La Comunidad DragonJAR » Forense

DEFT (Digital Evidence & Forensic Toolkit)

DragoN — Tue, 24 Jan 2012 02:22:52 +0000

DEFT (Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Ubuntu con kernel 3.0.0-12, muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware.

DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años (puedes verlo tú mismo desde la entrada que creamos cuando solo estaba en su versión 3), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DEFT Extra.

DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DEFT Extra un conjunto de herramientas gratuitas para análisis forense en entornos Windows.

En DEFT podemos encontrar las siguientes herramientas para realizar Análisis Forense:

sleuthkit, collection of UNIX-based command line tools that allow you to investigate a computer
autopsy, graphical interface to the command line digital investigation tools in The Sleuth Kit
DFF
dhash, multi hash tool
aff lib, advanced forensic format
disk utility, a partition manager tool
guymager, a fast and most user friendly forensic imager
dd rescue, copy data from one file or block device to another
dcfldd, copy data from one file or block device to another with more functions
dc3dd, patched version of GNU dd to include a number of features useful for computer forensics
Xmount, convert on-the-fly between multiple input and output hard disk image types
foremost, c onsole program to recover files based on their headers, footers, and internal data structures
photorec, easy carving tool
mount manager, advanced and user friendly mount manager
scalpel, carving tool
wipe
hex dump, combined hex and ascii dump of any file
outguess , a stegano tool
ophcrack, Windows password recovery
Xplico DEFT edition, advanced network analyzer
Wireshark, network sniffer
ettercap, network sniffer
nmap, the best network scanner
dmraid, discover software RAID devices
testdisk, tool to recover damaged partitions
ghex, light gtk hex editor
vinetto, tool to examine Thumbs.db files
trID DEFT edition, tool to identify file types from their binary signatures
readpst , a tools to read ms-Outlook pst files
chkrootkit, Checks for signs of rootkits on the local system
rkhunter, rootkit, backdoor, sniffer and exploit scanner
john the ripper password cracker
catfish, file search
galletta
pasco
md5sum, sha1sum, sha224sum, sha256sum, sha512sum
md5deep, sha1deep, sha256deep
skype log view, skype chat conversation viewer
Xnview, viewer graphics, picture and photo files
IE, Mozilla, Opera and Chrome cache viewer
IE, Mozilla, Opera and Chrome history viewer
Index.dat file analyzer
pdfcrack, cracking tool
fcrackzip, cracking tool
clam, antivirus
mc, UNIX file manager

Y en el DEFT extra contamos con el siguiente listado de herramientas para análisis de entornos Windows:

WinAudit
MiTeC Windows Registry Recovery
Zeroview
FTK Imager
Nigilant32
Windows Forensic Toolchest
MoonSols Win32dd
MoonSols Win64dd
Windows File Analyzer
UltraSearch
Pre-Search
XnView
X-AgentRansackk 2010 (build 762)
Index.dat Analyzer
AccessEnum
Autoruns
DiskView
Filemon
Process eXPlorer
RAM Map
Regmon
Rootkit Revealer
VMMap
WinObj
AlternateStreamView
ChromeCacheView
CurrPorts x86 e x64
CurrProcess
FoldersReport
IE Cache View
IE Cookie View
IE History View
Inside Clipboard
Live Contacts View
Mozilla Cache View
Mozilla History View
MUI Cache View
MyEventView
MyLastSearch
Mozilla Cookie View
Opened File View
Opera Cache View
Outlook Attack View x86 e x64
Process Activity View x86 e x64
Recent File View
Regscanner x86, x64 e win98
ServiWin
SkypeLogView
SmartSniff x86 e x64
StartupRun
USBdeview x86 e x64
User Assist View
User Profile View
Video Cache View
WhatInStartup
WinPerfectView
Password Tool
ChromePass
Dialupass
IE PassView
LSA Secrets Dump x86 e x64
LSA Secrets View x86 e x64
Mail PassView
MessenPas
Network PassRecovery x86 e x64
Opera PassView
PasswordFOX
PC AnyPass
Protected Pass View
PST Password
Remote Desktop PassView
VNC PassView
Win9x Passview
WirelessKeyView x86 e x64
AViScreen Portable
Hoverdesk
File Restore Plus
WinVNC
TreeSizeFree
PCTime
LTFViewer
Sophos Anti-Rootkit
Terminal with tools command line
Spartakus
Testdisk
Photorec

Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (IT – manuale completo – IT – manuale senza le appendici)

Como novedad en DEFT 7RC1 version previa a la 7.0 Final, han añadido una excelente herramienta que nos permite sacar una completa línea de tiempo, parseando los logs del sistema y ordenándolos para una fácil comprensión, esta herramienta se llama log2timeline y promete ahorrarnos mucho tiempo en la creación de nuestra línea de tiempo.

Descargar la última versión de DEFT

Mas Información:
Pagina oficial de DEFT (Digital Evidence & Forensic Toolkit)

También puede interesarte...

Análisis Forense en Facebook

DragoN — Tue, 19 Jul 2011 17:40:49 +0000

La popularidad de Facebook ha crecido exponencialmente en los ultimos años, pero con el aumento de su popularidad, tambien se ha incrementado los casos de delitos sobre esta plataforma, Suplantacion de identidad, Extorcion, Difamacion, Pedofilia, Ciber Acoso, son solo algunos de los delitos mas comunes realizados por Facebook.

Analizar lo sucedido en esta red social muchas veces es clave para poder resolver los casos en los que por medio de Facebook se ha cometido algun delito; En el siguiente paper creado por el grupo investigadores GruValkyrie-X, nos cuentan detalladamente como realizar un analisis forense a Facebook (las charlas, comentarios en el muro, eventos, grupos, etc…) asi como su aplicacion para dispositivos moviles, ya que cada accion en esta red social deja huellas que pueden ser utilizadas para descubrir que se realizó sobre ella.

Sin mas preambulos les dejo de forma online este exelente paper.

Tambien puedes descargarlo en PDF gracias al mirror de la Comunidad DragonJAR.

Más Información:
Facebook Forensics Paper Published

También puede interesarte...

Información para Reto Forense Campus party 2011

DragoN — Tue, 28 Jun 2011 17:55:41 +0000

Les recuerdo el correo donde deben realizar la inscripcion SOLO PARA CAMPUSEROS COLOMBIANOS 2011 (luego abriré para el publico en general), del 2do Reto Forense Campus Party Colombia (y 4to comunidad DragonJAR) es seguridadyredes(arroba)campus-party.com.co, en ese correo deben enviar los nombres, correos y las cedulas de los participantes (maximo 3) de cada equipo.

Tambien les dejo algunas metodologias Basicas para realizar un analisis forense:

Ademas de los retos forenses que ya hemos realizado en la comunidad:

Primer Reto Forense de La Comunidad DragonJAR

Primera versión de nuestro reto forense, totalmente online y con gran cantidad de participantes, un puno de partida para muchas personas que querían empezar con el tema forense dentro de nuestra comunidad, logrando motivar a muchos a estudiar esta rama de la seguridad informática.

Segundo Reto Forense de La Comunidad DragonJAR

Reto exclusivo en primera instancia para los asistentes a la Campus Party Colombia 2010 y evento principal de la nueva zona de “Seguridad”, después publicado para resolver de forma online.

Aprovecho para anunciar que desde ya estamos confirmados para realizar el reto forense de La Campus Party Colombia 2011…. prepárate

Tercer Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2010, donde fuimos un poco mas allá y creamos toda una escena del crimen para que los analistas (quienes tenían solo día y medio para resolver el reto), pusieran a prueba sus habilidades en un entorno mucho mas realista, esto llamo mucho la atención de los asistentes y participantes quienes quedaron muy satisfechos con este reto.

También puede interesarte...

CAINE – Distribución Live CD para Análisis Forense

DragoN — Wed, 01 Jun 2011 17:27:45 +0000

CAINE (Computer Aided INvestigative Environment), es una distribución Live CD para realizar análisis forense informático, de la que hemos hablado en varios ocasiones en nuestra comunidad, creada por Giancarlo Giustini es una de las mejores opciones que tenemos a la mano cuando deseamos realizar un análisis forense de algún equipo informático.

CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes.

Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español.

CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense o poder guardar los cambios realizados en el sistema.

Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente

dd if=nbcaine.dd of=/dev/sdX

Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb.

En la nueva version 2.0 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 2.6.32-24) se agregaron los siguientes programas:

Air 2.0.0
MountManager
Disk Utility
Storage Device Manager
SSdeep
ByteInvestigator
DMIdecode
HDSentinel
WVSummary
Read_open_Xml
Fiwalk
Bulk Extractor
Log2Timeline
Midnight Commander
SQLJuicer
CDFS 2.6.27
Nautilus Scripts
Fake Casper patch
Manual updated

Y se actualizaron o arreglaron estas aplicaciones

md5deep
foremost
lanzadores
manual
README.txt
Photorec y Testdisk and XSteg en el menú de Forense

Por el lado de Windows (CAINE También funciona en Microsoft Windows) se actualizó y mejoró Wintaylor

Descargar la ultima versión de CAINE

Mas Información:
Pagina Oficial de CAINE
CAINE, LiveCD GNU/Linux para Informática Forense
Nueva Versión del CAINE, LiveCD para Informática Forense

También puede interesarte...

Reto Forense Campus Party Colombia 2011

DragoN — Fri, 27 May 2011 03:55:00 +0000

Desde hace uno tiempo La Comunidad DragonJAR ha venido realizando una serie de retos forenses en entornos Windows, para poner a prueba las habilidades de los analistas que la visitan constantemente, estos retos forenses se han realizado de varias formas, algunos de forma online, otros presenciales como en la pasada Campus Party Colombia 2010 (donde fue el evento principal en el área de seguridad) y en la pasada EKO Party en Argentina (realizando por primera vez un reto forense con una escena del crimen fisica, clave para resolver el desafio).

Este año volveremos a lanzar el desafío a los analistas forenses con un reto nunca visto en nuestro país, donde no solo cuentan las habilidades forenses detrás de la pantalla, sino las habilidades como analistas en un entorno real especialmente diseñado; Te pondremos a prueba toda la semana y al final solo uno ganará.

Como si fuera poco este año conseguimos que el premio para el ganador del desafío alcance un valor de $5.700.000COP ($3190USD), suficiente motivación para meterle GANAS a ganarse el reto ¿NO?….

No esperes mas e inscríbete en el desafío forense de la Campus Party Colombia 2011

Tu cuentas con una ventaja que los participantes de pasadas ediciones no tenían, ya que tienes las imágenes y los INFORMES de los nuevos retos forenses que hemos realizado desde la pasada campus party, puedes aprender y practicar con ellos para estar en forma este 27 de junio cuando demos inicio al 4to Reto Forense de La Comunidad DragonJAR.

También puede interesarte...

Campus Party 2011 Colombia

DragoN — Sat, 19 Feb 2011 05:15:11 +0000

Desde que confirmamos la fecha (del 26 de Junio al 03 de Julio) de realización de la Campus Party 2011 el pasado diciembre, se ha publicado nueva información sobre el evento que puede ser de interés para nuestros visitantes para que disfrutemos de la fiesta de tecnología más grande de nuestro país.

Algunos de los cambios en la próxima Campus Party Colombia serán:

Implementación de IPv6 para toda su red, algo que resultó un rotundo éxito en la Campus Party Brasil realizada hace poco.
Seremos MÁS campuseros, este año unos 4500 en total, para lo que han dispuesto mas pabellones en Corferias.
Barcamp Campus Party, esta edición de la campus party también tendrá en su interior una barcamp, donde cualquier campusero podrá realizar su desconferencia.
Gamers a zona expo, las competencias de videojuegos se realizará en la zona expo para que los visitantes a la campus puedan observarlas mejor.

Adicional a esto, este año tendremos un nuevo y entretenido Reto Forense en Seguridad , pero también diferentes charlas y talleres de la comunidad (envía tu charla!) en esta área y los diferentes espacios, concursos y retos que tiene para nosotros la Campus Party Colombia 2011.

Se ha ofrecido un descuento especial del 30% en el valor de la entrada, para personas que ya han participado en ediciones pasadas de la campus party y se inscriban entre el 23 de febrero y el 2 de marzo.

Espero verlos pronto en esta nueva edición de la Campus, que participen de las charlas y eventos que tenemos preparados para todos.

También puede interesarte...

Campus Party Colombia 2011

DragoN — Thu, 23 Dec 2010 06:44:14 +0000

Ya está confirmado que la Campus Party 2011 se llevará a cabo del 26 de Junio al 03 de Julio de 2011, fecha en la que los colombianos disfrutaremos de la fiesta de tecnología más grande de nuestro país y como el año anterior La Comunidad DragonJAR estará presente en la nueva área de seguridad informática, con varias charlas y talleres, ademas de una masiva participación de dragonautas.

Este año tendremos un nuevo y entretenido Reto Forense en Seguridad , pero también diferentes charlas y talleres (participa!) en esta área y los diferentes espacios, concursos y retos que tiene para nosotros la Campus Party Colombia 2011.

Todavia no están abiertas oficialmente las inscripciones para la Campus Party Colombia 2011, pero el formulario de registro esta operativo, si todavía no estas inscrito, puedes hacerlo desde este enlace y estar preparado para el evento tecnológico mas esperado en Colombia.

También puede interesarte...

Nuevo reto forense del Honeynet Proyect – Log Mysteries

DragoN — Thu, 26 Aug 2010 07:03:11 +0000

El proyecto Honeynet ha publicado la 5ta entrega de su ya famosa serie de retos forenses; En esta entrega, tendremos que averiguar lo sucedido a un servidor virtual utilizando todos los logs de un servidor posiblemente comprometido.

Se tendrá muy en cuenta la precisión con la que aciertes las preguntas, la documentación de las herramientas utilizadas, la línea de tiempo de como encontraste las cosas, entre otras…

Tendrás que resolver una serie de preguntas, con una fecha límite de entrega el día 30 de septiembre, habrán premios para los 3 mejores informes y los ganadores se anunciaran el día 21 de octubre.

El Challenge 5 ha sido creado por Raffael Marty del Bay Area Chapter, Anton Chuvakin del Hawaiian Chapter, y Sebastien Tricaud del French Chapt, para mas información, visita la página oficial del reto forense Log Mysteries.

También puede interesarte...

EKO Party 2010

DragoN — Sat, 21 Aug 2010 07:22:04 +0000

El próximo 16 y 17 y Setiembre se realizará en Buenos Aires, la conferencia de seguridad mas grande de Latinoamérica, La EKOParty una “CON” que no tiene nada para envidiarle a las estadounidenses o europeas, donde reconocidos investigadores y especialistas de varios países presentaran sus últimos descubrimientos en temas de seguridad informática.

Pero… ¿que diferencia la EKO Party de las demás conferencias de seguridad?

AMBIENTE: La mayoría de nosotros estamos acostumbrados a realizar o recibir conferencias, en un gran salón con muchas sillas y una pantalla en frente, en este escenario el ponente es quien realmente crea el “ambiente”, pero en la EKO Party, los organizadores quisieron salirse de lo común y decorar los espacios donde interactuan los asistentes, de tal forma que se sientan totalmente involucrados con el evento, por ejemplo en la 5ta edición de la EKO Party, el escenario era una replica del Sistema WOPR (de la película Juegos de guerra).
CONTENIDOS: Todas las charlas, talleres y presentaciones, son realizadas por algunos de los mas reconocidos profesionales, quienes te hablaran de los descubrimientos más importantes en seguridad informática y ademas en tu idioma. amenosquestecomuniquesenklingon
WARDRIVING (BUS EDITION): Un recorrido turístico como cualquier otro, la única diferencia es que el bus esta lleno de geeks armados con sus laptops y el guía nos enseña cuales son los SSID mas famosos de la ciudad, al final del tour podemos disfrutar de la bonita guía turística generada durante el trayecto.
LOCKPICK VILLAGE: Un taller donde los participantes pueden aprender de primera mano sobre las vulnerabilidades de diferentes cerraduras, las técnicas utilizadas para explotar estas vulnerabilidades, y practicar con cerraduras de diversos niveles de dificultad. sedicequemacgyverlotomóantesdeserfamoso
RUMBA Y CERVEZA GRATIS: El jueves 16, se realiza una integración en un PUB cerca al evento, donde podrás conversar con los asistentes y ponentes sobre diversos temas (mujeres, deportes, política, religión, poesía.. todo menos sobre PC’s sicomono), ademas la casa invita la primera ronda de cervezas!!!, para rematar, el ultimo día del evento, se realiza un “remate” en uno de los mas prestigiosos sitios de la ciudad…
WARGAME: Ademas de todo lo anterior, existe un wargame el cual esta especialmente diseñado, para que te enganche completamente ytepierdastodaslascharlas, pongas a prueba tus habilidades y de paso te lleves unos muy buenos premios.
TRAININGS: Se realizaran capacitaciones muy especializadas unos días antes del evento, estas capacitaciones están dictadas por algunos de los ponentes que participaran en el evento, por lo que su calidad esta garantizada, si puedes permitírtelo, te recomiendo que le eches un vistazo al listado de trainings que hay disponibles en esta edición de la EKO Party.

