Reto Ciberbullyng   DragonJar I                Alejandro Ramos        Computer Hacking Forensic Investigator              ...
Yo. Ego - presentación Manager del TigerTeam de SIA Profesor en el MOSTIC de la Universidad  Europea de Madrid (Hardenin...
EJEMPLO - Cyberbullying Concurso – Reto Forense Dragon Jar I Se obtiene una imagen (VM) del equipo de un  sospechoso de ...
Adquisición de imagen   Por tratarse de un Vmware:    ◦ Se añade un disco duro virtual > al original    ◦ Se arranca con ...
Adquisición
Información básica Registrado: Scarface XP SP3 AMD Athlon 512Mb Usuario: Administrador Uso horario GMT+5
Fecha de instalación HKLMSOFTWAREMicrosoftWindows  NTCurrentVersion UnixTime: 1260862666 = 15 Dec 2009
Software instalado TrueCrypt Windows Live IrfanView
Procesos en ejecución No se detecta malware Ni procesos extraños
Servicios en ejecución No se detecta malware Ni servicios extraños
Análisis de arranque No se detecta malware Ni servicios extraños
Drivers instalados   Driver de truecrypt instalado
Aplicaciones ejecutadas – Prefetch
Aplicaciones ejecutadas – PrefetchAplicación   FuncionalidadS-TOOLS      EstenografíaTIMESTOMP    Anti-forense, modificaci...
Archivos recientes   C:Documents and SettingsAdminReciente
Búsqueda de ADS AlternateStremView (nirsoft) Archivo: Scarface.jpg contine: «oculto» «oculto» es un ejecutable de «Steg...
Busqueda de archivos TrueCrypt               Búsqueda con fecha               Tamaño de archivo
Busqueda de aplicación TrueCrypt No se encuentra TrueCrypt en «Inicio» ni  en «Archivos de programa» Se busca en el regi...
Búsquedas en Internet MyLastSearch de Nirsoft Búsquedas en Google de contenido  sexual infantil
Archivos temporales de Internet Uso de index.dat Analyzer para facilitar el  proceso Se detectan búsquedas de sexo infan...
index.dat Analyzerhttp://www.systenance.com/indexdat.php
Imágenes pedófilas en la cache Uso de irfanview para ver imágenes  cacheadas Se detecta pornografía infantil
Cache del navegador El usuario se registra en el portal Se obtiene usuario y correo electrónico
Cache del navegador   Se comparte contenido pornográfico
Cache del navegador   Contraseña y comentarios
Cache del navegador   Usuario añadido en hotmail ¿victima?
Cache del Navegador   Se obtiene contraseña del portal    imgsrc.ru
Búsquedas en el Historial Se encuentran referencias a imágenes  «sexy (n).jpg» en «Mis imágenes» Los ficheros ya no exis...
Búsquedas en el Historial   Referencias a los archivos anteriores en    «Z:»
Historial de MSN No hay registros de MSN No hay archivos en «Mis archivos  recibidos» Se encuentran imágenes en la cach...
Contactos MSN   C:Documents and    SettingsAdministradorConfiguración    localDatos de programaMicrosoftWindows    Live C...
Disco Duro
Disco duros - interfaces
Estructura disco duro                •   A Pista                •   B Sector                •   C Sector de una pista     ...
Sector / Cluster Cluster es la mínima unidad de  almacenamiento para el sistema operativo Los clusters se componen de se...
Espacio Slack1. Fichero ocupa: 768Bytes2. Un cluster son 4 sectores3. El sector 2 es ocupado parcialmente y dependiendo de...
Busqueda en «slack space»
Busqueda en «slack space»
Camila
¿LockNote?   Se obtienen las credenciales de imgsrc.ru    (ya obtenidas)
TrueCrypt La contraseña esta cacheada en memoria  y no es necesaria Aunque haciendo pruebas, se puede  averiguar que es ...
Línea temporal    19/12/2009 – 21:06:15 21:08:52    Obtención de datos High School Music    19/12/2009 – 21:16:04 21:20:44...
¿PREGUNTAS?
Gracias           Alejandro Ramos   www.securitybydefault.com
Upcoming SlideShare
Loading in …5
×

Un caso de Forense: Delito de pederastia en Windows

3,742 views

Published on

Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,742
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
144
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Un caso de Forense: Delito de pederastia en Windows

