Windows Anti ForensicsDefeating Forensics ToolsLSC José Salvador González Rivera         Puebla, México   Certified Eccoun...
Técnicas a Revisar:    Colisiones MD5    Identificar erroneamente el formato de un archivo    Examinar sin éxito las marca...
Colisiones MD5
Colisiones MD5 Algoritmos Hash    Un código Hash es un número resultado de una función matemática    que es imposible de r...
Colisiones MD5 Archivos diferentes no deberían producir el mismo hash              JOSE                    SALV           ...
Colisiones MD5 El primer archivo contiene: Detalle de los archivos en http://www.cits.rub.de/imperia/md/content/magnus/rum...
Colisiones MD5 El segundo archivo contiene: Detalle de los archivos en http://www.cits.rub.de/imperia/md/content/magnus/ru...
Colisiones MD5 Colisión en FTK Muestra el mismo hash para ambos archivos
Colisiones MD5 Colisión en Encase Muestra el mismo hash para ambos archivos
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       1                            0
Identificar erroneamente el  formato de un archivo
Identificar Formato  Alterando la extensión y cabecera     Las herramientas forenses tienen 2 métodos para identificar el ...
Identificar Formato  Alterando la extensión y cabecera     Si analizamos la cabecera de un archivo ejecutable (.exe) tenem...
Identificar Formato  Alterando la extensión y cabecera     Creamos un archivo de texto con la misma cabecera y extensión q...
Identificar Formato  Alterando la extensión y cabecera     Si analizamos la cabecera de un documento portable (.pdf) tenem...
Identificar Formato  Alterando la extensión y cabecera     Creamos un archivo de texto con la misma cabecera y extensión q...
Identificar Formato  FTK falló al identificarlos
Identificar Formato  Encase falló al identificarlos
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       2                            0
Examinar sin éxito las marcas de tiempo
Examinar las marcas de tiempo Creación, Modificación y Acceso    Para FTK tenemos marcas de tiempo para: La fecha de creac...
Examinar las marcas de tiempo Creación, Modificación y Acceso
Examinar las marcas de tiempo Creación, Modificación y Acceso
Examinar las marcas de tiempo Alterar las marcas    En cualquiera de los casos, con timestomp (metasploit project)    pode...
Examinar las marcas de tiempo FTK fue engañado - muestra una fecha no válida Pero muestra correctamente una fecha de últim...
Examinar las marcas de tiempo Encase fue engañado - no muestra las fechas pero si muestra correctamente la fecha de último...
Examinar las marcas de tiempo Alterar los atributos con una fecha específica     Para evitar sospechas debido a esta incon...
Examinar las marcas de tiempo Encase fue engañado por completo Muestra la fecha alterada
Examinar las marcas de tiempo FTK fue engañado por completo Muestra la fecha alterada
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       3                            0
Imposibilidad de recuperar archivos borrados
Recuperación de archivos borrados Proceso de eliminación    Cuando se borra un archivo la mayoría de los sistemas operativ...
Recuperación de archivos borrados FTK los recupera sin ningún problema
Recuperación de archivos borrados Encase los recupera sin ningún problema
Recuperación de archivos borrados Proceso de borrado seguro       El borrado seguro sobreescribe con diversos valores el á...
Recuperación de archivos borrados Proceso de borrado seguro           Método                     Comentarios              ...
