DAWF (DragonJAR Automatic Windows Forensic)
Abr22

DAWF (DragonJAR Automatic Windows Forensic)

DAWF (DragonJAR Automatic Windows Forensic) es el nombre que se le ha dado a una herramienta que automatiza la extracción de evidencia forense en Windows, (de la que hablamos hace un tiempo) pensada inicialmente para resolver una necesidad concreta que teníamos en un proceso forense y que ha resultado muy útil en otros procesos similares, por tal razón la hacemos pública. Definimos DAWF como una herramienta DE BOTÓN GORDO, pensada para los siguientes entornos: Entorno Windows Vivo (Encendido, con procesos corriendo y en el cual debemos ejecutar lo mínimo necesario para extraer la memoria RAM y la información del sistema) Entorno Windows Revivido (Cuando tomamos una copia bit a bit, siguiendo toda la metodología del caso y ya con nuestro segundo original en manos, montamos esa imagen en una máquina virtual para “revivir” el equipo en un entorno controlado sin temor a modificar la evidencia) Si lo ejecutas en un Entorno Vivo sin seleccionar la opción (“Dumpear solo la RAM y SisInfo”) estarías ejecutando una gran cantidad de procesos en esta máquina y posiblemente alternado la evidencia, pero debes determinar en cada caso puntual si puedes hacerlo o tienes autorización para ello. Por ejemplo en casos en los que NO se busca llevar a un tribunal lo sucedido y solo es necesario identificar por ejemplo la fuente de infección de un malware o los equipos involucrados en una fuga de información posiblemente no tengas problema con ejecutar la herramienta “en vivo”, pero cada caso debe ser evaluado. Las funcionalidades del DAWF son las siguientes: Herramienta de BOTÓN GORDO: Está pensada para que sin importar si lo ejecuta una secretaria sin idea de computación, o el jefe de sistemas de una organización, ambos lleguen al mismo resultado, la herramienta exige ejecución como administrador y si por descuido o error no presionan el BOTÓN GORDO, el DAWF inicia sus labores automáticamente. Documenta Cada Acción Realizada: La herramienta documenta cada paso que da, con fecha y hora precisa, genera también las firmas de los archivos creados en 6 formatos distintos de hash para evitar cualquier tipo de colisión, lo que será muy útil a la hora de generar nuestro informe forense. Funciona en Entornos Muertos y Vivos: Tiene una opción para solo sacar la memoria RAM y la información del sistema cuando tenemos un entorno vivo y la opción principal de extraer toda la información para ejecutar en entornos “muertos” que han sido “revividos”. Portabilidad: La herramienta está pensada para ser ejecutada desde un medio de almacenamiento externo debidamente sanitizado y solo generar archivos nuevos en este medio, evitando tocar el equipo analizado y adaptándose a cualquier ruta donde se encuentre el...

Leer Más
La Capacitación de Informática Forense que !!NO TE PUEDES PERDER¡¡
Ene21

La Capacitación de Informática Forense que !!NO TE PUEDES PERDER¡¡

El año pasado en se hizo realidad lo que inició como una conversación con Lorenzo Martínez en uno de los tantos encuentros que tuvimos, la idea de crear un curso virtual sobre análisis forense completo en nuestro idioma, cubriendo todos los aspectos de esta disciplina , desde la parte legal y el manejo de la evidencia digital, hasta el aspecto más técnico. La idea era reunir un grupo de reconocidos expertos forenses de habla hispana para realizar en conjunto esta gran capacitación, la difícil tarea de seleccionar este equipo fue encomendada a Lorenzo quien cual Gandalf (aunque con un poco menos de pelo) fue reclutando un ejército de primera para llevar a cabo este proyecto. Nombres como Alfonso González de Lama, Yago Jesus, Lorenzo Martínez, Pedro Sánchez, Gustavo Presman, Juan Garrido, Giovanni Cruz, Luis Delgado, José  Aurelio García Mateos y Álvaro Andrade hacen de esta una oportunidad única y nunca antes vista para que puedas capacitarse en el área forense desde la comodidad de tu casa u oficina. El temario esta dividido en varios módulos, cada uno de ellos a cargo de un experto en el tema. MODULO I – Informática Forense y Evidencia Digital – 4 horas – Profesor: Alfonso González de Lama MODULO II – Delitos Informáticos y Criminalidad en Internet – 4 horas – Profesor: Álvaro Andrade MODULO III – Análisis forense en Mac OS X– 8 horas – Profesor: Jaime Andrés Restrepo MODULO IV – Análisis forense en Windows  – 8 horas – Profesor: Juan Garrido MODULO V – Análisis de sistema de ficheros NTFS, Los ficheros  del registro de Windows. Análisis de la memoria en Windows. Indicadores de compromiso  – 8 horas – Profesor: Pedro Sánchez MODULO VI – Análisis Forense en Linux – 8 horas – Profesor: Lorenzo Martínez MODULO VII –Análisis  Forense  de  discos  SSD,  Malware  y  Amenazas  –  8  horas  –  Profesor: Gustavo Presman y Yago Jesus MODULO VIII – Análisis Forense de Documentos – 8 horas – Profesor: José  Aurelio García Mateos MODULO IX –  Análisis Forense de virtualización y RAID – 8 horas – Profesor: Gustavo Presman MODULO X – Análisis forense en red y antiforense,  correos  electrónicos  y  VoIP – 8 horas – Profesor: Giovanni Cruz MODULO XI – Análisis  Forense  de  aplicaciones  Microsoft:  Active  Directory ,  IIS,  SQL  Server , Exchange – 8 horas – Profesor: Juan Garrido Caballero MODULO XII – Análisis  Forense  de  tarjetas  SIM,  Blackberry  y  Windows  Phone  –  8  horas  – Profesor: Pedro Sánchez Cordero MODULO XIII – Análisis  Forense  en iOS  –  8  horas  – Profesor: Jaime Andrés Restrepo MODULO XIV – Análisis  Forense  en Android–  8  horas  – Profesor: Lorenzo Martínez El temario completo del curso lo puedes ver en este...

