En esta ocasión se enunciaran una serie de aplicaciones que se utilizan para el análisis forense, todo con el fin que sirvan de apoyo para el estudio de casos que tengan que ver con delitos informáticos.
- AUTOPSY
Autopsy® es una plataforma de análisis forense digital e interfaz gráfica para el Sleuth Kit® y otras herramientas de análisis forense digital. Puede ser utilizado por la policía, el ejército y los examinadores corporativos para investigar lo ocurrido en un ordenador.
Características de Autopsy
A continuación se muestra la lista de características de la autopsy.
- Análisis de la línea de tiempo: muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad.
- Búsqueda por Palabra: módulos de extracción de texto e índice de búsquedas que permiten encontrar archivos mencionando términos específicos o patrones de expresiones regulares.
- Artefactos Web: Extrae la actividad web de los navegadores más habituales para ayudar a identificar la actividad del usuario.
- Análisis del Registro: Usos RegRipper para identificar los documentos usados recientemente y dispositivos USB.
- Análisis de archivos LNK: Identifica atajos y accesos a documentos
- Análisis de correo electrónico: Analiza los mensajes de formato MBOX, como Thunderbird.
- EXIF: Extractos de geo ubicación y la información de los archivos JPEG de la cámara.
- Clasificación de tipo de Archivo: agrupa los ficheros por su tipo para encontrar todas las imágenes o documentos.
- Soporte para reproducción: Ver vídeos e imágenes en la aplicación y no requiere un visor externo.
- Visor de miniaturas: muestra miniaturas de las imágenes que te ayudarán ver rápidamente las imágenes.
- Análisis del sistema de archivos robusto: Soporte para sistemas de archivos comunes, incluyendo NTFS , FAT12 , FAT16 , FAT32, HFS + , ISO9660 (CD- ROM) , Ext2 , Ext3 y UFS de el Sleuth Kit .
- Filtrado de Hash Set: Filtrado de archivos buenos conocidos usando NSRL y la bandera de los archivos malos conocidos usando hashsets personalizados en HashKeeper , md5sum y formatos EnCase .
- Etiquetas: Archivos de etiquetas con los nombres de etiquetas arbitrarias, tales como ” marcador ” o ” sospechoso”, y añadir comentarios.
- Extracción de Cadenas Unicode: cuerdas Extractos de espacio no asignado y los tipos de archivos desconocidos en muchos idiomas ( árabe, chino, japonés , etc.
- OSFORENSICS
OSForensics de PassMark es una aplicación que incluye un conjunto de utilidades para hacer análisis forenses. Se distribuye como versión gratuita o comercial (499$). La primera tiene algunas limitaciones, como el número de casos (3) que puede gestionar o el número de ficheros (200.000), que puede indexar, además de no estar permitido su uso para fines comerciales.
Las características más interesantes son:
1.- Búsqueda de avanzada de ficheros en base atributos, fecha de creación o modificación y tamaños, que son mostrados en un listado o en imágenes en miniatura. También permite hacer una línea de tiempo, que más bien es una gráfica de barras por fechas a la que no veo demasiada utilidad.
2.- Creación y búsqueda en un índice, para optimizar la búsqueda de cadenas de texto en el disco duro analizado. Es una buena aproximación pero es realmente lento.
3.- Actividad reciente, consultando MRU, USB conectados, conexiones Wifi y páginas vistas, pese que a que conceptualmente sería lo ideal en general existen tantos datos que resulta prácticamente imposible trabajar con la información adquirida. La línea de tiempo "gráfico de barras", tampoco sirve de nada en este caso.
4.- Ficheros eliminados, que son consultados de la tabla $MFT, permite técnicas de carving, pero no deja seleccionar por extensión o crear nuevos tipos de fichero en base a cabeceras, por lo que se queda algo corto.
5.- Búsqueda de ficheros sin extensión o con cabeceras que no corresponden a la extensión, que en algún caso en concreto puede ser útil y en la gran mayoría y en las pruebas que he hecho, genera demasiados falsos positivos.
6.- Visor de memoria con el que hacer volcados de un proceso en concreto, en caso de que la herramienta sea ejecutada en un sistema arrancado. No soporta el análisis de memoria sobre un fichero volcada con otra aplicación.
7.- Visor raw de un disco/imagen y navegador de archivos, que permiten la búsqueda manual de cadenas y añadir marcadores, o por el contrario con "File System Browser", es posible recorrer la estructura de directorios de una imagen o una partición.
8.- Obtención de contraseñas del navegador, hashes ntlm/lm, búsqueda en una unidad y uso de tablas rainbow. También se queda algo pobre en comparación a otras utilidades de este estilo, como el clásico Cain&Abel.
9.- Información del sistema, ya sea usando las propias herramientas de Windows (net, at, getmac, ipconfig, route, sc...) o sus propias funcionas, obtiene los típicos datos de hardware y servicios, procesos, puertos, rutas, etcétera.
10.- Verificación y creación de los hashes más conocidos para una imagen de un disco, unidad o texto.
11.- Permite el uso de base de datos NSRL de hashes para verificar la integridad de un sistema, aunque la versión gratuita no permite importar de un tercero.
12.- Creación de firmas de un directorio que posteriormente puede ser comparado para verificar su integridad.
13.- Reinicio de unidad para propósito forense, que elimina los datos que contenga de forma segura y verifica que no contiene errores.
14.- Creación de imagen forense, no permite especificar demasiadas opciones: que hacer en caso de error o si se crearán en varios directorios a la vez, hashes en el vuelo o el formato de la imagen.
15.- Montaje de imágenes de disco en unidades para su análisis.
16.- Copia de directorios "forense", es decir manteniendo sus atributos y fechas como en el original.
17.- Instalación en un pendrive para su uso de forma portable.
Créditos de la información a: securitybydefault, welivesecurity, solis.
No hay comentarios:
Publicar un comentario