Recogiendo Evidencias para Análisis Forense en Windows

Recogiendo Evidencias para Análisis Forense en Windows, Después de escribir sobre la Instalación, Configuración y Uso del Microsoft Cofees nuestro amigo Seifreed nos regala otro articulo relacionado con el análisis forense en entornos windows, en esta ocasión recogeremos evidencias para un posterior análisis de estas.

Recogiendo Evidencias para Análisis Forense en Windows

 

Índice

Recogiendo Evidencias para Análisis Forense en Windows Indice

  1. Introducción
  2. Obteniendo datos volátiles
  3. Obteniendo datos no volátiles
  4. Clonando el disco
  5. Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

Tipos de datos

  • Datos volátiles.
  • Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post).

Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refrán, a continuación muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Consulta el paper recogiendo Evidencias para Análisis Forense en Windows

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can... presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

"Cualquier contacto, deja un trazo"
Locard's Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

WAFP Detecta la Versión de una Aplicación Web
Subir

¡No te pierdas el CONGRESO DE HACKERS - DragonJAR Security Conference! ¡Regístrate ahora!