Nueva Versión del CAINE, LiveCD para Informática Forense

Nueva Versión del CAINE, uno de los mejores LiveCD’s para Informática Forense, se diferencia de los demás livecd para forense (Helix FCCU, Deft, etc..) por su entorno de fácil uso para todo este tipo de herramientas y su interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, mas informacion del CAINE AQUI. Estos son los cambios de la nueva versión: Se incorpora el WinTaylor, un frontend de analisis forense para entornos windows Paginas HTML compatibles con internet explorer para correr herramientas forenses en Windows Actualizado el Ntfs-3g a la versión 2009.1.1 (resolviendo un bug del ntfs-3g) Nueva opción del menú de inicio: Modo Texto Actualizados los paquetes de Ubuntu 8.04 (CAINE esta basado en ubuntu) Nueva versión del Firefox 3.0.6 Nueva herramienta para realizar hashing de archivos (Gtkhash) Nuevas opciones en los reportes: se agrego el nombre del investigador y del reporte Reportes en múltiples lenguajes: italiano, ingles, alemán, francés y portugués ¿para cuando en español? Cuando se inicia Firefox se abre un listado con las herramientas y un breve manual de utilización. Descargar CAINE 0.5 LiveCD para Informática...

Leer Más

Para un analisis de memoria RAM, como recoger evidencias

En sistemas informáticos el análisis forense recopila mucha información para su posterior convenio. Entre ellos podemos contar: Análisis de aplicaciones Análisis de BBDD Análisis de ficheros Análisis de red Análisis de memoria RAM Análisis de SWAP, paginación Análisis de discos físicos Análisis Mobile Análisis de impresoras etc… En accesos a disco nos podemos encontrar con muchísima información, como pueden ser documentos, información relevante al usuario en aspectos de navegación, passwords, logs de aplicaciones, logs de seguimiento, etc… Pero en análisis forenses se echan de menos los datos que pudiesen contener la memoria RAM. En todo análisis forense se sigue un orden a la hora de recoger información, siempre atendiendo el orden de volatilidad. Un ejemplo de ello lo tenéis en el RFC 3227 de buenas prácticas a la hora de recoger información. No voy a entrar en el debate sobre si es complicado o no la recogida de este tipo de información (RAM y derivados), y sobre si es admisible o no en un juicio. Eso se lo vamos a dejar a uno de los monstruos en esto. Juan Luis García (MVP Security) lo explica muy bien en su blog. Lo que si veremos es qué podemos encontrarnos en RAM, y como podremos identificar, por ejemplo, aplicaciones maliciosas como rootkits inyectados directamente en memoria, restos de troyanos, direcciones IP, conexiones TCP/UDP registradas en máquina, passwords, etc…, junto con las herramientas que hoy día disponemos. Puede que a lo mejor no se incluyan este tipo de pruebas en un juicio, pero de seguro nos ayudarán a entender mejor qué había en la máquina, y eso ya de por sí es un adelanto. En sucesivos post comentaremos las formas de recogida de información de RAM y las posibilidades de cada una de ellas, tanto en su forma como en contenido. Me voy a centrar básicamente en la recogida de información en base a adquisición de evidencias por software, que aunque menos seguro, la recogida es mucho más fácil y disponible para los usuarios. Así que empecemos por el principio! Método I. Realizar un volcado de la RAM accediendo directamente al objeto de la memoria \Device\PhysicalMemory Para acceder a la memoria física hay algunas aplicaciones que utilizan este objeto, en nuestro caso es igual, se necesita de una herramienta que nos permita ingresar al objeto para efectuar un volcado de la misma. Una herramienta importante para estos volcados es la dd. Como estos artículos se refieren a Windows y su analisis de memoria del mismo, empleare una versiòn de esta herramienta compilada para sistemas Windows y compilada para ser utilizadas en escenarios forense. Un buen conjunto de herramientas forense para la adquisición de evidencias...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES