Upload
sykrayo
View
154
Download
0
Embed Size (px)
Citation preview
WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIAPROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS
SISTEMAS I/O AVANZADOS DE ALTO NIVEL
Traducido por Sykrayo España
DEFT 7 MANUALDIGITAL EVIDENCIA FORENSE Y HERRAMIENTAS
Stefano Fratepietro y Alessandro Rossetti & Paolo Dal Checco
Versión Inglese porJade Dell'Erba, Nicodemo Gawronski (traductores)Neil Torpey (revisión técnica y corrección)
Traducido por Sykrayo España
Deft 7 Manual 2012
1
LOS AUTORES
STEFANO "YO UN G ST ER" F RA RO TEPIET
Stefano se graduó en 2006 con una licenciatura en Tecnología de la Información y Gestión (Ciencia de Internet)de la Universidad de Bolonia. Su tesis en informática forense se tituló "Un estudio de caso virus Vierika." EsOSCP ofensivo Certificado en Seguridad y ISECOM OPST. Stephen es actualmente un especialista en seguridaden la oficina del CSE de seguridad informática (Asociación Bancaria), donde realiza tareas de los expertos de lostribunales, las fuerzas policiales y particulares, y ha participado como consultor técnico en casos de hambrenacional: como "Good mañana! vitamínico "y" Pirelli-Telecom-Ghioni. " Desde 2005 es el creador y líder delproyecto del sistema de DEFT. De vez en cuando realiza actividades docentes en informática forense paradiversas universidades italianas y privadascursos.
SA N D RO "B Y O U SB" SS O R E C T S
Alessandro Rossetti vive y trabaja en Roma. Él tiene un gran interés en temas tales como: tecnología de lainformación, seguridad informática y análisis forense digital. Él es un IACIS miembros y también miembro del"CyberWorld" TrabajarGrupo de OSN (Observatorio Nacional de Seguridad) de Ministerio de Defensa italiano.
P A O LO "J E ST E R" D A L C H E C O C
Pablo recibió su doctorado en 2006 en la Universidad de Turín, en el Grupo de Seguridad del Departamento deCiencias de la Computación. Ha impartido clases en diferentes universidades, empresas y entornos TIC en lasadiciones a las cooperativas con otras empresas que operan en el campo de la seguridad y la privacidad de lascomunicaciones. También es socio fundador de la empresa de informática forense "Oficina Forense Digital" (www.difob.it ) De Turin.He es director asociado de la Ley Digit Ltd (www.digitlaw.it.) También Pablo ha actuadocomo asesor técnico asistir los fiscales en las causas judiciales, los organismos encargados de hacer cumplir laley y las entidades del sector privado.
Traducido por Sykrayo España
Deft 7 Manual 2012
2
LICENCIA DE USUARIO FINAL AGR EEMENT
Reconocimiento - NoComercial 3.0 Italia
Usted es libre de copiar, distribuir, comunicar al público, mostrar públicamente, representar, actuar y hacer obrasderivadas Bajo las condiciones siguientes:
Atribución - Debes atribuir el trabajo de la manera especificada por el autor o el licenciador (pero no decualquier manera que eso sugiere que usted o su uso de la obra avalan).
No comercial - No puede utilizar esta obra para fines comerciales.
Renuncia - Alguna de estas condiciones puede no aplicarse bajo la autorización del titular de los derechos deautor.
Dominio Público - Cuando la obra o alguno de sus elementos se halle en el dominio público según la legislaciónaplicable, la situación no es en absoluto afectada por la licencia.
Otros derechos - De ninguna manera cualquiera de los siguientes derechos afectados por la licencia:
De usos legítimos o derechos de uso justo u otras excepciones de copyright aplicables y limitaciones
Los derechos morales de los autores;
Otras personas pueden tener derechos, ya sea en la propia obra o en cómo se utiliza el trabajo: como lapublicidad o derechos de privacidad.
Aviso - Al reutilizar o distribución, usted debe hacerlo bajo los términos de esta licencia, que debe sercomunicada con claridad.
Esto es un resumen fácilmente legible del texto legal (la licencia completa):http://creativecommons.org/licenses/by-nc/3.0/it/legalcode
Traducido por Sykrayo España
Deft 7 Manual 2012
3
Dedicado a Ele y Silvia por su paciencia infinita.
También Dedicado a Esteban y Alejandro,
Que la esperanza de que tomen más después de finalizada su Susmadres que padres.
Para Samantha y Kim.
Traducido por Sykrayo España
Deft 7 Manual 2012
4
Agradecimientos
Nos gustaría dar las gracias a todos aquellos que en los últimos años han contribuido a nuestro crecimientopersonal.
También agradecemos a los que trabajó entre bastidores para la producción de DEFT también indirectamentecontribuir a la creación del manual de usuario.
Massimiliano Dal Cero
David "Rebus" Gabrini
Bartolomeo "Meo" Bogliolo
Valerio Leomporra
Marco Giorgi
Emanuele Gentili
Un enorme "gracias" También va a Simone e Iván por su ayuda en el doble control de este manual.
Queremos agradecer Architecture Technology Corporation por permitirnos insertar "Dropbox Reader ™" en estedistribución.
Por último, pero no menos importante: la versión Inglese ha sido realizada por Jade Dell'Erba, NicodemoGawronski (traductor) yNeil Torpey (revisión técnica y corrección)
Traducido por Sykrayo España
Deft 7 Manual 2012
1
PRÓLOGO
El propósito de este manual es ofrecer al lector una idea de las principales características y potenciales de la DEFTdistribución, un punto de partida para estimular el crecimiento de sus conocimientos técnicos con el DEFT.
En estas páginas no encontrará explicaciones exhaustivas sobre el uso de todas las aplicaciones y comandosactualmente en la distribución DEFT.
Para tratar de facilitar el estudio, hemos incluido algunos ejemplos que indican cómo realizar algunas de lasprincipales actividades de análisis forense digital.
la consolidación y preservación de los dispositivos de almacenamiento (discos duros, memoriasUSB, reproductores MP3, teléfonos inteligentes, etc ..) o tráfico telemático a través de redes IP;
análisis de casos y su manejo.
Feliz lectura!
Traducido por Sykrayo España
Deft 7 Manual 2012
2
TABLA DE CONTENIDO
Los Autores
Stefano "joven" Fratepietro
Sandro "camarero" Rossetti
Paul "Jester" Dal Checco
Acuerdo de licencia de usuario final
Agradecimientos
Prefacio
Tabla de
Capítulo 1: Introducción
1.1 ¿Qué es
1.2 ¿Por DEFT se puede utilizar en el análisis forense digital?
Capítulo 2: Requisitos del sistema
2.1
2.2 DART
Capítulo 3: Lista de aplicaciones
3.1 DEFT Linux
3.2 DART 1.0
Capítulo 4: Comenzar DEFT Linux en vivo
4.1 Verificar la integridad del archivo de imagen DEFT después de haber descargado................................................... 12 ......
4.2 Burning DEFT Linux en óptica
4.3 Creación de un stick USB de arranque que contiene DEFT Linux ..................................................................................... 13
4.4 Configuración de la BIOS y / o de la selección de arranque de popups / Menú ............................................................................ 15
Traducido por Sykrayo España
Deft 7 Manual 2012
3
4.5 Parámetros de arranque de DEFT
4.6 Instalación DEFT Linux 7
Traducido por Sykrayo España
Deft 7 Manual 2012
4
Capítulo 5: Modo texto Linux DEFT
5.1 Gestión de Medios de Almacenamiento
5.1.1 Comandos útiles
5.1.2 Monte de los dispositivos de almacenamiento
5.1.3 Montaje de un dispositivo (disco duro, memoria USB, disquete, CD-ROM, etc ...).................................................. 22 ...
5.1.4 Montar una DD / archivo de imagen RAW
5.1.5 Montar a DD / RAW archivo de imagen dividida en varios archivos (dividida en bruto).................................................. 24 .............
5.1.6 Tipo de archivo EWF / Encajar
5.1.7 Tipo de archivo AFF
5.2 Cálculo Hash
5.2.1
5.2.2 SHA1SUM
5.2.3 MD5 y sha
5.2.4 Dhash
5.3 Captura de Medios de Almacenamiento
5.3.1 dd
5.3.2 ddrescue
5.3.3 dcfldd
5.3.4 Dhash
5.4 Creación de una línea de tiempo
5.4.1 fls
5.4.2
5.5 Creación de un
5.6 Búsqueda de archivos y carpetas
5.6.1 Localizar
5.6.2 Encontrar
Traducido por Sykrayo España
Deft 7 Manual 2012
5
5.7 Talla de
Traducido por Sykrayo España
Deft 7 Manual 2012
6
5.7.1 Principal
Capítulo 6: DEFT Linux GUI
6.1 Introducción
6.2 Gestión de la memoria de masas
6.3 Administrador de Montaje
6.4 Cálculo Hash
6.5 Adquisición de la memoria de masas
6.5.1 Dhash
6.5.2 Guymager
6.6 Búsqueda de archivos y carpetas
6.6.1 Bagre
6.7 Findwild
6.8 Carving GUI archivos
6.9 La gestión de un caso de autopsia
06.10
6.10.1 Creación de una casa
06.11
06.12
13.06 Maltego
Capítulo 7: Mobile
7.1 Androide
7.2 Breve descripción de Google
7.2.1 Gmail
7.2.2 Mercado
7.2.3 Sistema de archivos en uso
7.2.4 Sistema de archivos EXT4
7.2.5 Política de uso de almacenamiento masivo
Traducido por Sykrayo España
Deft 7 Manual 2012
7
7.2.6 El acceso al sistema de archivos del sistema operativo .................................................. ..................................72
7.3 Samsung Galaxy S i9000 - características de hardware
7.3.1 Procedimientos de enraizamiento
7.3.2 Samsung Galaxy S - la adquisición de la memoria flash interna .................................................. ............... 75
7.4 Samsung Galaxy S - la adquisición de la memoria externa ......................................... ............................................78
7.4.1 Trabajar directamente en el smartphone
7.4.2 Localización y análisis de aplicaciones y archivos de interés común ........................................ 78................
7.4.3 Ejemplo de análisis de Google Maps
Capítulo 8: DART - Digital Respuesta Toolkit avanzada
Capítulo 9: Profundizar
Traducido por Sykrayo España
Deft 7 Manual 2012
8
CAPÍTULO 1: Introduct ION
1,1 W H A T I S D E F T?
El distribution1 Linux Efdi2 se compone de un sistema GNU / Linux y DART (Digital Toolkit Respuesta Avanzada),la suite dedicada a forensics3 digitales y intelligence4 actividades.
Actualmente FreeBSD es desarrollado y mantenido por Stefano Fratepietro, con el apoyo de Massimo Dal Cero,SandroRossetti, Paolo Dal Checco, David Gabrini, Bartolomé Bogliolo, Leomporra Valerio y Marco Giorgi.
La primera versión de DEFT Linux fue creado en 2005 gracias a la Informática Forense Curso de la Facultad deDerecho de la Universidad de Bolonia.
Esta distribución se utiliza actualmente laboratorio durante las horas del curso de Informática Forensecelebrado en elUniversidad de Bolonia y en otras muchas universidades italianas y lasentidades privadas.
También es una de las principales soluciones empleadas por las fuerzas de seguridad durante las investigacionesforenses informáticos.
En adiciones a un número considerable de aplicaciones de Linux y scripts, hábil también cuenta con la suite deDART que contiene aplicaciones de Windows (tanto abierta source5 y de código cerrado) ¿Qué son todavíaviables ya que no hay equivalente en el mundo Unix.
DEFT se distribuye de forma gratuita y sin garantíassobre.
1GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like), incorporando elementos del kernel de Linux con elsistema GNU y otros programas de desarrollo de GNU / Linux es un sistema operativo de tipo Unix libre (o Unix-like),incorporando elementos del kernel Linux con el sistema GNU y el software desarrollado y distribuido bajo la GNU GPL ocualquier otro licenses.Wikipediaoped libre y se distribuye bajo la GNU GPL o cualquier otro licenses.Wikipedia libre
2Acrónimo de Digital Evidencia y Forensic Toolkit.
3Que la ciencia estudia la identificación, preservación, protección, recuperación, documentación y cualquier otra forma deprocesamiento de datos de la computadora con el fin de ser evaluado y estudiado en un proceso legal, a efectosprobatorios, las técnicas y las herramientas metodológicas para el estudio de los sistemas informáticos. (Wikipedia)
Traducido por Sykrayo España
Deft 7 Manual 2012
9
4Este aspecto de la distribución se tratará en otro documento.
5El término se refiere a permitir que el software libre cuyos autores del estudio y / o para realizar otros cambios porprogramadores independientes.
Traducido por Sykrayo España
Deft 7 Manual 2012
10
1.2 WHYCANDEFTBE USO DINDIGITALFO RE N SI CS?
Software Informática Forense debe ser capaz de garantizar la integridad de las estructuras de archivos ymetadata6 en el sistema que está siendo investigado con el fin de proporcionar un análisis detallado. Tambiénes necesario analizar con fiabilidad el sistema está investigando sin alterar, borrar, sobrescribir o cambiar lafecha de otra manera.
Hay ciertas características inherentes para reducir al mínimo el riesgo de DEFT que la alteración de la fecha deser sometida a análisis. 7
Algunas de estascaracterísticas son:
1. Al arrancar, el sistema no utiliza las particiones de intercambio en el sistema que está siendo analizada.
2. Durante el inicio del sistema, no hay secuencias de comandos de montaje automáticas.
3. No hay sistemas automatizados para cualquier actividad durante el análisis de las pruebas;
4. Todo el almacenamiento masivo y las herramientas de adquisición de tráfico de red no alteran los datossean adquiridos.
6RFC 3227: "Minimizar los cambios en los datos a medida que se está recogiendo Esto no se limita a los cambios en elcontenido, que debe evitar la actualización de los tiempos de acceso del archivo o directorio.".
Traducido por Sykrayo España
Deft 7 Manual 2012
11
7El artículo 247, apartado 1 bis, con los cambios realizados por la ratificación de la Convención de Budapest sobre la Ley 18 demarzo de 2008 no.48: "[...] La adopción de medidas técnicas destinadas a garantizar la conservación de los datos originales y para evitar lamanipulación"
Traducido por Sykrayo España
Deft 7 Manual 2012
12
CAPÍTULO 2: REQUISITOS DE SISTEMA DE RE
2.1 D E F T
Usted puede utilizar completamente las capacidades de gran alcance de la guía DEFT Arrancar desde un CD-ROM o una memoria USB DEFT cualquier sistema con las características siguientes:
CD / DVD-ROM o puerto USB desde el que el BIOS puede soportar el arranque.X86 CPU (Intel, AMD o Citrix) 166 Mhz o superior para ejecutar DEFT Linux en modo texto, 200Mhz
para ejecutarDEFT Linux en modo gráfico;64 MB de RAM para ejecutar DEFT Linux en modo texto o 128 MB para ejecutar el DEFT GUI.
DEFT soporta también las nuevas arquitecturas basadas en Intel de Apple.
2.2 A RT D
La suite DART ejecuta en todos los sistemas de 32 bits de Microsoft Windows. Algunas limitaciones menores seencontraron resultados para herramientas que no garantizan el pleno apoyo a los sistemas de 64 bits.
DART se puede ejecutar directamente en DEFT Linux usando Wine8 .
8El vino es un marco para Linux que permite ejecutar aplicaciones de Windows pueden ser instalados o que se lanzó
Traducido por Sykrayo España
Deft 7 Manual 2012
13
directamente en una distribución de Linux (www.winehq.org)
Traducido por Sykrayo España
Deft 7 Manual 2012
14
CAPÍTULO 3: APLICACIÓN DE LISTA
3.1 LI N T E D F UX
Sleuthkit 3.2.3
autopsia 02:24
dff 1.2
ptk forense 1.0.5
Maltego CE KeepNote 0.7.6
archivo hunchbackeed
tallador 0.6
Findwild 1.3
Granel Extractor 1.2
Emule Forensic 1.0
Dhash 2.0.1
libewf 20120304
AFF lib 3.6.14
Utilidad de Discos
2.30.1 guymager
0.6.5-1 dd rescate
1,14 dcfldd
1.3.4.1 dc3dd 7
1.5.6 todo
photorec 06.13
Administrador de
montaje 0.2.6 bisturí
2
Limpie veintiuno después delas doce
hex dump
ser más
astuto que
0.2
base de datos SQLite
navegador 2.0b1 BitPim 1.0.7
bbwhatsappconvertidor de basede datos
Dropbox lector
analizador de backup iphone10/2012
Analizador
iphone
espeluznante
0.1.9 xprobe2
0.3
xmount 0.4.6trID 02:11 DEFTedición
readpst
chkrootkit
rkhunter 1.3.8
0.6.41 1.7.8
catfish john
pasco 1.0
md5sum
sha1sum
sha224sum
sha256sum
sha512sum
md5deep
sha1deep
sha256deep
pdfcrack craqueo
herramienta fcrackzip
craqueo herramienta
almeja Antivirus 0.97.3
mc 4.7.0.9
dmraid
TestDisk 6.11
GHEx, luz gtk hex editor
Vinetto 0.6
Xplico 1.0 Edición DEFT
Wireshark
0.7.3 nmap
ettercap 1,6
21,5
Hydra 7.1
log2timeline 0.60
residuos2
Wine 1.3.28
mobius forense
Traducido por Sykrayo España
Deft 7 Manual 2012
15
3.2 A RT D 1 0,0
WinAudit 2.28.2
MiTeC
Del Registro de WindowsRecuperación1.5.1.0
Zeroview 1.0
FTK Imager 3
Nigilant32 0.1
Ventanas Forense Toolchest3.0.05
MoonSols Win32dd1.0.2.20100417
MoonSols Win64dd1.0.2.20100417
Analizador de archivos deWindows 1.0
UltraSearch uno y cuarenta
Pre-Search xx.08
XnView 1.97.8
X-AgentRansackk 2010(compilación762)
Index.dat Analyzer 2.5
AccessEnum 1.2
Autoruns 10.03
DiskView 2.4
Filemon
Process Explorer 12.04
RAM Map 1.1
Regmon
Rootkit Revealer 1.71
VMMap 2.62
WinObj 02.15
AlternateStreamView 01.15
ChromeCacheView 25.01
CurrPorts 1.83 (x86/x64)
CurrProcess 01.13
FoldersReport 01.21
IE Cache View 01:32
Las cookies de IE Ver 1,74
IE History View 01:50
Portapapeles 1.11 Dentro
Contactos en Vivo Ver 7.1
Mozilla Cache View 1.30
Mozilla Historia View 1.25
Mozilla Galletas Ver 1,30
Archivos abiertos View 1:46
Opera Cache View 01:37
Vista de Outlook Attack 1.35(x86/x64)
Process Activity View 1.11(x86/x64)
Archivos recientes Ver 1,20
RegScanner 1.82 (x86/x64 y win98)
ServiWin 1:40
MUI Cache View 1.1
MyEventView 1:37
SkypeLogView 1.15 SmartSniff1.71 (x86/x64)
StartupRun 01.22
MyLastSearch una y cuarenta ycuatro
Mozilla Galletas Ver 1,30
Archivos abiertos View 1:46
Opera Cache View 01:37
Vista de Outlook Attack 1.35(x86/x64)
Traducido por Sykrayo España
Deft 7 Manual 2012
16
Process Activity View1.11 (x86/x64)
Archivos recientes Ver 1,20
RegScanner 1.82 (x86/x64 ywin98)
ServiWin 1:40
USBDeview 1.80
(x86/x64) Ver Usuario
Assist 1.1
Ver perfil del usuario 1.1
Vídeo Cache View 1.78
WhatInStartup 01.25
WinPerfectView 10.01
Password Tool
ChromePass 01.10
Dialupass 10.03
IE PassView 1.20
LSA Secretos Dump1.21 (x86/x64)
LSA Secretos View 1.21
(x86/x64) Mail PassView 1.65
MessenPass 1:35
Red PassRecovery 1.30(x86/x64)
Opera PassView 1.1
PasswordFox 01.25
PC AnyPass 01.12
Pass View 1.63 Protegida
01:12 PST Password
Remote Desktop PassView 1.1
VNC PassView 2.1
Win9x PassView 1.1
WirelessKeyView 1.34(x86/x64)
Traducido por Sykrayo España
Deft 7 Manual 2012
17
AviScreen Portable 3.2.2.0
HoverDesk 0.8
File Restore Plus 3.0.1.811
WinVNC 3.3.3.2
TreeSizeFree 02:40
PCTime
LTFViewer 5.2
Sophos Anti-Rootkit 1.5.4
Terminal con herramientas delínea de comandos
Espartaco 1.0
TestDisk 6.11.3
Photorec 6.11.3
Traducido por Sykrayo España
Deft 7 Manual 2012
12
CAPÍTULO 4: START DEF T Linux Live DVD
4.1 DEFTI MA GEFI LE: INTEG RI TYCHECKOFTHEDOWN LO ADEDFI LE.
Es una buena idea para comprobar la integridad de la versión descargada antes de realizar el análisis forensedigital. Esto asegura que tiene una coincidencia exacta de la copia que se alojan en línea que no ha cambiado oalterado estado durante el proceso de descarga.
Esto se puede hacer mediante el cálculo del hash MD5 value9 en la imagen o archivo en el archivo que hadescargado y, posteriormente, compararlo con los valores en md5.txt en el directorio raíz de la descarga.
DEFT / DART: Download Directory
Por "deft7.iso" archivo de imagen, por ejemplo, el cálculo del valor hash MD5 debe dar el mismo resultado queel que está en el archivo md5.txt recomendado, valor similar al "d98307dc53ca83358a2dfdb33afc2672."
Para calcular el valor hash MD5 de un archivo, puede utilizar diferentes herramientas: por ejemplomd5summer10 ohashmyfiles11 (Windows) o la herramienta de línea de comando md5sum enLinux / MacOS.
Si el valor hash del archivo que ha descargado no coincide con el que está en el sitio WEW, podría significar quehubo errores durante el proceso de descarga que ha corrompido el archivo. Esto es posible incluso si suEl tamaño del archivo descargado es el mismo comoel tamaño de archivo original.
4.2 B URN INGDEFT LI NUXONOPTICAL ME DIA
Traducido por Sykrayo España
Deft 7 Manual 2012
13
9http://en.wikipedia.org/wiki/MD510 http://www.md5summer.org/11 http://www.nirsoft.net/utils/hash_my_files.htm . Ya Esta aplicación está incluida en DART.
Traducido por Sykrayo España
Deft 7 Manual 2012
14
DEFT Linux 7 (la versión en vivo que se utiliza en las máquinas físicas) se distribuye como una imagen ISO queluego debe ser quemado en un DVD con el fin de bootable12.
Para grabar la imagen ISO que usted necesitará software de grabación de disco que está disponiblegratuitamente en Internet. La mayoría de estas aplicaciones son muy fácil de usar, sólo tienes que seguir lospasos que se indican Dentro del programa para grabar la imagen ISO en un disco.
Imágenes ISO funcionan como una instantánea detodo el sistema.
Esto incluye los sistemas de archivos del disco duro. La imagen ISO es una plataforma para el análisis forense delsistema de destino. El diestro ISO debe ser quemado con la instantánea original.
Cómo grabar imágenes ISO es posible con casi todos los quema software13, simplemente seleccionando laopción para las imágenes.
ImgBurn puede escribir archivos deimagen en un disco
Online Hay miles de enlaces y HowTo que explican cómo grabar imágenes ISO en un CD / DVD con muchossistemas operativos diferentes.
4.3 C RE ATINGABOOTAB LA EE.UU. B ST ICKCONTAININGDEFT LI N UX
12 Dado su pequeño tamaño, DEFT 6 y versiones anteriores también pueden grabar en un CD.13 En Windows sugerimos que usted utilice, por conveniencia, herramientas gratuitas, tales como: InfraRecorder o ImgBurn.
Traducido por Sykrayo España
Deft 7 Manual 2012
15
En Linux la quemaK3B software tiene la funcionalidad necesaria para quemar el archivo de imagen. En Mac OS es suficiente uso de la aplicaciónUtilidad de Discos.
Traducido por Sykrayo España
Deft 7 Manual 2012
16
Una alternativa al uso de medios ópticos, es la creación de una unidad flash USB de arranque que contiene DEFTLinux como si se tratara de un Live CD / DVD (sólo en equipos que soportan el arranque desde un dispositivoUSB).
Hay varias formas de crear dispositivos de almacenamiento masivo USB que contiene DEFT Linux Live. ParaWindows, Linux yLos sistemas Mac se recomienda utilizar la aplicación universal y gratuita UNetbootin14.
Se lleva a cabo la operación de escritura después de que el usuario seleccione la imagen ISO para ser puesto enla memoria USB y la letra de la unidad del sistema adquirirá.
Recomendamos que formatee la memoria USB con el sistema de archivos FAT32. También puede establecer por"etiqueta de volumen" para recordarle que su distribución y la versión se encuentra en la unidad flash USB.
Preparación de la unidadflash USB
Inicio UNetbootin - no requiere instalación - y, al permitir que el botón de radio "DiskImage", seleccione elarchivo ISO que desea convertir en un arranque de Live USB, seleccione la letra de unidad de la memoria USBque desee utilizar.
Traducido por Sykrayo España
Deft 7 Manual 2012
17
14 http://unetbootin.sourceforge.net/
Traducido por Sykrayo España
Deft 7 Manual 2012
18
UNetbootin: Pantallaprincipal
Al final de la operación de escritura obtendrá una versión Live USB que se utilizará para iniciar DEFT Linux encualquier PC
Que soporta el arranque desde el puerto USB, características comunes en la mayoría de las máquinas más nuevas.
4.4 A ju TH EBIOSAND / ORTHEBOOT SI CTIONPOP ARRIBA / ME NU
Es importante asegurarse de que el BIOS del sistema está siendo analizado para arrancar desde CD-ROM / DVD-ROM/ BD-ROM o desde dispositivos de almacenamiento externos (según los medios que contienen DEFT). Encualquier otra circunstancia, configurar la BIOS, guardar y reiniciar el sistema, ya sea con el DVD Ya insertada enla unidad de CD/ DVD, ya sea con el stick USB Ya connected15.
Se recomienda cambiar el orden de arranque de los dispositivos de la BIOS directamente para evitar un reinicioaccidental de su PC (por ejemplo, para subidas de tensión).
Traducido por Sykrayo España
Deft 7 Manual 2012
19
15 En general, durante el arranque se indica qué tecla pulsar para ver el menú de arranque, a menudo llamado "BootSelection emergente" o "Boot Device Menu". Las teclas dedicadas habitualmente al menú de arranque son F8, F9 y F12,pero en algunas arquitecturas también al menú de inicio se puede acceder pulsando ESC.
Traducido por Sykrayo España
Deft 7 Manual 2012
20
4.5 B O O T A P Í T U RS RA ME O C D E F T
Después de haber iniciado el gestor de arranque DEFT, verá una pantalla con varias opciones de arranque. Laprimera opción le pedirá que seleccione un idioma para el DEFT16.
Selección del idioma
Después de seleccionar el idioma, puede utilizar las teclas de arriba / abajo para desplazarse por el menúdesplegable. Mediante el uso de las teclas de función, puede septiembre parámetros adicionales: por ejemplo:
Ayuda (F1)Idioma (F2)Keyboard (F3)Mode (F4)Accesibilidad (F5)Otras opciones (F6)
La tecla de función F6 Le permite personalizar algunos de los parámetros de inicio de DEFT. Usted puede elegirentre varias opciones preestablecidas en el menú, o personalizar su propia cuenta.
16 Es accesible pulsando F2 en la ventana de configuración de inicio.
Traducido por Sykrayo España
Deft 7 Manual 2012
21
Los parámetros del kernel disponibles pulsando la tecla F6 son:
acpi = off
En Funciones ACPI arranque no se utilizan para la gestión de la electricidadutilizada por el sistema. Útil en caso de problemas al iniciar la transmisión envivo, en el caso de que el PC no es compatible con ACPI o si el ACPI causaproblemas de reinicio o bloqueos del sistema.
noapicDesactiva el controlador de interrupciones APIC (Advanced ProgrammableInterruptController).nolapic nolapic, desactiva las funciones de APIC para arquitecturas de CPU basados enIntel;edd = on Permite la unidad de disco mejorada.
nodmraid nodmraid, desactiva la configuración del kernel para dmraid tipo de RAID desoftware;
vga = xxx
Establece la resolución framebuffer si su tarjeta de vídeo está en modo VESAPuede elegir entre los siguientes modos:
Parámetros en desuso en rojo, fundada parámetros en negro sin avería. Paraobtener más información sobre los parámetros ajustables en el momento delarranque, se puede consultar el Apéndice 1.
nomodesetPara arrancar DEFT Linux en un Mac Book Air es necesario añadir elnomodeset17parameter. Este parámetro le permite manejar correctamente loscontroladores de vídeo y utilizar el sistema sin problemas de pantalla.
17 Tomado de www.kernel.org / doc / Documentation / kernel-parameters.txt
Esta es una opción de arranque del kernel que le dice al kernel que no active el modo de configuración del kernel (KMS). Elsoporte de video suele ser una combinación de un controlador DRM núcleo y los controladores Xorg trabajando juntos. KMSse utiliza con Intel, Nouveau, y módulos del núcleo Radeon. KMS es necesaria para Intel y Nouveau, y opcional para Radeon(aunque con características diferentes).
Si desea utilizar el controlador vesa Xorg, y usted tiene el hardware que utiliza el Intel, Nouveau o módulos delnúcleo Radeon, puede que tenga que arrancar con nomodeset o lista negra el módulo de juego, o simplemente eliminar
Traducido por Sykrayo España
Deft 7 Manual 2012
22
los módulos module.The serán que se encuentra en / lib / modules / <kernel-version> / kernel / drivers / gpu / drm /
Traducido por Sykrayo España
Deft 7 Manual 2012
18
toram
Requiere (cuando sea posible) para cargar toda la imagen de DEFT de RAM, loque permite extraer el DVD o el dispositivo USB. La velocidad de ejecución esmucho mayor porque haces las operaciones de lectura desde el disco o launidad no es necesario flash. También puede utilizar el reproductor de DVDpara las adquisiciones forenses (por ejemplo, con guymager18) o para grabar lafecha (por ejemplo, con el programa de grabación de Xfburn19 en el menú"Sound & Video".) El parámetro "toram" se activa sólo si la RAM es suficientepara contener la imagen de la DEFT DVD / USB20.The distribución DEFT 7ocupa alrededor de 1,4 GB, por lo tanto le recomendamos que inicie en elmodo "toram" sólo cuando el PC tiene al menos 2 GB de memoria. El DEFTdistribución 6, sin embargo, sólo ocupa 700 MB, por lo que es de arranque en"toram" inclusoEso PC en sólo tienen 1 GB dememoria.
Para seleccionar los parámetros del kernel que se muestran en el menú, pulse la barra espaciadora o la teclaIntro a los elegidos:Se le colocará una 'X' para confirmar las Adiciones al kernel.
Si desea especificar parámetros adicionales del núcleo, después de pulsar F6, pulse la tecla "Esc" para borrar elmenú y la vista en el fondo de la línea de arranque del kernel donde se puede escribir en los parámetroselegidos, manteniéndolos separados entre sí con espacios.
18 http://guymager.sourceforge.net/
Traducido por Sykrayo España
Deft 7 Manual 2012
19
19 http://www.xfce.org/projects/xfburn
20 Se recomienda en cualquier caso, para dejar una parte de memoria RAM libre para las actividades normales del sistema
Traducido por Sykrayo España
Deft 7 Manual 2012
20
4.6 El LLI N ST A LI S P N D E F UX T 7
Por la séptima Release, DEFT se puede instalar en cualquier sistema x86.
Los siguientes son los requisitos del sistema mínimos y recomendados para la instalación:
* Requisitos mínimos
X86 CPU 200Mhz
128 MB RAM
Disco duro de 20 GB
Vesa 16 MB compatible Tarjeta deVideo
Adaptador de red 10/100
Interfaces USB 2.0
Reproductor de DVD
Requisitos óptimos
Intel de doble núcleo de la CPU
2 GB de RAM
Disco duro SATA de 500 GB
Memoria withdedicatedIntelVideocard
Tarjeta de red 10/100/1000 - WiFi N
USB 3.0 y la interfaz e-SATA
Reproductor de DVD
El sistema se instala a través de un asistente estándar donde el usuario debe responder a unas cuantaspreguntas. La operación que se mantienen conectados mayor atención es la partición de la memoria masiva enel sistema host.
A pesar de los cambios que demanda sobre la base de la experiencia y la forma en que el usuario trabaja, nosgustaría darle algunos consejos sobre la manera de obtener una instalación óptima:
Mantenga por lo menos 20 GB de espacioen el disco duro;
Particiones en el disco según sus necesidades funcionales mediante la creación de una particiónswap con un nivel de swappiness21de 10. Esto reducirá las desaceleraciones repentinas causadas por el uso de lapartition22 intercambio;
Crear un usuario durante la instalación, sin embargo, siempre recordando al hábil uso de Linux con elusuario root para evitar dos problemas a la demanda de ciertas aplicaciones con permiso;
o Para habilitar la cuenta de root mediante el establecimiento de la contraseña, escriba elcomando "sudo passwd" y responder a las preguntas;
o Para ello, escriba "sudo su -" (se requiere la contraseña) o "su -" (se le pedirá la contraseñade root);
No retire FOR UnNY REASON la congelación en la actualización de algunos paquetes deliberadamentebloqueados: son parte de un proceso de personalización de todos los mecanismos de seguridad de losdispositivos de almacenamiento conectados al sistema.
Traducido por Sykrayo España
Deft 7 Manual 2012
21
21 Para obtener más información https://help.ubuntu.com/community/SwapFaq
22 Si el equipo tiene moras de 4GB de RAM, una solución podría ser considerado como no crear una partición deintercambio: de esta manera se evitará retrasos inesperados causados por el uso de la partición de intercambio.
Traducido por Sykrayo España
Deft 7 Manual 2012
22
CAPÍTULO 5: DEFT Linu X MODO TEXTO
Una vez que el proceso de arranque ha terminado, el sistema presenta unas sesiones basadas en texto (con seisterminales accesibles a través de la combinación de teclas ALT + F1 -> ALT + F6) con un shell bash con la raízpermissions23.
DEFT: Sesión de interfaz detexto
5.1 PERO A G N I P A Ñ O ST RA G IN ME D IA
DEFT es compatible con dispositivos de almacenamiento masivo y sistemas de archivos populares. Como ya seha mencionado, DEFT no se monta automáticamente como en la típica distribución en directo (por ejemploKnoppix, Ubuntu, etc ...) a fin de evitar la alteración accidental de almacenamiento conectado.
El contenido de la memoria almacenada todavía pueden ser alterados por la operación de montaje realizado enel modo de lectura / escritura, un DEFT acción que no se ejecuta automáticamente.
23 Esta aplicación es muy útil cuando termine inicio DEFT Linux en ordenadores muy antiguos que no permiten un
Traducido por Sykrayo España
Deft 7 Manual 2012
23
aprovechamiento óptimo de la interfaz gráfica o para el usuario avanzado que prefiere trabajar directamente desde la líneade comandos
Traducido por Sykrayo España
Deft 7 Manual 2012
21
5. 1. 1 F U E S C O M U L A N D S
Aquí hay algunos comandos útiles para realizar tareas relacionadas con la gestión de dispositivos dealmacenamiento:
fdisk-l: listas de todas las particiones y dispositivos de almacenamiento conectados a la red;MMLS / dev / xxx o MMLS filename.dd: enumera las particiones en el dispositivo o en la imagen crudaque indica el desplazamiento inicial de cada partición y los espacios no asignados;hdparm-Ig / dev / xxx: muestra las características de CA del xxx memoria masiva.Esta aplicación es muy útil cuando termine inicio DEFT Linux en ordenadores muy antiguos que nopermiten un aprovechamiento óptimo de la interfaz gráfica o para el usuario avanzado que prefieretrabajar desde el símbolo dispositivos directamente linestorage.montar: muestra el tipo de sistema de archivos de dispositivos de almacenamiento conectados a la red yla manera en que éstas se han montado (sólo lectura / lectura-escritura);df-h: muestra información sobre el tamaño de los dispositivos montados y su espacio libre.
5. 1. 2 M U N T O S T O F O R A G E D E V I C E S
El comando mount Le permite conectar al sistema de archivos - presente en un dispositivo o en un archivoalmacenado en el disco - en un directorio del sistema.
En caso de que quiera montar un dispositivo: como un disco duro, memoria USB, CD / DVD / CD-ROM, disquete,etc. ... que va a utilizar, como la fuente, el dispositivo identifica Que. En este caso:
/ Dev/fdX24 de disquetes (normalmente con un solo disquete tiene / dev/fd0);/ Dev / hdX para discos duros IDE;/ Dev / sdX para unidades de disco duro SATA o dispositivos USB;/ Dev / cdrom de CD-ROM.
En medicina forense, el montaje del directo de una prueba (es decir, un disco, una unidad flash USB, etc ...) sedebe hacer como de sólo lectura y sólo cuando necessary25. Esto asegura que la integridad de la evidenciapuede ser garantizada.
El sistema de archivos seleccionado, así como de ser almacenado en un dispositivo, puede estar contenidodentro de un archivo en el disco, que contiene el volcado o la imagen de flujo de bits de la device.We adquiridotendrá, en este caso, las imágenes:
en la "imagen de flujo de bits" formato (dd o crudo) 26;en el formato "Encajar" (EWF);en el formato de "Advanced Forensic Format" (AFF).
24 La X indica el número de dispositivos en el sistema, que sabe que tendrá / dev / sda para el primer disco y / dev /sdb para el segundo, mientras que el número observado después de que el dispositivo con el comando "fdisk-l" (/ dev/ sda1, / dev/sda2, etc ...) identificar el número de partición dentro del dispositivo
Traducido por Sykrayo España
Deft 7 Manual 2012
22
25 Las mejores prácticas indican claramente que nunca se debe trabajar en la memoria masiva original, pero siempre ysólo en una copia.26 A menudo, el formato de flujo de bits se divide en archivos de menor tamaño (2-4 Gigabytes cada uno) con el fin de sersalvo en sistemas de archivoscon el límite de tamaño del archivo (eg.FAT32), en este caso sedefine como la fracción cruda.
Traducido por Sykrayo España
Deft 7 Manual 2012
23
5. 1. 3 MOUNTINGADEVICE (disco duro, USBSTICK, disquete, CD-ROM, etc ...)
Para montar un sistema de archivos como de sólo lectura sólo tiene que escribir un comando como:
mount-t opciones de tipo de código o punto_montaje
donde
tipo es el tipo de sistema de ficheros, generalmente vfat, ntfs-3g, ext3 ... etc .., cuando termine uncoche o no está seguro del tipo de archivo system27 (Si se omite esta opción, el monte intentaráReconocer Independientemente del tipo de sistema de archivos, y por lo general Tiene éxito);fuente puede ser una partición: por ejemplo, / dev/hda1 o / dev/sda1;de punto de montaje suele ser un directorio en / media - que debe ser creada byfory Laejecución del montaje command28 .
Los parámetros que se utilizan con frecuencia (que debe seguir la opción-o del comando mount) son:
ro - de sólo lectura: montar como de sólo lectura;rw - read-write: montar como escribir mode29 [29] ;bucle - Para montar un archivo de imagen;noatime - No cambie la hora del último acceso;noexec - No permite la ejecución de archivos;offset = N - Al montar un archivo de imagen de disco (tema tratado en profundidad en la siguientesección) que indica el número de bytes para saltar al punto al principio de la partición lógica paramontar (o MMLS recuperables fdisk-lu).
Ejemplo 1: montar una partición NTFS con acceso de escritura en el que se guardará el volcado de un dispositivo(el resultado de una adquisición forense):
mount-t ntfs-3g-o rw / dev/sdb1 / media / dest
Ejemplo 2: montar una partición NTFS de un disco duro que desea adquirir como de sólo lectura y g Durante lasactividades de trabajo de campo en los archivos de vista previa (es essential utilizar la opción-o ro para evitarcualquier accidente, escribe en el disco):
mount-t ntfs-3g-o ro / dev/sdb1 / media / pruebas
27 Por lo general, si se omite, el comando mount puede identificar el tipo de sistema de archivos independiente.28 Por ejemplo con el comando mkdir / media / NameOfTheFolderIWantToCreate29
Traducido por Sykrayo España
Deft 7 Manual 2012
24
Para ser utilizado para el directorio donde guardar la copia
Traducido por Sykrayo España
Deft 7 Manual 2012
25
5. 1. 4 O M U N T O C A D D / W R I M A G E F I L E
Para montar un archivo de imagen como de sólo lectura (que contiene el volcado de un disco entero, not deuna sola partición) puedes usar el siguiente comando:
mount-t tipo-o ro, loop, offset = $ ((512 * partición de arranque)) Opciones image_file.ddpunto_montaje
Las opciones y la sintaxis del comando de montaje son los mismos que los indicados en el párrafo anterior.
En este caso, sin embargo, a partir de un método de montaje de dispositivo de bucle "conversos"(prácticamente sin alteración de la fuente) a (estática) archivo de imagen en un dispositivo Linux (dinámico), loque permite al kernel montar como si fuera un dispositivo real.
La opción Continuo permite este tipo de abstracción y se deriva de la aplicación implícita y automática a la capade abajo del comando losetup, a través del cual se puede asociar un dispositivo de bucle a la imagen image.dd.
De este modo se pueden ejecutar aplicaciones de trabajo en los dispositivos también enlas imágenes de almacenamiento masivo.
Si desea evitar el uso-o loop, deberá, antes de montar, crear un dispositivo de bucle con el comando:
losetup-r / dev/loop0 / media/disk1/dump.dd
Este dispositivo de bucle se puede utilizar como si se tratara de un disco de origen para ser montado de lamanera descrita previously30 .
Por lo tanto, la posibilidad de utilizar directamente el o-loop a evitar la creación de un dispositivo de bucle queusted debe recordar para cerrar con el comando "losetup-d / dev/loop0".
La otra opción esencial a la hora de terminar montar un archivo de imagen que contiene la adquisición de undisco entero (y, por tanto, not de una sola partición) es "contrarrestar".
A través de la utilidad MMLS se encuentra el desplazamiento inicial de una partición de disco:
MMLS dump.dd
La salida resultante será similar a:
DOS tabla de particiones
Sector Offset: 0
Las unidades se encuentran en sectores de 512 bytes
00:
Espacio
Meta
Iniciar
0000000000
Final
0000000000
Longitud
0000000001
Descripción
Cuadro Principal (#0)
01: ----- 0000000000 0000002047 0000002048 Sin asignar
02: 00:00 0000002048 0000032255 0026624000 Desconocido Tipo(0x27)
03: 00:01 0000032256 0086598247 0000204800 NTFS (0x07)
05: ----- 0086598248 0976773167 0000002048 Sin asignar
Traducido por Sykrayo España
Deft 7 Manual 2012
26
30 Usted tendrá que escribir un comando como mount-o ro / dev/loop0 / mnt / dest
Traducido por Sykrayo España
Deft 7 Manual 2012
27
Monte la partición 03, señalados por las MMLS Especificación de la salida de desplazamientomultiplicado por 51.231:
mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 dump.dd / media /dest
En lugar de realizar el cálculo de la compensación multiplicando por 512 el punto "de partida" de la particiónobtenida con MMLS, puede utilizar un shell operadores matemáticos mediante la inclusión como undesplazamiento, el valor de $ ((512 * partición de arranque)) , donde "partición de arranque" Indica eldesplazamiento de bytes de la partición que desea montar (en el ejemplo anterior, el valor de 33.256).
Por lo tanto con el comando mount:
mount-t ntfs ro, loop, noatime, noauto, noexec, offset = $ ((512 * 32,256)) dump.dd / media/ dest
Has completado todas las operaciones en los dispositivos de memoria, antes de desconectar el dispositivo del sistema, esnecesssary utilizar el comando umount:
umount / media /mntpoint.
Como se mencionó anteriormente en el manual, Estos comandos pueden utilizarse para montar un archivo quecontiene el volcado de un disco entero. En el caso de que - raro pero posible - se hizo el volcado de una solapartición, no es necesario utilizar el parámetro "desplazamiento" como el comienzo de la partición coincide conla del archivo.
5. 1. 5 MOUNTA DD / RAWIMAGEFILESPLITINTO MULTIPLEFIL ES (SPLITRAW)
En el caso de que los archivos de imagen RAW (tanto flujo de bits o una imagen poco a poco de un disco) dd / sedivide en varios archivos, es necesario preparar el archivo que se va a montar con el comando mount semuestra en la sección anterior.
Supongamos que tenemos una imagen compuesta por dump.001, dump.002, dump.003, dump.004 y dump.005archivos. No se puede aplicar directamente a las instrucciones que se indican en el párrafo anterior, porque eneste caso no tiene un solo archivo de imagen en el que se ejecutará el comando mount, pero five32.
Para montar archivos de imagen RAW, formato división dividida prima, ustedtiene tres posibilidades.
El primer método consiste en la concatenación de los archivos individuales en un solo archivo de imagen,trayendo de vuelta al caso descrito en el párrafo anterior de un solo archivo dump.dd mounting.The desventajaobvia es que, en este caso, el espacio necesario para la operación será igual a la ocupada por la suma de losarchivos individuales, ya que tendría hacer una copia, concatenar en un único file33 [33] .
El comando a ejecutar es la siguiente:
dump gato. *>image.raw
Traducido por Sykrayo España
Deft 7 Manual 2012
28
31 512 bytes es el tamaño predeterminado de un sector que constituye una memoria de almacenamiento
32 De hecho, en el caso de adquisiciones de discos de gran tamaño, el número se elevará a decenas o cientos de personas.
33 Esta solución se ilustra únicamente con fines explicativos, ya que uno de los dos siguientes se prefiere generalmente.
Traducido por Sykrayo España
Deft 7 Manual 2012
29
El resultado es un único archivo que contiene toda la image.raw disco obtiene por la concatenación desegmentos de imagen individuales.
En este archivo se procederá como se indica en el párrafo anterior. El
segundo método es utilizar la affuse mando de la Afflib suite34.
Se utilizará más adelante para montar la imagen en el formato de AFF. Este comando creará un tipo de imagen"virtual" (y por lo tanto visible por el sistema, pero no existente en reality35) que se monta como se describe enel párrafo anterior. El comando a ejecutar, después de crear el directorio / mnt / prima, será:
affuse dump.001 / mnt /RAW
Este comando va a producir, en el directorio / mnt / prima, un archivo "virtual" que contiene el dd / imagen enbruto hecha por la concatenación de los diversos archivos conformarán el image.This verdadera Ese archivoaparecerá como dump.001.raw y se puede utilizar como un parámetro de la montura en la sección anterior.
mount-t ntfs ro, loop, noatime, noauto, noexec, offset = 16515072 / mnt/raw/dump.001.raw / media /dest
Usted debe recordar que, cuando termine el juego con el comando mount affuse, es necesario desmontarlomontado Adiciones al archivo "virtual" que contiene la imagen con el comando:
fusermount-u / mnt /RAW
El tercer método para montar una imagen dividida en bruto es usar la herramienta de línea de comandosxmount36. Al igual que el comando affuse, xmount Crea un archivo virtual que contiene la imagen hecha por laconcatenación de los distintos segmentos que componen la imagen real.
El comando en este caso es:
xmount - dd -. a dump * dd / mnt / RAW
Un archivo "virtual", llamado "basura", sin extensión se creará en el directorio / mnt / raw. Este archivo puedeser montado, como se muestra en el caso anterior, Selección de la deseada de desplazamiento del sistema dearchivos en modo de sólo lectura.
5. 1. 6 F I L E T E S P EW F / N C EA S E
Montaje adquiridos en la memoria. Formato EWF se lleva a cabo con el programa mount_ewf application.Thises capaz de convertir prácticamente archivos EWF al formato RAW que permite que el dispositivo se montacomo si se adquirió en el formato dd.
Ejemplo: la disk01 memoria se divide en los siguientesarchivos
disk01.E01 disk01.E07 disk01.E13 disk01.E19 disk01.E02 disk01.E08 disk01.E14 disk01.E20 disk01.E03 disk01.E09disk01.E15 disk01.info disk01.E04 disk01.E10 disk01.E16 disk01.E05 disk01. E11 disk01.E17 disk01.E06 disk01.E12disk01.E18
Traducido por Sykrayo España
Deft 7 Manual 2012
30
34 http://afflib.org/
35 De manera similar a lo que ocurre con los archivos en la carpeta de sistema de archivos / proc del36 http://www.forensicswiki.org/wiki/Xmount
Traducido por Sykrayo España
Deft 7 Manual 2012
31
Con el comando
mount_ewf / media/case1/disk01.E * / mnt / RAW
es posible concatenar la imagen dividida y perfom una conversión virtual en el formato RAW.
La operación dará lugar a la creación del fichero de datos brutos / mnt/raw/disk01, en la carpeta / mnt / raw /.
Se identifica por el sistema de archivos como un solo dd, bien virtual, y puede ser montado Siguiendo losprocedimientos indicados en el párrafo anterior.
Ejemplo:
mount-t ntfs-o ro, loop, offset = $ ((512 * 63)) / mnt/raw/disk01 / mnt / c
5. 1. 7 F I L E T E S P A FF
En cuanto al formato de EWF, los recuerdos adquiridos en el formato PAC se pueden montar con el affuse utilidad mount.Affuse Le permite utilizar la adquisición en el formato de AFF, ya que eran imágenes en bruto.
La sintaxis del comando es:
affuse / media/disk/disk01.aff / mnt / RAW
El archivo de salida será / mnt/raw/disk01.aff.raw que se puede montar Siguiendo los procedimientos paramontar la imagen en bruto, que se muestra anteriormente.
5.2 SH H A M A C I O N LC ULA
El hash de un bloque de datos (por ejemplo, un archivo) es una secuencia de caracteres alfanuméricos delongitud fija calculada por una función matemática.
Esta función matemática es mono-direccional: es imposible reconstruir el bloque que tiene su origen en unacadena de hash.
Cualquier alteración de la fecha, aunque sea mínimo, se traducirá en un hash completamente diferente.
