Continúa desde: Reto de Análisis Forense Digital de la Comunidad DragonJAR – Escenario e implementación
Vuelvo y repito que la intención de esta serie de post no es ofrecer el solucionario según los requerimientos exigidos por los desarrolladores del Reto. El objetivo de estos post es simplemente generar un espacio de discusión sobre los aportes que se realicen en pro de realizar de la mejor manera el análisis forense digital de dicho esceneario propuesto.
Por lo tanto vamos entonces a realizar la recolección de datos volátiles y la preservación de la evidencia (Procesos más importantes en todo Análisis Forense Digital)
La idea es que yo proponga un método o técnica y los lectores sugieran otras o aprueben las aquí nombradas
Como primera medida y según el escenario propuesto, tenemos que meternos en el papel de analistas forenses, y que recién hemos llegado a la escena del crimen… En esta escena nos encontramos frente a un computador desde el cual se sospecha que se realizan actividades ilícitas relacionadas con ciber acoso y pedofília.
Apagar o no apagar?… Por mi parte sugiero se realice un volcado de memoria, con el objetivo de recolectar información volátil y alojada en memoria, la cual nos permitirá obtener datos de alta importancia y que son altamente volátiles si no se realiza el proceso de volcado antes de reiniciar o apagar el equipo… Veamos:
Conectaré un dispositivo de almacenamiento USB con el objetivo de ejecutar la herramienta FTK Imager y realizar un volcado de memoria.
Sistema en el momento que llegamos:
Conexión del dispositivo de almacenamiento por USB
FTK Imager (Versión Portable)
Instrucción para el volcado de memoria
Información de los datos a exportar
Proceso de volcado de memoria en ejecución
Extracción finalizada
Una vez recolectado el volcado de memoria procedemos a generar las firmas digitales de este archivo (El proceso de generación de firmas se realizó desde otro equipo, una vez se realizaron todas las copias.
Nombre: memdump.7z
CRC-32: e75fc430
MD4: 0e94aaef831bdd5759e02367c9721d6d
MD5: f5eba1d486d14fd2251056d6621b651e
SHA-1: 292009c29d81787e756fa08e4c4ecef129b69d40
Descomprimido:
Nombre: memdump.txt
CRC-32: f4700625
MD4: c8b6b8a606c4f838e62962da3a9c6fa7
MD5: 0f3c8134fa401585cc7b74373013b9be
SHA-1: 2d15c79cfdac52bf96e860555ed3b6f452c5acd0
He subido una copia del volcado de memoria para quienes por diferentes motivos no puedan realizar el proceso anterior. (+/- 121Mb comprimido | +/-523Mb descomprimido)
Ahora nos corresponde realizar varias copias completas del sistema (Preservación de la evidencia – procedimiento obligatorio en peritajes informáticos)… Veamos:
En este caso para el disco C:\ – [NTFS]
Para este primer caso (Drive Lógico)
Drive fuente
Exportar imagen de disco
Tipo de imagen a el cual se desea exportar (en mi caso seleccioné DD)
Información referente al caso
Creando la imagen
Verificación automática de la integridad de los datos copiados
Si quisiéramos realizar un copiado de disco físico sería de igual manera, solo modificariamos el primer paso (por seguridad yo realicé ambos copiados)
Firmas digitales de integridad de los datos copiados
Nombre: disco_C_logico.001
CRC-32: 4c98664d
MD4: 9330d4583254e8a4d2a57e6a41c39adf
MD5: 249f5c1b47ad84862e35665b947a56d1
SHA-1: 890b17397a6c28362747bc310c42d4eeb4c38bae
En el próximo post mostraré como podemos recolectar información de interés y adicional sobre el sistema en ejecución.
Recuerden que este post solo tiene como finalidad generar discusión y aportes relacionados a este tema… así que bienvenidos los comentarios.
Una vez recolectemos toda la información necesaria, podremos comenzar con el análisis de estos…
Pero el proceso de conectar una USB no estaria alterando en si mismo los datos volatiles, ya que se activan los drivers de la usb?.
Tambien se podria hacer la captura de la imagen de la ram usando dd y netcat por medio de la red.
hasta luego.