Tema 4 Análisis de Las Evidencias
Tema 4 Análisis de Las Evidencias
Tema 4 Análisis de Las Evidencias
Esquema de un análisis
Fase de pre-análisis
Una vez cifrados los elementos, se descifra con herramientas como Passware Kit
Forensics, de la empresa Passware, u otros programas en función del tipo de
encriptación. No se van a poder descifrar todos los tipos de cifrado existentes, en caso
de que no se pudiera descifrar, se anota tal información en un informe pericial para
que quede constancia de dicho extremo.
Al ver un disco duro de una máquina virtual similar a una real, se analiza como si
fuera máquina distinta, aplicando los mismos pasos que cualquier otro equipo.
5. Verificación de firmas
La cabecera o firma muestra el tipo de fichero, ya que la extensión puede ser
cambiada. Si en los archivos a analizar coincide lo que la extensión indica con el
contenido, es por lo que se realiza la verificación de firmas.
Para la verificación de firmas se puede usar AccessData FTK, a partir de una base de
datos de firmas de archivo, indica si en los archivos analizados corresponde o no la
firma y la extensión. La modificación de la extensión y/o la ruta con el objetivo de
ocultar el verdadero contenido de un archivo es una técnica de ocultación de
información.
Fase de análisis
Programas instalados.
a. ¿Hay programas que permitan realizar el hecho investigado? Ejemplo: Si
estamos investigando la clonación de tarjetas, ¿hay algún programa que permita
su copia?
Con esto se tiene una idea general de lo que se puede o no hacer con el equipo.
Gracias a los archivos de registro analizados se obtiene información sobre acciones
realizadas sobre el equipo.
Exploradores de Internet
a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación
Windows tiene una serie de archivos de valiosa información a la hora de realizar un análisis.
Estos archivos son:
1. Registro de Windows
Base de datos donde se almacena información sobre el sistema operativo y programas
instalados. Se tiene información como: el histórico de dispositivos USB conectados, el
hardware configurado en el equipo, las redes Wifi que ha estado conectado,
programas instalados, contraseñas de usuarios, etc.
El registro de Windows 7 y 8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM»,
ubicados en la ruta «[WINDOWS INSTALL DIR]\System32\config\». El archivo
«NTUSER.DAT» ubicado en la carpeta personal de cada usuario. Se pueden analizar
con la herramienta Windows Registry Recóvery de MiTeC
2. Archivos de eventos
Almacenan eventos ocurridos en el sistema operativo. Existe eventos de los accesos de
los usuarios al equipo, conexiones a la red, errores en la impresión de archivos, la
creación de usuarios, etc.
Los eventos de Windows 7 y 8 se encuentran en la ruta «[WINDOWS INSTALL
DIR]\System32\winevt\» y tienen extensión *.EVTX (en versiones anteriores es *.EVT).
Estos pueden ser analizados con Event Log Explorer de FSPro Labs.
El archivo «/etc/sudoers», si el sistema ha sufrido algún ataque, suele alterarse para permitir
que el usuario comprometido pueda ejecutar comandos como si fuera un usuario root. Por su
parte, el archivo «/etc/ passwd», es relevante cuando el sistema se haya visto comprometido,
ya que de su análisis podremos obtener información sobre posibles usuarios creados o que
han cambiado de un grupo sin privilegios a otro con mayores privilegios de acceso.
La estructura de las entradas del archivo «/etc/ passwd» (imagen anterior). Dicho archivo
almacena el nombre de usuario, contraseña cifrada, identificadores del usuario, una
descripción del usuario, la ruta de su carpeta home y la Shell del usuario.
Sistema operativo de Mac para ordenadores portátiles o sobremesa (no se refiere a iOS,
sistema operativo del iPhone y iPad). Hay una serie de archivos y carpetas son: