Enviar búsqueda
Cargar
Analisis forense
•
0 recomendaciones
•
2,912 vistas
C
cyberlocos
Seguir
Este es un arti
Leer menos
Leer más
Educación
Vista de diapositivas
Denunciar
Compartir
Vista de diapositivas
Denunciar
Compartir
1 de 34
Descargar ahora
Descargar para leer sin conexión
Recomendados
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Alonso Caballero
Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
Delitos Informaticos
Delitos Informaticos
lucosa
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
Forense digital
Forense digital
lbosquez
Workshop de datos científicos. Introducción
Workshop de datos científicos. Introducción
Fernando-Ariel Lopez
Recomendados
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Alonso Caballero
Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
Delitos Informaticos
Delitos Informaticos
lucosa
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
Forense digital
Forense digital
lbosquez
Workshop de datos científicos. Introducción
Workshop de datos científicos. Introducción
Fernando-Ariel Lopez
Posición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptx
BeatrizQuijano2
Lecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigos
Alejandrino Halire Ccahuana
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
IES Vicent Andres Estelles
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
IES Vicent Andres Estelles
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
litzyleovaldivieso
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
CarlosEduardoSosa2
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
JonathanCovena1
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
https://gramadal.wordpress.com/
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
https://gramadal.wordpress.com/
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
Ángel Encinas
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
deimerhdz21
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
NancyMoreiraMora1
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Mercedes Gonzalez
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
Alberto Rubio
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
https://gramadal.wordpress.com/
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Katherine Concepcion Gonzalez
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
luismii249
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Más contenido relacionado
Último
Posición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptx
BeatrizQuijano2
Lecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigos
Alejandrino Halire Ccahuana
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
IES Vicent Andres Estelles
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
IES Vicent Andres Estelles
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
litzyleovaldivieso
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
CarlosEduardoSosa2
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
JonathanCovena1
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
https://gramadal.wordpress.com/
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
https://gramadal.wordpress.com/
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
Ángel Encinas
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
deimerhdz21
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
NancyMoreiraMora1
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Mercedes Gonzalez
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
Alberto Rubio
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
https://gramadal.wordpress.com/
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Katherine Concepcion Gonzalez
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
luismii249
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
Último
(20)
Posición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptx
Lecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigos
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
Destacado
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
Introduction to Data Science
Introduction to Data Science
Christy Abraham Joy
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
The six step guide to practical project management
The six step guide to practical project management
MindGenius
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
Destacado
(20)
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
Skeleton Culture Code
Skeleton Culture Code
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
How to have difficult conversations
How to have difficult conversations
Introduction to Data Science
Introduction to Data Science
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
The six step guide to practical project management
The six step guide to practical project management
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Analisis forense
1.
Análisis Forense
Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net Análisis Forense, Auditorías y Detección de Intrusiones - ©1 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
2.
Agenda •
Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©2 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
3.
¿ Que és
un Análisis Forense ? • “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999 Análisis Forense, Auditorías y Detección de Intrusiones - ©3 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
4.
En busca de
respuestas... • ¿ Qué sucedió ? • ¿ Donde ? • ¿ Cuándo ? • ¿ Por qué ? • ¿ Quién ? • ¿ Cómo ? Análisis Forense, Auditorías y Detección de Intrusiones - ©4 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
5.
Algunos conceptos •
Evidencia • Cadena de custodia • Archivo de hallazgos • Línea de tiempo • Imágenes • Comprobación de integridad – Hash Análisis Forense, Auditorías y Detección de Intrusiones - ©5 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
6.
¿ Preservar o
salvar ? Análisis Forense, Auditorías y Detección de Intrusiones - ©6 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
7.
Se busca “vivo
o muerto” • Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros • Sistema “muerto” – Almacenamiento • Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones) Análisis Forense, Auditorías y Detección de Intrusiones - ©7 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
8.
Agenda •
Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©8 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
9.
Metodología •
Verificación y descripción del incidente • Adquisición de evidencias • Obtención de imagenes de las evidencias • Análisis inicial • Creación y análisis de la línea de tiempo • Análisis específico y recuperación de datos • Análisis de datos y cadenas • Generación del informe Análisis Forense, Auditorías y Detección de Intrusiones - ©9 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
10.
Creación del archivo
de hallazgos • Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense • Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado Análisis Forense, Auditorías y Detección de Intrusiones - ©10 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
11.
Recepción de la
Imagen de datos • Consiste en la recepción de las imágenes de datos a investigar. • Clonación de las imágenes. • Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©11 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
12.
Identificación de las
particiones • En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. • Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. Análisis Forense, Auditorías y Detección de Intrusiones - ©12 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
13.
Identificación SO y
aplicaciones • En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©13 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
14.
Revisión de código
malicioso • Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©14 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
15.
Recuperación archivos • Recuperación
de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivos Análisis Forense, Auditorías y Detección de Intrusiones - ©15 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
16.
Primera Clasificación de
Archivos • Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido. • Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada. • Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) • Archivos extensión modificada. La extensión no corresponde con su contenido. Análisis Forense, Auditorías y Detección de Intrusiones - ©16 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
17.
Segunda Clasificación de
archivos • Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. Análisis Forense, Auditorías y Detección de Intrusiones - ©17 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
18.
Analizar los archivos •
Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar. Análisis Forense, Auditorías y Detección de Intrusiones - ©18 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
19.
Análisis de artefactos •
Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema. • Tipos de análisis: – Comportamiento – Código o contenido Análisis Forense, Auditorías y Detección de Intrusiones - ©19 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
20.
Línea de tiempo •
Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©20 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
21.
Informe • En esta
fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – Anexos Análisis Forense, Auditorías y Detección de Intrusiones - ©21 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
22.
Agenda •
Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©22 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
23.
Herramientas • Aplicaciones comerciales:
– Encase • Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc. • La herramienta más importante es: Análisis Forense, Auditorías y Detección de Intrusiones - ©23 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
24.
Agenda •
Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©24 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
25.
Agenda •
Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©25 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
26.
III Reto de
Análisis Forense • SSOO Win2003 server en partición de 5 GB • Direccionamiento IP privado (no homologado) • Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. • Standalone • Apache+PHP+MySQL • PostgreSQL • DNS • Compartición de archivos • 2 cuentas de administración y 5 de usuarios sin privilegios • WebERP Análisis Forense, Auditorías y Detección de Intrusiones - ©26 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
27.
Descarga y comprobación
imagen • Bajar la imagen • Descomprimirla • Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img Análisis Forense, Auditorías y Detección de Intrusiones - ©27 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
28.
Montaje de la
imagen • Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z: Análisis Forense, Auditorías y Detección de Intrusiones - ©28 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
29.
Recogida de datos •
Recogida de datos del sistema en: %systemroot%system32config • con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT Análisis Forense, Auditorías y Detección de Intrusiones - ©29 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
30.
Inicios de sesión •
INICIOS DE SESION* *Fuente: Microsoft technet http://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=true Análisis Forense, Auditorías y Detección de Intrusiones - ©30 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
31.
Logs • LOGS (%systemroot%system32config
– SysEvent.Evt – SecEvent.Evt – AppEvent.Evt • Aplicación: Visor de sucesos (eventvwr.msc) Análisis Forense, Auditorías y Detección de Intrusiones - ©31 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
32.
Perfil de usuario •
Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat • Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza. Análisis Forense, Auditorías y Detección de Intrusiones - ©32 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
33.
Histórico de navegación •
Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txt Análisis Forense, Auditorías y Detección de Intrusiones - ©33 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
34.
Referencias • “Helix Live
CD”, e-fense URL: http://www.e-fense.com/helix/ • “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits • “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net • “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/ • “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/ • “Windows Forensic Toolchest”, Fool Moon Software & Security URL: Análisis Forense, Auditorías y Detección de Intrusiones - ©34 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José
Descargar ahora