SlideShare una empresa de Scribd logo

Un caso de Forense: Delito de pederastia en Windows

Eventos Creativos
Eventos Creativos

Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

Tecnología
1 de 44
Descargar para leer sin conexión
Reto Ciberbullyng DragonJar I Alejandro Ramos Computer Hacking Forensic Investigator SecurityByDefault.com
Yo. Ego - presentación  Manager del TigerTeam de SIA  Profesor en el MOSTIC de la Universidad Europea de Madrid (Hardening Linux y Análisis Forense)  Editor de SecurityByDefault.com  Blah Blah…
EJEMPLO - Cyberbullying  Concurso – Reto Forense Dragon Jar I  Se obtiene una imagen (VM) del equipo de un sospechoso de ciber-acoso  Se solicita un análisis forense del equipo para confirmar la sospecha.  Imágenes disponibles en: http://www.dragonjar.org/resultado-del-primer-reto- forense-de-la-comunidad-dragonjar.xhtml
Adquisición de imagen  Por tratarse de un Vmware: ◦ Se añade un disco duro virtual > al original ◦ Se arranca con un livecd tipo CAINE/DEFT ◦ Se crea partición FAT32 y se formatea (mkfs.vfat) ◦ Se monta sobre /mnt ◦ Se genera la imagen: guymager  dcfldd
Adquisición
Información básica  Registrado: Scarface  XP SP3  AMD Athlon 512Mb  Usuario: Administrador  Uso horario GMT+5
Fecha de instalación  HKLMSOFTWAREMicrosoftWindows NTCurrentVersion  UnixTime: 1260862666  = 15 Dec 2009
Software instalado  TrueCrypt  Windows Live  IrfanView
Procesos en ejecución  No se detecta malware  Ni procesos extraños
Servicios en ejecución  No se detecta malware  Ni servicios extraños
Análisis de arranque  No se detecta malware  Ni servicios extraños
Drivers instalados  Driver de truecrypt instalado
Aplicaciones ejecutadas – Prefetch
Aplicaciones ejecutadas – Prefetch Aplicación Funcionalidad S-TOOLS Estenografía TIMESTOMP Anti-forense, modificación de fechas TRUECRYPT Cifrado de volúmenes y discos
Archivos recientes  C:Documents and SettingsAdminReciente
Búsqueda de ADS  AlternateStremView (nirsoft)  Archivo: Scarface.jpg contine: «oculto»  «oculto» es un ejecutable de «Steganos LockNote»
Busqueda de archivos TrueCrypt  Búsqueda con fecha  Tamaño de archivo
Busqueda de aplicación TrueCrypt  No se encuentra TrueCrypt en «Inicio» ni en «Archivos de programa»  Se busca en el registro «Uninstall»: HKLMSoftwareMicrosoftWindowsCurr entVersionUninstall
Búsquedas en Internet  MyLastSearch de Nirsoft  Búsquedas en Google de contenido sexual infantil
Archivos temporales de Internet  Uso de index.dat Analyzer para facilitar el proceso  Se detectan búsquedas de sexo infantil en Google  Se detecta navegación de imágenes con contenido sexual
index.dat Analyzer http://www.systenance.com/indexdat.php
Imágenes pedófilas en la cache  Uso de irfanview para ver imágenes cacheadas  Se detecta pornografía infantil
Cache del navegador  El usuario se registra en el portal  Se obtiene usuario y correo electrónico
Cache del navegador  Se comparte contenido pornográfico
Cache del navegador  Contraseña y comentarios
Cache del navegador  Usuario añadido en hotmail ¿victima?
Cache del Navegador  Se obtiene contraseña del portal imgsrc.ru
Búsquedas en el Historial  Se encuentran referencias a imágenes «sexy (n).jpg» en «Mis imágenes»  Los ficheros ya no existen
Búsquedas en el Historial  Referencias a los archivos anteriores en «Z:»
Historial de MSN  No hay registros de MSN  No hay archivos en «Mis archivos recibidos»  Se encuentran imágenes en la cache de MSN
Contactos MSN  C:Documents and SettingsAdministradorConfiguración localDatos de programaMicrosoftWindows Live Contacts{2b8788be-f69b-4265-9430- 326604e4a5c0}DBStorecontacts.edb
Disco Duro
Disco duros - interfaces
Estructura disco duro • A Pista • B Sector • C Sector de una pista • D Cluster
Sector / Cluster  Cluster es la mínima unidad de almacenamiento para el sistema operativo  Los clusters se componen de sectores. El mínimo es un cluster = un sector  Los sectores pueden estar marcados como defectuosos y no ser usados.
Espacio Slack 1. Fichero ocupa: 768Bytes 2. Un cluster son 4 sectores 3. El sector 2 es ocupado parcialmente y dependiendo del SO puede sobrescribirse o no el espacio libre 4. El resto de sectores no se sobrescribe quedando datos no eliminados
Busqueda en «slack space»
Busqueda en «slack space»
Camila
¿LockNote?  Se obtienen las credenciales de imgsrc.ru (ya obtenidas)
TrueCrypt  La contraseña esta cacheada en memoria y no es necesaria  Aunque haciendo pruebas, se puede averiguar que es «Scarface»
Línea temporal 19/12/2009 – 21:06:15 21:08:52 Obtención de datos High School Music 19/12/2009 – 21:16:04 21:20:44 Conversación MSN con Natalia 19/12/2009 – 21:35:14 Se suben imagen de Natalia«luna.jpg» a imgsrc.ru 19/12/2009 – 23:04:07 – 23:13:54 Conversación MSN con Camila 19/12/2009 – 23:38:41 Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru 20/12/2009 – 2:59:43 Archivos copiados a volumen cifrado TrueCrypt
¿PREGUNTAS?
Gracias Alejandro Ramos www.securitybydefault.com

Recomendados

Caperucita roja (1)
Caperucita roja (1)Caperucita roja (1)
Caperucita roja (1)Maria Jose Luquiño Silva
 
Serpientes y escaleras de multiplicación
Serpientes y escaleras de multiplicaciónSerpientes y escaleras de multiplicación
Serpientes y escaleras de multiplicaciónAnnie Domínguez
 
Realización de Time-Line en Sistemas Operativos Windows
Realización de Time-Line en Sistemas Operativos WindowsRealización de Time-Line en Sistemas Operativos Windows
Realización de Time-Line en Sistemas Operativos WindowsEventos Creativos
 
Ataques Man in the Middle en iPv6
Ataques Man in the Middle en iPv6Ataques Man in the Middle en iPv6
Ataques Man in the Middle en iPv6Eventos Creativos
 
Computador personal, partes (Parte2)
Computador personal, partes (Parte2)Computador personal, partes (Parte2)
Computador personal, partes (Parte2)Andres Ovalles
 
Discos duros
Discos durosDiscos duros
Discos durospoladio1
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...RootedCON
 

Recomendados

Caperucita roja (1)
Caperucita roja (1)Caperucita roja (1)
Caperucita roja (1)Maria Jose Luquiño Silva
 
Serpientes y escaleras de multiplicación
Serpientes y escaleras de multiplicaciónSerpientes y escaleras de multiplicación
Serpientes y escaleras de multiplicaciónAnnie Domínguez
 
Realización de Time-Line en Sistemas Operativos Windows
Realización de Time-Line en Sistemas Operativos WindowsRealización de Time-Line en Sistemas Operativos Windows
Realización de Time-Line en Sistemas Operativos WindowsEventos Creativos
 
Ataques Man in the Middle en iPv6
Ataques Man in the Middle en iPv6Ataques Man in the Middle en iPv6
Ataques Man in the Middle en iPv6Eventos Creativos
 
Computador personal, partes (Parte2)
Computador personal, partes (Parte2)Computador personal, partes (Parte2)
Computador personal, partes (Parte2)Andres Ovalles
 
Discos duros
Discos durosDiscos duros
Discos durospoladio1
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...RootedCON
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMEventos Creativos
 
Sysdig
SysdigSysdig
SysdigAlejandro E Brito Monedero
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIRMarcos Fuentes
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 esetjeysonh
 
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"Alonso Caballero
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 
complementaria
complementariacomplementaria
complementariacarmen546
 