Leer Más
Automatizando la extracción de evidencia forense en Windows
Sep10

Automatizando la extracción de evidencia forense en Windows

Cuando se realiza un analisis  forense digital, automatizar procesos es muy importante, ya que muchas veces nos  encontramos en situaciones donde el tiempo es vital para una investigacion y tenemos una ventana muy pequeña para extraer toda la informacion necesaria para realizar nuestro analisis, si no tenemos nuestras herramientas “afiladas” posiblemente no alcancemos a pasar  por esa pequeña ventana que nos han dado como plazo y nuestra investigacion no pueda ser llevada a cabo o se realice con datos incompletos. En este post enumeraremos un gran numero de aplicaciones que nos ayudarán en la tarea de extraccion automatizada de evidencia en entornos windows, asi como buenas practicas forenses para estar preparados en esos momentos en los que “el tiempo apremia”. La primera recomendacion es revisar en la caja de herramientas y confirmar si se cuenta con un medio de almacenamiento sanitizado, (un dispositivo de almacenamiento borrado de forma segura), ya que este proceso normalmente tarda bastante y el propósito es agilizar los procesos de cara al cliente, en este disco se debe tener un “Kit de Herramientas” que ayuden a recolectar la información necesaria y hacer también la copia bit a bit de los equipos a analizar. Por lo general estos equipos pueden ser hallados en dos formas: Vivo: Cuando se encuentra el dispositivo encendido con procesos en ejecución y/o conectado a la red suele dársele el nombre  de entorno vivo, ya que cuenta con información de interés en medios volátiles como la memoria RAM o los archivos de paginación,  que se podrían perder al apagar el equipo. Muerto: Cuando se encuentra el dispositivo apagado o solo contamos con un medio de almacenamiento desconectado, se le suele dar el nombre de entorno muerto, ya que no tiene procesos activos y la información almacenada en él no es volátil. Según el estado en el que se encontre el equipo se debe realizar diferentes procedimientos, por ejemplo, si el equipo está vivo lo recomendable es dumpear (volcar) la memoria RAM, extraer la información básica del sistema y luego halar del cable de corriente (practica recomendada ya que Windows realiza modificaciones y elimina archivos al realizar su proceso normal de apagado). Luego de ejecutar esta acción, se puede manipular la evidencia como si fuese un entorno muerto, es decir  realizamos la copia bit a bit (copia exacta) de los medios de almacenamiento, garantizando que nuestro entorno de adquisición no modifica en ningún momento el sistema de archivos (modo solo lectura) para lo que se recomienda contar una distribucion LIVE CD forense como CAIN, DEFT o incluso el mismo KALI, después de tener la imagen bit a bit, es vital generar inmediatamente  su correspondiente HASH...

Leer Más
Capacitación profesional en informática forense y auditoría informática – México
Mar29

