PreTest o cuestionario de diagnóstico sobre conocimientos básicos en análisis forense digital.

El Test hace parte de un material de estudio que tuve hace algún tiempo para certificaciones similares a GCFA, CHFI y CCFE (en su apartado teórico) . Este tipo de certificaciones o específicamente pruebas, nunca han sido de mi agrado, pues limitan el conocimiento de los expertos a un simple cuestionario de selección múltiple (estilo CEH). Por ello, nada mejor que las certificaciones meramente prácticas con generación de reportes de las actividades realizadas, bien sean de Análisis Forense o PenTest estilo OSCP y CTP de Offensive-Security.

Sin embargo, este tipo de pruebas pueden ser de utilidad para casos en los que se necesite complementar procesos de entrevistas y pruebas de selección a candidatos de grupos de trabajo en TI (pues son conocimientos básicos que se deberían tener todos los técnicos, tecnólogos e ingenieros) y por ningún motivo deberían ser el factor determinante para contratar a un nuevo miembro del equipo y mucho menos la exigencia de una empresa para contratar servicios relacionados con seguridad de la información (PenTest, Forensics, etc)

Sin más, dejo los screens de las 14 preguntas de diagnóstico. Genial si en los comentarios dejan sus respuestas y pasados algunos días publico lo que dice “el manual” como respuesta correcta. Que ya sabemos que no siempre son acertados y pocas veces actualizados a las nuevas tecnologías y desafíos profesionales.

Posiblemente luego publique algunas de las preguntas que el documento considera “core” en el proceso de prácticas y preparación de este tipo de certificaciones. Todo con el objetivo de probar un poco nuestros conocimientos teóricos y porque no, preparar de manera indirecta una posible certificación de este estilo… O definitivamente darnos cuenta que algunas certificaciones en seguridad poco dicen de los profesionales y para nada miden el verdadero conocimiento y experticia de las personas.

—

Clic en cada imagen para ver completa

 

En determinados casos de análisis forense digital se hace necesario incluir como evidencias diferentes fotografías de la escena o sitio que sea objeto de nuestra intervención y que de alguna manera estén implicadas en nuestro caso o puedan servir como prueba de que realmente estamos en el sitio referenciado y/o con los dispositivos relacionados.

Para una mejor relación de pruebas y análisis de datos podemos usar X-Ways Forensics como sistema de almacenamiento y enlace a dichos archivos fotográficos. Veamos entonces como podemos adjuntarlos a nuestro caso.

Desde el menu de X-Ways y situados en los datos de nuestro caso, vamos a File / Add File

Seleccionamos la fotografía a adjuntar. Una vez seleccionada nos encontramos con una imagen similar a la siguiente, en la cual se detallan algunos datos de la imagen (nombre, tamaño, fecha de creación, acceso), y un campo para la inclusión de comentarios que nos puedan servir como referencia en el caso.

Cuando ingremos los comentarios (opcionales), podemos generar una firma criptográfica (MD5, SHA1, PSCHF) correspondiente a la fotografía.

Una vez finalizados estos pasos, podríamos visualizar en cualquier momento la imagen adjunta, sin el riesgo de alterarla y con el objetivo de anexarla a nuestro reporte final.

Por diferentes razones podemos necesitar proteger contra escritura los dispositivos USB que se conecten a nuestro equipo (Distribución de Malware, Robo de información, etc). Pero para nuestro intereses particulares (Análisis Forense Digital) requerimos mantener en la mayor medida de lo posible, la no alteración de la evidencia informática. Es por ello que veremos como de manera rápida y efectiva, podremos proteger contra escritura los dispositvos USB que contengan evidencia y que sean objeto de una investigación o de un análisis forense digital. Veamos

Desde el editor de registro de windows (Regedit)

Vamos a HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Control

Ahora clic derecho Nueva Clave

Y creamos una nueva clave con el nombre de StorageDevicePolicies

En el panel derecho vamos a crear un nuevo valor DWORD

Ahora, para proteger contra escritura los dispositivos que se conecten, basta con asignarle dicho valor a 1 (uno). Para desactivar la protección asignamos 0 (cero).

