Tema 4 Análisis de Las Evidencias

Tema 4 Análisis de las evidencias
Esquema de un análisis
El esquema típico de un análisis de dichas evidencias
Del esquema se obtiene

Fase preanálisis Fase análisis
Identificamos los archivos y volúmenes Realizamos búsquedas de las palabras clave
cifrados, las máquinas virtuales, que nos interesan, analizamos el sistema
recuperamos los archivos borrados, operativo (con todo lo que ello incluye) y
obtenemos el hash de todos los archivos y analizamos los componentes de red.
realizamos una verificación de firmas de los
mismos
Fase de pre-análisis
1. Identificación de archivos y volúmenes cifrados

Este paso consiste en descubrir los archivos y volúmenes que pudieran encontrarse
cifrados en el equipo.
Podemos usar programas como Encryption Analyzer, de la empresa Passware, que
realiza una búsqueda de los archivos y volúmenes cifrados existentes en el equipo,
aunque también podemos realizar una búsqueda de archivos cifrados conocidos, por
sus cabeceras o sus extensiones.
Una vez cifrados los elementos, se descifra con herramientas como Passware Kit
Forensics, de la empresa Passware, u otros programas en función del tipo de
encriptación. No se van a poder descifrar todos los tipos de cifrado existentes, en caso
de que no se pudiera descifrar, se anota tal información en un informe pericial para
que quede constancia de dicho extremo.
2. Identificación de las máquinas virtuales

Para identificar las máquinas virtuales lo ideal es revisar las aplicaciones instaladas en
el equipo. Si está instalado el software VMware, se puede tener máquinas virtuales en
dicho formato, esto no excluye la búsqueda de otro tipo de máquinas virtuales.
Los formatos más comunes de discos duros de máquinas virtuales son:
Extensión de archivo Tipo de máquina virtual

*.VMDK Formato abierto utilizado por VMware (desarrollador) y
VirtualBox
*.VHD Formato abierto (Bajo la especificación Microsoft Open
Specification Promise) utilizado por MS Virtual PC y MS
Hyper-V
*.XVA Formato abierto utilizado por Citrix XEN
Al ver un disco duro de una máquina virtual similar a una real, se analiza como si
fuera máquina distinta, aplicando los mismos pasos que cualquier otro equipo.
3. Recuperación de archivos borrados

Cuando se elimina un archivo es posible su recuperación. Se puede usar AccessData
FTK, muestran los archivos marcados como borrados en el índice del sistema de
ficheros, luego se realiza una búsqueda en bruto de archivos borrados mediante
programas como Photorec o R-Studio (busca sobre el espacio libre del dispositivo).
4. Hash de los archivos (Descartar/Señalar)

Una técnica es el filtrado mediante hash, consiste en obtener el hash de los archivos a
estudiar y comparar sus valores con una base de datos de archivos «malos» o
«buenos», para descartar los «buenos» (archivos o programas fiables) y centrarse en
los «malos» o desconocidos. Se puede usar Sorter, incluido en la suite forense
Autopsy, para agrupar por categorías («malos» y «buenos») los archivos de un
dispositivo, o el propio AccessData FTK para importar distintas Bases de Datos de
hashes conocidos.
Junto con esto se hace uso de las bases de datos disponibles en la National Software
Reference Library para filtrar más rápido los archivos objeto del análisis o crear una
base de datos de hash conforme se realice los casos. Hay que tener muy en cuenta el
algoritmo hash utilizado, si se realiza una comparativa entre algoritmos hash
diferentes nos será imposible encontrar concordancia.
Ejemplo: tener en nuestra Base de Datos de hashes, hashes MD5 de archivo de interés
y compararlos con hashes SHA1
5. Verificación de firmas
La cabecera o firma muestra el tipo de fichero, ya que la extensión puede ser
cambiada. Si en los archivos a analizar coincide lo que la extensión indica con el
contenido, es por lo que se realiza la verificación de firmas.
Para la verificación de firmas se puede usar AccessData FTK, a partir de una base de
datos de firmas de archivo, indica si en los archivos analizados corresponde o no la
firma y la extensión. La modificación de la extensión y/o la ruta con el objetivo de
ocultar el verdadero contenido de un archivo es una técnica de ocultación de
información.
Fase de análisis
1. Búsqueda de palabras clave

En análisis donde es necesario documentos relacionados con ciertas palabras, ejemplo:
una determinada persona. Se realiza una búsqueda de palabras clave en evidencias
recolectadas. Es similar a la que se realiza con el sistema operativo, la diferencia es que
se busca sobre espacios libres de evidencia y en el interior de los archivos.
Para la búsqueda se puede usar AccessData FTK, realiza búsqueda mediante palabras
clave o expresiones regulares, permiten definir patrones de búsqueda más complejos
que una simple búsqueda literal.
Ejemplo de expresión regular sería: «v[i!1][a@]gr[a@]» Se encontraría los siguientes
términos: «viagra», «vi@gra» y «v1agra» (entre otros), términos muy usados para el
envío de SPAM.
2. Análisis del sistema operativo

Para el análisis del sistema operativo se sigue una serie de pasos, durante los cuales
tenemos que intentar responder a las siguientes preguntas:
 Nombre, versión y actualizaciones del sistema operativo.
a. ¿Es una versión no oficial, o hay alguna actualización que no lo sea?
 Usuarios del sistema y sus privilegios.
a. ¿Hay algún usuario anormal?
b. ¿Hay cuentas anónimas activas?
c. ¿Alguno de los usuarios es el propietario de algún archivo sospechoso?
 Programas instalados.
a. ¿Hay programas que permitan realizar el hecho investigado? Ejemplo: Si
estamos investigando la clonación de tarjetas, ¿hay algún programa que permita
su copia?
 Antivirus instalados y análisis de seguridad

a. ¿Tiene instalado algún antivirus?
b. ¿Existe algún antivirus fake?
c. ¿Está infectado con algún virus el equipo? En tal caso, ¿dicho virus se encuentra
activo?
 Análisis de los archivos de registro del sistema operativo.

a. ¿Sobre qué sucesos se guardan registros?
b. ¿Los archivos de registro han sido modificados?
 Hardware configurado en el sistema.

a. ¿Qué hardware se encuentra configurado en el sistema?
b. ¿Qué dispositivos han sido conectados al mismo?
c. ¿Con el hardware configurado se ha podido realizar el incidente investigado?
Con esto se tiene una idea general de lo que se puede o no hacer con el equipo.
Gracias a los archivos de registro analizados se obtiene información sobre acciones
realizadas sobre el equipo.
3. Análisis de los componentes de red

Se debe seguir una serie de pasos e intentar responder a las siguientes preguntas
 Programas Peer to Peer (P2P), FTP u otros de compartición de ficheros.

a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Alguno de ellos tenía una configuración «extraña»?
c. ¿Qué archivos se han compartidos o descargado?
 Correos electrónicos y mensajería instantánea

b. Listado de contactos.
c. ¿Qué archivos han sido enviados o recibidos mediante estos programas?
d. Listado de mensajes de correo, mensajería y llamadas VoIP.
 Exploradores de Internet
b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación
4. Otros programas con acceso a Internet

a. Dropbox, Google Drive, etc.
Para analizar programas de mensajería instantánea o cualquier programa de
comunicaciones privadas, se debe tener cuidado de no incurrir en un delito contra el
secreto de las comunicaciones
Archivos de interés en Windows
Windows tiene una serie de archivos de valiosa información a la hora de realizar un análisis.
Estos archivos son:
1. Registro de Windows
Base de datos donde se almacena información sobre el sistema operativo y programas
instalados. Se tiene información como: el histórico de dispositivos USB conectados, el
hardware configurado en el equipo, las redes Wifi que ha estado conectado,
programas instalados, contraseñas de usuarios, etc.
El registro de Windows 7 y 8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM»,
ubicados en la ruta «[WINDOWS INSTALL DIR]\System32\config\». El archivo
«NTUSER.DAT» ubicado en la carpeta personal de cada usuario. Se pueden analizar
con la herramienta Windows Registry Recóvery de MiTeC
2. Archivos de eventos
Almacenan eventos ocurridos en el sistema operativo. Existe eventos de los accesos de
los usuarios al equipo, conexiones a la red, errores en la impresión de archivos, la
creación de usuarios, etc.
Los eventos de Windows 7 y 8 se encuentran en la ruta «[WINDOWS INSTALL
DIR]\System32\winevt\» y tienen extensión *.EVTX (en versiones anteriores es *.EVT).
Estos pueden ser analizados con Event Log Explorer de FSPro Labs.
3. Archivos de paginación e hibernación de Windows

Contienen información que se encontraba en la memoria RAM, que por falta de
espacio (archivo de paginación) o por entrar el equipo en suspensión (archivo de
hibernación), se han copiado al disco duro.
Estos suelen estar ubicados en la raíz del dispositivo y en Windows 7 (todas las
versiones de Windows) son los archivos «pagefile.sys» e «hiberfile.sys». Los archivos
se puede realizar el mismo análisis que sobre la memoria RAM.
Podemos realizar búsquedas de cadenas, recuperación de archivos, etc. Además, una
serie de artefactos en función del caso objeto de análisis relacionados con archivos
descargados, programas ejecutados, archivos abiertos y creados, etc. El Instituto SANS
(2012) publicó la ubicación y forma de proceder ante todos estos artefactos.
Archivos de interés en Linux
Los archivos y carpetas donde hay más información son:
- La partición de intercambio «swap», o archivos de intercambio (archivos con extensión

