Presentación de PowerPoint

Anuncio
Análisis Forense
Fast Track
Prof. Reinaldo n. Mayol Arnao
reinaldo.mayol@upb.edu.co
Conceptos Iniciales
Parte 1
Reinaldo
Mayol
Arnao
2
¿Qué es el Análisis Forense?

Es un proceso, metodológicamente guiado, que
involucra los siguientes elementos, referidos a los datos
de un sistema computacional:

Preservación

Identificación

Extracción

Documentación

Interpretación
Reinaldo
Mayol
Arnao
3
RFC3227. Recolección y manejo de
evidencias
Procedimiento
de
recolección
Herramientas
necesarias y medios
de almacenamiento
de éstas
Transparencia
RFC3227
Pasos de la
recolección
Como archivar
una evidencia
Cadena de custodia
Reinaldo
Mayol
Arnao
4
Orden de Jerarquía
+
Registros y contenidos de la
caché.
Contenidos de la memoria.
Estado de las conexiones de red,
tablas de rutas.
Estado de los procesos en
ejecución.
Contenido del sistema de archivos
y de los discos duros.
Contenido de otros dispositivos de
almacenamiento.
Reinaldo
Mayol
Arnao
5
Ciclo de Vida del Análisis
Forense
Diseño de
Evidencia
Determinación
de Relevancia
Producción de
la Evidencia
Reporte y
Presentación
Recolección de
la Evidencia
Análisis de la
Evidencia
Reinaldo
Mayol
6
ArnaoHB171:2003
Handbook Guidelines for
the management of IT Evidence.]
Manipulación de la Evidencia

Si no se toman las medidas adecuadas para la
manipulación de la evidencia esta puede perderse o
resultar inaceptable como prueba.
7
Manipulación de la Evidencia

Uno de los elementos que se utilizan son las
Cadenas de Custodia

Una adecuada Cadena de Confianza debe
responder, para cada evidencia, las siguientes
interrogantes:

¿Quién colectó la evidencia?

¿Cómo y donde fue colectada?

¿Quiénes tuvieron posesión y acceso a la evidencia?

¿Cómo fue almacenada y protegida?

¿Quién la ha manipulado?
8
Autentificación de la
Evidencia
El objetivo de este paso es proveer un
mecanismo que garantice la evidencia
colectada no pueda ser modificada o
sustituida sin que el investigador pueda
notarlo.
 Por lo general, se recomienda utilizar
algoritmos de HASH (SHA2!!!!!) capaces de
crear un hash de la evidencia que garantice
su integridad.
 Se puede firmar digitalmente el hash de cada
evidencia garantizando de esta forma que la
misma no pueda ser sustituida.

9
Características de la
evidencia forense digital

Si alguien intenta destruir las evidencias, podemos
tener copias igual de válidas lejos del alcance del
criminal.

El proceso de autenticación siempre siembra dudas
sobre la veracidad de la prueba.

Adquirir una copia de la evidencia puede ser un proceso
difícil y delicado.

Las pruebas pueden ser modificadas incluso durante su
recolección.
10
Características de la
evidencia forense digital

No solo hay que validar las copias sino incluso el
momento en que se realizan.

La autentificación de la evidencia requiere mecanismos
externos como: certificados digitales, autoridades de
certificación y cadenas de certificación acordes a las
leyes de un país o incluso de una organización.
11
Características de la
evidencia forense digital
Pueden ser duplicadas de forma exacta y la copia
puede examinarse como si fuera el original.
 Con las herramientas adecuadas “es muy fácil”
determinar si la evidencia ha sido modificada o
falsificada comparándola con la original.
 Es relativamente difícil de destruir, incluso borrándola,
la evidencia digital puede ser recuperada de un disco.

12
¿Hasta Donde ?
Es posible definir
con exactitud el
80 % de lo que
ha hecho un
sospechoso
el…20% del
TIEMPO
13
Práctica 1 Creando Imágenes
Forense

En esta práctica utilizaremos el comando dd de Linux para la
creación de una imagen del disco duro de la estación.

