Despues de escribir sobre la Instalación, Configuración y Uso del Microsoft Cofees nuestro amigo Seifreed nos regala otro articulo relacionado con el análisis forense en entornos windows, en esta ocasión recogeremos evidencias para un posterior análisis de estas.
Indice
Hace poco nos enterábamos que Microsoft Cofee (Computer Online Forensic Evidence Extractor), la suite forense que Microsoft le regala a las entidades policiales desde Junio del año 2008, se había filtrado en Internet, en La Comunidad DragonJAR nuestro amigo Seifreed ha conseguido una copia de Microsoft Cofee y nos muestra como es la instalación, configuración y uso del Microsoft Cofee.
Pero… ¿Que es y de que está formado Microsoft Cofee?
Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.
Muchas veces la gente pregunta como hacen para saber que paso en un computador, ya sea para saber si desde ese PC se realizo algun acto ilegal o si alguien modifico o realizo alguna operacion que no deberia haber realizado en esa maquina, aqui les dejare una serie de procedimientos a realizar para obtener evidencia desde un equipo con Microsoft Windows.
Parto suponiendo que se ha realizado un trabajo de copia byte a byte del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos:
- Fecha y Hora de Inicio de la Investigación:
Date /t >> c:\evidencia_dragonjar\
Time /t >> c:\evidencia_dragonjar\ Leer el resto de la entrada »
Aqui encontraras un curso basico de analisis forense informatico con el que podras iniciarte en esta rama de la seguridad informática, esta divido en 4 partes cada una de ellas detalladas en un lenguaje simple, poco tecnico y muy comodo para su lectura.
Continuamos con la cuarte y ultima parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 3ra parte parte, puedes verla aquí.
Es la fase final y la mas delicada e importante la cual sera el documento que sustentara una prueba en un proceso legal, básicamente tener en cuenta estos dos pasos: Leer el resto de la entrada »
Continuamos con la tercera parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 2da parte parte, puedes verla aquí.
Seguiremos los tres pasos de la anterior figura:
Análisis de Datos de la Red:
Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red. Leer el resto de la entrada »
Continuamos con la segunda parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la primera parte, puedes verla aquí.
En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la informacion de la evidencia sea igual a la original.
Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación. Leer el resto de la entrada »
Comunidad
Laboratorios
c1b3rh4ck
kradjc (kR@d)
alex
d3m4s1@d0v1v0
Luis
4v4t4r (4v4t4r)
Alejandro Ramos
belial9826
carlos
diego