Si quisieramos automatizar dicho procedimiento, solo basta con exportar la clave que generamos.

Podemos crear ambos estados (Protección ON – OFF) para facilitar la tarea.

El contenido de cada .reg debe ser similar al de la imagen

Por lo tanto, si requerimos activar la protección contra escritura de un dispositivo USB, solo tenemos que hacer doble click en la llave con el valor 1. Y si trataramos de escribir de alguna manera en dicho dispositivo, nos encontramos con la siguiente advertencia.

A la hora de realizar un Análisis Forense Digital en entornos GNU/Linux aveces es necesario agilizar los procesos de búsqueda y recolección de datos. Por ello he decido crear un listado de comandos esenciales y de uso común en dichas actividades. Veamos:

which which es utilizado para localizar un programa rápidamente devolviendo la ruta de este.

root@Sec-Track:~# which nmap /usr/bin/nmap

——————————————————————————————————————————————————-

whereis Similar a which pero adiciona páginas man y archivos de fuentes

root@Sec-Track:~# whereis nmap nmap: /usr/bin/nmap /usr/X11R6/bin/nmap /usr/bin/X11/nmap /usr/X11/bin/nmap /usr/share/nmap /usr/man/man1/nmap.1.gz /usr/share/man/man1/nmap.1.gz /usr/X11/man/man1/nmap.1.gz

——————————————————————————————————————————————————-

find Este comando permite realizar búsquedas en el sistema de archivos con múltiples opciones.

root@Sec-Track:~# find / -name HOSTNAME /etc/HOSTNAME

——————————————————————————————————————————————————-

ls -lart Listado de archivos. Según los parámetros que adicionemos podemos obtener diferentes datos de los archivos.

root@Sec-Track:~/4v4t4r/slackbuilds# ls -lart total 200 drwxr-xr-x 4 root root   4096 2010-01-04 21:36 ../ -rw-r–r– 1 root root   3929 2010-01-04 23:42 amap.tar.gz -rw-r–r– 1 root root    197 2010-01-04 23:43 amap.tar.gz.asc -rw-r–r– 1 root root 181435 2010-01-04 23:48 slapt-get-0.10.2b.tar.gz drwxr-xr-x 3 root root   4096 2010-01-04 23:56 ./ drwxrwxr-x 6 root root   4096 2010-01-04 23:57 slapt-get-0.10.2b/

——————————————————————————————————————————————————-

pwd Muestra el nombre del directorio actual

root@Sec-Track:~# pwd /root

——————————————————————————————————————————————————-

touch Permite crear un archivo vacio si este no existe, de lo contrario modificará en el archivo actual los datos de creación y modificación

root@Sec-Track:~/4v4t4r/slackbuilds# touch test root@Sec-Track:~/4v4t4r/slackbuilds# ls -lart total 200 drwxr-xr-x 4 root root   4096 2010-01-04 21:36 ../ -rw-r–r– 1 root root   3929 2010-01-04 23:42 amap.tar.gz -rw-r–r– 1 root root    197 2010-01-04 23:43 amap.tar.gz.asc -rw-r–r– 1 root root 181435 2010-01-04 23:48 slapt-get-0.10.2b.tar.gz drwxrwxr-x 6 root root   4096 2010-01-04 23:57 slapt-get-0.10.2b/ -rw-r–r– 1 root root      0 2010-01-05 00:21 test drwxr-xr-x 3 root root   4096 2010-01-05 00:21 ./ root@Sec-Track:~/4v4t4r/slackbuilds# touch test root@Sec-Track:~/4v4t4r/slackbuilds# ls -lart total 200 drwxr-xr-x 4 root root   4096 2010-01-04 21:36 ../ -rw-r–r– 1 root root   3929 2010-01-04 23:42 amap.tar.gz -rw-r–r– 1 root root    197 2010-01-04 23:43 amap.tar.gz.asc -rw-r–r– 1 root root 181435 2010-01-04 23:48 slapt-get-0.10.2b.tar.gz drwxrwxr-x 6 root root   4096 2010-01-04 23:57 slapt-get-0.10.2b/ drwxr-xr-x 3 root root   4096 2010-01-05 00:21 ./ -rw-r–r– 1 root root      0 2010-01-05 00:22 test

