SlideShare una empresa de Scribd logo

Curso forensics power_tools

P
psanchezcordero

Contiene las diapositivas sobre las mejores herramientas forenses y como montar un laboratorio forense.

Tecnología
1 de 52
CASOS Descubre poderosas herramientas para la PRACTICOS adquisición, preservación y análisis Pedro Sánchez Conexión Inversa 1
Pedro Sánchez Consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de Investigación Tecnológica de la policía nacional (BIT). He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación Nato Secret, dando conferencias en NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia Soy miembro de la Spanish Honeynet Project, fundador de ConexiónInversa , consultor en Google y Bitdefender y soy Perito Judicial Informático.
Pedro Sánchez
Agenda 1.- Iniciando un análisis forense 3.- La memoria – Comandos – ptfinder – FTK Imager – Pagefile.sys – DumpIT – Volatility – Memorizer – RedLine – CD Live 4.- Analizando la red – Clonadoras – Tshark - WireShark – Integridad – Network Miner – NetWitness 2.- Analizando datos – Artefactos 5.- El laboratorio Forense – RegRipper – WFA – WRR – WinprefetchView – Web Historian 4
Un mundo lleno de herramientas ¿Las necesitamos? • Cuando hacemos una pericial tenemos que disponer de un conjunto de recursos que garanticen la evidencia a través de una o varias pruebas. • Pretende resolver: – La investigación del fraude digital – Dar respuesta forense a incidentes corporativos – La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos para litigios, negociaciones o arbitrajes – La elaboración y defensa de periciales y contra periciales como expertos independientes – La prevención y la gestión informático-forense de riesgos corporativos y gubernamentales en entornos digitales • Las herramientas son un instrumento de ayuda, nunca la solución a nuestra investigación.
1 Iniciando un análisis forense 6
El misterioso caso de winreg Los pasos- Adquisición y clonado • nc -L -p 7777 >datos_listener.txt – Tras establecer el listener en la maquina remota, podemos pasarle información a través de la red desde la maquina sospechosa de haber sido comprometida: • Código: – tlist.exe -c |nc <ip_remota> 7777 -w 5 tlist.exe -t |nc <ip_remota> 7777 -w 5 tlist.exe -s |nc <ip_remota> 7777 -w 5 netstat -naob |nc <ip_remota> 7777 -w 5 – tcpvcon -can |nc <ip_remota> 7777 -w 5 • Fecha y hora actual del sistema: – Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt • Uptime de la maquina: – (systeminfo | find “Boot Time”) >%DIR%uptime.txt – ipconfig /all >%DIR%ipconfigNICs.txt netstat -rn >%DIR%TablaEnrutamiento.txt nbtstat -c >%DIR%CacheNombresNetbios.txt • Arbol de procesos en ejecución (SysInternals): – pslist -t >%DIR%ArbolProcesos.txt • Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger: – listdlls >%DIR%DLLs.txt – handle -a >%DIR%handles.txt 7
El misterioso caso de winreg Los pasos- Adquisición y clonado • Volcados por fallo configurando el SO para crear un volcado de memoria completa de Windows (también conocida como pantalla azul o kernel panic) • Volcado LiveKD por uso de herramientas • Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede analizar y descomprimidos para obtener la imagen de memoria. • MoonSols DumpIt es una fusión de win32dd y win64dd en un ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual. DumpIt es la utilidad perfecta para desplegar en una llave USB para una rápida operación de respuesta a incidentes. Rápido, pequeño y portátil. 8
El misterioso caso de winreg Los pasos- Adquisición y clonado 9
El misterioso caso de winreg Los pasos- Adquisición y clonado 10
El misterioso caso de winreg Los pasos- CLONADO • Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o sectores defectuosos. • Existen múltiples formas y herramientas – Por software • DD • Live CD • OSForensics • EnCase – Por Hardware • Clonadoras 11
El misterioso caso de winreg Los pasos- CLONADO 12
El misterioso caso de winreg Los pasos- CLONADO 13
El misterioso caso de winreg Los pasos- CLONADORES DE DISCO 14
El misterioso caso de winreg Los pasos- CLONADORES DE DISCO • Clonadores por harware • Rapidez, eficacia, sencillez, no intrusivo • El coste de estas herramientas es muy alto de base (hasta 20.000€) 15
El misterioso caso de winreg Los pasos- INTEGRIDAD 16
El misterioso caso de winreg Resultados –Disponemos de datos volátiles –Disponemos del disco –Disponemos de huellas 17
2 Análisis de datos Artefactos de Windows 18
Análisis de datos Montando discos 19
Análisis de datos Artefactos de Windows • Son los diferentes ficheros, cadenas de registro, rutas de acceso y configuraciones que pueden determinar la actividad de un malware o de un usuario malicioso, así como las evidencias necesarias para una prueba. 20
Análisis de datos Artefactos de Windows • El editor del registro no muestra solo la estructura local, existen varias claves y subclaves que están almacenadas sobre ficheros en el disco duro. Estos ficheros son llamados 'hives'. • El sistema a estos ficheros 'los mima' estableciendo copias de seguridad para su posterior utilización en caso de que el sistema falle en el inicio del sistema operativo.Las claves del registro que se asocian a los 'hives' son HKLM y HKU. 21
Análisis de datos Artefactos de Windows ¡¡ Mama quiero ser perito!! http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html 22
Análisis de datos Artefactos de Windows 23