«.swap»). Similar al archivo de paginación en sistemas Windows.
- El archivo «/etc/sudoers», indica qué usuarios pueden ejecutar comandos como
administrador (mediante los comandos «su» o «sudo»).
- El archivo «/etc/ passwd», contiene el listado de usuarios del sistema, el grupo a que
dichos usuarios pertenecen y su contraseña cifrada
- El archivo «.bash_history», se encuentra en la carpeta del usuario y almacena el
historial de comandos ejecutados en la consola del equipo.
- La carpeta «/var/log/», tiene la lista de archivos logs del sistema operativo. Se escribe
en cada uno de los archivos leyendo el fichero de configuración «/etc/rsyslog.conf».
- La carpeta «/var/spool/cron/crontabs», almacenan las tareas programadas de cada
uno de los usuarios del sistema.
El archivo «/etc/sudoers», si el sistema ha sufrido algún ataque, suele alterarse para permitir
que el usuario comprometido pueda ejecutar comandos como si fuera un usuario root. Por su
parte, el archivo «/etc/ passwd», es relevante cuando el sistema se haya visto comprometido,
ya que de su análisis podremos obtener información sobre posibles usuarios creados o que
han cambiado de un grupo sin privilegios a otro con mayores privilegios de acceso.
La estructura de las entradas del archivo «/etc/ passwd» (imagen anterior). Dicho archivo
almacena el nombre de usuario, contraseña cifrada, identificadores del usuario, una
descripción del usuario, la ruta de su carpeta home y la Shell del usuario.
Archivos de interés en Mac OS
Sistema operativo de Mac para ordenadores portátiles o sobremesa (no se refiere a iOS,
sistema operativo del iPhone y iPad). Hay una serie de archivos y carpetas son:
- Carpeta «/private/var/vm». Tiene archivos «sleepimage» y «swapfile», similares a los

archivos de paginación e hibernación en sistemas Windows.
- Carpeta «/private/var/log». Tiene logs del sistema operativo. Es posible encontrar
ficheros de log (extensión *.log) en otras rutas, como la carpeta
«/Users/[username]/Library/Logs» tiene logs correspondientes al usuario.
- Carpetas «/Library/», «/Users/[username]/Library/» y «/System/Library/».
- Archivos con extension «*.plist». En formato XML que almacenan información similar a
la contenida en el registro de un sistema Windows.
- Carpetas «/private/var/db/shadow», «/Library/Keychains/» y
«/Network/Library/Keychains/». Contiene contraseñas de acceso al equipo y las
guardadas por el usuario (redes Wifi, exploradores, etc.).
Los archivos plist (lista de propiedades), almacenan información sobre programas usados por
el usuario y la configuración de los mismos. Está presente tanto en los equipos con sistemas
operativos MacOS, como en los terminales móviles con iOS y se visualizan desde el propio
sistema operativo del equipo, o usando herramientas como Plist Explorer o Plist Editor, ambos
para sistemas operativos Windows

Tema 4 Análisis de Las Evidencias

Cargado por

Copyright:

Formatos disponibles

Tema 4 Análisis de Las Evidencias

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 4 Análisis de Las Evidencias

Cargado por

Copyright:

Formatos disponibles

Tema 4 Análisis de las evidencias

El esquema típico de un análisis de dichas evidencias

Del esquema se obtiene

1. Identificación de archivos y volúmenes cifrados

2. Identificación de las máquinas virtuales

Extensión de archivo Tipo de máquina virtual

3. Recuperación de archivos borrados

4. Hash de los archivos (Descartar/Señalar)

1. Búsqueda de palabras clave

2. Análisis del sistema operativo

 Antivirus instalados y análisis de seguridad

 Análisis de los archivos de registro del sistema operativo.

 Hardware configurado en el sistema.

3. Análisis de los componentes de red

 Programas Peer to Peer (P2P), FTP u otros de compartición de ficheros.

 Correos electrónicos y mensajería instantánea

4. Otros programas con acceso a Internet

Archivos de interés en Windows

3. Archivos de paginación e hibernación de Windows

Los archivos y carpetas donde hay más información son:

- La partición de intercambio «swap», o archivos de intercambio (archivos con extensión

Archivos de interés en Mac OS

- Carpeta «/private/var/vm». Tiene archivos «sleepimage» y «swapfile», similares a los

También podría gustarte