——————————————————————————————————————————————————-

rm “Elimina/Remueve” un archivo

root@Sec-Track:~/4v4t4r/slackbuilds# rm test

——————————————————————————————————————————————————-

shred Borrado/Sobre-escritura seguro de datos

root@Sec-Track:~/4v4t4r/slackbuilds# more test_borrado_seguro Probando root@Sec-Track:~/4v4t4r/slackbuilds# shred test_borrado_seguro root@Sec-Track:~/4v4t4r/slackbuilds# more test_borrado_seguro g^LÁß±égs;ßî)ïiðªýD´¡påø,IíáÛÈVÐÛ2ãZðìÕØ;÷ÀfÙ$L▒Ò¿^ÊÍÔ»’nýÆzRqºÈÌ8iS ÄõØÍû                                                               –More–(2%) Þð –More–(7%)

——————————————————————————————————————————————————-

cd Cambio de directorio

root@Sec-Track:~/4v4t4r/slackbuilds# pwd /root/4v4t4r/slackbuilds root@Sec-Track:~/4v4t4r/slackbuilds# cd /root/ root@Sec-Track:~# pwd /root

——————————————————————————————————————————————————-

hostname Muestra el nombre del host de la máquina

root@Sec-Track:~# hostname Sec-Track

——————————————————————————————————————————————————-

ifconfig -a

Muestra todas las interfaces de red

——————————————————————————————————————————————————-

cat Muestra el contenido de un archivo

root@Sec-Track:~/4v4t4r/slackbuilds# cat test.txt Probando…

——————————————————————————————————————————————————-

less Despliega el contenido de un archivo con la posibilidad de realizar scroll sobre el

——————————————————————————————————————————————————-

history | less Muestra los comandos ejecutados previamente

——————————————————————————————————————————————————-

script Crea un log de la actividad realizada con la linea de comandos a un archivo especificado

——————————————————————————————————————————————————-

strings Muestra todas las cadenas de caracteres contenidas en un archivo

——————————————————————————————————————————————————-

date Muestra la fecha actual del sistema

——————————————————————————————————————————————————-

grep Busca determinada palabra o frase en un archivo

——————————————————————————————————————————————————-

df Muestra el espacio utilizado y disponible en el sistema

root@Sec-Track:~/4v4t4r/slackbuilds# df Filesystem           1K-blocks      Used Available Use% Mounted on /dev/root             79815108   5379556  70381148   8% / /dev/sda3             32796696  26135596   6661100  80% /fat-d /dev/sda4             41270984  34999452   6271532  85% /fat-c tmpfs                  1521868         0   1521868   0% /dev/shm /dev/sdb1             78129056  69997920   8131136  90% /media/4V4T4R

——————————————————————————————————————————————————-

mount Muestras los dispositivos y pariticiones montadas en el sistema

——————————————————————————————————————————————————-

dd Dumpear (volcar/dumplicar) Disco/particiones a archivos, particiones y/o discos

dd if=origen of=destino

——————————————————————————————————————————————————-

Existen muchos otros comandos y usos diferentes a los que he presentado… ¿Qué otros conoces?

La idea es que participen por medio de los comentarios y compartan otros comandos relacionados con el análisis forense digital.

Acá algunos enviados por CrkDown

tail -f archivo Permite ver en tiempo real como se genera un log. También puedes filtrarlo con grep así: tail -f archivo |grep mi búsqueda

——————————————————————————————————————————————————-

df -h Muestra el tamaño de discos y particiones en Kb, Megas o Gigas haciendolo más fácil de leer.