Análisis de datos Artefactos de Windows 24
Análisis de datos Artefactos de Windows 25
Análisis de datos Artefactos de Windows 26
Análisis de datos Artefactos de Windows 27
3 Análisis de datos La memoria 28
Análisis de datos La memoria - RAM 29
Análisis de datos La memoria -Pagefile Strings pagefile.sys > pagefile.txt • findstr "password" pagefile.txt > passwd.txt • findstr “net user" pagefile.txt > netuser.txt • findstr /C:"reg add" pagefile.txt > reg.txt • findstr "UPDATE" pagefile.txt • findstr "ipconfig" pagefile.txt • findstr "html" pagefile.txt > dochtml.htm • findstr "msnmsgr" pagefile.txt > messenger.htm 30
Análisis de datos La memoria - ptfinder • ptfinder_w2003.pl --nothreads --dotfile Mifichero.dot 2K3FURootkit.DMP 31
Análisis de datos VOLATILITY VOLATILITY 32
Análisis de datos VOLATILITY • Detalles de la imagen (fecha, hora, número de CPU) • Los procesos en ejecución • Proceso de SID y variables de entorno • Conexiones de red • DLLs cargados para cada proceso • Los objetos del kernel / (archivos, claves, exclusiones mutuas) • Los módulos del kernel • Volcado de cualquier proceso, DLL o módulo en el disco • Mapeo físicas a las direcciones virtuales • Memoria direccionable para cada proceso • Mapas de memoria para cada proceso • Extraer muestras ejecutables • Historias de comandos (cmd.exe) y datos de consola de entrada / salida • PE información de versión • Las tablas del sistema de llamada • Secciones del Registro • Volcado LM / NTLM hashes y secretos LSA • Ayudar al usuario y exploración shimcache • Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria • Analizar tiempos del núcleo y funciones de devolución de llamada • Informe sobre los servicios de Windows 33
34
Análisis de datos VOLATILITY 35
Análisis de datos RedLine 36
Análisis de datos RedLine RedLine 37
4 Análisis de datos La red 38
Análisis de datos en red Tshark - Wireshark 39
Análisis de datos en red Tshark - Wireshark 40
Análisis de datos en red Network Miner 41
Análisis de datos en red NetWitness 42
5 El laboratorio Forense 43
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Un laboratorio se compone de: – Personas – Ubicación física segura – Dispositivos y medios de extracción – Dispositivos de explotación – Dispositivos de aseguramiento de la prueba – Procedimientos que regulan la actuación del laboratorio – Procedimientos normativos 44
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Director de laboratorio • Director Técnico • Personal especializado (de 2 a 5 personas) • Coordinación con notario especializado en delitos telemáticos • Apoyo jurídico técnico referente a la probática del laboratorio. • Formación: • Especialistas en seguridad • Capacidad investigadora • Resolutivos en tiempo • Formación académica en técnicas forenses • Con conocimientos en pericias judiciales • ¿Certificaciones? 45
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ubicación física • Edificio seguro o zonas estancas con vigilancia • Vigilancias física: – Guardia de seguridad – Registro de entradas y salidas – Entrada al recinto de alta seguridad por personal autorizado – Cámaras de video vigilancia – Volumetricos – Circuitos de aire frio/calientee – S3 – Control externo • Le afecta la misma norma que un CPD 46
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Dispositivos • Segregación de entornos – Entorno de test – Entorno de producción • El entorno de test no es valido para la prueba pericial, salvo que contenga las mismas medidas que el de producción • Elementos homologados y procedimentados – Clonadoras – Dispositivos de almacenamiento – Dispositivos de extracción – Generación y almacenamiento seguro de huellas – Tercero de confianza 47
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Procedimientos • Segregación de entornos – Entorno de test – Entorno de producción • Política de entrada y salida del laboratorio • Gestión de personal o usuarios • Gestión de la seguridad física • Gestión de la seguridad lógica • Política de mesas limpias • Política de gestión de dispositivos y dispositivos de backup. • Política de obtención de información y almacenamiento seguro – Recuperación local de datos – Recuperación remota de datos – Aseguramiento de la información en transito • Política de cadena de custodia • Política de gestión de custodios • Gestión de incidencias del laboratorio – Aviso a proveedores – Recuperación local de datos – Recuperación remota de datos • Continuidad de negocio 48
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Normativo • Debe de ser seguro e incluido dentro del alcance de un SGSI. • Le afecta la LOPD intensamente Amenazas Humanas Naturaleza No Intencionales intencionales Internas Externas 49
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Infraestructura • Preferiblemente: – Zona cero – Clonadoras • De discos • De discos de alta capacidad • De dispositivos móviles – Almacenamiento de huellas en caja cerrada – Posibilidad de software con tercero de confianza – Software homologado – Hardware homologado – Entorno de extracción con vitalización – Registros de salidas en entornos estancos – Infraestructura segura de transporte hasta el juzgado o cliente. 50
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ciclo de vida 51
www.conexioninversa.com http://conexioninversa.blogspot.com pedro.sanchez@conexioninversa.com 52 https://twitter.com/ConexionInversa http://www.youtube.com/user/mspedromspedro

Recomendados

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistema
Eventos Creativos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
SEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
Informatica forense 3
Informatica forense 3Informatica forense 3
Informatica forense 3
kirian urueta
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
Juan Flores
 

Recomendados

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistema
Eventos Creativos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
SEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
Informatica forense 3
Informatica forense 3Informatica forense 3
Informatica forense 3
kirian urueta
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
Juan Flores
 
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Mario Alberto Parra Alonso
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
DUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasDUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balas
Eventos Creativos
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
Eventos Creativos
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Johntheripper
JohntheripperJohntheripper
JohntheripperAlberto Pretto
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
Orlando Carrasco
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
Internet Security Auditors
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Mateo Martinez
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors
 
Forence
ForenceForence
Forence5124042
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
ch4k4n
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
Pancho Bbg
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
RootedCON
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
Marcos Fuentes
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Ing. Inf. Karina Bajana Mendoza
 

Más contenido relacionado

La actualidad más candente

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Mario Alberto Parra Alonso
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
DUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasDUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balas
Eventos Creativos
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
Eventos Creativos
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 

La actualidad más candente (8)

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
DUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasDUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balas
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajo
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 

Similar a Curso forensics power_tools

Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
Internet Security Auditors
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Mateo Martinez
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
ch4k4n
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
Pancho Bbg
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
RootedCON
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
Marcos Fuentes
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Ing. Inf. Karina Bajana Mendoza
 
Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01Hermes Abanto
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador Forense
Fiko Perez
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
Alejandro Ramos
 
Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013
NPROS Perú
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
Baruch Ramos
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
Egdares Futch H.
 

Similar a Curso forensics power_tools (20)

Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Forence
ForenceForence
Forence
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador Forense
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 

Último

Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
ValeriaAyala48
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSATMANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
Ing. Julio Iván Mera Casas
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
samuelvideos
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 

Último (20)

Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSATMANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 

Curso forensics power_tools

  • 1. CASOS Descubre poderosas herramientas para la PRACTICOS adquisición, preservación y análisis Pedro Sánchez Conexión Inversa 1
  • 2. Pedro Sánchez Consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de Investigación Tecnológica de la policía nacional (BIT). He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación Nato Secret, dando conferencias en NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia Soy miembro de la Spanish Honeynet Project, fundador de ConexiónInversa , consultor en Google y Bitdefender y soy Perito Judicial Informático.
  • 4. Agenda 1.- Iniciando un análisis forense 3.- La memoria – Comandos – ptfinder – FTK Imager – Pagefile.sys – DumpIT – Volatility – Memorizer – RedLine – CD Live 4.- Analizando la red – Clonadoras – Tshark - WireShark – Integridad – Network Miner – NetWitness 2.- Analizando datos – Artefactos 5.- El laboratorio Forense – RegRipper – WFA – WRR – WinprefetchView – Web Historian 4
  • 5. Un mundo lleno de herramientas ¿Las necesitamos? • Cuando hacemos una pericial tenemos que disponer de un conjunto de recursos que garanticen la evidencia a través de una o varias pruebas. • Pretende resolver: – La investigación del fraude digital – Dar respuesta forense a incidentes corporativos – La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos para litigios, negociaciones o arbitrajes – La elaboración y defensa de periciales y contra periciales como expertos independientes – La prevención y la gestión informático-forense de riesgos corporativos y gubernamentales en entornos digitales • Las herramientas son un instrumento de ayuda, nunca la solución a nuestra investigación.
  • 7. El misterioso caso de winreg Los pasos- Adquisición y clonado • nc -L -p 7777 >datos_listener.txt – Tras establecer el listener en la maquina remota, podemos pasarle información a través de la red desde la maquina sospechosa de haber sido comprometida: • Código: – tlist.exe -c |nc <ip_remota> 7777 -w 5 tlist.exe -t |nc <ip_remota> 7777 -w 5 tlist.exe -s |nc <ip_remota> 7777 -w 5 netstat -naob |nc <ip_remota> 7777 -w 5 – tcpvcon -can |nc <ip_remota> 7777 -w 5 • Fecha y hora actual del sistema: – Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt • Uptime de la maquina: – (systeminfo | find “Boot Time”) >%DIR%uptime.txt – ipconfig /all >%DIR%ipconfigNICs.txt netstat -rn >%DIR%TablaEnrutamiento.txt nbtstat -c >%DIR%CacheNombresNetbios.txt • Arbol de procesos en ejecución (SysInternals): – pslist -t >%DIR%ArbolProcesos.txt • Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger: – listdlls >%DIR%DLLs.txt – handle -a >%DIR%handles.txt 7
  • 8. El misterioso caso de winreg Los pasos- Adquisición y clonado • Volcados por fallo configurando el SO para crear un volcado de memoria completa de Windows (también conocida como pantalla azul o kernel panic) • Volcado LiveKD por uso de herramientas • Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede analizar y descomprimidos para obtener la imagen de memoria. • MoonSols DumpIt es una fusión de win32dd y win64dd en un ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual. DumpIt es la utilidad perfecta para desplegar en una llave USB para una rápida operación de respuesta a incidentes. Rápido, pequeño y portátil. 8
  • 9. El misterioso caso de winreg Los pasos- Adquisición y clonado 9
  • 10. El misterioso caso de winreg Los pasos- Adquisición y clonado 10
  • 11. El misterioso caso de winreg Los pasos- CLONADO • Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o sectores defectuosos. • Existen múltiples formas y herramientas – Por software • DD • Live CD • OSForensics • EnCase – Por Hardware • Clonadoras 11
  • 12. El misterioso caso de winreg Los pasos- CLONADO 12
  • 13. El misterioso caso de winreg Los pasos- CLONADO 13
  • 14. El misterioso caso de winreg Los pasos- CLONADORES DE DISCO 14
  • 15. El misterioso caso de winreg Los pasos- CLONADORES DE DISCO • Clonadores por harware • Rapidez, eficacia, sencillez, no intrusivo • El coste de estas herramientas es muy alto de base (hasta 20.000€) 15
  • 16. El misterioso caso de winreg Los pasos- INTEGRIDAD 16
  • 17. El misterioso caso de winreg Resultados –Disponemos de datos volátiles –Disponemos del disco –Disponemos de huellas 17
  • 18. 2 Análisis de datos Artefactos de Windows 18
  • 20. Análisis de datos Artefactos de Windows • Son los diferentes ficheros, cadenas de registro, rutas de acceso y configuraciones que pueden determinar la actividad de un malware o de un usuario malicioso, así como las evidencias necesarias para una prueba. 20
  • 21. Análisis de datos Artefactos de Windows • El editor del registro no muestra solo la estructura local, existen varias claves y subclaves que están almacenadas sobre ficheros en el disco duro. Estos ficheros son llamados 'hives'. • El sistema a estos ficheros 'los mima' estableciendo copias de seguridad para su posterior utilización en caso de que el sistema falle en el inicio del sistema operativo.Las claves del registro que se asocian a los 'hives' son HKLM y HKU. 21
  • 22. Análisis de datos Artefactos de Windows ¡¡ Mama quiero ser perito!! http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html 22
  • 28. 3 Análisis de datos La memoria 28
  • 29. Análisis de datos La memoria - RAM 29
  • 30. Análisis de datos La memoria -Pagefile Strings pagefile.sys > pagefile.txt • findstr "password" pagefile.txt > passwd.txt • findstr “net user" pagefile.txt > netuser.txt • findstr /C:"reg add" pagefile.txt > reg.txt • findstr "UPDATE" pagefile.txt • findstr "ipconfig" pagefile.txt • findstr "html" pagefile.txt > dochtml.htm • findstr "msnmsgr" pagefile.txt > messenger.htm 30
  • 31. Análisis de datos La memoria - ptfinder • ptfinder_w2003.pl --nothreads --dotfile Mifichero.dot 2K3FURootkit.DMP 31
  • 32. Análisis de datos VOLATILITY VOLATILITY 32
  • 33. Análisis de datos VOLATILITY • Detalles de la imagen (fecha, hora, número de CPU) • Los procesos en ejecución • Proceso de SID y variables de entorno • Conexiones de red • DLLs cargados para cada proceso • Los objetos del kernel / (archivos, claves, exclusiones mutuas) • Los módulos del kernel • Volcado de cualquier proceso, DLL o módulo en el disco • Mapeo físicas a las direcciones virtuales • Memoria direccionable para cada proceso • Mapas de memoria para cada proceso • Extraer muestras ejecutables • Historias de comandos (cmd.exe) y datos de consola de entrada / salida • PE información de versión • Las tablas del sistema de llamada • Secciones del Registro • Volcado LM / NTLM hashes y secretos LSA • Ayudar al usuario y exploración shimcache • Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria • Analizar tiempos del núcleo y funciones de devolución de llamada • Informe sobre los servicios de Windows 33
  • 34. 34
  • 35. Análisis de datos VOLATILITY 35
  • 36. Análisis de datos RedLine 36
  • 37. Análisis de datos RedLine RedLine 37
  • 38. 4 Análisis de datos La red 38
  • 39. Análisis de datos en red Tshark - Wireshark 39
  • 40. Análisis de datos en red Tshark - Wireshark 40
  • 41. Análisis de datos en red Network Miner 41
  • 42. Análisis de datos en red NetWitness 42
  • 44. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Un laboratorio se compone de: – Personas – Ubicación física segura – Dispositivos y medios de extracción – Dispositivos de explotación – Dispositivos de aseguramiento de la prueba – Procedimientos que regulan la actuación del laboratorio – Procedimientos normativos 44
  • 45. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Director de laboratorio • Director Técnico • Personal especializado (de 2 a 5 personas) • Coordinación con notario especializado en delitos telemáticos • Apoyo jurídico técnico referente a la probática del laboratorio. • Formación: • Especialistas en seguridad • Capacidad investigadora • Resolutivos en tiempo • Formación académica en técnicas forenses • Con conocimientos en pericias judiciales • ¿Certificaciones? 45
  • 46. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ubicación física • Edificio seguro o zonas estancas con vigilancia • Vigilancias física: – Guardia de seguridad – Registro de entradas y salidas – Entrada al recinto de alta seguridad por personal autorizado – Cámaras de video vigilancia – Volumetricos – Circuitos de aire frio/calientee – S3 – Control externo • Le afecta la misma norma que un CPD 46
  • 47. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Dispositivos • Segregación de entornos – Entorno de test – Entorno de producción • El entorno de test no es valido para la prueba pericial, salvo que contenga las mismas medidas que el de producción • Elementos homologados y procedimentados – Clonadoras – Dispositivos de almacenamiento – Dispositivos de extracción – Generación y almacenamiento seguro de huellas – Tercero de confianza 47
  • 48. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Procedimientos • Segregación de entornos – Entorno de test – Entorno de producción • Política de entrada y salida del laboratorio • Gestión de personal o usuarios • Gestión de la seguridad física • Gestión de la seguridad lógica • Política de mesas limpias • Política de gestión de dispositivos y dispositivos de backup. • Política de obtención de información y almacenamiento seguro – Recuperación local de datos – Recuperación remota de datos – Aseguramiento de la información en transito • Política de cadena de custodia • Política de gestión de custodios • Gestión de incidencias del laboratorio – Aviso a proveedores – Recuperación local de datos – Recuperación remota de datos • Continuidad de negocio 48
  • 49. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Normativo • Debe de ser seguro e incluido dentro del alcance de un SGSI. • Le afecta la LOPD intensamente Amenazas Humanas Naturaleza No Intencionales intencionales Internas Externas 49
  • 50. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Infraestructura • Preferiblemente: – Zona cero – Clonadoras • De discos • De discos de alta capacidad • De dispositivos móviles – Almacenamiento de huellas en caja cerrada – Posibilidad de software con tercero de confianza – Software homologado – Hardware homologado – Entorno de extracción con vitalización – Registros de salidas en entornos estancos – Infraestructura segura de transporte hasta el juzgado o cliente. 50
  • 51. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ciclo de vida 51
  • 52. www.conexioninversa.com http://conexioninversa.blogspot.com pedro.sanchez@conexioninversa.com 52 https://twitter.com/ConexionInversa http://www.youtube.com/user/mspedromspedro