), El cual lo hemos ejecutado en dos software de maquinas virtuales comoson: VirtualBox4.0 y VmWare7.0Seguidamente vamos a detallar 3 herramientas de las 15 que tiene este software para nuestrolaboratorio de computación forense.LABORATORIO 1: Recuperar archivos perdidos ó datos perdidos de una partición reformateada ó unsistema de archivos dañado con CAINEOBJETIVOS DEL LABORATORIO: - Dar a conocer las herramientas forenses con que cuenta el software CAINE - Explicar la técnica de recuperación de datos con photorec - Ejecución del programa photorec y demostración de resultados -BREVE DESCRIPCION DE PHOTOREC PhotoRec, Digital Picture and File Recovery PhotoRec es un software diseñado para recuperar archivos perdidos incluyendo videos, documentos y archivos de los discos duros y CDRoms así como imágenes perdidas de las memorias de las cámaras fotográficas, MP3 players, PenDrives, etc. PhotoRec ignora el sistema de archivos y hace una búsqueda profunda de los datos, funcionando incluso si su sistema de archivos está muy dañado o ha sido re-formateado.Sistemas OperativosPhotoRec corre bajo:DOS/Win9xWindows NT 4/2000/XP/2003LinuxFreeBSD, NetBSD, OpenBSDSun SolarisMac OS X y puede ser compilado en casi todos los sistemas Unix.Sistemas de ArchivoPhotorec ignora los sistemas de archivos, por eso es que puede trabajar incluso en discos o memoriasmuy dañados. Puede recuperar datos de al menos sistemas: FAT, NTFS, EXT2/EXT3 filesystem, HFS+Sistemas de MediosPhotoRec trabaja con HDD, CDRooms, tarjetas de memoria (Compact Flash, Memory Stick,SecureDigital/SD, SmartMedia, Microdrive, MMC...); Pendrives, DD raw image, EnCase EO1 image.Formatos de archivos conocidosPhotoRec busca extensiones de archivo conocidas. Si no hubo fragmentación de datos, puede recuperarel archivo entero. PhotoRec reconoce numerosos formatos de archivo incluyendo ZIP, archivos de Office,PDF, HTML, JPEG y varios formatos gráficos.DESARROLLO DEL LABORATORIOEste laboratorio muestra un ejemplo de recuperación utilizando la herramienta PhotoRec paso a pasopara recuperar archivos perdidos ó datos perdidos de una partición reformateada ó un sistema dearchivos dañado. Para una partición perdida/borrada ó archivos eliminados de un sistema de archivosFAT/NTFS.
  2. 2. Si Caine no está todavía instalado, puede ser descargado de:http://www.caine-live.net/page5/page5.htmlEn nuestro caso nosotros estamos utilizando la distribución caine y photorec es una herramienta forenseque ya se encuentra incluida en este softwareAl ingresar a photorec, Primero nos pedirá nuestra contraseñaSelección de Discos Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que contiene los archivos perdidos. Presionar Enter para continuar.
  3. 3. Selección del tipo de tabla de particionamientoSeleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que PhotoRec auto-detecta el tipo de tabla de partición.Selección de partición OrigenSeleccionar Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la recuperación, Options para modificar las opciones, File Opt para modificar la lista de archivos recuperados por PhotoRec.
  4. 4. Opciones de PhotoRec Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados. Habilitar bruteforce si se quieren recuperar más archivos JPEG fragmentados, teniendo en cuenta que esta opción tiene un alto impacto en el rendimiento del CPU. Allow partial last cylinder modifica como es determinada la geometría del disco, solamente discos no particionados deberían verse afectados. La opción expert mode permite al usuario forzar el tamaño de bloques y el desplazamiento (offset). Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para permitir el uso de otras herramientas sobre estos datos. Habilitar Low memory si su sistema no tiene suficiente memoria y se cuelga mientras se realiza el proceso de recuperación. Puede ser requerido para sistemas de archivos grandes y muy fragmentados. No use esta opción a no ser que sea absolutamente necesario.Selección de archivos a recuperar
  5. 5. Habilitar o deshabilitar la recuperación de ciertos tipos de archivos Guardamos la configuración que hemos elegido
  6. 6. Tipo de Filesystem Una vez que la partición ha sido seleccionada y validada con Search, PhotoRec necesita saber como los bloques de datos son distribuídos. Al menos que se use ext2/ext3, seleccionar Other.Surcar la partición ó el espacio no atribuido solamentePhotoRec puede buscar archivos de
  7. 7. toda la partición (útil si la partición está severamente dañada) ó solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3, FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados.Seleccionar donde se deben escribir los archivos recuperadosRecuperación en progresoLa cantidad de archivos recuperados es actualizada en tiempo real.
  8. 8. Durante la primera pasada, PhotoRec busca los primeros 10 archivos para determinar el tamaño de los bloques. Durante la siguiente pasada, los archivos son recuperados incluyendo algunos archivos fragmentados.Los archivos recuperados son escritos en los sub directorios recup_dir.1, recup_dir.2... . Es posibleacceder los archivos incluso si la recuperación no terminó. La recuperación está completa
  9. 9. Cuando la recuperación termina, un sumario es mostrado en pantalla. Notar que si se interrumpe la recuperación, la próxima vez que PhotoRec sea iniciado, se preguntará si se desea resumir la recuperación anterior.RESULTADOS DEL LABORATORIO:Después del análisis se pudo recuperar 20327 files TIPO DE FILE CANTIDAD txt 19186 Tx? 1043 elf 69 gz 21 png 8OTRA OPCION: UTILIZACION DE PHOTOREC EN UN ENTORNO WINDOWS XP1. Primero descargar TestDisk que incluye PhotoRec.2. Guardar PhotoRec a un dispositivo externo, y conectar este dispositivo a la máquina3. Ejecutar PhotoRec ,el archivo se llama photorec_win.exe, y se encuentra en el directorio4. Elija la unidad de unidad de destino para PhotoRec para buscar archivos, y pulse ENTER para continuar:
  10. 10. Si tiene varios discos duros en su sistema, usted debe repetir este paso para cada unidad de disco duro(por ejemplo, una vez que se han recuperado los archivos de una unidad, se debe repetir el proceso parala siguiente unidad). 5. Seleccione el tipo de tabla de particiones (por lo general "Intel") y pulse ENTER para continuar. 6. Seleccione la partición que desea recuperar los archivos desde y presiona "Enter" para continuar. Si el disco tiene varias particiones, es necesario repetir este paso para cada uno. 7. Seleccione el tipo de sistema de archivos (usuarios de Windows deben elegir "Otros") y pulse ENTER para continuar.8. Escoja dónde buscar los archivos eliminados y pulse ENTER para continuar. Seleccione la opción "Todo" para buscar todo el disco para los archivos eliminados.
  11. 11. 9. PhotoRec a continuación, le pedirá que especifique un directorio de destino para los archivos restaurados. Utilice el explorador de archivos PhotoRec para mover al directorio raíz (eligiendo "..." y presione ENTER). Le muestra el directorio raíz de los discos que el sistema tiene. Seleccione la opción adecuada extraíble (o de red), y la carpeta donde desea guardar los archivos recuperados. Es muy importante elegir un disco duro externo (es decir, no elija una unidad en la máquina infectada, ya que los archivos eliminados pueden ser dañados). Antes de la recuperación de archivos, por favor asegúrese de que ha creado un directorio independiente de la unidad (por ejemplo, "recuperada") y elegir guardar los archivos recuperados en este directorio, a fin de evitar errores que se presentan más adelante en el proceso de recuperación. Una vez elegido el directorio, pulse en "Y".Una vez que haya presionado "Y", podrás ver el proceso de restauración de archivos en la acción. Porfavor, tenga en cuenta que este proceso puede tomar una cantidad considerable de tiempo.
  12. 12. Espere para la exploración hasta el final antes de pasar al siguiente paso.10. Los archivos recuperados son en su disco duro externo elegido. Cuando se abre el directorio que contiene los archivos recuperados, se dará cuenta de que los nombres de archivo no se corresponden con los nombres originales de los archivos en el disco duro. Sus nombres de archivo se verá algo como esto:
  13. 13. LABORATORIO CON TESTDISK Seleccione Crear solamente si tiene una razón para añadir datos al registro o si se ejecuta TestDisk desde un archivo media de solo lectura y debe crearse la imagen en otro lugar. Presione Entrar para continuar.Selección de disco
  14. 14. Use las teclas flecha arriba/abajo para seleccionar su disco duro con la/s partición/es perdida/s. Presione Entrar para continuar. Si está disponible, use /dev/rdisk* en un dispositivo limpio en lugar de /dev/disk* paraacelerar la transferencia de datos.Selección del tipo de la Tabla de particionesTestDisk nos muestra los tipos de Tabla de particiones. Seleccionar el tipo de Tabla de partición - normalmente el valor por defecto, del tipo de tabla de particiones, es el correcto como autodetecta TestDisk. . Presione Entrar para continuar.Estado actual de la tabla de particionesTestDisk muestra los menús
  15. 15. Utilice el menú por defecto "Analyse" (Analizar), para comprobar la estructura de su partición actual y buscar particiones perdidas. Confirmar el análisis presionando Entrar para continuar.Ahora, se muestra la estructura de su partición actual. Examine las particiones desaparecidas ylos errores en la estructura actual de sus particiones.La primera partición está repetida en la lista por que apunta a una partición dañada o con unatabla de entrada de partición no válida.Puntos de arranque NTFS no válidos en un sector de arranque NTFS defectuoso, por lo que estoes un sistema de archivos dañado.Sólo una partición lógica (etiqueta de partición 2) está disponible en la partición extendida. Unapartición lógica ha desaparecido.
  16. 16. Confirmar seleccionando Quick Search (Búsqueda Rápida) y presionar "Entrar" para continuar.Búsqueda Rápida de particiones Seleccionar la partición (queda resaltada), y presione p para listar los archivos, (para volver a la pantalla anterior, pulse q para Salir).Todos los directorios y datos están correctamente listados. Presionar Entrar para continuar.¿Guardar la tabla de particiones o buscar más particiones?
  17. 17. Cuando todas las particiones están disponibles y los datos correstamente listados, puede ir al menú Escribir para guardar la estructura de la partición. El menú Extd Part le da la oportunidad de decidir si la partición extendida usará todo el espacio disponible en disco o sólo el espacio (mínimo) requerido. Ya que una partición, la primera, todavía falta, seleccionar el menú Deeper Search(Búsqueda Profunda), (si no se realiza ya de forma automática), y Presionar Entrar para continuar.Una partición está todavía desaparecida: Búsqueda másprofunda Después de realizar la búsqueda profunda, los resultados se muestran como sigue: La primera partición "Partición 1" fue encontrada usando la copia de seguridad del sector de arranque. En la última línea de su pantalla, puede leer el mensaje "NTFS encontrado usando la copia de seguridad del sector!." y el tamaño de su partición. La "partición 2" aparece dos veces con diferentes tamaños. Ambas particiones se enumeran con el estado D de borradas, porque se superponen una a la otra.
  18. 18. Seleccione la primera partición Partición2 y presione p para listar sus datos.El sistema de archivos de la partición lógica superior (etiquetada (haga clic en laPartición2) está dañado miniatura). Presione q para Salir y volver a la pantalla anterior. Deje esta partición Partición2, con un sistema de archivos dañado, marcada como D(borrada). Resalte la segunda partición Partición 2 debajo Presione p para listar sus archivos.
  19. 19. ¡Funciona, ha encontrado la partición correcta! Utilice las flechas izquierda/derecha para desplazarse entre sus carpetas y ver sus archivos de más verificaciones.Nota: La lista de directorios FAT está limitada a 10 grupos (clusters) - algunos archivos puedenno aparecer, pero esto no afecta a la recuperación. Presione q para Salir y volver a la pantalla anterior. El estado de disponibilidad para las particiones Primarias es: *(Iniciable), L(Lógica) y D(Suprimida).Usando las teclas: Flecha izquierda/derecha, cambie el estado de la partición seleccionada aL(Lógica)Sugerencia: leer ¿Cómo reconocer las particiones primarias y lógicas?Nota: Si una partición está enlistada como: *(iniciable), pero no es su partición de arranque,puede cambiarla a partición PPrimaria. Presionar Entrar para continuar.Recuperación de la tabla de particionesAhora es posible escribir la nueva estructura de la tabla de particiones..Nota: La partición extendida se establece automáticamente. TestDisk reconoce que estáutilizando una estructura diferente de partición.
