<IES GRAN CAPITÁN>

PRACTICA ANALISIS FORENSE 1

Presentado por:
ANDRÉS GONZÁLEZ SUÁREZ
,
ANALISIS FORENSE 1
ANDRÉS GONZÁLEZ SUÁREZ
1.- INSTALACIÓN DE SLEUTHKIT Y AUTOPSY.
Comenzamos con la instalación de Sleuthk...
Página 1

Comprobamos que podemos acceder.
Página 2
Hemos descargado una serie de imágenes para analizar.
Descomprimimos estas mediante el comando tar -xvf dentro de...
Página 3
2.- CREACIÓN DE UN NUEVO CASO.
Accedemos a Autopsy por la interfaz y le damos a crear nuevo caso. Nos saldrá las
...
Página 4
3.- CREACIÓN DE NUEVOS HOSTS.
Para que los host que nosotros vamos a crear coincidan con la realidad, investigamo...
Página 5
Míramos que sistema operativo es.

Y cual fue la configuración que tenía en la tarjeta de red.
Página 6
Volvemos a Autopsy y creamos el nuevo host siguiendo lo siguientes pasos.
Página 7

4.- INCLUIR LAS IMÁGENES DEL SISTEMA DE FICHEROS.
Ahora, vamos a incluir las imágenes del sistema de ficheros qu...
Página 8
En “location”, ponemos el directorio donde se encuentran las imágenes, siempre especificando el nombre correcto d...
Página 9
Nos dará un resumen y nos dirá que está correctamente creado. Hacemos lo mismo
con el resto de los ficheros.

5.-...
Página 10
Ahora, nos desplazamos a “/home/drosen/.bash_history” (es un fichero oculto) y
podemos ver que se a descomprimid...
Página 11
Página 12
Rellenando correctamente estas pantallas, nos dará el siguiente resultado.

Si accedemos a la línea de tiempo cr...
Página 13
Si montamos la parte de sistema de ficheros que hemos observado, y hacemos un
string para observar el contenido ...
Página 14
Próxima SlideShare
Cargando en…5
×

Andrés gonzález suárez analisis forense 1

282 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
282
En SlideShare
0
De insertados
0
Número de insertados
28
Acciones
Compartido
0
Descargas
7
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Andrés gonzález suárez analisis forense 1

  1. 1. <IES GRAN CAPITÁN> PRACTICA ANALISIS FORENSE 1 Presentado por: ANDRÉS GONZÁLEZ SUÁREZ ,
  2. 2. ANALISIS FORENSE 1 ANDRÉS GONZÁLEZ SUÁREZ 1.- INSTALACIÓN DE SLEUTHKIT Y AUTOPSY. Comenzamos con la instalación de Sleuthkit, que son un conjunto de lineas de comandos basadas en The Coroner's Toolkit. Esta herramienta está en los repositorios. Usamos el comando: apt-get install sleuthkit. A continuación, hacemos la instalación de Autopsy. Este es una interfaz que nos permite utilizar Sleuthkit mediante un navegador web. También usamos lo repositorios para instalarlo: apt-get install autopsy. Para poder utilizar autopsy, siempre tenemos que ejecutarlo en una terminal antes de poder abrirlo a través del navegador.
  3. 3. Página 1 Comprobamos que podemos acceder.
  4. 4. Página 2 Hemos descargado una serie de imágenes para analizar. Descomprimimos estas mediante el comando tar -xvf dentro del directorio /usr/local/imagenes (el directorio imágenes tenemos que crearlo anteriormente). Nos aparecen unos ficheros .gz. Descomprimimos estos mediante el siguiente comando:
  5. 5. Página 3 2.- CREACIÓN DE UN NUEVO CASO. Accedemos a Autopsy por la interfaz y le damos a crear nuevo caso. Nos saldrá las siguientes pantallas.
  6. 6. Página 4 3.- CREACIÓN DE NUEVOS HOSTS. Para que los host que nosotros vamos a crear coincidan con la realidad, investigamos un poco entre los distintos ficheros que hemos descargado. Es muy importante tener claro el sistema de ficheros utilizado en cada partición. Para ello utilizamos el comando file. Montamos la partición para tener posibilidad de “curiosear” un poco.
  7. 7. Página 5 Míramos que sistema operativo es. Y cual fue la configuración que tenía en la tarjeta de red.
  8. 8. Página 6 Volvemos a Autopsy y creamos el nuevo host siguiendo lo siguientes pasos.
  9. 9. Página 7 4.- INCLUIR LAS IMÁGENES DEL SISTEMA DE FICHEROS. Ahora, vamos a incluir las imágenes del sistema de ficheros que vamos a utilizar (el comprometido). Seguimos los siguientes pasos.
  10. 10. Página 8 En “location”, ponemos el directorio donde se encuentran las imágenes, siempre especificando el nombre correcto de cada imagen. En los detalles de la imagen, tener cuidado, y siempre poner correctamente el punto de montaje.
  11. 11. Página 9 Nos dará un resumen y nos dirá que está correctamente creado. Hacemos lo mismo con el resto de los ficheros. 5.- ANÁLISIS DE UNA INTRUSIÓN. Lo primero que hemos hecho es hacer que entre una intrusión, accediendo a una web “contaminada”. http://honeynet.hackers.nl/challenge/ A continuación, hemos entrado en Autopsy y nos hemos ido al directorio “/var/log/secure”. Ahí, hemos visto que se ha hecho una conexión del tipo Telnet.
  12. 12. Página 10 Ahora, nos desplazamos a “/home/drosen/.bash_history” (es un fichero oculto) y podemos ver que se a descomprimido e instalado un programa desconocido. 6.- CREACIÓN DE LÍNEAS DE TIEMPO. Vamos a crear una línea de tiempo, para tener una lista de sucesos relacionados con la actividad que hemos visto anteriormente. Le damos a la opción de “TimeLine” y, posteriormente, a “Create Data File”.
  13. 13. Página 11
  14. 14. Página 12 Rellenando correctamente estas pantallas, nos dará el siguiente resultado. Si accedemos a la línea de tiempo creada, vemos los eventos que han ocurrido en un determinado momento.
  15. 15. Página 13 Si montamos la parte de sistema de ficheros que hemos observado, y hacemos un string para observar el contenido que tiene este fichero binario.
  16. 16. Página 14

×