Capacitación profesional en informática forense y auditoría informática – México

El camino para adquirir conocimiento sobre un área de interés específica, es la constante capacitación y práctica, cuanto más se actualice el área en la que deseemos conseguir una experticia (experiencia + conocimiento), mayor debe ser la inversión de tiempo y esfuerzos para mantener al día en esta área. Una de las áreas de la seguridad informática que más requiere actualización de conocimientos es la informática forense, ya que la demanda de este tipo de servicios esta en crecimiento, cómo lo está el número de dispositivos a los que se le deben realizar estos procedimientos. Los talleres y cursos son la forma más corta de reducir la curva de aprendizaje y mantenerse actualizado, por eso quería compartir con todos nuestros lectores que el próximo mes de Julio, estaré junto a un excelente grupo de profesionales realizando la capacitación profesional en informática forense y auditoría informática, en la ciudad de México DF. Esta capacitación busca generar expertos con sólidos conocimientos teóricos prácticos de la informática forense, y por eso se ha generado con un alto valor curricular en Consultoria Integral en Desarrollo Mecatrónico SA. de CV. también registraron el diplomado tanto ante la Secretaria del Trabajo y Previsión Social en México, como ante la Propiedad Intelectual a nivel internacional, por lo que se cumplen todos los estandares necesarios para ofrecer el diplomado. Lugar y duración de diplomado Ciudad de México. La modalidad Sabatina iniciará el 31 de mayo del 2014 y comprende 6 sábados consecutivos en la Ciudad de México con un horario de 9:00 am a 18:30 horas, finalizando el sábado 05 de julio de 2014, cubriendo 50 horas de capacitación. Ciudad de México. La modalidad Semanal comprende del 07 – 12 de julio de 2014 en la Ciudad de México con un horario de 9:00 a 18:30 horas, cubriendo 50 horas de capacitación. Jalisco. La modalidad Semanal comprende del 14 – 19 de julio de 2014, con un horario de 9:00 a 18:30 horas, cubriendo 50 horas de capacitación. Nuevo León. La modalidad Semanal comprende del 21 – 26 de julio de 2014, en un horario de 9:00 a 18:30 horas, cubriendo 50 horas de capacitación. Online. La modalidad será en vivo de forma sabatina, comenzando el día 26 de julio de 2014, en un horario de 15:00 a 19:00 horas comprendiendo 12 sábados consecutivos. Para conocer más sobre esta capacitación visita el portal de Duriva Services....

Leer Más
DragonJAR TV Episodio 7 – Skype Forensics Edition
Dic13

DragonJAR TV Episodio 7 – Skype Forensics Edition

El pasado viernes realizamos junto a Edward Osorio el episodio 7 de DragonJAR TV, que tenía como tema principal el análisis al cliente de mensajería instantánea Skype, en el @_Mrpack nos realizó un recorrido por las funcionalidades de su herramienta Skype Forensics, en su nueva versión 2.0, nos hablaba un poco de la integración realizada con las nuevas cuentas live de Microsoft y comentaba en términos generales como realizar un análisis a las conversaciones de Skype con su herramienta forense. El episodio se realizó con muy buena acogida, ya ha sido editado y está listo para que lo disfruten: En estos momentos Edward esta “poniendo bonita” la herramienta para hacerla publica por este medio, mientras tanto podemos ver el video de su charla y presionar por twitter… Ya esta disponible la herramienta en el github de r00tc0d3rs para que la puedan descargar...

Leer Más
CloudShark el pastebin de los archivos .pcap
Nov26

CloudShark el pastebin de los archivos .pcap

Cuando se trabaja constantemente con capturas de trafico, es habitual que queramos compartir lo que estamos viendo en pantalla con algún compañero de trabajo o que deseemos tener la opinión de algún colega sobre la captura que estamos analizando, si tenemos suerte, nuestro amigo sacará un poco de tiempo entre sus labores diarias para echarle una ojeada al archivo y verlo desde otra perspectiva que posiblemente nosotros no hubiéramos tenido en cuenta. Pero cuando no tenemos suerte, podemos conseguir mensajes de respuesta como estos: Parce no estoy en la oficina luego miro el archivo (el archivo se pierde entre el mar de correos de nuestro amigo). No parce estoy desde el teléfono, voy en el metro/transmilenio/bus/colectivo/taxi/cualquier otro medio de transporte/ luego lo miro. No parcero, en este equipo no tengo wireshark instalado. Seguramente ante estos y muchos otros problemas se encontraron los creadores de esta gran herramienta y por eso decidieron plantear una solución a la que llamaron CloudShark. CloudShark es a los archivos .pcap lo que pastebin a los lenguajes de scripting, un medio fácil y rápido por el cual compartir capturas de tráfico en la nube sin necesidad de tener software pre-instalado en el dispositivo donde queremos visualizar los paquetes. Las funcionalidades de CloudShark no se quedan solo en mostrar de forma similar a Wireshark los archivos .pcap en la nube (que ya es de gran ayuda), también podemos aplicar varios de los filtros a los que estamos acostumbrados en wireshark (aunque no todos lamentablemente), para encontrar específicamente lo que buscamos en el mar de paquetes que supone un archivo .pcap. También podemos hacer uso de diferentes funcionalidades que nos facilitan la vida a la hora de analizar archivos .pcap, algunos son viejos conocidos en el mundo Wireshark, pero tenerlos a la mano en una tableta, un teléfono o simplemente un equipo sin Wireshark instalado es un plus que nos ofrece CloudShark. Podemos encontrar funciones como: Follow Stream Follow SSL Protocol Conversations Protocol Hierarchy Packet Lengths VoIP Calls RTP Streams HTTP Requests Decode Protocol As Decrypt SSL Traffic Los dejo con el enlace de la aplicación web (www.cloudshark.org) y este video donde los creadores hablan sobre los inicios de CloudShark. Espero que disfruten la herramienta, les dejo para que exploren las funcionalidades este archivo .pcap con una inyeccion sql en una conocida aplicación web vulnerable de la que ya hablamos antes en la...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices