Este webinar expone el procedimiento de como utilizando la distribución SIFT, la cual está orientada a realizar respuesta de incidentes y forense digital; y puntualmente utilizando la herramienta Bulk Extractor, es posible extraer datos como direcciones de correo electrónico, número de tarjetas de crédito, URLS, y otros tipos de archivos conteniendo evidencia digital.
Presentación guía sencilla en Microsoft Excel.pptx
Webinar Gratuito: Analizar una Imagen RAM con Bulk Extractor
1. Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 27 de Febrero del 2020
WebinarGratuito
Analizar una Imagen
RAM con Bulk Extractor
2. Presentación
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation
Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials
Certificate, IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling, Digital Forensics, Cybersecurity
Management Cyber Warfare and Terrorism, Enterprise Cyber Security
Fundamentals, Phishing Countermeasures y Pen Testing.
Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky
Perú. Cuenta con más de 17 años de experiencia y desde hace 13 años
labora como consultor e instructor independiente en las áreas de
Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales
en Ecuador, España, Bolivia y Perú, presentándose también
constantemente en exposiciones enfocadas a Hacking Ético, Forense
Digital, GNU/Linux.
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
3. SIFT
Un equipo de expertos forenses internacionales creo una estación de
trabajo de nombre SIFT (SANS Incident Forensic Toolkit), para ser
utilizado en respuesta de incidentes y forense digital, el cual está
disponible libremente para toda la comunidad forense.
SIFT pueden coincidir con cualquier suite de herramientas modernas para
respuesta de incidentes y forense. Esto demuestra investigaciones
avanzadas y la respuesta a intrusiones, puede ser hecho utilizando
herramientas open source, las cuales están libremente disponibles y son
frecuentemente actualizadas.
●
Basado en Ubuntu LTS 16.04
●
Sistema base de 64 bits
●
Mejor utilización de memoria
●
Las últimas herramientas y técnicas forenses
●
Compatibilidad entre Linux y Windows
●
Opción de instalar un sistema autónomo en línea de comando, etc.
* SIFT: https://digital-forensics.sans.org/community/downloads
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
4. Forense de Memoria
En la actualidad el forense de la memoria no es algo opcional, sino una
etapa obligatoria (si el escenario aplica) durante una investigación
profesional. Por lo tanto, antes de realizar el análisis forense a la
memoria, se debe primero realizar un volcado de la memoria, y esto debe
ser hecho de la manera correcta. De otra manera, incluso las
herramientas más poderosas, no tendrán éxito.
Es el análisis forense del volcado de la memoria de una computador. Su
principal aplicación es la investigación de ataques avanzados por
computadora, los cuales son los suficientemente ocultos para evitar
dejar datos en el dispositivo de almacenamiento de una computadora.
Consecuentemente la memoria (RAM) debe ser analizada por
información forense.
* Memory Forensics: https://en.wikipedia.org/wiki/Memory_forensics
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
5. Estructura de la Memoria
Cada proceso ejecutado en memoria asigna espacio para almacenar su
código y datos. Este espacio consiste de páginas de memoria de 4KB de
tamaño en x86. Todos los procesos direccionan sus espacios de memoria
con direcciones virtuales, los cuales son traducidos en direcciones físicas
por el mismo sistema, sin interacción de ningún proceso.
El los sistemas modernos, existen dos categorías de procesos; procesos
ejecutados en modo usuario, y otros ejecutados en modo kernel. La
diferencia es el nivel de acceso otorgado por el sistema operativo. En el
modo usuario, los procesos no pueden modificar páginas o acceder hacia
las locaciones de memoria de otros procesos, excepto comunicaciones
inter procesos utilizando las APIs de Windows. Todos los procesos inician
en modo usuario, excepto el proceso “SYSTEM”.
El modo kernel es utilizado por el kernel de Windows al inicio del sistema,
configuar el espacio de memoria y paginación. En algunas situaciones,
como ejecutar la API de Windows, el procesador recibe interrupciones,
los cuales requiere conmutar al modo kernel para ejecutar la interrupción
y luego retornar al modo usuario.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
6. Estructura de la Memoria
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
7. Bulk Extractor
Programa el cual extrae elementos tales como direcciones de correo
electrónico, números de tarjetas de crédito, URLS, y otros tipos de
información desde archivos de evidencia digital. Herramienta útil para
una investigación forense, pues realiza muchas tareas tales como
investigaciones de malware o intrusión, identificar investigaciones y ciber
investigaciones. Proporciona muchas capacidades inusuales, incluyendo:
●
Encuentra direcciones de correo electrónico, URLs, números de tarjetas
de crédito, lo cual podría no ser encontrado por otras herramientas,
pues procesa datos comprimidos, y datos dañados parcialmente o
incompletos. Puede reconstruir archivos JPEGs, documentos office, y
otros tipos de archivos a partir de fragmentos de datos comprimidos.
Detectará y reconstruirá archivos RAR comprimidos.
●
Construye una lista de palabras basado en todas las palabras
encontradas dentro de los datos, incluso aquellos en archivos
comprimidos, residiendo en el espacio sin asignas. Son útiles para
intentar “romper” contraseñas.
* Bulk Extractor: https://tools.kali.org/forensics/bulk-extractor
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
8. Bulk Extractor (Cont.)
Bulk extractor también crea histogramas de las características
encontradas. Esto es útil porque características tales como direcciones
de correo electrónico y búsquedas en Internet más comunes tienden a
ser importantes.
Adicionalmente a las características antes descritas bulk extractor
también incluye:
●
Una interfaz gráfica de usuario, Bulk Extractor Viewer, para navegar
características almacenadas en archivos de características y para lanzar
escaneos con bulk extractor
●
Un pequeño número de programas en python para realizar análisis
adicionales sobre los archivos de características
* Bulk Extractor: https://tools.kali.org/forensics/bulk-extractor
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
9. Bulk Extractor (Cont.)
●
Es multi tarea; al ejecutar bulk extractor en una computadora con el
doble de núcleos, generalmente hace se complete la ejecución en la
mitad del tiempo.
●
Crea un histograma mostrando las direcciones de correo electrónicos
más comunes, URLs, dominios, términos de búsqueda, y otro tipo de
información en el dispositivo.
Bulk extractor opera sobre imágenes de disco, archivos o un directorio de
archivos, y extrae información útil sin interpretar el sistema de archivos o
estructuras del sistema de archivos. La salida es dividida en páginas y
procesada por uno o más escáneres. Los resultados son almacenados en
archivos de características, los cuales pueden ser fácilmente
inspeccionados, interpretados, o procesados sin otras herramientas
automáticas.
* Bulk Extractor: https://tools.kali.org/forensics/bulk-extractor
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
12. Cursos Virtuales Disponibles en Video
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Curso Virtual de Hacking Ético
http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Web
http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forense
http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linux
http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligence
http://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redes
http://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
http://www.reydes.com/d/?q=cursos
13. Más Contenidos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Videos de 52 webinars gratuitos
http://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
14. Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 27 de Febrero del 2020
WebinarGratuito
Analizar una Imagen
RAM con Bulk Extractor