Inicie Backtrack ( también se puede realizar prácticamente con
cualquier distribución sin instalar software adicional)

Abra un Shell y como root ejecute el siguiente comando

# dc3dd if=/dev/sdb of=imag.dat

Es un buen momento para tomar café. El proceso demorará en
función del tamaño de la imagen a crear. Este proceso crea una
imagen bit a bit de la partición o volumen declarado en la opción
if la imagen creada se obtiene según lo declarado en la opción of.
Reinaldo
Mayol
Arnao
14
Conociendo el sistema de
Archivos
Parte 2
Reinaldo
Mayol
Arnao
15
Organización de los Datos
Los SO agrupan varios
sectores consecutivos

FAT, NTFS: Clusters

EXT? (*nix): Blocks
1 sector: generalmente
512 bytes
Reinaldo
Mayol
Arnao
16
Niveles del Sistema de
Archivos
• File Name
Nombre de los
Archivos
• Metadata
Información de la
Estructura del F. S
• Datos
Clúster, Blocks
• Sistema de Archivos
Información de
Particiones
• Físico
Disco Físico
Reinaldo
Mayol
Arnao
17
Particiones D.O.S
Comenzamos Revisando como se guarda la
configuración del DISCO
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol
Particiones DOS

Las particiones tipo DOS se utilizan en la mayoría de los
sistemas operativos, incluyendo Linux.
Reinaldo
Mayol
Arnao
19
Sólo 4 entradas
Particiones Extendidas (E. P)


Con 4 entradas solamente
no es posible cubrir las
necesidades de los sistemas
modernos.
MBR Partition Table
Una partición extendida
contiene una segunda tabla
de particiones y puede
describir 2 particiones. (
una para el F. S y otra para
otra E.P)
ExtendedPartition Table
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada
Reinaldo
Mayol
Arnao
por R.Mayol
20
Tabla de Particiones
Posición
Longitud en Contenido
Bytes
0
1
Estado de la partición 00h no activa, 80h activa
1
1
Comienzo de la partición ( cabezal)
2
2
Sector y Cilindro donde comienza la partición
4
1
Tipo de Partición
5
1
Cabezal donde la partición termina
6
2
Sector y Cilindro donde la partición termina
8
4
Distancia, en sectores (por omisión
512B/sector) desde la tabla de particiones al
primer sector de la partición
12
4
Longitud ( en sectores) de la partición
Reinaldo
Mayol
Arnao
21
Ej. Partición de 40 GB
Tabla de Particiones
Byte 446
Reinaldo
Mayol
Arnao
22
Continuación
Termina: Sector F8(248) cilindro FF
La partición inicia
56 sectores desde
el inicio de la
tabla
Partición NTFS
Partición activa
Sector 1, Cilindro 0
80 01 01 00 07 FE F8 FF 38 00 00 00
10 B3 FF 04 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
83866384
Sectores
00 00 00 00 00
00 *00 00 00 00 00 00
512B= 40GB
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 55 AA
Reinaldo
Mayol
Arnao
23
Fin de la Tabla de Particiones
Algunos Tipos de Particiones
Hex
Valor
Tipo
0C
FAT 32
83
Linux
82
Linux Swap
07
NTFS
a8
MacOSX
Reinaldo
Mayol
Arnao
24
Slack Space

La unidad mínima de direccionamiento son los clusters.

El S.O sólo puede direccionar clusters.

Si un archivo es menor que el tamaño del cluster el
espacio sobrante se pierde.

