Actualmente
existen en el mercado un sinnúmero de herramientas de tipo software
que apoyan la gestión de la informática forense. A continuación
daremos un vistazo a las aplicaciones que se utilizaron durante el
curso, las cuales resultaron de vital importancia para la realización
de las prácticas de laboratorio propuestas en el mismo.
Autopsy
Su
filosofía de funcionamiento se basa en la buena práctica forense
partiendo de dos tipos de análisis:
Un análisis de sistema muerto, en este caso se utiliza la herramienta desde otro sistema operativo y con el sistema a investigar en su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integridad de archivos, estructura de ficheros, logs del sistema y datos borrados.
Un
análisis de sistema vivo ocurre cuando se está analizando el
sistema sospechoso mientras está funcionando. Este análisis se
utiliza mientras que se está produciendo el incidente y se analiza
básicamente: procesos, memoria, ficheros… Después de que se
confirme la amenaza, el sistema puede ser adquirido en una imagen
para conservarlo sin corrupciones posteriores y así realizar
análisis de sistema muerto.
Esta aplicación posee las siguientes técnicas de búsqueda de evidencias:
Esta aplicación posee las siguientes técnicas de búsqueda de evidencias:
Listado
del archivo
Bases
de datos de Hash
Clasificación
de tipos de archivo por extensiones
Línea
de tiempo de la actividad del archivo
Búsqueda
de palabra clave
Análisis
de los meta datos
Detalles
de la imagen
En
los que se refiere a la gestión de diferentes casos y la elaboración
de informes esta suite posee módulos como:
Gerencia del Caso
Secuenciador
de acontecimientos
Notas
Integridad
de imagen
Informes
Registros
Caine
Es
una distribución de Linux especialmente orientada al análisis
forense informático. Esta distribución lleva de fabrica
pre-instaladas cientos de aplicaciones destinadas a facilitar la
tarea del analista forense. Además ofrece:
- Entorno de trabajo perfectamente orientado a completar las fases de la metodología forense.
- Interfaz gráfica amigable
- Proceso semi-automático en la generación del Informe final de resultados.
Algunas
herramientas incluidas:
Grissom
Analyzer
Automated
Image & Restore (AIR)
Guymager
Foremost
and Scalpel
Autopsy
2.20 and TSK 3.0
SFDumper
Fundl
Stegdetect
Ophcrack
OSForensisc
El
plato fuerte de OSForensics, obviamente, son las utilidades, con las
cuales puedes buscar texto e imágenes, recopilar rastros de
actividad (páginas visitadas, dispositivos conectados, contraseñas),
buscar archivos borrados y disfrazados, visualizar el contenido de la
memoria RAM o crear un informe del sistema.
En
cuestión de minutos, se puede obtener gran cantidad de datos. Una
vez añadidos los resultados relevantes, el caso puede imprimirse
como informe.
No hay comentarios:
Publicar un comentario