Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 878 vistas

    Eje3 FastIR Collector

    Cargado por

    Pilar Sierra
    Este documento describe la herramienta FastIR_Collector de Sekoia, un script de Python que analiza y recopila información de dispositivos de cómputo. El script recopila datos como el historial de navegadores, redes utilizadas, tarjetas de red e información almacenada en la memoria cache. Al ejecutarse, crea una carpeta con archivos CSV que contienen los hallazgos de manera organizada por fecha. La información recopilada puede ser útil para investigaciones forenses al proporcionar detalles sobre el uso y configur

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Eje3 FastIR Collector

    Cargado por

    Pilar Sierra
    878 vistas10 páginas
    Este documento describe la herramienta FastIR_Collector de Sekoia, un script de Python que analiza y recopila información de dispositivos de cómputo. El script recopila datos como el historial de navegadores, redes utilizadas, tarjetas de red e información almacenada en la memoria cache. Al ejecutarse, crea una carpeta con archivos CSV que contienen los hallazgos de manera organizada por fecha. La información recopilada puede ser útil para investigaciones forenses al proporcionar detalles sobre el uso y configur

    Descripción original:

    Colección de datos de equipos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe la herramienta FastIR_Collector de Sekoia, un script de Python que analiza y recopila información de dispositivos de cómputo. El script recopila datos como el historial de navegadores, redes utilizadas, tarjetas de red e información almacenada en la memoria cache. Al ejecutarse, crea una carpeta con archivos CSV que contienen los hallazgos de manera organizada por fecha. La información recopilada puede ser útil para investigaciones forenses al proporcionar detalles sobre el uso y configur

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    878 vistas10 páginas

    Eje3 FastIR Collector

    Cargado por

    Pilar Sierra
    Este documento describe la herramienta FastIR_Collector de Sekoia, un script de Python que analiza y recopila información de dispositivos de cómputo. El script recopila datos como el historial de navegadores, redes utilizadas, tarjetas de red e información almacenada en la memoria cache. Al ejecutarse, crea una carpeta con archivos CSV que contienen los hallazgos de manera organizada por fecha. La información recopilada puede ser útil para investigaciones forenses al proporcionar detalles sobre el uso y configur

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 10

    Fundación Universitaria del Área Andina

    Facultad de Ingenierías

    Ingeniería de Sistemas - Modalidad Virtual

    Informática Forense

    Grupo:012

    Herramientas de análisis y recopilación de datos de dispositivos de cómputo

    FastIR_Collector

    Cristian Felipe Caro Sierra.

    Colombia, Bogotá D.C., 2020


    2

    Contenido

    INTRODUCCIÓN ................................................................................................................ 3

    EJECUCIÓN DEL SCRIPT .................................................................................................. 4

    ANÁLISIS DE INFORMACIÓN OBTENIDA.................................................................... 6

    BIBLIOGRAFÍA................................................................................................................. 10
    3

    INTRODUCCIÓN

    En criminalística, cualquier objeto es tomado como evidencia para realizar diferentes

    hallazgos que puedan incriminar o no, a una persona que se tiene como sospechosa. Cuando

    en el caso se incauta un dispositivo, el uso de herramientas tanto lógicas como físicas permite

    al informático forense, extraer datos de los equipos, los cuales son analizados y organizados

    para cumplir el objeto de la investigación. Ingeniera social, seguimientos en internet,

    recopilación de información, documentos, entre otros; son ejemplos de los análisis que se

    puede gestionar con este tipo de herramientas.

    Con lo anterior, Sekoia ha creado un Script en Python con el nombre de FastIR_Collector,

    que analiza el equipo y recopila la información de los diferentes recursos de los equipos de

    cómputo, con hora y fecha exacta en el cual se ejecuta la acción, permitiendo un dato mas

    exacto y concreto para la investigación.


    4

    EJECUCIÓN DEL SCRIPT

    Se descarga y se ejecuta el script como administrador en el equipo, como se representa en la

    Ilustración 1.

    Ilustración 1. Ejecución con privilegios de administrador de FastIR_Collector. Fuente propia

    Al ejecutarse el programa, inicia con el banner que le representa y comienza el escaneo en el

    equipo programado en el script.

    Ilustración 2. Banner de FastIR_Collector. Fuente propia

    Ilustración 3. Escaneo de objetos con FastIR_Collector. Fuente propia


    5

    El código del script, establece que una vez sean analizados los recursos, se genere una carpeta

    con el nombre output, este a su vez, crea una subcarpeta con la fecha en la que se realizó el

    escaneo, en la que van contenidos una serie de archivos con extensión .csv, en donde se

    registra cada uno de los hallazgos que el programa recopilo.