Con los sistemas Linux se puede utilizar una de las siguientes aplicaciones para generar una cadena de hash:
md5sum;sha1sum;MD5, SHA1 y SHA256 profunda;Dhash.
Traducido por Sykrayo España
Deft 7 Manual 2012
27
5. 2. 1 D 5 S U MM
El acrónimo MD537 (Mensaje algoritmo Digest 5) identifica un algoritmo hash criptográfico desarrollado porRonald Rivest en 1991 y estandarizada con la solicitud de comentarios RFC 1321.
Este algoritmo, tomando como entrada una cadena de longitud arbitraria (como un archivo), que produce comosalida de otra cadena de128 bits que se utilizan para calcular la firma digital de la entrada. El cálculo es muy rápido y el resultadodevuelto (también conocido como "MD5 checksum" o "Hash MD5") es tal que es muy poco probable que seproducirá un conflicto entre los valores hash de dos archivos diferentes. Finalmente, como para la mayoría delos algoritmos de hash, la posibilidad de derivar la cadena inicial a partir del hash resultante es casinonexistent38.
Por ejemplo, para calcular el valor hash MD5 de un disco utilice elcomando:
md5sum / dev /sda
5. 2. 2 A 1 H S S UM
El SHA term39 Indica una familia de cinco funciones hash criptográficas desarrollado desde 1993 por la NationalAgencia de Seguridad (NSA) y publicado por el NIST como estándar por el gobierno federalde los EE.UU..
Al igual que cualquier algoritmo hash SHA genera un valor de longitud fija a partir de un mensaje de longitudvariable mediante el uso de una función mono-direccional.
Los algoritmos de esta "familia" se les llama SHA-1, SHA-224, SHA-256, SHA-384 y SHA-512. El primer tipo, SHA-1 Calcula una cadena de sólo 160 bits, mientras que otros calculan el resumen de una longitud en bits igual alnúmero indicado en su acronym40.
En este momento el algoritmo empleado más ampliamente de la familia SHA es el SHA-1 y se utiliza en muchasaplicaciones y protocolos.
Para calcular el valor hash SHA-1 de un disco, por ejemplo, utilice elcomando:
sha1sum / dev /sda
5. 2. 3 D 5 M A N D S H A D EE P
MD5, SHA1, SHA256 y SHA512 profunda permiten calcular el valor hash de los archivos de moras
recursiva. Ejemplo:
md5deep-l / root / pruebas /> hash_device.txt
La sintaxis mencionado anteriormente Calcula el hash md5 de todos los archivos en / root / pruebas / y guarda los valoreshash en el archivo hash_device.txt.
Traducido por Sykrayo España
Deft 7 Manual 2012
27
37 http://en.wikipedia.org/wiki/MD5
38 El rango de posibles valores de salida es de hecho igual a 2 a la potencia de 128.
39 Asegure Algoritmo Hash - http://en.wikipedia.org/wiki/Secure_Hash_Algorithm
40 Por ejemplo: SHA-256 produce un resumen de 256 bits.
Traducido por Sykrayo España
Deft 7 Manual 2012
28
5. 2. 4 D A H SH
Dhash, disponible en Inglés y Inglese, permite calcular los valores hash de los archivos y dispositivos dealmacenamiento, proporcionando información en tiempo real: como el tiempo estimado antes del final de laoperación y el progreso de la operación.
Además, puede generar un informe en htmlformat41.
A partir de ensayos de laboratorio Dhash resultó ser 10% más rápido que las
herramientas mencionadas anteriormente. Ejemplo:
Dhash-t-f / dev / sda - md5 - sha1-l dhashlog.html
La sintaxis mencionado Le permite calcular simultáneamente el hash sha1 y md5 del dispositivo / dev / sda yguardar los valores en el archivo dhashlog.html.
5.3 M A S T O P T URE RA ME D I A G E
La adquisición de una memoria de masa es el proceso que le permite clonar una memoria física, objeto delanálisis. Dentro de los sistemas Linux, esta operación es posible mediante el uso de herramientas lo siguiente:
dd;
ddrescue;
dcfldd;
Dhash.
En adiciones a estos comandos, el equipo ha creado DEFT Cyclone, un ejecutable de asistente de la terminalpara hacer una adquisición guiada a través de la simple respuesta a las preguntas que aparecen en la pantalla.
5. 3. 1 DD
dd Toma como entrada un archivo o un dispositivo y vuelve, en un archivo o dispositivo diferente, la secuenciabinaria exacta que lo compone.
Ejemplo:
dd if = / dev / sda of = / media /diskimage.img
El comando toma como entrada los dispositivos de almacenamiento / dev / sda y retornos masivos como salida desu clon Dentro del archivodiskimage.img en el directorio / media / carpeta.
Puede hacer que la adquisición de la memoria masiva en un archivo o en un dispositivo de almacenamientomasivo (y vice versa) 42.
Ejemplo:
dd if = / dev / sda of = / dev
Traducido por Sykrayo España
Deft 7 Manual 2012
29
/ sdb
41 También Dhash es capaz de ejecutar al mismo tiempo las actividades de adquisición y el cálculo del valor hash.
42 Esta práctica se utiliza mucho menos en el campo de la informática forense.
Traducido por Sykrayo España
Deft 7 Manual 2012
30
Es importante prestar atención a este mandato porque el desestañoación devlaallí (en this antiguoampla/dev/sdb) esdelectrónicoand y orverwritten para el tamaño del dispositivo de origen (en este ejemplo, / dev / SDA).
Esto significa que si / dev / sda es el disco duro de 60GB y / dev / sdb es un disco duro de 250 GB, el comandoanterior se sobrescribirá el primero 60GB del disco de destino (/ dev / sdb) con el bit-a-bit entero contenido deldisco de origen (/ dev / sda), por lo que su contenido totalmente irrecuperables, lo comprometer los datos en eldisco que no se sobrescribe.
5. 3. 2 D D R E S EC U
Como dd, ddrescue te permite clonar el contenido de un disco y guardarlo directamente a otro dispositivo de
memoria. ddrescue es una evolución de dd: le permite adquirir los dispositivos de memoria de masa que
contienen errores al suministrado para accederdeterminado por la adquisición sectors.The disco puede ddrescue abarca también a aquellos sectores dañadosque serán adquiridas porpuesta a cero toda la bits.During leer la ddrescue proceso de adquisición Proporciona información actualizadasobre el número de bytes son leídos y escritos, ¿cuántos errores han encontrado Sido y el tipo de adquisicióncalculado en bytes / s.
Ejemplo:
ddrescue / dev / sda / media /disk.img
5. 3. 3 D C D E PF
dcfldd es otra versión mejorada de dd que se puede utilizar para calcular el valor hash (MD5 y SHA1, individualmente o enconjunto) Durante la adquisición de la memoria. Durante la adquisición se proporciona información detalladasobre lo que se ha leído y escrito.
Ejemplo:
dcfldd if = / dev / sda of = / media / disk.img hash = md5 hash = sha1
5. 3. 4 D A H S H
Este software permite la adquisición en formato dd y el cálculo simultáneo del hash. Resultó
ser más de 10% más rápido que otros programas disponibles.
Ejemplo:
Dhash-t-f / dev / sda - md5 - sha1-o disco.dd
La sintaxis mencionado anteriormente le permiten adquirir y calcular simultáneamente el valor hash sha1 y md5 del/ Dev / sda dispositivo y guardar las cuerdas dhashlog.html resultantes en el archivo de registro.
Traducido por Sykrayo España
Deft 7 Manual 2012
30
5.4 RE C A C I O N A C I O N E F I L ME
Una de las herramientas más populares para la creación de líneas de tiempo es mac-tiempo, la aplicación de la suiteSleuthkit desarrollado y mantenido por Brian Carrier.
Hay dos comandos principales para generar líneas de tiempo delsistema de archivos:
fls43 toma como entrada un archivo RAW derivado de la adquisición de una memoria de masa (una solapartición ya sea una imagen cruda de un disco con varias particiones), y devuelve una lista de todos losarchivos (quién asignado o no, sin embargo, el registro sigue siendo que figura en la tabla de asignación dearchivos), para su uso con Mac en tiempo posterior;
mactime44 Toma como entrada una lista, creada por fls, con todos los datos contenidos en el sistema dearchivos que se analiza y proporciona una línea de tiempo en formato ASCII.
5. 4. 1 F LS
Aquí un ejemplo de cómo utilizar FLS en el caso en el que la imagen imagen-1.DD contiene un único archivosystem/partition45:
fls-z GMT-s 0-m C:-f ntfs-r / images / hard-c.dd> / workdir / disco duro-c.body
En el ejemplo, los siguientes han sido los parámetrosutilizados:
-Z: zona horaria en el sistema utilizado para analizar;
-S: falta de coincidencia en segundos de tiempo del sistema con el tiempo real 46;
-M: Que el texto tiene que ser puesto antes de la ruta y el nombre del archivo en el Timeline47 ;
-F: el sistema de archivos de la memoria adquirida;
/ Images / disco c.dd: la imagen tomada como entrada para la extracción de la línea de tiempo;
/ Workdir / disco duro-c.body: el archivo, en el bodyfile formato que contiene la línea de tiempoDado extraído de la entrada.
En el caso de que la imagen contiene dd moras particiones, debe utilizar el parámetro-o al fls dadas al sectoroffset (ynot byusteds,como en el caso del parámetro offset del comando mount), el punto de la partición que seva a analyse.To obtener una lista de particiones y sus valores de desplazamiento (Expresado en sectores y no enbytes) de partida, se recomienda utilizar MMLS el mando del comando fdisk privado TSK o "-lu" parameters.In elcaso de una imagen que contiene un disco con una partición a partir del sector 63 (Por lo general, lasparticiones individuales y la primera partición de un disco siempre comenzar en el sector 63):
fls-o 63-z GMT-s 0-m C:-f ntfs-r / images / disco c.dd> / workdir / disco c.body
En esta pasantía tiene un archivo (por conveniencia con la extensión del cuerpo.) En el cuerpo format48 quecontiene la línea de tiempo del sistema bajo análisis.
43 http://wiki.sleuthkit.org/index.php?title=Fls44 http://wiki.sleuthkit.org/index.php?title=Mactime
Traducido por Sykrayo España
Deft 7 Manual 2012
30
45 Cabe señalar la ausencia del parámetro "Offset".46 La diferencia entre la hora del sistema y en tiempo real se obtiene de bios, durante la adquisición.47 Se puede comprobar Obtener la diferencia entre el tiempo de BIOS y el tiempo real (Durante la etapa de adquisición).48 Generalmente se establece la carta en la que se monta la unidad "C", "D" y así sucesivamente.
Traducido por Sykrayo España
Deft 7 Manual 2012
31
Este formato no es inmediatamente accesible por el examinador, ya que contiene las fechas y los registroscodificados desordenadas. Por lo tanto, es necesario procesarlo para que sea legible, y con el fin de los elegidosformat49.
He aquí un extracto de un archivo de cuerpo que deja claro la dificultad de interpretar el contenido delexaminador:[...]
0 | C :/ windows / inf / mdmpin.PNF | 4718-128 -
3 | r / rrwxrwxrwx | 0 | 0 | 19268 | 1299255392 | 1299255392 | 1299255392 | 1299257718
0 | C :/ WINDOWS/inf/mdmpn1.inf | 804-128 -
3 | r / rrwxrwxrwx | 0 | 0 | 6376 | 1299257379 | 1092916800 | 1299257709 | 1092916800
0 | C :/ WINDOWS/inf/mdmpn1.PNF | 4717-128 -
3 | r / rrwxrwxrwx | 0 | 0 | 10424 | 1299255392 | 1299255392 | 1299255392 | 1299257718
0 | C :/ windows / inf / mdmmod.PNF | 4747-128 -
3 | r / rrwxrwxrwx | 0 | 0 | 18540 | 1299255386 | 1299255386 | 1299255386 | 1299257719
0 | C :/ windows / inf / mdmmoto.inf | 779-128 -
3 | r / rrwxrwxrwx | 0 | 0 | 96032 | 1299257378 | 1092916800 |
1299257709 | 1092916800 [...]
5. 4. 2 M A C T IM E
Mactime es la herramienta de la suite TSK que convierte el formato de línea de tiempo desde el cuerpo alformato CSV, ordenando cosas y cambiar los parámetros de la pantalla en función del examinador necesita.
Por lo general, el comando a ejecutar es la siguiente:
MassachusettsConnecticutIME-B / Workdir / disco c.body -GM ZT -D> / Workdir / disco c.csv
-B Especifica el archivo de entrada, el Z-zona horaria,-d> / workdir / disco c.csv Representa el archivo de salidaque contiene la línea de tiempo en csv format50.
El comando tiene que mactime característica informes resumen de las actividades diarias y por hora detectadosen el sistema de archivos, que se añade a la función de conversión de formato CSV y para la función de ordenarlos registros generados por la información fls command.This puede ser esencial para evaluar qué día - o en quémomento - las actividades de uso son detectables en el PC, mostrando picos y anomalías quizás dos de lasactividades de fin de semana que casi saltan de una línea de tiempo tradicional.
Para obtener un informe de las actividades diarias se produjeron en el sistema de archivos, sólo tiene queañadir los parámetros-d-i seguido del nombre del archivo que desea guardar ese informe to.The informe sobrelas actividades de tiempo se obtiene con-h-i parámetros Seguido por el nombre del archivo que desea guardarese informe.
Obtendrás, de este modo, un archivo que contiene registros similares a lossiguientes:
[...]
Mié 12 de octubre 2011: 801
Jue 13 Oct de 2011: 987
Vie 14 Oct de 2011: 252
Dom 16 de octubre 2011: 25.352
Lun 17 de octubre 2011: 463
Mar 18 de octubre
Traducido por Sykrayo España
Deft 7 Manual 2012
32
2011: 711 [..]
49 En general, se utiliza el formato. CSV para la compatibilidad con los editores y hojas de cálculo.50 Es preferible exportar en formato CSV para facilitar la consulta por parte de aplicaciones como OpenOffice o Excel.
Traducido por Sykrayo España
Deft 7 Manual 2012
33
En el ejemplo anterior se puede ver que el 16 de octubre de 2011 había 25.352 en files51 actividades. Este valorno puede ser de su interés, pero puede, en algunos casos, será de gran importance52.
Es recomendable comprobar la continuidad o el promedio de los valores de los analizados durante casi todoslos días, tal vez que se apoya en un cierto valor (por ejemplo, <1,000), y llegar, como en el ejemplo, los picos dedecenas de miles de personas en un día específico . El examinador debe proceder en este momento a analizarcon más detalle la línea de tiempo del día en que la anomalía fue found53.
La siguiente tabla es útil para entender el significado de los valores que aparecen en la columna "Tipo deActividad". Indicaron las acciones realizadas en archivos y carpetas en un plazo determinado.
Aquí es un ejemplo del resultado del procesamiento de un archivo de mactime cuerpo generadapor el comando:[...]
Vie 04 de marzo 2011 16:08:04 618 605. Ac. r /rrwxrwxrwx
C :/ WINDOWS/system32/dllcache/fp4autl.dll
0 0 10618-128-1
Vie 04 de marzo 2011 16:08:11 17672 ... b r /rrwxrwxrwx
C :/ WINDOWS/Prefetch/IMAPI.EXE-0BF740A4.pf
0 0 10624-128-4
Vie 04 de marzo 2011 16:11:20 3014 ... b r /rrwxrwxrwx
C :/ WINDOWS/system32/wbem/Logs/wmiadap.log
0 0 10630-128-3
Vie 04 de marzo 2011 16:11:29 10296 .. cb r /rrwxrwxrwx
C :/ WINDOWS/system32/drivers/ASUSHWIO.SYS
0 0 10631-128-3
[...]
51 La intención: el acceso, la creación o modificación de ficheros de entrada MFT o archivo.52 Por ejemplo, si el PC que se analiza es un activo de una empresa en la que el trabajo se lleva a cabo de lunes a viernes, elSi investigador investigado por qué ya disposición de alta actividad se ha producido el domingo.53 Mediante la realización de nuevos análisis del registro, la inserción de las memorias USB, el lanzamiento de programas,creación de archivos LNK, etc ..
Traducido por Sykrayo España
Deft 7 Manual 2012
the registry, the link file in the LNK format, the prefetch etc..56 In the forensic jargon they are now indicated by the term "supertimeline".57 http://log2timeline.net
33
5.5 RE C A N T I G A SUP E RT I ME LI N E
La línea de tiempo, como se indica en el párrafo anterior, son muy útiles, pero limitado a las actividadesdetectadas en la filesystem54. En adiciones a la fecha y hora de los archivos, hay varios metadatos en el sistemade análisis que se puede integrar con la línea de tiempo del filesystem55.
Las herramientas para crear este tipo de líneas de tiempo "enriquecidos"56are incluido en diestro.
En este caso también, el punto de partida es la imagen de un disco o un disco en sí, así como para la línea detiempo tradicional elaborada con FLS + mactime (o con la autopsia interfaz gráfica).