  1. 1. Reto Ciberbullyng DragonJar I Alejandro Ramos Computer Hacking Forensic Investigator SecurityByDefault.com
  2. 2. Yo. Ego - presentación Manager del TigerTeam de SIA Profesor en el MOSTIC de la Universidad Europea de Madrid (Hardening Linux y Análisis Forense) Editor de SecurityByDefault.com Blah Blah…
  3. 3. EJEMPLO - Cyberbullying Concurso – Reto Forense Dragon Jar I Se obtiene una imagen (VM) del equipo de un sospechoso de ciber-acoso Se solicita un análisis forense del equipo para confirmar la sospecha. Imágenes disponibles en:http://www.dragonjar.org/resultado-del-primer-reto-forense-de-la-comunidad-dragonjar.xhtml
  4. 4. Adquisición de imagen Por tratarse de un Vmware: ◦ Se añade un disco duro virtual > al original ◦ Se arranca con un livecd tipo CAINE/DEFT ◦ Se crea partición FAT32 y se formatea (mkfs.vfat) ◦ Se monta sobre /mnt ◦ Se genera la imagen: guymager  dcfldd
  5. 5. Adquisición
  6. 6. Información básica Registrado: Scarface XP SP3 AMD Athlon 512Mb Usuario: Administrador Uso horario GMT+5
  7. 7. Fecha de instalación HKLMSOFTWAREMicrosoftWindows NTCurrentVersion UnixTime: 1260862666 = 15 Dec 2009
  8. 8. Software instalado TrueCrypt Windows Live IrfanView
  9. 9. Procesos en ejecución No se detecta malware Ni procesos extraños
  10. 10. Servicios en ejecución No se detecta malware Ni servicios extraños
  11. 11. Análisis de arranque No se detecta malware Ni servicios extraños
  12. 12. Drivers instalados Driver de truecrypt instalado
  13. 13. Aplicaciones ejecutadas – Prefetch
  14. 14. Aplicaciones ejecutadas – PrefetchAplicación FuncionalidadS-TOOLS EstenografíaTIMESTOMP Anti-forense, modificación de fechasTRUECRYPT Cifrado de volúmenes y discos
  15. 15. Archivos recientes C:Documents and SettingsAdminReciente
  16. 16. Búsqueda de ADS AlternateStremView (nirsoft) Archivo: Scarface.jpg contine: «oculto» «oculto» es un ejecutable de «Steganos LockNote»
  17. 17. Busqueda de archivos TrueCrypt  Búsqueda con fecha  Tamaño de archivo
  18. 18. Busqueda de aplicación TrueCrypt No se encuentra TrueCrypt en «Inicio» ni en «Archivos de programa» Se busca en el registro «Uninstall»: HKLMSoftwareMicrosoftWindowsCurr entVersionUninstall
  19. 19. Búsquedas en Internet MyLastSearch de Nirsoft Búsquedas en Google de contenido sexual infantil
  20. 20. Archivos temporales de Internet Uso de index.dat Analyzer para facilitar el proceso Se detectan búsquedas de sexo infantil en Google Se detecta navegación de imágenes con contenido sexual
  21. 21. index.dat Analyzerhttp://www.systenance.com/indexdat.php
  22. 22. Imágenes pedófilas en la cache Uso de irfanview para ver imágenes cacheadas Se detecta pornografía infantil
  23. 23. Cache del navegador El usuario se registra en el portal Se obtiene usuario y correo electrónico
  24. 24. Cache del navegador Se comparte contenido pornográfico
  25. 25. Cache del navegador Contraseña y comentarios
  26. 26. Cache del navegador Usuario añadido en hotmail ¿victima?
  27. 27. Cache del Navegador Se obtiene contraseña del portal imgsrc.ru
  28. 28. Búsquedas en el Historial Se encuentran referencias a imágenes «sexy (n).jpg» en «Mis imágenes» Los ficheros ya no existen
  29. 29. Búsquedas en el Historial Referencias a los archivos anteriores en «Z:»
  30. 30. Historial de MSN No hay registros de MSN No hay archivos en «Mis archivos recibidos» Se encuentran imágenes en la cache de MSN
  31. 31. Contactos MSN C:Documents and SettingsAdministradorConfiguración localDatos de programaMicrosoftWindows Live Contacts{2b8788be-f69b-4265-9430- 326604e4a5c0}DBStorecontacts.edb
  32. 32. Disco Duro
  33. 33. Disco duros - interfaces
  34. 34. Estructura disco duro • A Pista • B Sector • C Sector de una pista • D Cluster
  35. 35. Sector / Cluster Cluster es la mínima unidad de almacenamiento para el sistema operativo Los clusters se componen de sectores. El mínimo es un cluster = un sector Los sectores pueden estar marcados como defectuosos y no ser usados.
  36. 36. Espacio Slack1. Fichero ocupa: 768Bytes2. Un cluster son 4 sectores3. El sector 2 es ocupado parcialmente y dependiendo del SO puede sobrescribirse o no el espacio libre4. El resto de sectores no se sobrescribe quedando datos no eliminados
  37. 37. Busqueda en «slack space»
  38. 38. Busqueda en «slack space»
  39. 39. Camila
  40. 40. ¿LockNote? Se obtienen las credenciales de imgsrc.ru (ya obtenidas)
  41. 41. TrueCrypt La contraseña esta cacheada en memoria y no es necesaria Aunque haciendo pruebas, se puede averiguar que es «Scarface»
  42. 42. Línea temporal 19/12/2009 – 21:06:15 21:08:52 Obtención de datos High School Music 19/12/2009 – 21:16:04 21:20:44 Conversación MSN con Natalia 19/12/2009 – 21:35:14 Se suben imagen de Natalia«luna.jpg» a imgsrc.ru 19/12/2009 – 23:04:07 – 23:13:54 Conversación MSN con Camila 19/12/2009 – 23:38:41 Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru 20/12/2009 – 2:59:43 Archivos copiados a volumen cifrado TrueCrypt
  43. 43. ¿PREGUNTAS?
  44. 44. Gracias Alejandro Ramos www.securitybydefault.com

×