  20. 20. Confirmar en Escribir presionando Entrar, y hecho.Ahora, todas las particiones estan registradas en la tabla de particiones.Recuperar el Sector de Arranque NTFSEl Sector de Arranque de la primera partición llamado Partition 1 está aún dañado. Es hora dearreglarlo. El estado del Sector de Arranque NTFS es malo y la copia de seguridad del Sector de Arranquees válida. Los sectores de arranque no son idénticos. Para sobreescribir el Sector de Arranque con la Copia de Seguridad del sector de arranque, seleccione Backup BS, y validar presionando Entrar, usar y para confirmar y después OK.
  21. 21. Más información acerca de la reparación de su Sector de Arranque en TestDisk elementos delmenú. El siguiente mensaje expuesto:El sector de arranque y de su copia de seguridad estan ahora perfectamente e idénticos: el sectorde arranque NTFS se ha recuperado satisfactoriamente. Press Enter to quit. TestDisk nos muestra Tiene que reiniciar su computadora para acceder a sus datos por consiguiente presione Entrar, otra vez y reinicie su equipo.
  22. 22. LABORATORIO OPENCRACKTe da la posibilidad de poder recuperar nuestras contraseñas perdidas/olvidadas.OphCrack según el sitio oficial consta de las siguientes caracteristicas:* » Runs on Windows, Linux and Mac OS X (intel).* » Cracks LM and NTLM hashes.* » Free tables available for alphanumeric LM hashes.* » Loads hashes from local SAM, remote SAM.* » Loads hashes from encrypted SAM recovered from a Windows partition, Vista included.Nota: La obtención de contraseñas se hace mediante el uso de tablas basadas en tablas rainbow..Más info: http://ophcrack.sourceforge.net/tables.php1) Primero y antes que nada hay que bajar el ISO de la LiveCD de aquí:http://sourceforge.net/project/showfiles.p...ckage_id=167699 (asegurate de bajar la versión livecd).2) Una vez bajado vamos a quemarlo nuestra imagen de CD con cualquier programa para tal motivo(nero, alcohol, k3b, GnomeBaker, etc)3) Reinicias el ordenador y ajustamos el orden de los dispositivos que analiza la BIOS para poderarrancar , en este caso se deben imaginar que debemos poner el CD como primer dispositivo a analizar,hay pcs que se accede al BIOS presionando F2 o Supr (Delete), igual al encerderla nos muetsra unmensaje como el siguiente:4) Una vez accedido ajustamos el orden para poder iniciar con el CD (nota, depende la BIOS será el lugara donde debas modificar, no debe ser extactamente como la imagen, aparte por que yo estoy usandovmware xD):5) Guardamos los cambios y ahora si aparecerá la interfaz de inicia de Ophcrack:
  23. 23. 6) Podemos ajustar algunas opciones (si no, simplemente presionar "Enter"):7) Empezará el inicio y config. del entorno gráfico y demás cosas xD:8) Después cargarla el archivo SAM de nuestra partición windows y empezará con la tarea de encontrarlas contraseñas de las diferentes cuentas que existan:Esto demorará dependiendo de la cantidad de caracteres usados en las contraseñas y de lasposibilidades de nuestro pc.
  24. 24. INFORMACIONPágina Oficial de CAINEhttp://www.caine-live.net/CAINE, LiveCD GNU/Linux para Informática Forensehttp://www.dragonjar.org/caine-livecd-linux-para-informatica-forense.xhtmlNueva Versión del CAINE, LiveCD para Informática Forensehttp://www.dragonjar.org/nueva-version-del-caine-livecd-para-informatica-forense.xhtmlPágina de descarga de PhotoRechttp://www.cgsecurity.org/wiki/TestDisk_DownloadPágina de descarga de Autopsyhttp://www.sleuthkit.org/autopsy/

×