La herramienta específica se utiliza log2timeline57 . El marco fue escrito por Kristinn Gudjonsson, y el desarrollode sus plugins involucró a toda la comunidad forense de código abierto.
Procesos Log2timeline (análisis), recurrentemente, los archivos de una partición montada con unosparámetros específicos, que permiten el acceso a los metadatos del sistema de archivos. En particular, ellog2timeline metadatos es capaz hasta la fecha para procesar e introducir en un supertimeline figuran en estamodos de entrada list:
1.Apache2 registro de acceso;2.Apache2 registro de errores;Historia Chrome 3.Google;4.Encase listado de registros;Los archivos de registro de eventos 5.Windows (EVT);Los archivos de registro de eventos 6.Windows (evtx);7.EXIF;Marcadores 8.Firefox;2 historia 9.Firefox;10. Firefox 3 la historia;11. FTK Imager archivos CSV listado de registros;12. Los archivos de registro de Linux genéricos;13. Archivos del historial de Internet Explorer, de análisis index.dat;14. Los archivos de registro de Windows IIS W3C;15. Exportación de texto ISA Server;16. File cuerpo mactime;17. McAfee AntiVirus Registros;18. MS-SQL registro de errores;19. Global y directo historial del navegador Opera;20. Metadatos OpenXML (Office 2007);21. Archivos PCAP;22. PDF;
Traducido por Sykrayo España
Deft 7 Manual 2012
the registry, the link file in the LNK format, the prefetch etc..56 In the forensic jargon they are now indicated by the term "supertimeline".57 http://log2timeline.net
34
54 Así que se limita a crear, editar o acceder a los archivos.55 Algunos ejemplos: el registro de un navegador, las visitas a los cambios en las claves del registro del sistema, antivirusregistros, la actividad de
Traducido por Sykrayo España
Deft 7 Manual 2012
34
23. Directorio Prefetch de Windows;24. Papelera de reciclaje de Windows (INFO2 o I $);25. Punto de restauración de Windows;26. Safari archivo historial del navegador;27. Archivo setupapi.log Windows XP;28. Adobe fichero objeto compartido local (SOL / LSO), también conocidos como cookies de Flash;29. Registros de acceso Squid (httpd_emulate off);30. TLN archivos corporales (línea de tiempo);31. Clave UserAssist del registro de Windows;32. Volatilidad (psscan y psscan2 salida);33. Archivos de acceso directo de Windows (LNK);34. Archivo de registro de Windows WMIProv;35. Archivo de registro de Windows XP Firewall (formato W3C).
El supertimeline se pueden guardar en diferentes formatos. El formato más utilizado es el CSV format58 ,compatible con varias hojas de cálculo, se pueden mostrar con sencillez y editado con un editor de texto.La lista completa de modos de salida en la que el procesamiento de la supertimeline Actualmente se puedeexportar como essiguiente:
BeeDocs;CEF;CFTL;CSV;Mactime;SIMILAR;SQLite;TLN;TLNX.
Traducido por Sykrayo España
Deft 7 Manual 2012
35
58 https://en.wikipedia.org/wiki/Comma-separated_values
Traducido por Sykrayo España
Deft 7 Manual 2012
36
El primer paso es generar una supertimeline-as-Poseer mencionado previamente la imagen en bruto quecontiene la partición que se vaya a examinar. Se puede utilizar un dispositivo (por ejemplo / dev / sda) a dd /archivo de imagen RAW, o incluso para EWF, archivo AFF o escisión prima convertida según se explica en lospárrafos anteriores.
Suponga que tiene un archivo image.dd que contiene la imagen de disco que desea analizar. Lo primero esmontar en la forma descrita anteriormente, las particiones que desea obtener una supertimeline de.
Usted decide analizar solamente la partición NTFS del disco, situada en el sector offset y 63 identificados por laletra C: en Windows.
Con el comando:
mount-o ro, loop, show_sys_files, streams_interface = windows, offset = $ ((512 * 63)) / mnt / raw /img.dd/ Mnt / c
La unidad C: será montado en / mnt / c donde ejecutamoslog2timeline:
log2timeline-p-r-z-f winxp Europa / Roma / mnt / c / m-C:-w-c-log2t unsorted.csv
Los parámetros sugeridos son:
-P: Indica log2timeline hacer un recursivo "preprocesamiento" de que se está analizando con elfin de obtener información útil para los plugins que se ejecutará later59;
-F: Indica el tipo de sistema operativo (y por lo tanto el conjunto de plugins) que desea aplicar aldirectorio dado como input60;
-R: dice log2timeline para explorar los archivos de forma recursiva lo tanto no detener a los deldirectorio especificado;
-Z: Indica los conjuntos de zona horaria en el PC bajo análisis 61;
-M: Indica la cadena que se sometería a la ruta y el nombre del archivo en la creaciónsupertimeline salida Normalmente la letra de unidad del disco en estudio (por ejemplo, "C:", "D", etc..);
-W: Especifica el archivo de la supertimeline generado en formato CSV tiene que ser guardado en.
El resultado de este proceso es un archivo CSV que contiene los elementos individuales obtenidos a partir delanálisis de los distintos artefactos, dispuestas en el orden en que fueron analizados.
Por lo tanto, es necesario utilizar una herramienta para ordenar las entradas y si es necesario, seleccione unperíodo de interés y palabras clave de forma simultánea filtros de interés.
La herramienta se proporciona con estas características l2t_process, parte del marcolog2timeline también.
Para ordenar y ver, por ejemplo, las actividades de la PC, que tuvo lugar en 2011, registrados en el c-log2t-unsorted.csv
Traducido por Sykrayo España
Deft 7 Manual 2012
37
archivo:
59 Por ejemplo, el nombre de host de la computadora, los usuarios, el navegador por defecto, zona horaria, etc .. puede serobtenido.60 Podría ser omitido, lo que indica que log2timeline probar todos los plugins en todos los archivos.61 Se puede obtener de forma automática con el parámetro "-p", pero a menudo es útil para establecer de forma manual.
Traducido por Sykrayo España
Deft 7 Manual 2012
38
l2t_process-i-b-c-log2t unsorted.csv-y .. 2008-01-01 2008-12-31 keywords.txt-k> c-log2t-2008.csv
Algunas de las opciones útiles de l2t_process son:
-I: También se incluyen las entradas en la salida fuera del intervalo de tiempo especificado, siéstos sugieren que contienen información de las actividades sospechosas timestomping62;
-Y: forzar el formato de fecha aaaa-mm-dd en lugar del formato predeterminado dd-mm-aaaa;
-B Indica Qué archivo debe ser Analizada por el guión;
-K: especifica el archivo que contiene las palabras clave que usted está interesado, excepto lasalida de los registros que no contengan ellos.
El resultado de log2timeline y l2t_process será una larga lista de actividades reconocidas en el filesystem63 y losmetadatos extraídos de los tipos de archivo se ha indicado anteriormente (log, eventos, enlaces, historial denavegación, etc ....).
Las columnas del archivo de cabecera tendrán el siguiente:
1. Fechas2. Tiempo3. Zona Horaria4. MACB5. Fuente6. SourceType7. Tipo8. Usuario9. Hosts10. Corto11. Descripción12. Versión13. Nombre de archivo14. Inode15. Notas16. Formato17. Extra
62 Por ejemplo, registro MFT con el valor 0 milisegundos.
Traducido por Sykrayo España
Deft 7 Manual 2012
39
63 En el caso de NTFS, tendremos elementos obtenidos de la tabla MFT.
Traducido por Sykrayo España
Deft 7 Manual 2012
40
En esta práctica, la dificultad radica en centrarse en los artículos pertinentes Miles de Dentro de resultados.
Desde la línea de comandos grep puede proporcionar un valioso apoyo para la exclusión o la inclusión en la listade algunos tipos de actividad.
También es posible importar el supertimeline en un spreadsheet64 para filtrar y analizar el contenido con lascaracterísticas típicas de este tipo de aplicaciones.
Una de las principales categorías en las que es útil aplicar filtros es el relativo al tipo de metadatos que seencuentra en la columna 6 SourceType.Among los tipos disponibles que va a tener interés para filtrar, hay NTFS$ MFT, REG, registro de eventos, WEBHIST, XP Prefetch etc. ... Eso le permitirá distinguir entre Internetnavegando, inserción palos USB (USBSTOR buscar en los registros relativos al registro), los archivos abiertos (NTFS$ MFT), o cualquier otra cosa de interés para usted.
5.6 SE A RC F H I L E S A N D O C L D E R S
Puede buscar archivos y carpetas mediante una de las siguientes herramientas:
localizar;
encontrar.
5. 6. 1 L O C A T E
Localizar Le permite buscar archivos en un dispositivo de almacenamiento masivo.
Primero debe actualizar la base de datos de indexación de ejecutar el
comando updatedb. Ejemplo:
localizar lasfinanzas-q-i
Búsqueda, sin distinguir entre mayúsculas y minúsculas (-i), para los archivos que contienen la palabra finanzasen su propio name.Thanks opción de-q, errores suministrados para acceder a un directorio específico seinformó, así como la razón de dicho error ( por ejemplo, "acceso denegado").
Ejemplo:
que buscará todos los archivosPNG.
localizar "*. png"-q
5. 6. 2 F I N D
Buscar Le permite buscar archivos sin indexación previa.
Ejemplo:
encontrar. -Iwholename "* porn*. Png"
La herramienta se encuentra todos los archivos PNG que contienen la cadena de porno en Su nombre, sin
Traducido por Sykrayo España
Deft 7 Manual 2012
41
distinción entre las casas.
64 Hábil ofrece la suite LibreOffice Eso incluye la hoja de cálculo Calc.
Traducido por Sykrayo España
Deft 7 Manual 2012
42
Ejemplo:
encontrar. -CTime -2> list.txt
La herramienta se encuentra todos los archivos creados en los últimos 2 días y que le ahorrará a la lista en elarchivo list.txt.
5.7 RV M U E S P A Ñ O F F I LE S
Carving es el proceso de recuperación de archivos ya no se hace referencia al sistema de archivos, a través delreconocimiento de la cabecera y el footer65 del archivo. Es un proceso largo, porque el disco se examina desdela primera hasta la última gota.
Metafóricamente hablando, se puede comparar este proceso con la lectura de una unidades de cinta.
5. 7. 1 F O R E M O S T
Foremost puede recuperar archivos borrados directamente desde dispositivos de almacenamiento, o
preferiblemente, de "flujo de bits de imagen" archivos. El comando
ante todo-o outpdir dump.img
se iniciará el proceso de tallado en dump.img basado en el archivo de configuración del archivo / etc /foremost.conf y guardar los archivos extraídos en el directorio outpdir.
El comando
todo-t-o png outpdir dump.img
se iniciará el proceso de forjar todos los archivos dump.img png en el archivo y guardar los archivos extraídos enla carpeta outpdir.
La opción-t le permitirá buscar los siguientes tipos de archivo:
65 Encabezado y pie de página son las firmas que caracterizan el comienzo y el final de un tipo de archivo determinado,
Traducido por Sykrayo España
Deft 7 Manual 2012
43
en detalle que consisten en un grupo de octal consecutivos o valores hexadecimales siempre presentes en unadeterminada posición de un archivo determinado al inicioo al final de la misma.
Traducido por Sykrayo España
Deft 7 Manual 2012
44
jpgjpegpngbmpexeavimpgwmvwavriff
movoledocpdfziprarhtmcpp
Traducido por Sykrayo España
Deft 7 Manual 2012
45
CAPÍTULO 6: DEFT Linu X GUI MODE
6.1 I N T RO D UC C I Ó N
El DEFT Linux GUI se basa en la LXDE "entorno de escritorio" 66 (Lightweight X11 Desktop Environment). El elección delgestor de escritorio cayó en este proyecto hasta la fecha porque es una de las interfaces gráficas de usuario másligero y más eficiente del mundo Linux.
El uso del modo gráfico se solicita en los casos en que los programas, no desarrollados para el uso en la línea decomandos, se van a utilizar,: como, por ejemplo, Marco Forense Digital (DFF) 67 o bagre.
Desde la versión 6, las aplicaciones nativas de Windows, por lo que no hay equivalente para Linux más potente,integrado y emulado han sido directamente por DEFT Linux usando Wine software68.
Para iniciar la interfaz gráfica de DEFT Linux simplemente escribahábil-gui.
Hábil: Linux GUI
66 http://www.lxde.org67 http://www.digital-forensic.org/68 http://www.winehq.org/
Traducido por Sykrayo España
Deft 7 Manual 2012
46
Usted puede encontrar los elementos en el escritorio lo siguiente:
1. Una guía para la obtención de pruebas 8. De espacios de trabajo
2. Los procedimientos para instalar DEFT Linux 9. Sistema de control de audio
3. La Terminal 10. Los administradores de red
4. El menú de la aplicación 11. Fecha y hora
5. Pcmanfm Administrador de archivos 12. Gerente de Zona Horaria
6. Keyboard Language Manager 13. Apagado del sistema y el botón dereinicio7. Mostrar escritorio
El menú de aplicaciones tiene las siguientessecciones: Accesorios: Archive
Manager, Mapa de caracteres, la Utilidad deDiscos, Administrador de archivos,calculadora, visor de imágenes, Leafpad,LXterminal, TrueCrypt y Xpad.
DEFT: Herramienta de análisis,herramientas anti-malware, tallando lasherramientas, algoritmos hash herramientas,herramientas de imagen, forenses móviles,análisis forense de redes, herramientasOSINT, recuperación de contraseñas,herramientas de reporte, Utilidad de Discos,Administrador de archivos, GParted,Midnight Commander, Mount ewf,MountManager, Barrido y Xmount.
Gráficos: Visor de documentos.Internet: Firefox y Sun
Inicio 6 de Java Web.Servicios: Apache arranque,
parada Apache, Mysql marcha, paro MySQL,Samba marcha, paro Samba, SSH marcha,paro SSH, Xplico inicio, parada Xplico.
Sonido y vídeo: Audaz, escritorio Recorder, VLC media player y Xfburn.Wine.Herramientas del sistema: Gdebi instalador de paquetes, GParted, Prensa, gestor de paquetesSynaptic, Perfil de Sistema y de referencia, el Administrador de tareas, hora y fecha, gestor de
Traducido por Sykrayo España
Deft 7 Manual 2012
47
actualizaciones, usuarios y grupos y los controladores inalámbricos de Windows.Preferencias: Los conductores adicionales, Adobe Flash Player, personalizar la apariencia, laconfiguración de sesión del escritorio, la Utilidad de Discos, teclado y ratón, soporte de idiomas,Lxkeymap, ajustes del monitor, Red
Traducido por Sykrayo España
Deft 7 Manual 2012
48
conexiones, configuración de Openbox, aplicaciones preferidas, las fuentes de software, Sun Java 6ProgramasPanel de control y Sun Java 6 Herramienta Política.
6.2 SS MA ME MO MA RY N A G E ME NT
Como ya se mencionó, el sistema no realiza ninguna acción con la excepción de la detección de los dispositivosconectados al sistema.
Durante el uso del gestor de archivos, a los dispositivos de almacenamiento masivo conectados al sistema(interna y externa) no se montará automáticamente.
Haga clic en el icono del dispositivo de almacenamiento masivo, se mostrarán las políticas para el montaje:
Monte sólo lectura: Permite el acceso al dispositivo de almacenamiento en masa como de sólolectura sin alterar los datos almacenados en el dispositivo de memoria;
Montaje de volumen: Permite el acceso al dispositivo de memoria masiva con la lectura /escritura;
Volumen de expulsión: Permite la eliminación segura de la memoria del sistema.
Con la aplicación Administrador de Montaje de el examinador puede montar Establecer las políticas basadas ensus necesidades operativas.
Actividades en las que utilizaráPcmanFMr
Traducido por Sykrayo España
Deft 7 Manual 2012
49
6.3 MO A T M A N A G E R
Administrador de montaje Le permite crear políticas de montaje avanzadas consólo unos clics.
En la imagen que compartimos los procedimientos para montar un dispositivo de almacenamiento de memoriacomo RO (sólo lectura), el bloqueo de las acciones que puedan producir alteraciones en el sistema de archivos.
Montar la política para bloquear posibles cambios en elsistema de archivos
Para el montaje es necesario asociar un directorio existente a una partición en la memoria asegurándose queajuste los parámetros tienen noatime, noauto, ro, noexec, que aseguran que la memoria masiva no se alteradurante usage.Only de esta manera usted tendrá acceder al sistema de archivos como de sólo lectura y utilizarlosin tener que actualizar el tiempo de acceso inode69 .
Con el Administrador de montaje, se puede montar también archivos adquiridos en formato dd y los sistemasde archivos de red: como Samba(Windows share) y NFS.
