Blog

Analisis Forense – Parte I – Como montar un laboratorio forense y clonar con DD

1 Analisis Forense – Parte I – Montando el Laboratorio y Clonado con DD

2 Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

3 Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

4 Analisis Forense – Parte IV – Como funciona la papelera de Windows

5 Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

6 Analisis Forense – Parte VI – Como ocultar un archivo


Vamos a comenzar una serie de post sobre analisis forense y para ello os recomiendo como lectura complementaria el libro de Un forense llevado a juicio de Juan Luis Rambla, que es gratuito.

La labor de un perito en informatica forense es a partir de unos datos de entrada realizar unas practicas forenses para llegar a obtener una serie de pruebas/evidencias. Es importante no confundir la evidencia con el indicio. Entre otras cosas lo más común es mirar la forma en la que se ha accedido al sistema informático, que es lo que se ha hecho en este, el alance de las actividades y si hay puertas traseras o malware. Como incidentes más comunes tenemos accesos no autorizados, malware, interrupción de servicio y utilización no autorizada de un servicio.

Cada evidencia que vas encontrando debes hay que identificarla y numerarla. Para llevar a cabo unas buenas prácticas, siempre habrá que hacer 2 copias del disco duro original a analizar. La primera copia siempre la tendremos de reserva, y trabajaremos con la segunda copia. Si esta segunda se estropea, aun tenemos la primera copia. Entonces tendremos que hacer otra copia de la primera copia, para que no sea necesario tocar el disco duro original y poder trabajar siempre sobre una copia, a su vez teniendo otra copia de respuesto.

Siempre habrá que analizar la información en función de su volatilidad, es decir, analizaremos antes la memoria de la RAM que la información de un DVD, ya que este puede conservar su contenido durante años. Cuando vayamos a analizar un PC que esté encendido deberemos de utilizar herramientas de linea de comandos ya que son más ligeras y se modifica menos la memoria RAM. Debemos utilizar herramientas que utilicen sus propias APIs para detectar procesos ocultos y conexiones ocultas, puesto que muchas veces el malware avanzado es capaz de modificar el retorno de las llamadas a las APIs de Windows y no veriamos nada extraño con las herramientas propias de windows que utilizan las APIs nativas.

Como resumen se puede decir que la labor del informatico forense será de Adquirir, Examinar, Analizar y Reportar. Si no dispones de una clonadora siempre podrás utilizar la herramienta DD para realizar una copia del disco entero.

Para esta prueba vamos a utilizar dos discos duros virtuales (VHD) y los vamos a montar en la distribución forense CAINE que arrancaremos desde una maquina virtual.

Para montarte el laboratorio en casa, primero creamos una maquina virtual con la ISO de CAINE, y antes de encenderla iremos a su configuración (boton derecho -> configuración) y aquí vamos a la pestaña de almacenamiento. Una vez aquí añadiremos dos discos duros virtuales (VHD). El primero será el disco duro que queramos analizar, el segundo será otro en donde realizaremos la copia de seguridad que será la que analicemos (nunca se analiza el disco duro original). Como he comentado antes deberiamos hacer dos copias del original, en este caso haré solo una puesto que la segunda se haría igual.

forense1

Una vez ya tenemos la maquina virtual con los 3 discos duros puestos, procederemos a encenderla.. Lo primera será cambiar la distribución de teclado para ponerla en español. Pinchamos en el icono del teclado y escribimos “es” en la terminal que sale, y al darle a enter se habrá cambiado el idioma del teclado.

forense2

Despues abriremos una terminal y con “ls /dev/sd” podremos ver los discos duros que tenemos en la maquina (sda será el propio de la distribución CAINE, sdb es el primero que hemos añadido en la configuración de almacenamiento “paraCopiar.vhd” y sdc es el segundo que hemos añadido “copia.vhd”). Lo primero que haremos será obtener un hash del disco duro sdb, para luego poder compararlo con el hash que hagamos al disco duro que contenga el clonado, si estos dos hashes no coinciden quiere decir que la copia no se ha realizado correctamente y habrá que volver a realizar la copia. Para tener más garantías de que la copia está bien hecha hay que sacar dos hashes del disco origen, otros dos del disco destino y comprobar que coinciden ambos.

Despues con la herramienta DD haremos un borrado seguro del disco duro en el que se va a realizar la copia (para asegurarnos que no tiene datos de otro analisis anterior) lo que haremos será llenarlo de ceros. Para esto tenemos en linux  “/dev/zero”, que lo pondremos como origen en la herramienta DD y en el destino pondremos el disco duro donde queremos realizar la copia. Utilizaremos un block size (bs) de 1mega para que no tarde mucho la copia (el bs es el tamaño del bloque que coge la herramienta DD para ir copiando bloque a bloque). Una vez tenemos el disco destino lleno de ceros, habrá que hacer la copia del disco original que en este caso es sdb, al disco de destino que tenemos a ceros. Por utlimo se mira el hash del disco sdc (la copia) a ver si coincide con el que obtuvimos anteriormente de sdb. En la siguiente imagen puedes ver todo el procedimiento:

forense3

Habíamos visto que sdb tiene una particion que es sdb1. Es decir que sdc debería de tener tambien la misma partición que sería sdc1 despues de la copia. Lo que pasa que la maquina todavía no la ha reconocido, y para que esto suceda habrá que llamar a la herramienta fdisk e introducir la opción “w”. Y ya vemos como si que reconoce la maquina la partición de nuestro disco duro copia.

forense4

Por ultimo vamos a explicar como montar una partición para que puedas examinar el contenido del disco duro virtual que hemos clonado. En la foto he hecho la prueba con el sdb, pero sería exactamente igual para la copia sdc. Primero tendremos que crear una carpeta en donde montaremos el disco duro. A continuación el comando “mount” le indicaremos que partición queremos montar y en que carpeta queremos montarla. De esta forma cuando entremos a la carpeta podremos ver el contenido del disco duro. Para desmontar la carpeta solo tendremos que escribir el comando “umount” seguido del nombre de la carpeta.

forense5

Pues aquí termina nuestra primera clase de forense. Espero que haya quedado todo claro, si no podéis preguntar por los comentarios.

Roberto – @leurian

  1. Juan Carlos
    Juan Carlos09-16-2013

    Me gusta !!! 😉

  2. Carlos Rebollo Rodríguez
    Carlos Rebollo Rodríguez09-16-2013

    Muy interesante Roberto!

  3. R0dW3
    R0dW309-18-2013

    Bieen bieen, me gusta esto de empezar con el análisis forense!! 🙂

  4. Mario
    Mario10-13-2013

    :sta mucho vuestro proyecto, os seguire un largo tiempo.

    Poco puedo aportar todavía pero seguiré trabajando, una pequeña sugerencia:
    El comando DD es un poco áspero, tienes que esperar sin saber a ciencia cierta si todo va bien, con el uso del paquete “pv” se añade una pequeña barra de progreso pudiendo así saber cuanto va a durar la operación. Dejo un enlace:
    http://blog.desdelinux.net/tip-comando-dd-con-barra-de-progreso/

Leave a Reply

*

    No Twitter Messages