——————————————————————————————————————————————————-

whois dominio.com Muestra un poco de información de algún dominio como fechas, dns, etc.

——————————————————————————————————————————————————-

dig MX dominio.com Puedes encontrar aspectos de las zonas de un dominio cualquiera. Por ejemplo puedes usar MX, A, TXT etc.

[~]# dig mx ejemplo.com

;; QUESTION SECTION: ;industrialm.com. IN MX

;; ANSWER SECTION: industrialm.com. 9781 IN MX 0 aspmx.l.google.com.

;; Query time: 0 msec ;; SERVER: 69.64.44.50#53(69.64.44.50) ;; WHEN: Sat Jan 9 19:06:18 2010 ;; MSG SIZE rcvd: 64

——————————————————————————————————————————————————-

top Mirar el consumo de recursos en tiempo real. El top es bueno aunque puedes presionar la letra u para poner los procesos de un usuario o presionando F para ver todas las demás opciones de filtrado.

——————————————————————————————————————————————————-

watch mysqladmin proc Muestra las conexiones actuales de Mysql en tiempo real

——————————————————————————————————————————————————-

su – postgres luego psql y luego select * from pg_stat_activity; Procesos en tiempo real en Postgres muy util. Debes tener activada la opción de logueo en el archivo postgresql.conf comunmente presente en /var/lib/pgsql/data

——————————————————————————————————————————————————-

du -sch * Ver un listado de archivos, carpetas y sus tamaños. Muy útil.

root@host [/home/user]# du -sch * 0 access-logs 8.0K cpmove.psql 40K etc 59M mail 8.0K public_ftp 45M public_html 4.0M tmp 0 www 108M total

——————————————————————————————————————————————————-

ps -aux |grep filtro Listado de todos los procesos del sistema que corren en ese momento. Como pueden ser muchos, la aplicación de un filtro es ideal

——————————————————————————————————————————————————-

vim o vi Es el mejor editor de texto en consola, muy poderoso

vim archivo Pulsar / y luego escribir el término de búsqueda para encontrar lo que sea Pulsar la tecla insert para insertar un texto. Delete para borrar. Para salir de estos dos pulsar escape Escribiendo :w escribes el archivo Escribiendo :wq escribes y sales del archivo Si quieres borrar una línea das dos veces sobre la tecla D. Si quieres deshacer pulsas escape y luego la tecla U cuantas veces quieras devolverte

——————————————————————————————————————————————————-

hdparm -t /dev/hda Hacer un test a la velocidad de escritura de un disco. Es bueno cuando sospechas que esta sacando la mano y debes hacer copias ASAP

tar tfz archivo.tar.gz |grep “termino.txt” Busca un archivo llamado “termino.txt” dentro de un tar.gz para evitar descomprimir todo.

——————————————————————————————————————————————————-

gunzip -c archivo.tar.gz | tar xvf – carpeta/termino.txt Extrae un archivo llamado termino.txt sin necesidad de descomprimir todo el tar.gz

——————————————————————————————————————————————————-

sar -B 1 1000 Verificar el consumo de escritura lectura del disco en tiempo real. Ideal para verificar cuando se tienen problemas de performance por i/o degradation.

——————————————————————————————————————————————————-

netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n Detectar un posible DDos, aunque si es distribuído no sirve de mucho

——————————————————————————————————————————————————-

find . -type f -size +100000k -exec ls -lh {} \; | awk ‘{ print $9 “: ” $5 }’ Busca archivos grades recursivamente. Este busca archivos de más de 100 mil k

——————————————————————————————————————————————————-

Por ultimo hay herramientas muy interesantes para conocer aspectos más puntuales como el uso de disco pero sólo funcionan en Kernels más recientes.

pidstat -d 2 Permite conocer en tiempo real el proceso puntual PID que esta escribiendo o leyendo en ese momento. Muy útil ya que a veces es muy dificil saber que lo causa.

