Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.
2. Yo. Ego - presentación
Manager del TigerTeam de SIA
Profesor en el MOSTIC de la Universidad
Europea de Madrid (Hardening Linux y Análisis
Forense)
Editor de SecurityByDefault.com
Blah Blah…
3. EJEMPLO - Cyberbullying
Concurso – Reto Forense Dragon Jar I
Se obtiene una imagen (VM) del equipo de un
sospechoso de ciber-acoso
Se solicita un análisis forense del equipo para
confirmar la sospecha.
Imágenes disponibles en:
http://www.dragonjar.org/resultado-del-primer-reto-
forense-de-la-comunidad-dragonjar.xhtml
4. Adquisición de imagen
Por tratarse de un Vmware:
◦ Se añade un disco duro virtual > al original
◦ Se arranca con un livecd tipo CAINE/DEFT
◦ Se crea partición FAT32 y se formatea
(mkfs.vfat)
◦ Se monta sobre /mnt
◦ Se genera la imagen: guymager
dcfldd
18. Busqueda de aplicación TrueCrypt
No se encuentra TrueCrypt en «Inicio» ni
en «Archivos de programa»
Se busca en el registro «Uninstall»:
HKLMSoftwareMicrosoftWindowsCurr
entVersionUninstall
19. Búsquedas en Internet
MyLastSearch de Nirsoft
Búsquedas en Google de contenido
sexual infantil
20. Archivos temporales de Internet
Uso de index.dat Analyzer para facilitar el
proceso
Se detectan búsquedas de sexo infantil en
Google
Se detecta navegación de imágenes con
contenido sexual
28. Búsquedas en el Historial
Se encuentran referencias a imágenes
«sexy (n).jpg» en «Mis imágenes»
Los ficheros ya no existen
29. Búsquedas en el Historial
Referencias a los archivos anteriores en
«Z:»
30. Historial de MSN
No hay registros de MSN
No hay archivos en «Mis archivos
recibidos»
Se encuentran imágenes en la cache de
MSN
31. Contactos MSN
C:Documents and
SettingsAdministradorConfiguración
localDatos de programaMicrosoftWindows
Live Contacts{2b8788be-f69b-4265-9430-
326604e4a5c0}DBStorecontacts.edb
35. Sector / Cluster
Cluster es la mínima unidad de
almacenamiento para el sistema operativo
Los clusters se componen de sectores. El
mínimo es un cluster = un sector
Los sectores pueden estar marcados
como defectuosos y no ser usados.
36. Espacio Slack
1. Fichero ocupa: 768Bytes
2. Un cluster son 4 sectores
3. El sector 2 es ocupado parcialmente y dependiendo del SO
puede sobrescribirse o no el espacio libre
4. El resto de sectores no se sobrescribe quedando datos no
eliminados
40. ¿LockNote?
Se obtienen las credenciales de imgsrc.ru
(ya obtenidas)
41. TrueCrypt
La contraseña esta cacheada en memoria
y no es necesaria
Aunque haciendo pruebas, se puede
averiguar que es «Scarface»
42. Línea temporal
19/12/2009 – 21:06:15 21:08:52
Obtención de datos High School Music
19/12/2009 – 21:16:04 21:20:44
Conversación MSN con Natalia
19/12/2009 – 21:35:14
Se suben imagen de Natalia«luna.jpg» a imgsrc.ru
19/12/2009 – 23:04:07 – 23:13:54
Conversación MSN con Camila
19/12/2009 – 23:38:41
Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru
20/12/2009 – 2:59:43
Archivos copiados a volumen cifrado TrueCrypt