Este año tengo la fortuna de participar en este espectacular evento como conferencista, realizando el reto forense de la EKO Party, (que seguro pondrá a pensar a mas de uno), ademas de viajar con un excelente grupo de personas quienes representaremos a Colombia en este gran evento (si deseas viajar con nosotros, visita este hilo en nuestro foro).

Espero que después de leer esto, por lo menos te sientas motivado en asistir a la EKO Party, si vas a estar en el evento, déjate ver siempre me gusta conocer las personas que hay detrás de un nick y una pantalla.

También puede interesarte...

Ganadores del Reto Forense Campus Party Colombia 2010

DragoN — Wed, 07 Jul 2010 07:17:24 +0000

Este año tuve el placer de participar como ponente en la Campus Party Colombia 2010, inaugurando la nueva área de Seguridad y Redes que hacia mucha falta en el evento de tecnología mas grande de nuestro país, mi compañero Jhon Jairo Hernandez (Dinosaurio) y yo real realizamos el Segundo Reto Forense de La Comunidad DragonJAR, el cual tuvo muy buena acogida por parte de los campuseros y una participación mas que deseada.

Me gustó mucho realizar este reto forense durante la Campus Party Colombia 2010, por que aunque no es el primero que realizo, en esta ocasión pude realizar un seguimiento día a día del reto y tener una interacción mas directa con los participantes, ver sus progresos, aconsejarles, orientarles y escuchar sus teorías sobre lo sucedido en el caso de “monica galindo”, cosa que no se pudo hacer en el primer reto forense de la comunidad dragonjar, ya que este se realizo totalmente online.

Muchas personas participarón en el reto forense (mas de 130 inscritos oficiales), aunque la gran mayoría no contaban con conocimiento previo en la materia, aun así se animaron a participar en el reto planteado y me alegró mucho ver sus nombres entre los pocos informes enviados, habían otros a los que se les veía mucho interés y compromiso, preguntaban constantemente pero por diferentes razones no entregaron los informes, recuerdo en especial un grupo costeño, que tenia claro que había sucedido con monica y su denuncia, conocían el culpable, los medios usados para cometer el delito, pero se dejaron intimidar por la presencia de un participante con muchos conocimientos en el área. Espero que los resultados del reto les demostraran que realmente cualquiera tenia la posibilidad de ganar, solo tenían que realizar un buen informe y sustentar su trabajo en el.

El reto forense tenia una calificación máxima de 100 puntos, distribuidos de la siguiente forma:

30 Puntos – Validez legal
30 Puntos – Procedimental y Documental
30 Puntos – Evidencia y Correlación con el Delito
10 Puntos – Extras (para las personas que realizaron algo mas de lo que nosotros solicitábamos)

Teniendo claro el sistema de calificación empleado, les dejo los resultados del Reto Forense realizado por La Comundiad DragonJAR en la Campus Party Colombia 2010:

Les recomiendo descargar el archivo XLS donde podrán encontrar los comentarios realizados a cada uno de los participantes

Una foto de los felices ganadores, Duvan Gallego y Raúl Chavarría con sus nuevos Netbooks Toshiba:

Pronto subiremos las imágenes de este reto forense, para que las personas que no pudieron asistir a la Campus Party Colombia, también tengan la posibilidad de realizarlo.