Recuperación de archivos borrados Proceso de borrado seguro         Método                  Comentarios                 Ni...
Recuperación de archivos borrados Borrado seguro de evidencia    Con el programa opensource: Eraser (www.heidi.ie/eraser) ...
Recuperación de archivos borrados  Teniendo otra unidad limpia, se copiaron 3 archivos de Logsconteniendo texto y se elimi...
Recuperación de archivos borrados  FTK encontró 3 archivos borrados con diferente nombre de los cualessu contenido fue imp...
Recuperación de archivos borrados  Encase encontró los mismos nombres de archivos pero sinposibilidad de recuperar el cont...
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       4                            0
Ocultamiento de archivos vía ADS
Ocultamiento mediante ADS Alternate Data Streams    Un sistema NTFS es un sistema NO-Monolitico que separa la    informaci...
Ocultamiento mediante ADS Alternate Data Streams
Ocultamiento mediante ADS Facilmente detectable por FTK, Encase y otras herramientas
Ocultamiento mediante ADS Facilmente detectable por FTK, Encase y otras herramientas
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       4                            1
Ocultamiento de archivos vía Slack Space
Ocultamiento mediante Slack Space Slack Space    Es el espacio no utilizado que está entre el final de los datos de un    ...
Ocultamiento mediante Slack Space FragFS    Es posible ocultar datos en el Master File Table del NTFS con hammer    de las...
Ocultamiento mediante Slack Space FTK no lo detecta, se requiere analizar el archivo $MFTmanualmente para poder ver el con...
Ocultamiento mediante Slack Space Encase no lo detecta, se requiere analizar el archivo $MFTmanualmente para poder ver el ...
Ocultamiento mediante Slack Space El intruso recupera los datos del MFT de la siguiente manera
Ocultamiento mediante SlackSpace Uso de Slacker (metasploit project)     Se usa el Slack Space seleccionando espacio de di...
Ocultamiento mediante SlackSpace Slack Space en FTK
Ocultamiento mediante SlackSpace Slack Space en Encase
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       5                            1
Ocultamiento de archivos en unidad         virtual protegida
Unidad Virtual Protegida Creación de la unidad     Es posible crear una unidad virtual cifrada contenido en un archivo,   ...
Unidad Virtual Protegida Creación de la unidad     El nombre y extensión del archivo pueden ser cualquiera y su     ubicac...
Unidad Virtual Protegida  Un intruso puede dejar tranquilamente sus archivos dentro de la unidad virtualsin temor a que el...
Unidad Virtual Protegida Encase hasta lo cataloga como Librería del Sistema
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       6                            1
Prevenir la investigación cifrando u      ocultando un volumen
Cifrar Volumenes Creación de la unidad     Es posible crear una unidad cifrada u oculta con el programa     opensource Tru...
Cifrar Volumenes Creación de la unidad
Cifrar Volumenes Si tenemos un volumen cifrado, es imposible determinar los archivosque contiene
Cifrar Volumenes Si tenemos un volumen cifrado, es imposible determinar los archivosque contiene
Puntaje General    ☺Anti Forensics    vs         Forensics Tools       7                            1
salvador @ dgxsecure.comEl software utilizado para realizar las pruebas fue FTK 1.71 y Encase 4.20                        ...
Técnicas Antiforenses
Upcoming SlideShare
Loading in …5
×

Técnicas Antiforenses

4,204 views
4,062 views

Published on

Técnicas básicas antiforenses, ejemplos prácticos para introducirse en este mundo ;) Desarrollado en el año 2008 pero las técnicas siguen estando vigentes.

0 Comments
9 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,204
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
0
Comments
0
Likes
9
Embeds 0
No embeds

No notes for slide

Técnicas Antiforenses

  1. 1. Windows Anti ForensicsDefeating Forensics ToolsLSC José Salvador González Rivera Puebla, México Certified Eccouncil Instructor
  2. 2. Técnicas a Revisar: Colisiones MD5 Identificar erroneamente el formato de un archivo Examinar sin éxito las marcas de tiempo Imposibilidad de recuperar archivos borrados Ocultamiento de archivos vía ADS Ocultamiento de archivos vía Slack Space Ocultamiento de archivos en Unidad Virtual protegida Prevenir la investigación cifrando u ocultando un volumenOtras Técnicas no mencionadas en este documento: Corrimiento de bits en archivos Eliminación de bitácoras de servicios (zappers) Ocultamiento de archivos vía Esteganografía Ocultamiento de procesos y llaves de registro (rootkits) Ocultamiento de archivos en áreas no alcanzables del Disco Duro Utilización de Packers para evitar ingeniería en reversa
  3. 3. Colisiones MD5
  4. 4. Colisiones MD5 Algoritmos Hash Un código Hash es un número resultado de una función matemática que es imposible de revertir, tiene las siguientes características: Toma una entrada de longitud variable, y produce un número menor para la salida. Dos entradas diferentes nunca darán el mismo resultado. Teniendo un número de salida, no es posible obtener el número de entrada. Produce algo similar a una huella digital. En la cadena de custodia sirve para verificar la integridad de la evidencia y comprobar que no ha sido contaminada.
  5. 5. Colisiones MD5 Archivos diferentes no deberían producir el mismo hash JOSE SALV SALV JOSE ADOR ADOR MD5 a25f7f0b 29ee0b39 68c86073 8533a4b9
  6. 6. Colisiones MD5 El primer archivo contiene: Detalle de los archivos en http://www.cits.rub.de/imperia/md/content/magnus/rump_ec05.pdf letter_of_rec.ps
  7. 7. Colisiones MD5 El segundo archivo contiene: Detalle de los archivos en http://www.cits.rub.de/imperia/md/content/magnus/rump_ec05.pdf order.ps
  8. 8. Colisiones MD5 Colisión en FTK Muestra el mismo hash para ambos archivos
  9. 9. Colisiones MD5 Colisión en Encase Muestra el mismo hash para ambos archivos
  10. 10. Puntaje General ☺Anti Forensics vs Forensics Tools 1 0
  11. 11. Identificar erroneamente el formato de un archivo
  12. 12. Identificar Formato Alterando la extensión y cabecera Las herramientas forenses tienen 2 métodos para identificar el formato de un archivo: por su extensión y por su cabecera (header). La extensión de un archivo puede ser facilmente cambiada con el comando rename de MSDOS o con la opción Cambiar nombre del Windows Explorer: La cabecera de un archivo puede ser cambiado mediante un editor hexadecimal para evitar el análisis de cabeceras:
  13. 13. Identificar Formato Alterando la extensión y cabecera Si analizamos la cabecera de un archivo ejecutable (.exe) tenemos:
  14. 14. Identificar Formato Alterando la extensión y cabecera Creamos un archivo de texto con la misma cabecera y extensión que el ejecutable (.exe):
  15. 15. Identificar Formato Alterando la extensión y cabecera Si analizamos la cabecera de un documento portable (.pdf) tenemos:
  16. 16. Identificar Formato Alterando la extensión y cabecera Creamos un archivo de texto con la misma cabecera y extensión que el documento portable (.pdf):
  17. 17. Identificar Formato FTK falló al identificarlos
  18. 18. Identificar Formato Encase falló al identificarlos
  19. 19. Puntaje General ☺Anti Forensics vs Forensics Tools 2 0
  20. 20. Examinar sin éxito las marcas de tiempo
  21. 21. Examinar las marcas de tiempo Creación, Modificación y Acceso Para FTK tenemos marcas de tiempo para: La fecha de creación, modificación y último acceso. Para Encase tenemos marcas de tiempo para: La fecha de creación, última escritura, último acceso y entrada modificada. Entry Modified: Despliega la fecha y hora cuando el archivo cambió su tamaño. Si sufre modificaciones pero no altera su tamaño, éste valor no se modifica.
  22. 22. Examinar las marcas de tiempo Creación, Modificación y Acceso
  23. 23. Examinar las marcas de tiempo Creación, Modificación y Acceso
  24. 24. Examinar las marcas de tiempo Alterar las marcas En cualquiera de los casos, con timestomp (metasploit project) podemos modificar los atributos con valores que no pueden ser visualizados con Encase.
  25. 25. Examinar las marcas de tiempo FTK fue engañado - muestra una fecha no válida Pero muestra correctamente una fecha de último acceso
  26. 26. Examinar las marcas de tiempo Encase fue engañado - no muestra las fechas pero si muestra correctamente la fecha de último acceso
  27. 27. Examinar las marcas de tiempo Alterar los atributos con una fecha específica Para evitar sospechas debido a esta inconsistencia, es preferible alterar los atributos pero con una fecha en especifico:
  28. 28. Examinar las marcas de tiempo Encase fue engañado por completo Muestra la fecha alterada
  29. 29. Examinar las marcas de tiempo FTK fue engañado por completo Muestra la fecha alterada
  30. 30. Puntaje General ☺Anti Forensics vs Forensics Tools 3 0
  31. 31. Imposibilidad de recuperar archivos borrados
  32. 32. Recuperación de archivos borrados Proceso de eliminación Cuando se borra un archivo la mayoría de los sistemas operativos lo que hacen es marcarlo como eliminado y su zona de datos la consideran vacía, pero los datos nunca fueron erradicados del medio físico. Mientras otro archivo no modifique esa área de datos se puede recuperar.
  33. 33. Recuperación de archivos borrados FTK los recupera sin ningún problema
  34. 34. Recuperación de archivos borrados Encase los recupera sin ningún problema
  35. 35. Recuperación de archivos borrados Proceso de borrado seguro El borrado seguro sobreescribe con diversos valores el área de datos en donde se encuentre la información del archivo. Los métodos más comunes son los siguientes: Método Comentarios Nivel de Seguridad G1 - Super Fast Zero Write Sobreescribe un valor (0x00) en Bajo cada tercer sector. G2 - Fast Zero Write Sobreescribe un valor (0x00) en Bajo cada sector. G3 – Zero Write Sobreescribe un valor (0x00) en Bajo toda el área del disco. G4 – Random Write Sobreescribe un valor aleatorio. Medio G5 – Random & Zero Write Sobreescribe un valor aleatorio y Medio luego con un valor fijo (0x0) G6 – Navso P-5239-26-MFM De la US Navy, se utilizaba con Medio discos MFM, sobreescribe con un valor fijo y después con un valor aleatorio.
  36. 36. Recuperación de archivos borrados Proceso de borrado seguro Método Comentarios Nivel de Seguridad G7 - Navso P-5239-26-RLL De la US Navy, se utilizaba con Medio discos RLL, sobreescribe con un valor fijo y después con un valor aleatorio. Se aplica a CDs. G8 – Bit Toggle Sobreescribe la zona de datos 4 Medio veces con diferentes valores (0x00, 0xff, 0x00, 0xff) G9 – Random Random Zero Sobreescribe 2 veces con valores Medio aleatorios y luego con un valor fijo. Vuelve a escribir 2 veces con valores aleatorios y finaliza con ceros. G10 – DoD 5220.22-M Del US DoD, sobreescribe con un valor Medio fijo determinado, después sobreescribe con un valor complementario y se termina sobre escribiendo con valores aleatorios. G11 – AFSSI 5020 De la US Air Force, sobreescribe Medio con un valor fijo (0x00), después otro valor fijo (0xff) y finaliza con un valor aleatorio.
  37. 37. Recuperación de archivos borrados Proceso de borrado seguro Método Comentarios Nivel de Seguridad G12 – NATO Standard De la OTAN, sobreescribe 7 veces Alto Las primeras 6 veces con valores fijos (0x00 y 0xff), la última con un valor aleatorio. G13 – Método Gutmann Sobreescribe valores aleatorios Alto cuatro veces sobre cada sector, después sobreescribe con valores pseudo aleatorios durante 27 pasadas. Para terminar sobreescribe valores aleatorios 4 veces. En total se realizan 35 sobreescrituras. G14 – DoD 5220.22-M Combina el grado 10 y el 13. En Alto total son 35 sobreescrituras con + iteraciones de Mersenne. Método Gutmann
  38. 38. Recuperación de archivos borrados Borrado seguro de evidencia Con el programa opensource: Eraser (www.heidi.ie/eraser) es posible borrar de manera segura utilizando métodos predefinidos o creando nuevos métodos:
  39. 39. Recuperación de archivos borrados Teniendo otra unidad limpia, se copiaron 3 archivos de Logsconteniendo texto y se eliminaron con Eraser 5.84
  40. 40. Recuperación de archivos borrados FTK encontró 3 archivos borrados con diferente nombre de los cualessu contenido fue imposible recuperar
  41. 41. Recuperación de archivos borrados Encase encontró los mismos nombres de archivos pero sinposibilidad de recuperar el contenido
  42. 42. Puntaje General ☺Anti Forensics vs Forensics Tools 4 0
  43. 43. Ocultamiento de archivos vía ADS
  44. 44. Ocultamiento mediante ADS Alternate Data Streams Un sistema NTFS es un sistema NO-Monolitico que separa la informacion de un archivo y sus recursos, por ejemplo: localización, fonts, iconos, etc. y mantiene un mapeo o link por medio del Master File Table (MFT) que es administrada por el API de Windows y accedida por medio de aplicaciones. Existe una inconsistencia que permite manipular la Metadata de manera manual sin utilizar la API, esta inconsistencia está documentada en el artículo Q101353 de Microsoft Technet. Stream 1 Archivo Stream 2 Stream 3
  45. 45. Ocultamiento mediante ADS Alternate Data Streams
  46. 46. Ocultamiento mediante ADS Facilmente detectable por FTK, Encase y otras herramientas
  47. 47. Ocultamiento mediante ADS Facilmente detectable por FTK, Encase y otras herramientas
  48. 48. Puntaje General ☺Anti Forensics vs Forensics Tools 4 1
  49. 49. Ocultamiento de archivos vía Slack Space
  50. 50. Ocultamiento mediante Slack Space Slack Space Es el espacio no utilizado que está entre el final de los datos de un archivo y el final del cluster que aloja el archivo. Siempre se ha podido utilizar para guardar datos de manera oculta, solo con un visualizador hexadecimal es posible ver el contenido. Herramientas como FTK y Encase muestran automaticamente el contenido del Slack Space. Pero … Es posible utilizar el Slack Space del Master File Table $MFT También es posible utilizar el Slack Space seleccionando espacio de diferentes archivos y utilizando cifrado.
  51. 51. Ocultamiento mediante Slack Space FragFS Es posible ocultar datos en el Master File Table del NTFS con hammer de las herramientas FragFS sin alterar el funcionamiento del sistema de archivos (probado solo en WinXPsp2):
  52. 52. Ocultamiento mediante Slack Space FTK no lo detecta, se requiere analizar el archivo $MFTmanualmente para poder ver el contenido del archivo oculto.txt
  53. 53. Ocultamiento mediante Slack Space Encase no lo detecta, se requiere analizar el archivo $MFTmanualmente para poder ver el contenido del archivo oculto.txt
  54. 54. Ocultamiento mediante Slack Space El intruso recupera los datos del MFT de la siguiente manera
  55. 55. Ocultamiento mediante SlackSpace Uso de Slacker (metasploit project) Se usa el Slack Space seleccionando espacio de diferentes archivos de manera automatica y utilizando “cifrado”.
  56. 56. Ocultamiento mediante SlackSpace Slack Space en FTK
  57. 57. Ocultamiento mediante SlackSpace Slack Space en Encase
  58. 58. Puntaje General ☺Anti Forensics vs Forensics Tools 5 1
  59. 59. Ocultamiento de archivos en unidad virtual protegida
  60. 60. Unidad Virtual Protegida Creación de la unidad Es posible crear una unidad virtual cifrada contenido en un archivo, mediante el programa opensource filedisk, solo son necesarios 2 archivos, un .sys instalado en el directorio de sistema de windows y un .exe, sin embargo también existe una interfaz gráfica para realizarlo:
  61. 61. Unidad Virtual Protegida Creación de la unidad El nombre y extensión del archivo pueden ser cualquiera y su ubicación también, se monta como una unidad más del sistema que debe formatearse y utilizar desde el Explorer.
  62. 62. Unidad Virtual Protegida Un intruso puede dejar tranquilamente sus archivos dentro de la unidad virtualsin temor a que el investigador forense pueda obtener sus herramientas
  63. 63. Unidad Virtual Protegida Encase hasta lo cataloga como Librería del Sistema
  64. 64. Puntaje General ☺Anti Forensics vs Forensics Tools 6 1
  65. 65. Prevenir la investigación cifrando u ocultando un volumen
  66. 66. Cifrar Volumenes Creación de la unidad Es posible crear una unidad cifrada u oculta con el programa opensource TrueCrypt:
  67. 67. Cifrar Volumenes Creación de la unidad
  68. 68. Cifrar Volumenes Si tenemos un volumen cifrado, es imposible determinar los archivosque contiene
  69. 69. Cifrar Volumenes Si tenemos un volumen cifrado, es imposible determinar los archivosque contiene
  70. 70. Puntaje General ☺Anti Forensics vs Forensics Tools 7 1
  71. 71. salvador @ dgxsecure.comEl software utilizado para realizar las pruebas fue FTK 1.71 y Encase 4.20 DGXSecure es una marca registrada. Todas las pruebas realizadas se repitieron más de una vez para comprar que el resultado era el mismo.

×