La herramienta principal presentada es SIFT (SANS Investigative Forensic Toolkit). SIFT es una suite forense de código abierto creada por expertos de SANS Institute para realizar análisis forenses digitales. Incluye herramientas como log2timeline, The Sleuth Kit, Autopsy y Volatility para crear líneas de tiempo, examinar sistemas de archivos, organizar casos y analizar memoria, respectivamente. SIFT funciona como una máquina virtual de Ubuntu personalizada para facilitar la actualización y el soporte de múltiples sistemas de arch

1. © 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1
Informática Forense
Nuestra herramienta primaria: SIFT
Sesión 1.3

2. Bienvenidos

3. SANS FORENSIC
INVESTIGATIVE TOOLKIT
(SIFT)

4.  Creada por expertos de SANS Institute
 Comparable a suites comerciales
 Usada en la capacitación sobre DFIR
 Contiene herramientas open source que son
actualizadas constantemente
 Diseñado para operar como máquina virtual
SIFT

5. Versión customizada de Ubuntu 14.04

6. Actualizar las herramientas es simple

7. Soporte a múltiples sistemas de archivo
 ntfs (NTFS)
 iso9660 (ISO9660 CD)
 hfs (HFS+)
 raw (Raw Data)
 swap (Swap Space)
 memory (RAM Data)
 fat12 (FAT12)
 fat16 (FAT16)
 fat32 (FAT32)
 ext2 (EXT2)
 ext3 (EXT3)
 ext4 (EXT4)
 ufs1 (UFS1)
 ufs2 (UFS2)
 vmdk

8. HERRAMIENTAS
PRINCIPALES DE SIFT

9.  Conjunto de herramientas (framework) para crear
líneas de tiempo de artefectos bajo investigación.
 Su propósito es presentar un solo frente para analizar
bitácoras encontradas en sistemas sospechosos para
analizar en formato consistente los eventos ocurridos.
 Funciona en Linux y Windows (se requiere ActiveState
Perl)
 Versión línea de comandos y gráfica (glog2timeline)
log2timeline

10.  Conjunto de herramientas para analizar archivos y
sistemas de archivos en imágenes y medios físicos
 Soporta sistemas DOS (MBR), BSD, Mac, Sun y GPT
 Puede ser ejecutado por un sistema corriendo durante
un proceso de Incident Response
 Front-end gráfico llamado Autopsy, permite organizar
casos
The Sleuth Kit

11. Autopsy

12.  Análisis forense de memoria, especializado para
Respuesta a Incidentes
 Se ejecuta fuera de línea, en archivos de volcado de
memoria
 Se utilizan herramientas como DumpIt o FTK imager
para tomar imagen de la memoria en ejecución
 Se debe profundizar en conocimiento de estructuras
internas de Windows
Volatility

13.  Espacio en disco para guardar imágenes
 Según el formato SANS, en el directorio /cases
 En la imagen oficial, se proporciona como un disco
extra
 Usaremos imágenes de tarjetas SD para nuestros
ejercicios
¿Qué le falta a la imagen nuestra?