Examen compu
Examen compuExamen compu
Examen compucarmen546
 
Examen compu
Examen compuExamen compu
Examen compucarmen546
 
Ccleaner
CcleanerCcleaner
Ccleanersaracastrejongalvan
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Estudio del caso
Estudio del casoEstudio del caso
Estudio del casoBraiian RoQue
 
Utilerias de recuperación de información
Utilerias de recuperación de información Utilerias de recuperación de información
Utilerias de recuperación de información ChristianCantabrana
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftEventos Creativos
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para itEventos Creativos
 

Más contenido relacionado

Similar a Un caso de Forense: Delito de pederastia en Windows

3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMEventos Creativos
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIRMarcos Fuentes
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 esetjeysonh
 
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"Alonso Caballero
 
complementaria
complementariacomplementaria
complementariacarmen546
 
Examen compu
Examen compuExamen compu
Examen compucarmen546
 
Examen compu
Examen compuExamen compu
Examen compucarmen546
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Utilerias de recuperación de información
Utilerias de recuperación de información Utilerias de recuperación de información
Utilerias de recuperación de información ChristianCantabrana
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 

Similar a Un caso de Forense: Delito de pederastia en Windows (20)

3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAM
 
Sysdig
SysdigSysdig
Sysdig
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 eset
 
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
Webinar Gratuito: "Recuperar Fotografías Borradas con Photorec"
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
complementaria
complementariacomplementaria
complementaria
 
Examen compu
Examen compuExamen compu
Examen compu
 
Examen compu
Examen compuExamen compu
Examen compu
 
Ccleaner
CcleanerCcleaner
Ccleaner
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
Estudio del caso
Estudio del casoEstudio del caso
Estudio del caso
 
Utilerias de recuperación de información
Utilerias de recuperación de información Utilerias de recuperación de información
Utilerias de recuperación de información
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 

Más de Eventos Creativos

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftEventos Creativos
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit frameworkEventos Creativos
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmEventos Creativos
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetEventos Creativos
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Eventos Creativos
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos iosEventos Creativos
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosEventos Creativos
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoEventos Creativos
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativoEventos Creativos
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcEventos Creativos
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesEventos Creativos
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 

Más de Eventos Creativos (20)

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y Microsoft
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para it
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit framework
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnet
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
Windows 8
Windows 8Windows 8
Windows 8
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos ios
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivo
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativo
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etc
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móviles
 
Nfc en móviles
Nfc en móvilesNfc en móviles
Nfc en móviles
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 

Último

La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (19)