    Ilustración 4. Carpeta output y subcarpeta con fecha del escaneo de recursos. Fuente propia

    Ilustración 5. Contenido de la subcarpeta. Fuente propia


    6

    ANÁLISIS DE INFORMACIÓN OBTENIDA

    Clipboard

    Se destaca la información del portapapeles del computador, en el laboratorio realizado al

    estar vacío, no entrega información de este.

    Ilustración 6. Archivo de Clipboard. Fuente propia

    Historial de Navegadores

    Google Chrome

    Ilustración 7. Archivo del historial del navegador de Google Chrome. Fuente propia
    7

    DESKTOP-M37DEOO_chrome_history

    Ejemplo

    Acceso a Facebook

    Ha hecho 1015 visitas a Facebook desde el 18/02/2020 hasta 17/05/2020

    Acceso a Twitter

    Hay 26980 visitas a twitter desde 18/02/2020 hasta 16/05/2020

    Firefox Mozilla

    De igual forma que en el navegador de Chrome se puede extraer bastante información que

    recopila el historial del navegador se establece la fecha inicial de uso de este y a partir de allí

    comienza si es posible a recuperar datos de accesos, para este caso la fecha de los primeros

    archivos es: 31/03/2018 a las 7.06 am

    Ilustración 8. Archivo del historial del navegador de Firefox Mozilla. Fuente propia

    A diferencia del archivo de Google Chrome, las búsquedas en el archivo de Firefox

    Mozilla son un poco más complejas, ya que esta no contiene el atributo (Columna) con el

    título TITLE, que me permite generalizar la pagina a la que se ha tenido acceso.


    8

    NetworkList

    Se adquiere la información de la fecha en la que se conectan a una red.

    Ilustración 9. Archivo de NetworkList. Fuente propia

    NetworkCards

    Se recopila información de las tarjetas de red del equipo, detallando cada aspecto de este,

    es fundamental para varias prácticas, esta información ya que con esta nos permite buscar

    alternativas de conexión, o temas de seguridad de este mismo.

    Ilustración 10. Archivo de NetworkCards. Fuente propia


    9

    REFLEXIÓN DE LOS RESULTADOS

    De la actividad que se realizó se puede observar:

    1. Se presentó el caso que el script por algún motivo no conocido en el taller no permitió

    extraer la información y crear los archivos .csv en la subcarpeta. Lo que permitió

    buscar diferentes alternativas para descartar posibles causas de la falla en el

    laboratorio, dentro de las cuales se realizaron los siguientes procedimientos:

    • Ejecutar en otro computador el Script, este resulto exitoso.

    • Ejecutar en una maquina virtual con Sistema Operativo Windows 10 con

    resultados exitosos.

    • Ejecutar en un Sistema Operativo Linux para validar comportamientos del

    Script y funcionaron exitosamente.

    • Verificar con la prueba de errores de los archivos del Sistema del equipo en el

    cual no fue exitosa la ejecución del script obteniendo como resultados que no

    había ningún archivo ni dañado ni corrupto.

    2. El Script permite recopilar la información del sistema desde la primera vez que se ha

    utilizado el recurso.

    3. Reúne información de todos los recursos físicos del equipo.

    4. Permite obtener información de los recursos que son tomados como almacenamiento,

    como lo es el Disco Duro y las memorias RAM con la cache de navegadores y

    temporales.

    5. Se puede organizar la información a petición del solicitante, desde saber los accesos

    que ha tenido como la cantidad de veces de los intentos de ingreso como los diferentes

    lugares que ha visitado.

    6. Recopila información de log de eventos que me permite validar diferentes

    comportamientos del Sistema como de contextos.


    10

    BIBLIOGRAFÍA

    Borras, K. (2016, abril 20) (SECURITY ArTWORK) FastIR Collector. Tomado de:

    https://www.securityartwork.es/2016/04/20/fastir-collector/

    Microsoft. (2019, marzo 19). Clipboard in Windows 10. Recuperado de:

    https://support.microsoft.com/en-us/help/4028529/windows-10-clipboard

    SekoiaLab. [Github] (2020). FastIR Collector. Recuperado de:

    https://github.com/SekoiaLab/Fastir_Collector

    También podría gustarte