——————————————————————————————————————————————————-

Mostrar tarjeta/s (interfaz) de red usadas

# dmesg |grep -i eth (wlan)

——————————————————————————————————————————————————- Mostrar las últimas líneas de un archivo (como por ejemplo un archivo de logs) # tail -100 <nombre_archivo> (Muestras las últimas 100 líneas de un archivo

UserAssist es una herramienta que resulta muy útil en el momento de realizar un Análisis Forense Digital bajo sistemas windows, pues esta te permite generar una tabla/reporte con los programas que han sido ejecutados en el sistema, el número de veces y la fecha de última ejecución.

Veamos algunas capturas de pantalla que permitirán comprender mejor el funcionamiento del programa.

Más información sobre UserAssist >>

Descargar UserAssist>>

Este corto post muestra el procedimiento para la creación de un nuevo caso en el entorno de trabajo X-Ways Forensics, veamos. Desde el menu interno (Case Data) File, Create New Case En la ventana de registro del caso, ingresamos los datos correspondientes a:

• Título del Caso
• Número del Caso (ID)
• Descripción
• Analista Forense
• Organización
• Dirección

La fecha y hora de generación de este nuevo caso, es automáticamente generada por la herramienta Una vez completados los anteriores pasos, veremos en la pantalla de casos, nuestro nuevo registro Es importante seleccionar siempre en el Menu View, Case Data, pues se requiere visualizar constantemente todos los datos relacionados con nuestro nuevo caso. En próximos post veremos como podemos adjuntar archivos, imágenes y demás evidencia a nuestro caso.

En el anterior post, presentaba de manera muy general entorno de trabajo forense X-Ways Forensics. Ahora vamos a comenzar una serie de post dedicados al trabajo práctico con dicha herramienta. En este post veremos algunos métodos para la creación de imágenes forenses con dicha herramienta. Veamos. Lo primero será ejecutar la herramienta desde el acceso directo creado en el proceso de instalación. Desde el Menu Tools, Open Disk. Seleccionaremos el disco fuente a tomar como evidencia. Deberiamos ver una imagen similar a la siguiente Una vez seleccionado el disco (físico/lógico), pasamos al menu File, Create Disk Image Ahora seleccionamos las opciones de creación de imágenes. Para nuestro caso optamos por una imagen del tipo Raw image (.dd) y cálculo de hash por medio de MD5 a 128 bits Veremos una barra de progreso como la siguiente Proceso finalizado Hash de la evidencia Verificamos la evidencia en la ruta que seleccionamos previamente Desde el mismo X-Ways Forensics podríamos explorar el contenido de la evidencia sin alterarla Archivos Para comprobar esta información, podríamos “montar” la evidencia adquirida con el software Mount Image Pro. Pronto seguiremos con otros temas relacionados al uso de esta completa herramienta.

X-Ways Forensics, es un avanzado entorno de trabajo para analistas forenses que funciona sobre plataformas Windows 2000 / XP / 2003 / Vista / Seven / 2008 con tecnologías de 32 y 64 Bits.

Algunas de las características de X-Ways Forensics son:

• Posibilidad de crear imágenes o copiados seguros de evidencias digitales.
• Recuperación de información eliminada.
• Visualizar estructuras de directorios sobre imágenes del tipo .dd.
• Acceder a discos, RAIDs, e imágenes de gran tamaño (2Tb).
• Soporte nativo para FAT12, FAT16, FAT32, TFAT, NTFS, Ext2, Ext3, Ext4, CDFS/ISO9660/Jolite, UDF.
• Visualización y volcado de memoria RAM y memoria virtual de procesos en ejecución.
• Creación de medios forenses estériles.
• Generación y cálculo de firmas criptográficas (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD.
• Capacidades de búsquedas en la evidencia recolectada.
• Bookmarks.
• Anotaciones y un largo etc.

Para más información sobre X-Ways Forensics visita su Web oficial >>

Manual oficial de usuario para X-Ways forensics (pdf) >>

QuickStart Guide (pdf) >>

Netstat es un de las herramientas primordiales a la hora de realizar tareas relacionadas con el análisis forense digital, gracias a su amplio repertorio de instrucciones para generar información involucrada a las estadísticas de conexiones de red en un sistema.