La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

Un caso de Forense: Delito de pederastia en Windows

  • 1. Reto Ciberbullyng DragonJar I Alejandro Ramos Computer Hacking Forensic Investigator SecurityByDefault.com
  • 2. Yo. Ego - presentación  Manager del TigerTeam de SIA  Profesor en el MOSTIC de la Universidad Europea de Madrid (Hardening Linux y Análisis Forense)  Editor de SecurityByDefault.com  Blah Blah…
  • 3. EJEMPLO - Cyberbullying  Concurso – Reto Forense Dragon Jar I  Se obtiene una imagen (VM) del equipo de un sospechoso de ciber-acoso  Se solicita un análisis forense del equipo para confirmar la sospecha.  Imágenes disponibles en: http://www.dragonjar.org/resultado-del-primer-reto- forense-de-la-comunidad-dragonjar.xhtml
  • 4. Adquisición de imagen  Por tratarse de un Vmware: ◦ Se añade un disco duro virtual > al original ◦ Se arranca con un livecd tipo CAINE/DEFT ◦ Se crea partición FAT32 y se formatea (mkfs.vfat) ◦ Se monta sobre /mnt ◦ Se genera la imagen: guymager  dcfldd
  • 6. Información básica  Registrado: Scarface  XP SP3  AMD Athlon 512Mb  Usuario: Administrador  Uso horario GMT+5
  • 7. Fecha de instalación  HKLMSOFTWAREMicrosoftWindows NTCurrentVersion  UnixTime: 1260862666  = 15 Dec 2009
  • 8. Software instalado  TrueCrypt  Windows Live  IrfanView
  • 9. Procesos en ejecución  No se detecta malware  Ni procesos extraños
  • 10. Servicios en ejecución  No se detecta malware  Ni servicios extraños
  • 11. Análisis de arranque  No se detecta malware  Ni servicios extraños
  • 12. Drivers instalados  Driver de truecrypt instalado
  • 14. Aplicaciones ejecutadas – Prefetch Aplicación Funcionalidad S-TOOLS Estenografía TIMESTOMP Anti-forense, modificación de fechas TRUECRYPT Cifrado de volúmenes y discos
  • 15. Archivos recientes  C:Documents and SettingsAdminReciente
  • 16. Búsqueda de ADS  AlternateStremView (nirsoft)  Archivo: Scarface.jpg contine: «oculto»  «oculto» es un ejecutable de «Steganos LockNote»
  • 17. Busqueda de archivos TrueCrypt  Búsqueda con fecha  Tamaño de archivo
  • 18. Busqueda de aplicación TrueCrypt  No se encuentra TrueCrypt en «Inicio» ni en «Archivos de programa»  Se busca en el registro «Uninstall»: HKLMSoftwareMicrosoftWindowsCurr entVersionUninstall
  • 19. Búsquedas en Internet  MyLastSearch de Nirsoft  Búsquedas en Google de contenido sexual infantil
  • 20. Archivos temporales de Internet  Uso de index.dat Analyzer para facilitar el proceso  Se detectan búsquedas de sexo infantil en Google  Se detecta navegación de imágenes con contenido sexual
  • 22. Imágenes pedófilas en la cache  Uso de irfanview para ver imágenes cacheadas  Se detecta pornografía infantil
  • 23. Cache del navegador  El usuario se registra en el portal  Se obtiene usuario y correo electrónico
  • 24. Cache del navegador  Se comparte contenido pornográfico
  • 25. Cache del navegador  Contraseña y comentarios
  • 26. Cache del navegador  Usuario añadido en hotmail ¿victima?
  • 27. Cache del Navegador  Se obtiene contraseña del portal imgsrc.ru
  • 28. Búsquedas en el Historial  Se encuentran referencias a imágenes «sexy (n).jpg» en «Mis imágenes»  Los ficheros ya no existen
  • 29. Búsquedas en el Historial  Referencias a los archivos anteriores en «Z:»
  • 30. Historial de MSN  No hay registros de MSN  No hay archivos en «Mis archivos recibidos»  Se encuentran imágenes en la cache de MSN
  • 31. Contactos MSN  C:Documents and SettingsAdministradorConfiguración localDatos de programaMicrosoftWindows Live Contacts{2b8788be-f69b-4265-9430- 326604e4a5c0}DBStorecontacts.edb
  • 33. Disco duros - interfaces
  • 34. Estructura disco duro • A Pista • B Sector • C Sector de una pista • D Cluster
  • 35. Sector / Cluster  Cluster es la mínima unidad de almacenamiento para el sistema operativo  Los clusters se componen de sectores. El mínimo es un cluster = un sector  Los sectores pueden estar marcados como defectuosos y no ser usados.
  • 36. Espacio Slack 1. Fichero ocupa: 768Bytes 2. Un cluster son 4 sectores 3. El sector 2 es ocupado parcialmente y dependiendo del SO puede sobrescribirse o no el espacio libre 4. El resto de sectores no se sobrescribe quedando datos no eliminados
  • 40. ¿LockNote?  Se obtienen las credenciales de imgsrc.ru (ya obtenidas)
  • 41. TrueCrypt  La contraseña esta cacheada en memoria y no es necesaria  Aunque haciendo pruebas, se puede averiguar que es «Scarface»
  • 42. Línea temporal 19/12/2009 – 21:06:15 21:08:52 Obtención de datos High School Music 19/12/2009 – 21:16:04 21:20:44 Conversación MSN con Natalia 19/12/2009 – 21:35:14 Se suben imagen de Natalia«luna.jpg» a imgsrc.ru 19/12/2009 – 23:04:07 – 23:13:54 Conversación MSN con Camila 19/12/2009 – 23:38:41 Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru 20/12/2009 – 2:59:43 Archivos copiados a volumen cifrado TrueCrypt
  • 44. Gracias Alejandro Ramos www.securitybydefault.com