Las publicaciones no pretenden ser o generar los reportes pedidos como solucionarios en el reto. Pues la idea es que los interesados realicen por sí mismos dicho Análisis. Estos serán simplemente un paso a paso a modo muy general siguiendo una metodología clara en un Análisis Forense, en los cuales veremos algunas técnicas y herramientas recomendadas.

Comencemos con la descripción del escenario y la implementación de los entornos de análisis.

Escenario

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Objetivo y Reglas

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias

Más información / Página Oficial del Reto

Como primera medida es necesario realizar la descarga de la instantánea de VMWare y comprobar la integridad de la misma.

Si realizamos las descargas por partes sería de la siguiente manera con la herramienta File Checksum Integrity Verifier de Microsoft:

C:\Reto_DragonJAR>fciv.exe Reto.part1.rar
//
// File Checksum Integrity Verifier version 2.05.
//
d542187ff2c9d651baf40ff488c367fe reto.part1.rar

C:\Reto_DragonJAR>fciv.exe Reto.part2.rar
//
// File Checksum Integrity Verifier version 2.05.
//
c33fa1af1eba82eb07182106e1a1b060 reto.part2.rar

C:\Reto_DragonJAR>fciv.exe Reto.part3.rar
//
// File Checksum Integrity Verifier version 2.05.
//
08ff1b6a0e8cbd1df1724b40b20228e2 reto.part3.rar

C:\Reto_DragonJAR>fciv.exe Reto.part4.rar
//
// File Checksum Integrity Verifier version 2.05.
//
6f0d583a6560d49004b9fd52065cdbc2 reto.part4.rar

C:\Reto_DragonJAR>fciv.exe Reto.part5.rar
//
// File Checksum Integrity Verifier version 2.05.
//
4fd27f4415be756b0c47bd04c54d586c reto.part5.rar

Si realizamos la descarga de la instantánea completa sería:

C:\Reto_DragonJAR\Reto\Reto>fciv.exe Reto_Forense.rar
//
// File Checksum Integrity Verifier version 2.05.
//
fb5a51c9273b9fe7f0139b8f663c9a1e reto_forense.rar

Luego de descomprimir la instantánea procedemos a restaurarla con el software VMWare WorkStation.

Para ello basta con abrir el archivo Reto Forense.vmx

Luego, desde el menú VM / Snapshot restauramos la instantánea INICIO.

Se recomienda realizarlo de esta manera pues así simularemos completamente el momento en el que llegamos a la escena del hecho y nos obliga a aprender a recolectar todos los datos posibles del sistema.

Recibiremos un mensaje de advertencia sobre la restauración del Snapshot y la pérdida de datos del estado actual… Nos interesa restauralo para ubicarnos en el momento en que fuimos requeridos como analistas forenses.

Posiblemente recibamos un mensaje de advertencia sobre el tipo de procesador que utilizamos frente al utilizado por el desarrollador del reto… Le decimos a VMWare que intente restaurarla de todos modos.

Con estos simples pasos tendremos implementado completamente nuestro entorno objetivo de Análisis.Y veremos el mensaje de bienvenida y descripción de objetivos y reglas del reto.

En el próximo post procederemos con las técnicas de recolección de datos…