Este espacio es interesante, desde el punto de vista
forense, ya que normalmente puede contener datos de
otros archivos que utilizaron anteriormente el cluster.
Reinaldo
Mayol
Arnao
25
Práctica 2 MBR
 Inicie la máquina virtual Backtrack y
localice la imagen del disco creado en la
práctica anterior.
 Utilice el comando hexedit para visualizar el
contenido el archivo de imágenes.
root@bt:~# hexedit imag2.dat
 Localice la Tabla de Particiones (note que
las posiciones están en hexadecimal)
 A partir de la tabla de particiones describa
la estructura de las mismas.
Reinaldo
Mayol
Arnao
26
Práctica 2 Cont…
Utilice el comendo mmls para ver la tabla de particiones. Esta información
puede ser útil. A continuación se muestra un ejemplo. Sus resultados pueden ser
diferentes.
root@bt:~# mmls /dev/sda -t dos
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start
End
Length
Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0040105983 0040103936 Linux (0x83)
03: ----- 0040105984 0040108031 0000002048 Unallocated
04: Meta 0040108030 0041940991 0001832962 DOS Extended (0x05)
05: Meta 0040108030 0040108030 0000000001 Extended Table (#1)
06: 01:00 0040108032 0041940991 0001832960 Linux
Reinaldo Swap / Solaris x86
Mayol
27
(0x82)
Arnao
07: ----- 0041940992 0041943039 0000002048 Unallocated
Ahora que ya conocemos la estructura del disco nos
interesan las particiones
NTFS
New Technologies File System
Sistema de Archivos de NTFS

Durante la creación del volumen es creado el Master File Table
(MFT), además de otros archivos de control.

Existe una entrada de 1KB en la MFT por cada archivo o directorio en
el volumen.

El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr

Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12
campos) y el resto son atributos no previamente definidos.
Reinaldo
Mayol
Arnao
Metadata
Todos los
sistemas de
archivos
dedican
algunos
archivos a
contener
información
que
describe a
otros
archivos.
NTFS : MFT ( Master
File Table)
*nix :Inodos
FAT: Entradas de
Directorio.
Reinaldo
Mayol
Arnao
30
Metadata
Los archivos
de
Metadatos
contienen
información
como:
MAC times,
permisos,
propietarios,
tamaño de los archivos,
localización,
etc.
Reinaldo
Mayol
Arnao
31
Metadata FILES
Reinaldo
Mayol
Arnao
32
Archivos de Metadata
Nombre del Archivo
Descripción
0
$MFT
MFT
1
$MFTmirr
Archivo de Respaldo del MFT
2
$LogFile
Registro de las transacciones de metadata
3
$Volume
Información sobre el volumen
4
$AttrDef
Información sobre atributos
5
$Root
Directorio Root del F.S
6
$Bitmap
Mapa de disponibilidad de cada cluster
7
$Boot
Boot Sector
8
$BadClus
Mapa con clusters que contienen sectores dañados
9
$Secure
Información de Seguridad
10
$Upcase
Versión de cada carácterMayol
Unicode
Índice
$MFT
Reinaldo
33
Arnao
11
$Extend
Contiene file para extensiones opcionales.
Sistema de Archivos NTFS
cont..

La localización del MFT está definido en el Boot Sector
del F.S

Un MFT almacena los atributos de los archivos y
subdirectorios incluyendo el nombre, MAC, permisos,
flags de estado, entre otros.

Si un archivo no puede contener todos sus atributos en
una sóla entrada utiliza entradas consecutivas.

Adicionalmente el MFT almacena parte ( o su totalidad)
de la data (dependiendo del tamaño del archivo, menor
a 1500Bytes)
Reinaldo
Mayol
Arnao
34
Estructura del $MFT

Cada entrada al MFT es direccionada usando un valor de
48 bits, comenzando por 0.

Formalmente las primeras 16 entradas ( en la práctica
24) son para localizar los archivos de metadata del F. S

Los archivos de metadata se encuentran en la raíz del F.
S y comienzan por $
Reinaldo
Mayol
Arnao
35
Entradas MFT

Cada entrada es secuencialmente numerada usando un
valor de 48 bits.

Cada entrada tiene además un número de Secuencia de
16 bits que es incrementado cuando la entrada es
localizada.

Ambos valores se combinan para formar un valor de 64
bits que se utiliza como referenciador de los archivos.
Reinaldo
Mayol
Arnao
36
Entradas MFT ( Ejemplo)
Header MFT
Atribute Header:
• Tipo
• Tamaño
• Nombre
Header
MFT
Atributos
Entrada MFT
Atribute Header
$STANDARD_INFORMATION
STANDARD_INFORMATION
Espacio no utilizado
$FILE_NAME
$DATA
Reinaldo
Mayol
Arnao
37
Práctica 3 Técnicas
Antiforense ADS

Vaya a este enlace y realice la práctica descrita
https://www.dropbox.com/s/dk8fh5orau524np/Alternative
DS.txt
Reinaldo
Mayol
Arnao
38
Formato Simplificado de una
ENTRADA a la MFT


Para un archivo:

Header

$FILE_NAME(48)

$ STANDART_INFORMATION(16)

$DATA(128)
Para un subdirectorio:

Header

$INDEX_ROOT

$INDEX_ALLOCATION
Reinaldo
Mayol
Arnao
Atributos ( algunos, sólo
algunos)
$STANDARD_INFORMATION:
SFILE_NAME
$DATA:
$INDEX_ROOT
$INDEX_ALLOCATION
$BITMAT
• Información general, tales como flags, MAC
Times, ID del propietario
• Nombre del Archivo en Unicode,MAC TIME del
nombre
• Contenido del Archivo
• Nodo Raíz del árbol de índices
• Nodos del árbol de índices
• Mapa de Bits del MFT
Reinaldo
Mayol
Arnao
40
Boot Sector Partición NTFS
Boot Sector
Cluster: Grupo de Sectores Consecutivos.
Reinaldo
Mayol
Arnao
41
Boot Sector
Byte Offset
Hex (Dec)
Longitud
(bytes)
Significado
0 (0)
3
Instrucción Jump
3 (3)
8
Identificación en ASCII del formato del Disco
0B(11)
2
Bytes por Sector ( 512,1024,2048, 4096)
0D(13)
1
Sectores/clusters ( potencias de 2 hasta 32KB)
0E (14)
2
Tamaño en Sectores del Área reservada
10 (16)
3
Siempre en 00
13 (19)
2
No usado por NTFS
15 (21)
1
Media Type . 0xf8 discos fijos. 0xf0 removibles
16 (22)
2
Siempre en 00
18 (24)
2
Sectores por Pista
1 A (26)
2
Número de Cabezales
1 C (28)
4
Sectores Ocultos
20 (32)
8
No usado por NTFS Mayol
Reinaldo
42
Arnao
28 (40)
8
Número de sectores en el disco
Boot Sector Cont….
Offset
Hex (Dec)
Longitud
(bytes)
Significado
30 (48)
8
Número de Cluster lógico para el archivo
$MFT
38 (56)
8
Número de Cluster lógico para el archivo
$MFTMirr
40 (64)
4
Clusters por Segmento de Entrada de Archivo
44 (68)
4
Clusters por Index Block
48(72)
8
Número de Serie del Volumen
50(80)
4
Número de Chequeo
54-1FD (84- 425
509)
1FE (510)
2
Reservado
Fin 0X55AA
Reinaldo
Mayol
Arnao
43
Práctica 4

Vaya a este enlace y realice la práctica descrita
https://www.dropbox.com/s/4bp0x3ny8v3gy8u/NTFSBOOT
SEC.txt
Reinaldo
Mayol
Arnao
44
Práctica 5 Analizando NTFS

Vaya al enlace a continuación y realice la práctica
descrita
https://www.dropbox.com/s/fd35v09xg1qa836/NTFS.txt
Reinaldo
Mayol
Arnao
45
Sistemas de Archivo de
Linux
Ext*
Reinaldo
Mayol
Arnao
46
Ext

El F.S comienza con un área reservada y el resto está
dividido en sectores llamados grupos de bloques.

Todos los grupos de bloques, excepto el último
contienen la misma cantidad de bloques.

Un bloque es un conjunto de sectores consecutivos
(1024,2048,4096 bytes)

La información de la estructura del F.S es almacenada
en una estructura llamada SuperBlock la cual se
encuentra localizada el inicio del F.S

Los metadatos de cada archivo o directorio son
almacenados en estructuras llamadas inodos
Reinaldo
Mayol
Arnao
47
Ext cont…

Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024
bits)

Existe un inodo por cada archivo o directorio existente

Existe una tabla de inodos para cada grupo de bloques.

Los primeros 10 inodos tienen funciones fijas y están
siempre localizados. El inodo 11 se utiliza para el subd lost
+found

Los nombres de archivos son almacenados en las entradas
de los directorios que los contienen.

Esas entradas de directorio son estructuras simples que
contienen el nombre de los archivos y un puntero al inodo
correspondiente.
Reinaldo
Mayol
Arnao
48
Inodos


Cada inodo tiene un número fijo de campos .

Un inodo contiene:

Tamaño de los archivos ( 64bits => tamaño máximo es
1,84467440737096 1019)

Dueños (utilizando el UID y GDI de /etc/passwd y
/etc/groups)

Información temporal ( último acceso, modificación,
borrado, cambio de la metadata)

Permisos

Tipo de archivos

Los tiempos son almacenados en la cantidad de segundos
desde 1ro Enero 1970.
Reinaldo
Mayol
Arnao
Los tiempos son almacenados en la cantidad de segundos 49desde 1ro Enero
1970.
Entradas de directorio,
inodos y bloques de datos
archivo1
Entradas de
Directorio
Metadata
Metadata
Metadata
Metadata
Metadata
Metadata
Inodos
Bloques de
Contenido
Reinaldo
Mayol
Arnao
50
Inodos

Cada inodo puede almacenar las direcciones de los primeros 12
bloques de un archivo. (bloques directos)

Si un archivo requiere mas de 12 bloques se localiza un bloque para
almacenar los punteros a otros bloques( bloques indirectos)
Reinaldo
Mayol
Arnao
51
Inodos
Reinaldo
Mayol
Arnao
52
Ext cont…

Ext tiene un grupo de opciones organizadas en 3
categorías basadas en que debe hacer el sistema
operativo si alguna de ellas no es soportada.

Las opciones compatibles son aquellas que pueden ser
ignoradas por el S.O que monta un F. S incluso si no las
soporta. EJ. Journals

Las opciones incompatibles si no son soportadas el F. S no
será montado. Ej. Cifrado

Las compatibles de solo lectura implican que el F. S será
montado pero solo en modo Read-Only. Ej. Estructuras en
arbol en lugar de listas.
Reinaldo
Mayol
Arnao
53
Superblock y Descriptor de
Bloques

El Superblock es localizado al inicio del F. S ocupando
los primeros 1024 bytes ( aunque utiliza sólo unos
pocos)

Contiene la estructura del F. S ( similar al BootSector en
NTFS) y de configuración.

Copias de respaldo pueden ser encontradas en el primer
bloque de cada grupo de bloques.

Información contenida:

Tamaño de los bloques

Número total de bloques por grupo de bloques

Número de bloques reservados antes del primer grupo de
bloques.
Reinaldo
Mayol
Arnao
54

Superblock y Descriptor de
Bloques
También puede incluir:

Nombre del volumen

Fechas de montaje y escritura

Sitio del último montaje

Consistencia del F. S

Número total de inodos y bloques
disponibles

Opciones habilitadas.
Reinaldo
Mayol
Arnao
55
Superblock y Descriptor de
Bloques

En Linux una opción llamada Sparse
Superblock está siempre habilitada y hace que
sólo algunos grupos de bloques contengan
copias del Superblock.

El Superblock tiene una firma ( 0xef53) en los
bytes 56 y 57, desafortunadamente es
demasiado pequeña y buscarla conduce a gran
cantidad de falsos positivos
Reinaldo
Mayol
Arnao
56
Buscando la firma..
root@bt:~# sigfind -o 56 -l ef53 /dev/sda1
Block size: 512 Offset: 56 Signature: 53EF
Primera aparición de la firma
Block: 2 (-)
Block: 262144 (+262142)
Otras apariciones
Block: 346505 (+84361)
Reinaldo
Mayol
Arnao
57
Tabla de Descriptores de
grupos de bloque

En el bloque siguiente del superblock se encuentra la tabla
descriptora de grupos de bloque.

Comúnmente existe copias de tabla en los bloques de grupo ( ver
figura inferior)

Un F.S en linux tiene igual número de bloques por grupo que bits en
un block. Por lo tanto el BlockBitmap requiere un bloque.
Backup
SuperB.
Tabla desc.
De grupos
Block
Bitmap
Inode Tabla de
Bitmap Inodos
Reinaldo
Mayol
Arnao
Datos
58
Datos
Estructuras Ext: SuperBlock
(selección de campos)
Byte
Descripción
0-3
Número de Inodos en el FS
4-7
Número de Bloques en el F. S
8-11
Número de bloques reservados
12-15
Número de bloques disponibles ( no usados)
16-19
Número de inodos disponibles ( no usados)
20-23
Bloque donde el Grupo de Bloques 0 comienza
24-27
Tamaño del bloque ( número de lugares para
desplazar 1024 a la izquierda) Ej: 0-1024, 24096
32-35
Número de bloques en cada grupo de bloques
40-43
Número de inodos en cada grupo de bloques
44-47
Fecha del último montaje
48-51
Fecha de la última escritura
Reinaldo
Mayol
Arnao
59
Estructuras Ext: SuperBlock
(selección de campos) cont..
Bytes
Descripción
52-53
Contador de montajes
54-55
Máximo número de montajes sin chequeo
56-57
Firma del F.S (0xef53)
58-59
Estado del F.S ( limpio, con errores, con archivos
perdidos)
104109
ID del Volumen
136199
Subdirectorio donde fue montado por última vez
RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES
Reinaldo
Mayol
Arnao
Recuerde que esta no es la tabla entera de los campos del Superblock.
Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystem
implementor's guide, Part 8.
60
Una mirada al SuperBlock
1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe
comenzar en el bit 1024 (0x400).
2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos
3-Los bytes del 4-7 informan el número de bloques=240254 bloques
4- Los bytes 56-57 (0x38) contienen la firma 0xef53
Reinaldo
Mayol
Arnao
61
Práctica 6: Analizando
particiones EXT

Vaya al enlace que se muestra y realice la práctica
descrita
https://www.dropbox.com/s/vzjevg541h8js9z/ext.txt
Reinaldo
Mayol
Arnao
62
Tabla descriptora de grupos

Tiene una entrada por cada grupo de bloques existente en el F. S

Comienza en el segundo bloque
byte
Descripción
0-3
Dirección de inicio del bloque del bitmap
del bloque
4-7
Dirección de inicio del bloque del bitmap de
inodos
8-11
Dirección de inicio del bloque de la tabla de
inodos
12-13
Número de bloques disponibles en el grupo
14-15
Número de inodos disponibles en el grupo
16-17
Número de directorios en el grupo
18-31
No usados
Reinaldo
Mayol
Arnao
63
Cuando se crea un archivo

El SO debe utilizar un inodo para el nuevo archivo.

Trata de hacerlo en el mismo grupo de bloques del
directorio que contiene el archivo

Si no es posible se busca un nuevo grupo para localizar
el inodo.
Reinaldo
Mayol
Arnao
64
Cuando se crea un directorio

Se trata de localizar en un grupo que no haya sido
utilizado mucho ( equilibrando el uso del disco)( mucho
es cantidad de inodos ocupados no veces!)

Para encontrarlo el S.O puede obtener del superblock el
número de inodos y bloques libres.

Con este valor se comienza a buscar por los grupos de
bloques hasta encontrar a uno que tenga un valor por
debajo del valor promedio de utilización.
Reinaldo
Mayol
Arnao
65
Los inodos y la creación

Cuando un inodo es localizado toda su información
anterior es borrada.

Un atributo llamado link count es puesto a 1 ( en caso
de archivos) y 2 para directorios

Cuando se borra un archivo el contador es
decrementado, si llega a 0 el inodo es considerado
libre.

Si un archivo es borrado y alguna aplicación lo tiene
todavía abierto pasa a ser considerado un orphan file y
es inscrito en una lista en el superblock.

