Recientemente ha sido publicado el Primer Reto de Análisis Forense Digital de la Comunidad DragonJAR. Por ello realizaremos algunos post a modo de solucionario y entrenamiento sobre las técnicas involucradas en el Análisis Forense Digital.
Las publicaciones no pretenden ser o generar los reportes pedidos como solucionarios en el reto. Pues la idea es que los interesados realicen por sí mismos dicho Análisis. Estos serán simplemente un paso a paso a modo muy general siguiendo una metodología clara en un Análisis Forense, en los cuales veremos algunas técnicas y herramientas recomendadas.
Comencemos con la descripción del escenario y la implementación de los entornos de análisis.
Escenario
Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.
Se sospecha que éste distribuye contenido pedófilo por medio de internet.
Objetivo y Reglas
El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).
La finalidad del análisis será determinar entre otros los siguientes puntos:
1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias
Más información / Página Oficial del Reto
Como primera medida es necesario realizar la descarga de la instantánea de VMWare y comprobar la integridad de la misma.
Si realizamos las descargas por partes sería de la siguiente manera con la herramienta File Checksum Integrity Verifier de Microsoft:
C:\Reto_DragonJAR>fciv.exe Reto.part1.rar
//
// File Checksum Integrity Verifier version 2.05.
//
d542187ff2c9d651baf40ff488c367fe reto.part1.rar
C:\Reto_DragonJAR>fciv.exe Reto.part2.rar
//
// File Checksum Integrity Verifier version 2.05.
//
c33fa1af1eba82eb07182106e1a1b060 reto.part2.rar
C:\Reto_DragonJAR>fciv.exe Reto.part3.rar
//
// File Checksum Integrity Verifier version 2.05.
//
08ff1b6a0e8cbd1df1724b40b20228e2 reto.part3.rar
C:\Reto_DragonJAR>fciv.exe Reto.part4.rar
//
// File Checksum Integrity Verifier version 2.05.
//
6f0d583a6560d49004b9fd52065cdbc2 reto.part4.rar
C:\Reto_DragonJAR>fciv.exe Reto.part5.rar
//
// File Checksum Integrity Verifier version 2.05.
//
4fd27f4415be756b0c47bd04c54d586c reto.part5.rar
Si realizamos la descarga de la instantánea completa sería:
C:\Reto_DragonJAR\Reto\Reto>fciv.exe Reto_Forense.rar
//
// File Checksum Integrity Verifier version 2.05.
//
fb5a51c9273b9fe7f0139b8f663c9a1e reto_forense.rar
Luego de descomprimir la instantánea procedemos a restaurarla con el software VMWare WorkStation.
Para ello basta con abrir el archivo Reto Forense.vmx
Luego, desde el menú VM / Snapshot restauramos la instantánea INICIO.
Se recomienda realizarlo de esta manera pues así simularemos completamente el momento en el que llegamos a la escena del hecho y nos obliga a aprender a recolectar todos los datos posibles del sistema.
Recibiremos un mensaje de advertencia sobre la restauración del Snapshot y la pérdida de datos del estado actual… Nos interesa restauralo para ubicarnos en el momento en que fuimos requeridos como analistas forenses.
Posiblemente recibamos un mensaje de advertencia sobre el tipo de procesador que utilizamos frente al utilizado por el desarrollador del reto… Le decimos a VMWare que intente restaurarla de todos modos.
Con estos simples pasos tendremos implementado completamente nuestro entorno objetivo de Análisis.Y veremos el mensaje de bienvenida y descripción de objetivos y reglas del reto.
En el próximo post procederemos con las técnicas de recolección de datos…
Bien, esta parte es facil. Ahora como llego a la PC encendida mi idea es que se tienen que recolectar datos volatiles, no ? Como estamos en un Windows pensaba usar el Wintaylor, pero el tema es cuales son las cosas que tendria que recoletar ?? Opiniones……….
PD: Queda claro con mi comentario que soy muy muy novato.
Bueno gracias a S3cTr4ck por sus valiosas explicaciones, creo que ya desde el principio habia empezado a enfocarme mal, esta es una muy buena ayuda para hacer correctamente el analisis, esperare el siguiente post para seguir corroborando el trabajo.
Soy novato en todo esto, muy buena explicación estoy ansioso por el siguiente post, sobre la recolección de los datos tengo muchas dudas referente a ello, ya que me servirá definitivamente para aprender y a la vez para comparar con lo que llevo. Adelante!….
Bueno, ya se vencio el plazo de entrega de informes, ahora si seria prudente continuar con el desarrollo del Reto….
quisiera saber como hago para sacar mi imagen del seistema operativo lo intente creando un disco virtual con caine pero no pude hacer la imagen del disco de dicho entorno virtualizado de windows..tambien en fun foro encontre como hacer la imagen pero de una memoria usb pero pero del mismo disco… otro foro me dice que utilize netcat pero tendria que alterar el disco virtualizado y es lo que no se pretende. ¿COMO LO HAGO SIN ALTERAR EL DISCO?
SOY NOVATO EN ESTE ASUSNTO
[...] El primer objetivo por lo tanto será descargar la imagen, comprobar la integridad de los archivos y realizar la implementación/montaje del entorno de análisis (Más información>>) [...]
MUY BUEN APORTE Y RETO EXISTE TAMBIEN LA HERRAMIENTA DE ANALISIS FORENSE QUE ES LA NUBUNTU.
CUALQUIER DUDA.
http://www.sysrj.com
sysrj@hotmail.com