Veamos una descripción más completa desde la Wikipedia:

Netstat (network statistics) es una herramienta de línea de comandos que muestra un listado de las conexiones activas de un ordenador, tanto entrantes como salientes. Existen versiones de este comando en varios sistemas como Unix, GNU/Linux, Mac OS X, Windows y BeOS.

La información que resulta del uso del comando incluye el protocolo en uso, las direcciones IP tanto locales como remotas, los puertos locales y remotos utilizados y el estado de la conexión. Existen, además de la versión para línea de comandos, herramientas con interfaz gráfica (GUI) en casi todos los sistemas operativos desarrollados por terceros.

Más información>>

Ahora algunos ejemplos de interés:

——————————————————————————————-

Ayuda/Comandos disponibles (netstat -h)

[root@freeforuse avatar]# netstat -h usage: netstat [-veenNcCF] [] -r         netstat {-V|–version|-h|–help} netstat [-vnNcaeol] [ ...] netstat { [-veenNac] -I[] | [-veenNac] -i | [-cnNe] -M | -s } [delay]

-r, –route display routing table -I, –interfaces=[] display interface table for -i, –interfaces display interface table -g, –groups display multicast group memberships -s, –statistics display networking statistics (like SNMP) -M, –masquerade display masqueraded connections -v, –verbose be verbose -n, –numeric don’t resolve names –numeric-hosts don’t resolve host names –numeric-ports don’t resolve port names –numeric-users don’t resolve user names -N, –symbolic resolve hardware names -e, –extend display other/more information -p, –programs display PID/Program name for sockets -c, –continuous continuous listing -l, –listening display listening server sockets -a, –all, –listening display all sockets (default: connected) -o, –timers display timers -F, –fib display Forwarding Information Base (default) -C, –cache display routing cache instead of FIB -T, –notrim stop trimming long addresses -Z, –context display SELinux security context for sockets: Name of interface to monitor/list.={-t|–tcp} {-u|–udp} {-S|–sctp} {-w|–raw} {-x|–unix} –ax25 –ipx –netrom=Use ‘-A’ or ‘–’; default: inet List of possible address families (which support routing): inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) x25 (CCITT X.25)

——————————————————————————————-

Conexiones activas (netstat -a) | less (visualización segmentada)

[root@freeforuse avatar]# netstat -a Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address               Foreign Address             State tcp        0      0 *:https                     *:*                         LISTEN tcp        0      0 *:http                      *:*                         LISTEN tcp        0      0 *:ssh                       *:*                         LISTEN tcp        0    248 freeforuse:ssh              adslxxx-xxx-xxx-xxx.ep:xxxxx ESTABLISHED Active UNIX domain sockets (servers and established) Proto RefCnt Flags       Type       State         I-Node Path unix  2      [ ]         DGRAM                    24410733 @/org/kernel/udev/udevd unix  4      [ ]         DGRAM                    24411062 /dev/log unix  2      [ ]         DGRAM                    33025313 unix  2      [ ]         DGRAM                    25001699

——————————————————————————————-

Programas asociados a dichos servicios (netstat -p)

[root@freeforuse avatar]# netstat -p Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name tcp        0    284 freeforuse:ssh              adslxxx-xxx-xxx-xxx.ep:xxxxx ESTABLISHED 18128/1 Active UNIX domain sockets (w/o servers) Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path unix  2      [ ]         DGRAM                    24410733 15696/udevd         @/org/kernel/udev/udevd unix  4      [ ]         DGRAM                    24411062 15959/syslogd       /dev/log unix  2      [ ]         DGRAM                    33025313 25692/crond unix  2      [ ]         DGRAM                    25001699 18128/1

——————————————————————————————-

IP’s Conectadas (netstat -n)

[root@freeforuse avatar]# netstat -n Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address               Foreign Address             State tcp        0    232 ::ffff:192.168.1.103:22     ::ffff:190.71.125.170:49249 ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags       Type       State         I-Node Path unix  2      [ ]         DGRAM                    24410733 @/org/kernel/udev/udevd unix  4      [ ]         DGRAM                    24411062 /dev/log unix  2      [ ]         DGRAM                    33025313 unix  2      [ ]         DGRAM                    25001699

——————————————————————————————-

Conexiones activas por TCP (netstat -t)

[root@freeforuse avatar]# netstat -t Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address               Foreign Address             State tcp        0    232 freeforuse:ssh              adslxxx-xxx-xxx-xxx.ep:xxxxx ESTABLISHED

——————————————————————————————- Conexiones activas por UDP (netstat -u) ——————————————————————————————- Estadísticas de uso para todas las conexiones (netstat -s) [root@freeforuse avatar]# netstat -s Ip: 77333 total packets received 0 forwarded 0 incoming packets discarded 77333 incoming packets delivered 44657 requests sent out Icmp: 0 ICMP messages received 0 input ICMP message failed. ICMP input histogram: 4 ICMP messages sent 0 ICMP messages failed ICMP output histogram: echo request: 4 IcmpMsg: OutType8: 4 Tcp: 843 active connections openings 140 passive connection openings 440 failed connection attempts 5 connection resets received 1 connections established 76714 segments received 43937 segments send out 38 segments retransmited 0 bad segments received. 468 resets sent Udp: 666 packets received 0 packets to unknown port received. 0 packet receive errors 666 packets sent TcpExt: 2 resets received for embryonic SYN_RECV sockets 93 delayed acks sent Quick ack mode was activated 2 times 22 packets directly queued to recvmsg prequeue. 600 packets directly received from prequeue 65644 packets header predicted 3 packets header predicted and directly queued to user 4031 acknowledgments not containing data received 192 predicted acknowledgments 1 times recovered from packet loss due to SACK data 0 TCP data loss events 1 timeouts after SACK recovery 1 fast retransmits 19 other TCP timeouts 3 DSACKs sent for old packets 4 connections reset due to unexpected data 1 connections reset due to early user close 1 connections aborted due to timeout IpExt: ——————————————————————————————- Tabla de routing (netstat -r) [root@freeforuse avatar]# netstat -r Kernel IP routing table Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface 192.0.2.0       *               255.255.255.0   U         0 0          0 venet0 169.254.0.0     *               255.255.0.0     U         0 0          0 venet0 default         192.0.2.1       0.0.0.0         UG        0 0          0 venet0 ——————————————————————————————- Interfaces activas en el sistema (netstat -i) [root@freeforuse avatar]# netstat -i Kernel Interface table Iface       MTU Met    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg lo        16436   0      937      0      0      0      937      0      0      0 LRU venet0     1500   0    76505      0      0      0    43766      0      0      0 BOPRU venet0:0   1500   0      – no statistics available -                            BOPRU ——————————————————————————————-

Por medio de los comentarios puedes recomendar otras instrucciones (Y)

Página oficial de netstat>>

Una labor indispensable en los casos de análisis forense digital es el firmado criptográfico que se tiene que hacer a cada una de las evidencias que estén involucradas en el proceso. Por ello, veamos como podemos firmar criptográficamente el contenido de una imagen (.dd .001 etc) con la herramienta FTK Imager.

Abrimos la herramienta, seleccionamos File, Add Evidence Item. Luego seleccionamos el recurso a adjuntar como evidencia. Para nuestro caso Image File. Seleccionamos la ruta En el ejemplo, utilizo una imagen creada a partir de un dispositivo USB Debería verse de la misma manera Ahora hacemos clic derecho sobre la evidencia y seleccionamos la opción Export File Hash List Procedimiento de generación de firmas criptográficas en ejecución Verificamos el listado de archivos almacenados en la imagen analizada

Finalmente tendremos un archivo CSV con la tabla de valores HASH para cada archivo. Esta firma está representada con los algoritmos MD5 y SHA1.