Cuando la aplicación cierra el archivo o cuando el
sistema se reinicia el inodo es liberado.
Reinaldo
Mayol
Arnao
66
¿Dónde mas buscar ?
Pero recuerde
Hay muchos otros sitios donde buscar
Y sobre todo:
LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS RESULTADOS
OBTENIDOS POR UN INVESTIGADOR:
-ENTRENADO
-PACIENTE
-DISCIPLINADO
-CREATIVO
67
Reinaldo Mayol Arnao
Otros sitios donde buscar en
*nix?
/var/log/messages
• contiene los mensajes generales del
sistema
/var/log/secure
• guarda los sistemas de autenticación y
seguridad
/var/log/wmtp
• guarda un historial de inicio y cierres de
sesión pasadas
/var/run/utmp
• guarda una lista dinámica de quien ha
iniciado la sesión
/var/log/btmp
• guarda cualquier inicio de sesión fallido o
erróneo (sólo para Linux)
Reinaldo
Mayol
Arnao
Permisos UNIX
R: Lectura
W: Escritura
X: Ejecución
Permiso
Negado
Permiso
Otorgado
111 110 111
Resto
Grupo
Propietario
Reinaldo
Mayol
Arnao
Archivos Ocultos

En UNIX los archivos ocultos se distinguen por comenzar
por un “. “
# ls –a
.home
.stach
.gnome$
Reinaldo
Mayol
Arnao
Casos típicos de intrusión
( ejemplos)
Usuarios del
Sistema con
Shell Válido
• Apache :23wedjg”jf:500:500:Usuario
General:/home/user:/bin/csh
• Un usuario “demonio” no debe tener shell válido
( /bin/shell)
Más de un
superusuario
• User:23wedjgjf:0:0:Usuario
General:/home/user:/bin/csh
• El UID 0 está reservado SOLO para el
root
Usuarios con
HOME
incorrecto
• User:23wedjg”jf:500:500:Usuario
General:/var/www:/bin/csh
• ¿Por qué un usuario general tiene como HOME el
subdirectorio de Apache?
Reinaldo
Mayol
Arnao
SUID y SGID
_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at
SUID
_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport
Reinaldo
Mayol
Arnao
SGID
Servicios Disponibles

Revisar todo el árbol /etc/ rc*

Ejecutar (si es posible) alguna herramienta de búsqueda
de puertos abiertos.

Tener en cuenta que muchos servicios pueden ser
manejados por Superdemonios (inetd)
Reinaldo
Mayol
Arnao
Ejemplo típico de Intrusión
Servicios
Arrancados
fuera de orden
Scripts de
Arrancada
“ Adulterados”
Bibliotecas o
Binarios
Alterados
Reinaldo
Mayol
Arnao
Cuentas de Usuarios

Revisar /etc/passwd

Si existe /etc/shadow
Reinaldo
Mayol
Arnao
Trabajos temporizados

Revisar los archivos relacionados con el cron del sistema
Reinaldo
Mayol
Arnao
Y en Windows??
Algunos sitios donde buscar información adicional en Windows
Reinaldo
Mayol
Arnao
77
Otras fuentes de información

Los archivos de acceso directo

Index.dat

Thumbs.db

Entradas del registro
Reinaldo
Mayol
Arnao
Index.dat
Reinaldo
Mayol
Arnao
Index.dat
Reinaldo
Mayol
Arnao
Análisis de Temporales
Reinaldo
Mayol
Arnao
Análisis de Atajos
Reinaldo
Mayol
Arnao
El registro

Los registros se encuentran
en varios archivos ocultos en:
%systemroot%\system32\config y
NTUSER.DAT.

Un auditor forense debe hacer
copias de los archivos del
registro y visualizarlos en otro
editor.
Reinaldo
Mayol
Arnao
Logs
Los archivos Log de una máquina, son una fuente
de información importantísima en un análisis
forense.
SysEvent.Evt.
Registra los
sucesos
relativos al
sistema
SecEvent.Evt. AppEvent.Evt.
Registra los
Registra los
sucesos
sucesos
relativos a la
relativos a
seguridad
aplicaciones
Reinaldo
Mayol
Arnao
Log con Visor Externo
Reinaldo
Mayol
Arnao
Más donde buscar: Archivos
Recientes
Reinaldo
Mayol
Arnao
Más donde buscar: SystemInfo
C:\>systeminfo
Nombre de host:
MEFISTO
Nombre del sistema operativo:
Microsoft Windows XP Professional
Versión del sistema operativo:
5.1.2600 Service Pack 2 Compilación
2
600
Fabricante del sistema operativo:
Microsoft Corporation
Configuración del sistema operativo:
Estación de trabajo
independiente
Tipo de compilación del sistema operativo: Uniprocessor Free
Propiedad de:
Reinaldo Mayol Arnao
Organización registrada:
ULA
Id. del producto:
55274-640-4467482-23960
Fecha de instalación original:
20/11/2007, 10:27:26 p.m.
Tiempo de actividad del sistema:
0 días, 12 horas, 28 minutos, 33
segu
ndos
Fabricante del sistema:
CLEVO Co.
Modelo el sistema:
M550SE/M660SE
Tipo de sistema:
X86-based PC
Reinaldo
Mayol
Arnao
Más donde buscar: SystemInfo
Cont…
Procesador(es):
1 Procesadores instalados.
[01]: x86 Family 6 Model 14 Stepping
12 GenuineIntel ~1861 Mhz
Versión del BIOS:
MSTEST - 6040000
Directorio de Windows:
C:\WINDOWS
Directorio de sistema:
C:\WINDOWS\system32
Dispositivo de inicio:
\Device\HarddiskVolume1
Configuración regional del sistema:
0c0a
Idioma:
0000040A
Zona horaria:
N/D
Cantidad total de memoria física:
894 MB
Memoria física disponible:
168 MB
Memoria virtual: tamaño máximo:
2.048 MB
Memoria virtual: disponible:
2.004 MB
Memoria virtual: en uso:
44 MB
Ubicación(es) de archivo de paginación: C:\pagefile.sys
Dominio:
INICIOMS
Reinaldo
Servidor de inicio de sesión:
\\MEFISTO
Mayol
Arnao
Revisión(es):
170 revisión(es) instaladas.
Estado de los servicios
C:\>sc query >>sc
SERVICE_NAME: ALG
DISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n
TYPE
: 10 WIN32_OWN_PROCESS
STATE
: 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT
: 0x0
WAIT_HINT
: 0x0
SERVICE_NAME: AudioSrv
DISPLAY_NAME: Audio de Windows
TYPE
: 20 WIN32_SHARE_PROCESS
STATE
: 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT
: 0x0
WAIT_HINT
: 0x0
………
Reinaldo
Mayol
Arnao
Conexiones Establecidas
C:\>netstat
Conexiones activas
Proto Dirección local
Dirección remota
Estado
TCP
mefisto:2852
bd07f3d2.virtua.com.br:https ESTABLISHED
TCP
mefisto:2855
wr-in-f189.google.com:http ESTABLISHED
TCP
mefisto:2856
by1msg3275906.phx.gbl:1863 ESTABLISHED
TCP
mefisto:2876
eo-in-f147.google.com:http CLOSE_WAIT
TCP
mefisto:2879
by1msg5082501.phx.gbl:1863 ESTABLISHED
TCP
mefisto:2890
wx-in-f83.google.com:http CLOSE_WAIT
Reinaldo
Mayol
Arnao
En muchos otros sitios ….

Imágenes ( esteganografía )
Reinaldo
Mayol
Arnao
Reto Final

El profesor le entregará un reto final. ¿Se anima a
encontrar las evidencias ( si las hay) de un caso de
prostitución y tráfico de drogas?
Reinaldo
Mayol
Arnao
92
93
Y mucho mas…
Prof. Reinaldo Mayol Arnao
Reinaldo
Mayol
Arnao
Descargar