Traducido por Sykrayo España
Deft 7 Manual 2012
50
69 Fecha y hora del último acceso al expediente de un sistema de archivos.
Traducido por Sykrayo España
Deft 7 Manual 2012
51
6.4 SH H A M A C I O N LC ULA
Dhash es la única herramienta de DEFT Linux dedicada al cálculo del hash en modo gráfico.
Dhash: Calcular el valor hash de undispositivo
Después de iniciar la aplicación, haga clic en Abrir dispositivo para seleccionar un dispositivo de
almacenamiento masivo o Abrir archivo para seleccionar un archivo. Seleccione el tipo de hash para
calcular (MD5, SHA1 o ambos) y haga clic en Inicios.
Después de terminar, puede guardar un informe HTML con los resultados, haga clic en "Guardar registro".
Traducido por Sykrayo España
Deft 7 Manual 2012
45
6.5 MA ME MO RY SS A Q UI SI C T I O N
Como se ha demostrado anteriormente, con DEFT Linux puede adquirir memorias de almacenamiento masivo através de interfaz gráfica o mediante el uso de Guymager Dhash. El primero es adecuado para adquisiciones enel formato dd, mientras que el último es muy recomendable para las adquisiciones paralelas en el formato ewf.
6. 5. 1 D A H SH
En Dhash, los procedimientos para la adquisición es similar a la que para el cálculo hash.
Seleccione el dispositivo que desea adquirir haciendo clic en "dispositivo abierto"
Selección y "Adquirir".
También puede optar por adquirir y comprimir al formato gz marcando la casilla Comprimir y / o elegir sipara llevar a cabo el cálculo de comprobaciónaleatoria de uno o más archivos.
Adquisición con el cálculo simultáneo de md5 y sha1 valores hash
Traducido por Sykrayo España
Deft 7 Manual 2012
45
Al pulsar el botón, se inicia comienza laadquisición.
Al final de todas las actividades, se puede guardar un informe en formato HTML, haga clic enla opción "Guardar registro".
Traducido por Sykrayo España
Deft 7 Manual 2012
46
6. 5. 2 U T A M A GE R
Guymager les permite una administración más avanzada de las adquisiciones másDhash.
Casas gestión Guymager para la fase de adquisición
Permite Guymager en adiciones a la adquisición simultánea de múltiples dispositivos de almacenamientomasivo, la inclusión de información: por ejemplo:
Código de Viviendas;Evidencia de catalogación;Nombre del examinador que está llevando a cabo las operaciones;Descripción del objeto que está adquiriendo.
El programa soporta todos los principales formatos de adquisición (dd, AFF y encierran) y le permite ejecutar lacomprobación de integridad, a través de la verificación MD5 o sha256 valor hash, ambos de la recién creada y laimagen del dispositivo original (incluyendo imágenes divididas) .
Para iniciar el proceso de adquisición de Guymager clic derecho sobre la memoria masiva para ser clonado yseleccione Adquirir imagen.
Traducido por Sykrayo España
Deft 7 Manual 2012
47
En la ventana Adquirir imagen puede especificar varios parámetros de la adquisición o gestión del caso.
Traducido por Sykrayo España
Deft 7 Manual 2012
48
6.6 F I N D I N G F I LE S A N D E F O LD RS
6. 6. 1 F A C T I SH
Bagre Que puede realizar las mismas operaciones se pueden ejecutar a través de comandos de línea decomandos a encontrar y localizar.
En el ejemplo que se muestra a continuación, la memoria seleccionada o la carpeta en la que desea buscar, labúsqueda se inicia para todos los archivos con extensión JPG por escrito *. Jpg en el campo de búsqueda. Cuandose complete la búsqueda, puede abrir los archivos de la lista con un simple doble clic.
Catfish: Búsqueda dearchivos
En la ventana de información de los archivos se indican: última fecha de modificación, la ubicación y eltamaño del archivo.
Traducido por Sykrayo España
Deft 7 Manual 2012
48
6.7 F I N D I W LD
Findwild es un programa que le permite buscar palabras files.Specifying Dentro del directorio de interés ypalabras clave asociadas le proporcionará una lista de los archivos que contienen las claves de búsqueda.
Findwild: ¿Busca contenido
Traducido por Sykrayo España
Deft 7 Manual 2012
49
6.8 IU G F I LE S M U E S P RV
Jorobado 4most (H4M), disponible en Inglés y Inglese, es una interfaz gráfica para la gestión de las funcionesprincipales del lugar y el bisturí.
A través H4M, una vez que elija el programa que se utilizará como un fichero de tallador, puede ejecutar eltallado con unos simples clics.
4most Jorobado: Archivo Talla con Foremost
H4M, una vez que usted ha indicado en el archivo o dispositivo en el que desea buscar, y la carpeta donde deseaalmacenar los archivos recuperados, búsquedas y guarda todos los archivos con el encabezado y pie de páginaespecificado por el examinador.
Traducido por Sykrayo España
Deft 7 Manual 2012
50
4most Jorobado: Talla de archivo con bisturí
En adiciones a los formatos de archivo tradicionales apoyados por Foremost y Scalpel, usted puede personalizarsu búsqueda indicando un nuevo archivo de configuración que contiene encabezado y pie de página de suinterés.
6.9 MA N I N G A G A C A SE W I T H A UT O P SY
El navegador forense Autopsy es una interfaz gráfica para la gestión de la línea de herramientas de investigacióndigitales comando en el Kit70 Sleuth.
Se utiliza principalmente para el tratamiento de los casos en que se requiere un análisis de los
dispositivos de almacenamiento masivo. Autopsia permite:
Directamente utilice el dispositivo o las adquisiciones en el formato dd, AFF y encierran;ver la información sobre el tipo de sistema de archivos;analizar e identificar el contenido de archivos y directorios y sus referencias de tiempo;recuperar archivos borrados;
Traducido por Sykrayo España
Deft 7 Manual 2012
51
70 http://www.sleuthkit.org/
Traducido por Sykrayo España
Deft 7 Manual 2012
52
gestionar una base de datos de los valores hash de los archivos del caso bajo análisis;crear y analizar líneas de tiempo;buscar los archivos por palabra clave;analizar los metadatos;creado informes de resultados;creado en los hogares.
Una vez que comenzó desde la sección de disco forense Autopsy, solicitará al examinador que especifican sitiene la intención de crear un nuevo hogar o abrir uno existente.
En este ejemplo, haga clic en Nuevo para crear un caso de prueba y coloque la fecha en su posesión para lacatalogación: como el nombre, la descripción y los nombres de los examinadores:
Creación de un nuevocaso
Una vez que haya confirmado sus datos, en / root / pruebas / casename se crea un directorio que contiene todala fecha casas.
En el caso de que uno o más objetos (ya sea de pie para los miembros de cualquiera de los sistemas) se puedenagregar haciendo clicAgregar host dentro de la caja y al ingresar los datos requeridos:
Traducido por Sykrayo España
Deft 7 Manual 2012
52
Adición de hogaresanfitriones
Uno o más dispositivos de almacenamiento masivo se pueden añadir a cada objeto: simplemente clic en el archivoimagen adicional, escriba la ubicacióncampo sea el enlace directo a un dispositivo de almacenamiento masivo (por ejemplo / dev / SDX) o la ruta quecontiene el archivo adquirida (por ejemplo:/ Media/forensic/disco001.dd) y especifique la memoria si va a añadir una partición o un almacenamiento detoda la masa; En cuanto al método de importación, para facilitar su uso, se recomienda encarecidamente quedeje los enlaces simbólicos por defecto.
Traducido por Sykrayo España
Deft 7 Manual 2012
53
Adición de una memoria de masa delobjeto
Después de la adición de la memoria, se preguntó si se debe calcular, o introduzca manualmente si se hacalculado ya, el hash md5 value71 y especifique el nombre simbólico de la partición y sistema de archivos.
Traducido por Sykrayo España
Deft 7 Manual 2012
54
71 Autopsia sólo admite el algoritmo de hash MD5.
Traducido por Sykrayo España
Deft 7 Manual 2012
55
Administrar el valor hash y el tipo de sistema de archivos y particiones
La creación de Disco001 objeto se completará al final de las operaciones anteriores. Puede seguir añadiendo alobjeto o recuerdos moras comenzar su análisis haciendo clic en Analizar.
Traducido por Sykrayo España
Deft 7 Manual 2012
55
Gestión de objeto "Disco001" asignado al caso
La interfaz de módulo de análisis permite al médico visualizar el árbol de directorios de la partición bajo análisisy en vez de archivos se selecciona para tener una vista previa de su contenido.
El acceso al archivo es de sólo lectura a fin de no afectar ni el tiempo ni las referencias de
metadatos. En la ventana de análisis se puede ver:
El nombre / y la ruta del archivo;Los valores de tiempo como fecha de creación, último acceso y última modificación;El tipo de datos;Si los datos se han eliminado o no (en rojo si se ha solicitado la supresión de los datos).
Traducido por Sykrayo España
Deft 7 Manual 2012
56
Autopsia: Análisis dearchivos
Otra característica interesante es la búsqueda por palabras clave. Esta característica le permite realizar búsquedasutilizando el grepcomando y se ejecuta en todo el árbol del sistema de archivos, incluido el espacio no asignado.
Esta operación puede ser muy lento cuando termines los patrones de búsqueda de los dispositivos dealmacenamiento que contienen muchos archivos o tienen grandes capacidades.
En estos casos le sugerimos que abra un "shell del sistema" y realizar la búsqueda, usar grep, desde la línea decomandos.
La misma recomendación se aplica a la lista de la creación de líneas de tiempo.
Traducido por Sykrayo España
Deft 7 Manual 2012
57
Búsqueda de archivospor tema
Traducido por Sykrayo España
Deft 7 Manual 2012
58
6.10 X P O LI C
DEFT apoyado la evolución Xplico proyecto desde el primer releases72.
El uso de Xplico es muy simple: dado como entrada para pcap file73 contiene un volcado de tráfico de red IP, elprograma es capaz de reconstruir los contenidos de los datos que se pasan en ese momento en la red IP,haciéndolos disponibles y accesibles a través de una interfaz web conveniente.
Desde el 7 de liberación DEFT, Xplico se gestiona como un servicio. Por lo tanto, con el fin de ejecutar laaplicación, debe iniciar los servicios siguientes en secuencia:
1. Servidor web Apache;
2. Xplico.
El inicio de los servicios antes mencionados se puede realizar por DEFT> menú de servicios, o mediante la líneade comandos.
Una vez que los servicios iniciados, puede iniciar desde el menú Network ForensicsXplico.
6. 1 0. 1 C E R A C I Ó N DE A C AS E
72 La herramienta, disponible en la siguiente dirección http://www.xplico.org/ , Es en estos momentos uno de los máspoderosos de red de código abierto
Traducido por Sykrayo España
Deft 7 Manual 2012
59
Herramienta forense.73 Este archivo de datos contiene los paquetes capturados por los programas de "detección de paquetes." Por lo general sonpaquetes que se registrarondurante una transmisión de la red.
Traducido por Sykrayo España
Deft 7 Manual 2012
60
Ejecutar Xplico de la sección Network Forensics de menú DEFT y escriba la información de inicio de sesiónsiguiente para acceder al administrador de casos:
usuario:
contraseña
xplico: xplico
Esto cerrará la sesión como usuario predeterminado que sólo puede crear y gestionar los casos, pero no cambiala configuración de la aplicación.
Si desea personalizar la configuración del panel de control, crear nuevos usuarios, etc, tienes que acceder conlas credenciales de administrador.:
usuario: admin
contraseña:
xplico
En el siguiente ejemplo, hemos creado un nuevo caso llamado Foo donde todo el tráfico en ese momento quese pasa a través de la interfaz eth0 de nuestra ubicación, y luego adquirida y analizada.
Administrador decasos: Xplico
Traducido por Sykrayo España
Deft 7 Manual 2012
60
Al final de la fase de adquisición, Xplico ya han decodificar y reconstruir todos los tipos de datos compatibles,como:
httpdnscorreo
websmtppop3
imapsorbotelnetftptftp
rtppjlFacebook Chatmsnirc
Informe de los datosreconstruidos
En el ejemplo anterior, visitamos el "http://www.libero.it " El sitio solicitado por el usuario.
La lista contiene todas las reconstrucciones de los sitios Web y todos los contenidos se muestra en la sección delmenú del sitio web.
Traducido por Sykrayo España
Deft 7 Manual 2012
61
Lista de todos los se hacen en elnavegador
Se debe tener en cuenta que la lista de todos los get74 realizó, también los que incluye el usuario realizainvoluntariamente que como todas las solicitudes se hacen de la página web a la URL que contiene varios
anuncios o secuencias de comandos de seguimiento.
74 Solicite a un servidor web para mostrar una dirección URL específica.
Traducido por Sykrayo España
Deft 7 Manual 2012
62
06.11 H Y D RA
Hydra es uno de los software más populares utilizados para forzar usuario y contraseñas con fuerza bruta attack75.
Hydra: Selección deprotocolos
La lista siguiente muestra los protocolos y aplicaciones en la que puede ejecutar un ataque de fuerza brutausando Hydra:
Traducido por Sykrayo España
Deft 7 Manual 2012
63
75 http://en.wikipedia.org/wiki/Brute-force_search
Traducido por Sykrayo España
Deft 7 Manual 2012
64
AFP HTTP-proxy RloginCisco AAA ICQ RshCisco auth IMAP SAP/R3Cisco enable IRC SIPCVS LDAP SMBFirebird MS-SQL SMTPFTP MYSQL SMTP EnumHTTP-GET-FORM PNC SNMPHTTP-FORM- NNTP SOCKS5PUBLICAR Oracle Listener SH (v1 y v2)HTTP-GET Oracle SID SubversiónHTTP-PISTA Oráculo Teamspeak (TS2)HTTP-proxy PC-En cualquier lugar TelnetHTTPS-FORM-GET PCNFS VMware-AuthHTTPS-FORM- POP3 VNCPUBLICAR POSTGRES XMPPHTTPS-GET RDPHTTPS-PISTA Rexec
Dentro diccionarios DEFT para realizar las actividades para romper contraseñas de Linux no están incluidos.
Con Cupp, puede crear diccionarios personalizados: responder a las preguntas de la solicitud pide, se puedegenerar una lista de palabras clave basándose en la información presente en el pc protegido por lascredenciales que deseaforce76.
76 Una lista de palabras se puede encontrar fácilmente en Internet en diferentes tipos: idiomas, colecciones de
Traducido por Sykrayo España
Deft 7 Manual 2012
65
contraseñas, etc .. : Como ftp://ftp.ox.ac.uk/pub/wordlists/ o http://wordlist.sourceforge.net/
Traducido por Sykrayo España
Deft 7 Manual 2012
66
06.12 K E E P O N T E
KeepNote es un software utilizado para la recogida y clasificación de la información.
En el campo de la informática forense que podría ser utilizado para la gestión de pruebas por la catalogación delas memorias de masa y todos los resultados de los análisis a otros objetos.
KeepNote: la obtención de pruebas
Usted puede crear un árbol de objetos (directorios y páginas), y estructurar de acuerdo a sus necesidadesfuncionales y encajar dentro de la información de la página: por ejemplo:
Texto sin formato;Html;Pictures;Archivos.
La información contenida en el cuaderno introducida por Creado con KeepNote KeepNote se puede guardar enun archivo o exportar a HTML.
Traducido por Sykrayo España
Deft 7 Manual 2012
67
13.06 LT MA E F GO
Maltego77 se puede utilizar tanto en las Forense y Cyber Inteligencia.
Maltego es compatible multiplataforma, escrito en Java y se puede encontrar y demostrar visualmente lasconexiones entre las personas, grupos, empresas, páginas web, ciudades, calles, direcciones de correo,números de teléfono, direcciones IP, nombres de dominio, archivos, documentos, etc ..
Maltego CE, la creación de undiagrama
A medida que el uso de este programa está más allá del alcance de este documento, su funcionamiento
no se discute en detalle. Le sugerimos que consulte la documentación oficial exhaustiva en esta dirección:
http://www.paterva.com/web5/documentation/userguide.php
Traducido por Sykrayo España
Deft 7 Manual 2012
68
77 http://www.paterva.com/
Traducido por Sykrayo España
Deft 7 Manual 2012
69
CAPÍTULO 7: RENSICS FO MÓVILES
La séptima versión de DEFT Linux incluye algunas herramientas para el análisis de los dispositivos móviles.
Ahora está disponible navegador de base de datos SQLite para permitir el análisis de bases de datos SQLite, quese utiliza en la mayoría de aplicaciones para Android, Iphone y Ipad.
Para el análisis de los teléfonos móviles, se incluye:
IpdDump para el análisis de las copias de seguridad en los dispositivos BlackBerry;Analizador Iphone para el análisis de iPhone desde la versión 3 a la versión anterior;Analizador de backup Iphone para el análisis de las copias de seguridad en dispositivos iPhone;Bitpim Que soporta los siguientes dispositivos:
Audiovox CDM8900
LG AX-8600
LG C2000
LG G4015
LG LX570
LG PM225
LG UX-5000
LG VX-3200
LG VX-4400
LG VX-4500
LG VX-4650
LG VX-5200
LG VX-5300
LG VX-6000
LG VX-6100
LG VX-7000
LG VX-8000
LG VX-8100
LG VX-8300
LG VX-8500
LG VX-8560
LG VX-8600
LG VX-8610
LG VX-8700
LG VX-8600
LG VX-8800
LG VX-9100
LG VX-9200 LG VX-9600
LG VX-9700
LG VX-9800
LG VX-9900
LG VX-10000
LG VX-11000
Motorola E815
Motorola E815m
Motorola K1m
Motorola V325
Motorola V325M
Motorola V3c
V3m Motorola
Motorola
Motorola V3cm
V3mM Motorola
V710
Motorola V710m
Samsung SCH-A870
Samsung SCH-A930
Samsung SCH-A950
Samsung SCH-U470
Samsung SCH-U740
Samsung SCH-U750
Samsung SPH-M300
Sanyo SCP-6600 (Katana)
Otros teléfonos Toshiba
Sanyo VM-4050
Traducido por Sykrayo España
Deft 7 Manual 2012
70
Bitpim: la lista de teléfonoscompatibles
7.1 A N D I D RO
Android es un sistema operativo de código abierto derivado de Linux que se hadiseñado para dispositivos móviles (smartphones, tablets, netbooks).Particularmente común en los sistemas de bajo costo de China, que está presente enuna amplia variedad de dispositivos, por encima en términos de difusión iOS (inclusose puede instalar en el Apple iPhone78) y el ahora anticuado, pero todavía se utilizaampliamente Nokia OS79.El sistema, actualmente desarrollado por la Open Handset Alliance80 (OHA) lideradapor Google, ha visto la luz por primera vez en noviembre de 2007 y, para cada versión,se ha enriquecido con las características que se han asegurado su notable madurez.
En este momento las versiones más recientes del sistema operativo son:Jellybean 4.1.x: generalizada especialmente entre los smartphones de gama baja y tabletas;3.2 Honeycomb: dedicado a las tabletas, tiene moras introdujo el soporte parapantallas más grandes, Multiprocesadores y aceleración de gráficos de hardware.
78 http://www.giardiniblog.com/guida-installare-android-su-iphone-3g [Inglés]79 Todos los sistemas operativos instalados en los dispositivos Nokia, creado por Nokia deben ser considerados:http://en.wikipedia.org/wiki/Nokia_OS
Traducido por Sykrayo España
Deft 7 Manual 2012
71
80 http://www.openhandsetalliance.com/
Traducido por Sykrayo España
Deft 7 Manual 2012
72
En este capítulo, por razones de espacio, vamos a dirigir nuestra atención sólo a la versión4.1.x JellybeanSin embargo, la OHA no se ocupa de la actualización del sistema operativo instalado en cada dispositivo, sino quedelega esta tarea a cada productor, que es libre de decidir libera parches para corregir problemas de seguridad oimplementar nuevas características. Esta política de mercado ha causado indirectamente el nacimiento de ungran número de "rom cocinada", tomado de la versión 2.3, personalizada para cada modelo y más eficiente quela versión predeterminada del dispositivo.Esto afecta enormemente el trabajo del operador que desee realizar un análisis forense, porque no saben aciencia cierta cuál es la versión de Android se instala en el dispositivo para examine81.
El sistema operativo de base compatible con las características esenciales deun teléfono inteligente:
conexiones vía GSM / EDGE, UMTS, Bluetooth, Wi-Fi, WiMAX;llamadas;transmisión y recepción de SMS y MMS;soporte multilingüe;navegación web;"Máquina virtual Dalvik" 82;audio / soporte multimedia de vídeo;multitarea;comandos de voz;tethering.
Las características adicionales pueden estar disponibles según el tipo de hardware (pantalla táctil, GPS,acelerómetro, tarjeta 3D, etc.), O los suplementos de aplicaciones específicas (cliente para las redes sociales,todo tipo de gestión, seguridad, juegos, etc.).
El hardware utilizado en los teléfonos inteligentes está estrechamente relacionada con las características dediseño establecidas por el fabricante, sino que varía en función del presupuesto funcional destinado a laproducción y el mercado de destino.
Con respecto a la memoria del dispositivo, en la mayoría de los casos, el sistema operativo está instalado dentrode la memoria flash de un no extraíble generalmente sin desoldar de la propia memoria de la placa base. Amenudo se apoya en una ranura de expansión para memoria externa (MicroSD).
Diferentes de las opciones indicadas en el párrafo anterior son las llevadas a cabo por los productores máspequeños a menudo, las empresas generalmente de origen chino, que pueden diseñar la arquitectura tandrásticamente diferente. Por ejemplo, en lo que se refiere al almacenamiento del sistema operativo, que aveces es beneficioso utilizar tarjetas MicroSD, cuestan menos y son rápidamente extraíble.
La dificultad en suministrada para acceder a la memoria del teléfono puede variar enormementedependiendo del dispositivo que está siendo analizado.
A menudo es necesario recurrir a los procedimientos que nos permitan ir y leer el contenido de las particionesaccesibles sólo con permisos de root, y sin tener que quitar la memoria de estado sólido del dispositivo.
Traducido por Sykrayo España
Deft 7 Manual 2012
73
81 Por ejemplo, la ROM CyanogenMod (www.cyanogenmod.com) o MIUI ROM (miui.nexus-lab.com) desarrollaronalrededor tanto en la versión 2.3 y 4.0.82 Máquina Virtual de Java optimizado para trabajar con menor consumo de energía en los dispositivos con menor potencia decálculo.
Traducido por Sykrayo España
Deft 7 Manual 2012
74
La principal debilidad de este tipo de procedimientos es que el contenido de la memoria de masa semodificarán, aunque minimally.Therefore es deseable que el operador, que intervengan en el proceso penal,mantenerse en contacto con la no-régimen peritaje repetible para la actividad de los datos acquisition83.
7.2 B RI EFOVE RV IEWOFGOOG LAS APLICACIONES
Aunque es común para el sistema operativo que ha sido modificada por los fabricantes de teléfonos inteligenteso por la compañía telefónica, es probable que google applications84 están incluidos y pueden constituir unafuente primaria de información para el informe.
Entre las diferentes aplicaciones, las dos principales son el perfil de Gmail yMarket85.
7. 2. 1 P M U E L
A los efectos de la investigación, vale la pena considerar la profunda conexión entre lagestión interna smartphone y una cuenta de Google. Muchas de las característicasinternas (gestión de contactos, calendario, Google Talk, mercado de google, etc.)Dependen de éste o se puede confiar, una cuenta activa en los sistemas de Google.
Algunos ejemplos:Usted debe registrar una cuenta de Google para descargar / comprar aplicaciones desde el Android
Market;Contactos y datos del calendario se pueden guardar de forma automática, incluso en el perfil de
Google;Si está instalado, el cliente Google+ ofrece la oportunidad de subir automáticamente las fotostomadas por el ambiente interno en un álbum privado de un perfil de Google+, nonecesariamente relevantes para su default Google account86;La función Latitude, en la aplicaciónMaps, que se apoya en el perfil de Googleregistrada y almacena la ubicación delteléfono, los controles in, etc. Luego,estos transmitida y la fecha se registraronen el perfil, donde se almacenan hastasuprimido por el usuario.
83 El artículo 360 del Código de Procedimiento Penal (inspecciones técnicas no repetible}
Traducido por Sykrayo España
Deft 7 Manual 2012
75
84 Ver http://www.google.com/mobile/android/85 Hay muchas excepciones a lo que se ha escrito, un ejemplo puede ser el Toshiba Netbook AC 100: Googleaplicaciones están ausentes y la tienda de aplicaciones para las aplicaciones es el mercado Camangi(www.camangimarket.com).86 http://www.google.com/support/mobile/bin/answer.py?answer=1304818
Traducido por Sykrayo España
Deft 7 Manual 2012
76
7. 2. 2 P L A Y M A R T E K
Similar a lo que ocurre dentro del sistema con el iOS App Store, el Android Juego Market87 se utiliza paradescargar y / o comprar juegos o aplicaciones que aumentan la funcionalidad de su teléfono inteligente. Puedeobtener las actualizaciones de las aplicaciones instaladas a través del mercado como well88.
En adiciones a este modo, el sistema operativo Android Ofrece la posibilidad de instalar aplicaciones de tercerosa través de(AppLibs, Amazon, Android, etc ..) o mediante copia directa de la aplicación en el teléfono.
Cabe señalar que el cojín políticas adoptadas por Google en los últimos meses han permitido la presencia demalware y la proliferación posterior de diversos infections89.The propagación de malware ha sido parcialmenteobstaculizada tanto por la rápida publicación de actualizaciones de Google y la desinstalación remotaapplication90 del malware.
La seguridad de las aplicaciones es incluso menos impresionante, si no ausentes, en el caso de los mercados deterceros. Hay muchos casos de malware distintos presentes en estos channels91.
El efecto de las actividades antes mencionadas se vio limitado por una gestión eficaz, y la liberación de lasactualizaciones de firmware especial de los fabricantes de teléfonos inteligentes y los proveedores de telefoníaque distribuyen los teléfonos inteligentes Android. Esto afecta seriamente la posibilidad de cerrar los agujerosde seguridad en los distintos modelos de la circulación y contribuye a la persistencia y propagación demalware.The presencia de caliente gratuito ROM92 aliviaría el problema, pero la instalación de ROM nooriginales que no se desalientan a menudo por los fabricantes.
En teoría, la venta y la liberación de las políticas de actualización podría abrir la posibilidad de atacara zonas geográficas específicas o usuarios de ciertos proveedores.
7. 2. 3 F I L E S Y S T E M U S I N E
Yaffs2 (otro sistema de archivos de Flash) es el sistema de archivos utilizado en los dispositivos Android hasta laversión 2.2.Created porCharles Manning para el Aleph Una empresa finlandesa, está disponible bajo la licencia GPL. Hoy
está oficialmente soportado por los sistemas operativos siguientes:
AndroideLinuxWindows CEpSOS
87 También Jugar La tienda es accesible a través de la página web https://market.android.com. También permite instalarde forma remota las aplicaciones.88 Las empresas de la casa de software son también capaces de limitar la disponibilidad de las aplicaciones a áreas geográficasespecíficas oSus proveedores de servicios telefónicos basados en las necesidades de venta.89 https:// Www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf90 Un ejemplo reciente de malware es Anserverbot
Traducido por Sykrayo España
Deft 7 Manual 2012
77
(http://www.csc.ncsu.edu/faculty/jiang/pubs/AnserverBot_Analysis.pdf )91 https:// Www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf92 Véase, por ejemplo, mod cianógeno (Http:/ / Www.cyanogenmod.com / devices) o MIUI (Http:/ / Miuiandroid.com /)
Traducido por Sykrayo España
Deft 7 Manual 2012
78
eCosThreadX
La segunda versión de este sistema de archivos asegura un alto nivel de integridad de los datos escritos en lamemoria y, al mismo tiempo, intenta mantener el rendimiento más elevado posible data93 Cuandosuministrada a acceder. En comparación con la primera versión del sistema de archivos, el rendimiento deescritura de un archivo se ha mejorado en un 500% y el rendimiento de deleting94 en un 400%.
Desde la versión Android 2.3, los desarrolladores decidieron abandonar esta migración alsistema de archivos EXT4.
7. 2. 4 E X T 4 F I L E S T E M SY
Ext495 (Cuarto sistema de archivos extendido) es un archivo de diario system96 nace como una mejora de laExt3 para aumentar los límites de almacenamiento de 64 bits y mejorar su rendimiento. En cuanto a presentar lalectura, a pesar de las actuaciones son más bajos que los de los competidores system97 archivos, Ext4 utilizamenos recursos de CPU y es más poderoso escribe procedimientos.
Hoy en día se considera más seguro que otros sistemas de ficheros de Linux debido a su simplicidad y lainstalación base más amplia para realizar pruebas.
93 También se considera que el hardware es "portable" y el tipo de unidad en el 99% de los casos es de estado sólido.94 http://www.yaffs.net/yaffs-2-specification-and-development-notes.95 Hasta la fecha, ext4 está soportado nativamente por cualquier distribución de Linux, gracias a la Ext2 de Windows porproyecto y por el principalaplicaciones, comerciales o no, de la informática forense.96 Es una tecnología utilizada por muchos sistemas de archivos modernos para preservar la integridad de los datos decualquier apagones repentinos o
Traducido por Sykrayo España
Deft 7 Manual 2012
79
paradas. Se basa en el concepto de transacción, cada escritura en el disco es interpretado por el sistema de archivos como unatransacción.97 Tales como, por ejemplo, JFS, ReiserFS y XFS, Ext4.
Traducido por Sykrayo España
Deft 7 Manual 2012
80
Las principales características de EXT4 son:sistema tamaño de los archivos hasta 1 Exabyte (1,000,000 terabytes);La eliminación del límite de 32000 subdirectorios;Persistente pre-allocation98;Compatibilidad con versiones anteriores. Ser capaz de montar el sistema de archivos ext2 y ext3
como ext4;Mayor rendimiento para la comprobación de la integridad del sistema de archivos (fsck);La desfragmentación con conexión reducir drásticamente la fragmentación del sistema de archivos.
Soporte nativo para ext4 se ha introducido en la versión Android 2.3 para sus nuevas funciones relacionadas conla mejora en la escritura de los archivos y su garantía de la integridad.
Desde el punto de vista forense, esta aplicación ha hecho que sea mucho más fácil de cortar para analizar lossistemas de archivos porque, hasta la fecha, no existen herramientas gratuitas y comerciales, que apoyan deforma nativa el sistema de archivos YAFFS.
7. 2. 5 P O L I C A S F M A S S O T R A G U E S E
En la mayoría de los dispositivos Android, el usuario final puede decidir cómo utilizar la memoria masiva,interna y externa, a su disposición.
En general, todas las aplicaciones descargadas e instaladas desde el Android Market se almacenan en lamemoria interna, con excepción de aquellos que han aplicado la función para seleccionar la memoria de masasen el que se instala. Incluso en el caso de los archivos generados por el actual applications99, dado que es elusuario final la oportunidad de decidir si desea guardar en el interior o en la memoria externa.
7. 2. 6 ACCESSTOTHEFILESYSTEM OFTHEOPERATINGSYSTEM
Todos los principales fabricantes de dispositivos Android se distribuyen sin que el usuario root permitido y sin laposibilidad de acceder directamente al sistema de archivos que contiene el System100 operativo.
Sin embargo, existe la posibilidad de superar estas restricciones para prácticamente todos los dispositivosactualmente en el mercado siempre que los cambios invasoras para el propio sistema (mediante la alteración delsistema de archivos original) son aceptadas. Este proceso se conoce coloquialmente como "arraigo" 101, que seconsigue de manera diferente respectiva función del dispositivo y el sistema operativo. Los fabricantes deteléfonos inteligentes desalientan las raíces de su dispositivo y moras que probable que se anulará la garantía.
Desde el punto de vista forense, este tipo de alteración es estrictamente necesario para poder acceder a lainformación de interés: como el registro de llamadas, SMS, historial de navegación de Internet y todo lo quepodría escribir una aplicación en unDada directorio.
98 En otras palabras, las aplicaciones tienen la capacidad de pre-asignar espacio de disco.99 Por ejemplo, guardar archivos adjuntos o imágenes tomadas con el dispositivo.
Traducido por Sykrayo España
Deft 7 Manual 2012
81
100 Los equipos de las empresas fabricantes más pequeños de Asia, en algunos casos, no se aplican este tipo de restricciones,tantoFacilitar el acceso a la información de interés para nosotros.101 http://en.wikipedia.org/wiki/Rooting_ (Android_OS)
Traducido por Sykrayo España
Deft 7 Manual 2012
82
7.3 SA masas solares GGA LA XYSI 9 0 00 - hardwa RE HAZAÑA URE S
El dispositivo se está analizando en el Samsung Galaxy S i9000 con Android2.3.3.
Samsung, al igual que otros fabricantes de smartphones, ha decidido personalizar mucho la arquitectura deAndroid en sus dispositivos.
El sistema de archivos en uso en este dispositivo es una aplicación propietaria que pertenece a Samsung ynombró RFS (robusto sistema de archivos FAT). Este es un sistema de archivos FAT al que se añadió un sistemade registro en diario que debería hacerlo más seguro, prevención de pérdida de datos en caso de error.
Esta aplicación ha sido en realidad bastante éxito porque la mayoría de los usuarios se han quejado de lascaracterísticas de los dispositivos, en relación con los malos resultados establecen que haría RFS en cuanto alectura y escritura rápida.
Desde un punto de vista forense, las particiones de tipo RFS puedenser tratados como VFAT. Por lo tanto, todo el software de lacomputadora forense que apoyan los sistemas de archivos VFATpueden leer en el archivo RFS system102.
Las principales características de hardware deeste dispositivo son:
Procesador:
S5PC110 CPU, 45 nm 1 GHz ARMCortex-A8 basadoPowerVRSGX540GPUthat soportaOpenGL ES 1.1/2.0.
Memoria:512 MB dedicados LPDDR2 RAM,16-32 MB DRAM,8 GB de memoria de estado sólido,con la posibilidad de expansión dehasta 32 GBmediante el uso de una tarjetamicroSD.
Traducido por Sykrayo España
Deft 7 Manual 2012
83
102 Por tanto, es posible imaginar que todas las distribuciones de Linux y el software comercial para la InformáticaForense están ya preparados para el análisis de este tipo de dispositivo.
Traducido por Sykrayo España
Deft 7 Manual 2012
84
7. 3. 1 R O O T I N T E D PR O T E S
Los procedimientos para obtener el arraigo de este dispositivo consiste sustancialmente en la modificación delkernel por las Altas smathphone de un programa llamado busybox103 .
Se trata de los procedimientos menos invasivos para el sistema y para presever Permite que la integridad de lamemoria (ni sobrescribir ni suprimido), manteniendo sin cambios el contenido de las particiones del sistema dearchivos que contienen archivos producidos por las aplicaciones y las aplicaciones en sí.
Las herramientas necesarias para el enraizamiento deldispositivo Android son:
El software de sincronización Keies Samsung (instalado e iniciado al menos una vez) 104;El CF-ROOT105 versión adecuada para el dispositivo en investigación (marque el número decompilación de la configuración -> Teléfono de información) que se puede descargar desde elsitio de xda developers106 .
Después de todo lo que necesita, puede continuar con los pasos:Modo de depuración USB 1.Enable de los ajustes del menú> Aplicaciones> Desarrollo, lo que permite
que el teléfono para transmitir archivos a través de la conexión USB;2.Cierre el Galaxy S y reiniciar en upgrade / modo de recuperación al mismo tiempo presionando el
botón central, bajar volumen Tecla y el poder (que usted debe ver una señal de peligro que leadvierte de posibles acciones dañinas) 107;
3.connect el dispositivo al PC a través de USB y el lanzamiento de Odin. Si el campo ID: COM esamarillo, el teléfono inteligente se reconoce correctamente, de lo contrario es probable que hayaun problema con el sistema operativo drivers108;
4.Extract el archivo CF-Root.zip, haga clic en PDA y seleccionar el archivo descomprimido;Sólo 5.Seleccione la Auto-Reboot y F. Restablecer Time109 de las opciones disponibles;6.Haga clic en INICIO y después de unos 15 segundos, la pantalla mostrará "PASS" está resaltada en
verde. Desde ese momento, el dispositivo se reiniciará automáticamente con el sistema de raíces.
103 http://www.busybox.net/about.html104 http://www.samsungapps.com/about/onPc.as105 archivo para editar el núcleo del dispositivo106 http://forum.xda-developers.com/showpost.php?p=12651359&postcount=6107 Esto permite que los procedimientos para iniciar el dispositivo en un modo dedicado a la adquisición de archivos flash parael funcionamiento de lamemoria.108 Es necesario comenzar Kies con Galaxy S (preferiblemente no la está probando) conectado a través de USB y una de las
Traducido por Sykrayo España
Deft 7 Manual 2012
85
herramientasmenú del botón "instalar la unidad".109 No seleccione la Re-partición: Esta función borrará el núcleo en ejecución actual!
Traducido por Sykrayo España
Deft 7 Manual 2012
86
7. 3. 2 SAMSUNGGALAXYS - ADQUIRIDOS EN EL ALF RN OFTHEINTE SHMEMORY
Adquisición de la memoria interna del dispositivo es ciertamente muy incómodo y peligroso si se compara conla de un disco duro.
El único método es usar el comando dd para ser ejecutado, ya sea usando el teclado virtual del dispositivo(después de instalar una aplicación como "Terminal Emulator"), ya sea a través de la red usando ssh (despuésde instalar un "demonio de ssh"). El salida del comando dd sólo se pueden guardar en la memoria reconocidaspor el dispositivo: o la memoria Flash interna o en MicroSD.
En nuestro caso hemos elegido para guardar el flujo de bits de imagen dentro de la MicroSD para mayorcomodidad y portabilidad de la externa memoria.
Razones para la arquitectura, a diferencia de la memoria de masa clásica, no es posible clonar toda la memoriaen una sola sesión, pero areobliged para ejecutar el comando dd para cada partición montada por el dispositivo.
Para conocer el número de todas las particiones usadas por el sistema es necesario para ver a través de lamontar comando.
Traducido por Sykrayo España
Deft 7 Manual 2012
76
Un ejemplo de salida del comando puede ser el siguiente:
rootfs en rootfs / tipo (ro, noatime, nodiratime) tmpfs en / dev tmpfs tipo(Rw, noatime, nodiratime, mode = 755)devpts en / dev / pts tipo devpts (rw, noatime, nodiratime, mode = 600)proc del tipo proc / proc (rw, noatime, nodiratime)sysfs en / sys tipo sysfs (rw, noatime, nodiratime)ninguno de cgroups tipo / acct (rw, relatime,cpuacct)tmpfs en / mnt / asec tipo tmpfs (rw, noatime, nodiratime, mode = 755, gid= 1000) tmpfs en / mnt / tmpfs tipo OBB (rw, noatime, nodiratime, mode =755, gid = 1000), ninguno en / dev / cpuctl tipo cgroup (rw, relatime, cpu)/ Dev/block/stl9 on / tipo de sistema RFS (ro, noatime, nodiratime, vfat, log_off, check =no, gid / uid / rwx, iocharset = utf8)/ Dev/block/stl3 en / efs tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no,gid / uid / rwx, iocharset = utf8)/ / Dev/block/mmcblk0p2 en el tipo de datos RFS (rw, nosuid, nodev, noatime,nodiratime, vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8)/ Dev/block/stl10 on / dbdata tipo RFS (rw, nosuid, nodev, noatime, nodiratime,vfat, LLW, check = no, gid / uid / rwx, iocharset = utf8)/ Dev/block/stl11 en / cache tipo RFS (rw, nosuid, nodev, noatime, nodiratime, vfat, LLW, check = no,gid / uid / rwx, iocharset = utf8)/ Dev/block/stl6 en / mnt /. Lfs tipo j4fs (rw, noatime, nodiratime)/ Sys / kernel / debug en / sys / kernel debugfs tipo / debug (rw, noatime, nodiratime)/ Dev/block/vold/179: 1 on / mnt / sdcard tipo vfat (rw, sincronización de directorios, nosuid, nodev,noexec, noatime, nodiratime, uid = 1000, gid = 1015, fmask = 0002, dmask = 0002, todos ow_utime =0,020, codepage = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)/ Dev/block/vold/179: 9 en / mnt / sdcard / external_sd tipo vfat (rw, sincronización de directorios,nosuid, nodev, noexec, noatime, nodiratime, uid = 1000, gid = 1015, fmask = 0002, dmask = 0,002,todo ow_utime = 0020, la página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas,utf8, errors = remount-ro)/ Dev/block/vold/179: 9 on / mnt / secure / asec tipo vfattmpfs en / mnt / sdcard / external_sd /. tmpfs tipo android_secure (ro, relatime, size = 0k, mode = 000)/ Dev/block/dm-0 on / mnt/asec/android.androidVNC-2 tipo vfat(Ro, sincronización de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)/ Dev/block/dm-1 on / mnt/asec/net.androgames.level-2 tipo vfat(Ro, sincronización de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,
Traducido por Sykrayo España
Deft 7 Manual 2012
77
página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)/ Dev/block/dm-2 on / mnt/asec/punteroanull.app.androick-1 tipo vfat
Traducido por Sykrayo España
Deft 7 Manual 2012
78
(Ro, sincronización de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)/ Dev/block/dm-3 on / mnt/asec/com.natenai.glowhockey-1 tipo vfat(Ro, sincronización de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)/ Dev/block/dm-4 on / mnt/asec/com.feelingtouch.bocce-1 tipo vfat(Ro, sincronización de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)/ Dev/block/dm-5 on / mnt/asec/com.fridgecat.android.atiltlite-1 tipo vfat(Ro, sincronización de directorios, nosuid, nodev, relatime, uid = 1000, fmask = 0222, dmask = 0.222,página de códigos = cp437, iocharset = iso8859-1, nombre corto = mixtas, utf8, errors = remount-ro)
Antes de iniciar la adquisición es necesaria para obtener permisos de root tecleando en el command.After unossegundos si el terminal le pedirá que confirme la solicitud para autorizar el programa se ejecute con privilegiosde administrador.
Una vez que tenga estos permisos, el comando que se ejecutará para la adquisición es el clásico dd configuradode la siguiente manera:
dd if = partición of = / mnt / sdcard /nombredearchivo.img
Por lo tanto en el caso de querer adquirir la partición / sistema, el comando será
dd if = / dev/block/stl9 of = / mnt / sdcard /system.img
Una vez que la adquisición es más, se puede acceder a la partición clonada utilizando el comando mount, eltratamiento de la RFS como una partición vfat:
mount-o loop-t vfat-o ro system.img / mnt / pruebas /sistema
donde-O loop Le permite montar imágenes en formato de flujo de bits;-T vfat Declara que el tipo de partición que desea utilizar es vfat;-O ro Permite acceso de sólo lectura a la partición;/ Mnt / pruebas / sistema el camino ha sido creado para mostrar el contenido de la memoriaadquirida en el directorio.
Traducido por Sykrayo España
Deft 7 Manual 2012
78
7.4 SA masas solares GGA LA XYS - ACQ UI SI TIONOFTHEEXTE RN AL ME MO RY
A diferencia de la memoria flash dentro del dispositivo, la adquisición de la MicroSD puede ser cualquier accesoroot llevado a cabo siguiendo las instrucciones de las mejores prácticas en la informática forense y no esnecesario:
1. extraer la tarjeta MicroSD;2. conectarlo a una escritura blocker110 o de un sistema que ha features111 equivalente;3. calcular el hash value112 de la memoria original;4. adquisición por el uso de la aplicación que prefer113 Eso y verificar el hash memoria clonado es el mismo
que el hash de la original.
7. 4. 1 TRABAJO DE RECTLYONTHESMARTPHONE
En los casos particulares de urgencia, se puede investigar los archivos de interés directamente desde la pantallatáctil del dispositivo mediante el uso de algunas aplicaciones disponibles de forma gratuita desde el AndroidMarket.
Una aplicación muy útil para este tipo de actividad, aunque no es un software específicamente diseñado para lainformática forense, Archivo ManagerHD114.Activating es el "Root Explorer" en la configuración de laaplicación, se puede navegar por el sistema de archivos, incluso en directorios protegidos: como fecha, dbdata ydel sistema, buscar los archivos de interés utilizando la función apropiada de la búsqueda y copiarlos a la tarjetamicroSD para que un análisis más a fondo en una estación de trabajo equipada con las herramientas necesarias.
7. 4. 2 UN LUGAR DANALYSISOFAPPLICATIO NSANDFILESOFCOMMONINT EREST
Por lo general, se hace una solicitud por su archivo ejecutable con. Apk extensión y sus archivos deconfiguración o database115 .
Las carpetas que moras son interesantes para elexaminador:
/ System / app /: contiene aplicaciones básicas proporcionadas por el fabricante del dispositivo;/ Data / app /: Que contiene las aplicaciones que el usuario ha instalado a través del Android Market;
/ Data / data /: contiene los archivos de configuración y las bases de datos de las aplicaciones;
110 Dispositivo utilizado para evitar que se escribe en el sistema de almacenamiento que se analiza.111 Distribuciones de Linux para informática forense.112 El hash es una función matemática única y unidireccional (es decir, que no puede ser revertida), que transforma untexto de cualquier longitud (de entrada) en un texto de longitud fija (de salida) relativamente limitado en la prácticamediante la aplicación de una función hash a un archivo oen un disco duro entero, se obtiene una secuencia de caracteres, por ejemplo. de 32 caracteres, lo que representa unaespecie de "huella digital" del archivo, y se llama el valor hash.113 Ejemplo: FTK Imager para Windows o para Linux Guymager dd-
Traducido por Sykrayo España
Deft 7 Manual 2012
79
114 https://market.android.com/details?id=com.rhmsoft.fm115 Samsung, al igual que todos los demás manufacters dispositivo, prefiere no cambiar la parte estándar de la memoria en laque el grupolas aplicaciones.
Traducido por Sykrayo España
Deft 7 Manual 2012
80
/ Dbdata / bases de datos /: aquí hay bases de datos que contienen SMS, MMS, contactos ytodo lo relacionado para expresar parte.
El análisis de los archivos de configuración y la base de datos de las aplicaciones se puede realizar utilizandoherramientas como editor de texto para el texto y las configuraciones de xml y un nivel SQLite116 cliente de labase de datos con extensión db..
En el ejemplo mostrado en la imagen, se utilizó un cliente para abrir la base de datos SQLite SMS y MMSllamadommssms.dbalmacenado en
/ Dbdata / bases de datos /com.android.providers.telephony /
y analizar su contenido, mediante la exportación de la fecha útil deseada en el formato(txt, xml o csv).
El análisis de las tablas de una base de datos SQLite se puede realizar mediante el uso de SQL también query117sin necesidad de utilizar dedicado tools118.
Ejemplos:
Puede ver todos los campos contenidos en la tabla SMS con lasolicitud:
Seleccionar * desms
En el caso de que sólo el contenido de todos los mensajes de losintereses de texto:
Seleccione cuerpo
Traducido por Sykrayo España
Deft 7 Manual 2012
81
sms
116 SQLite (http://www.sqlite.org) Le permite crear una base de datos, incluyendo tablas, consultas, formularios einformes en un solo archivo.117 Consulta de bases de datos para realizar ciertas operaciones (seleccionar, insertar, eliminar, fecha, etc ...) para serejecutado en una o másbases de datos. Una consulta se interpreta generalmente por el lenguaje SQL para que sea comprensible para las morasDBMS.118 Tal como http://www.filesig.co.uk/sqlite-forensic-reporter.html
Traducido por Sykrayo España
Deft 7 Manual 2012
82
Si quisiéramos mostrar sólo los mensajes de texto recibidos por número +3912345:
Select * from sms donde address = +3912345' '
7. 4. 3 EXAMPLEOFANALYSISONGO OGLEMAPS
Google Maps application119 Android ofrece en ambos sistemas la función de mapa y elsistema de navegación con comandos de voz.
La aplicación, al igual que la versión web del mismo nombre, es capaz de mostrar la zonaen las dos imágenes gráficas y de satélite en 3D, para proporcionar información sobre eltráfico local, en los pubs y en los servicios en la zona y, a través de la función Latitude,Proporcionar información sobre la posición de los contactos (también a través de Llegada/ salida).
Los directorios de interés para el observadorson
/ Data / data / com.google.android.apps.maps /
en la tarjeta de memoria SD
/ Mnt / sdcard / Android / data / com.google.android.apps.maps /
entre las bases de datos más interesantes de análisis se recomienda da_destination_history 120
Traducido por Sykrayo España
Deft 7 Manual 2012
83
119 Disponible en http://www.google.com/mobile/maps/120 Tenga en cuenta que esto no tiene la base de datos SQLite. Extensión Db igual que otras bases de datos.
Traducido por Sykrayo España
Deft 7 Manual 2012
84
Estos son sólo dos de las bases de datos utilizadas por las aplicaciones, la información adicional puede y debeobtenerse de otros archivos (por ejemplo data_laywe_24 si existe).
También de gran interés es el contenido de la carpeta en la tarjeta SD: En adiciones a la memoria caché de losmapas descargados por las aplicaciones durante su uso, también hay archivos de audio individuales quecontienen las instrucciones de audio para el usuario. El análisis de la timestamp121 archivos, combinados conlos datos de navegación contenidos dentro de loscarpeta raíz puede proporcionar información precisa sobre cuando un camino particular, y sugirió que seha seguido.
Traducido por Sykrayo España
Deft 7 Manual 2012
85
121 http://en.wikipedia.org/wiki/Timestamp
Traducido por Sykrayo España
Deft 7 Manual 2012
86
CAPÍTULO 8: DART - ADVANCED DIGITAL GUÍA res Ponse
DART
DART (Digital Toolkit Respuesta Avanzada) es una aplicación que organiza, recopila y se ejecuta en el softwarede modo seguro a efectos de análisis forense en vivo y respuesta a incidentes.
Puede personalizar DART modificando el archivo dart.xml que mantiene la lista de aplicaciones de DART que sepueden ejecutar.
Si se solicita, DART puede crear un registro de auditoría para realizar un seguimiento de todas las operacionesrealizadas y los problemas encontrados.
Una de las principales características es que las aplicaciones que se ejecutan en modo seguro inicia unacomprobación de integridad antes del inicio de cada programa, de esta manera que el examinador está segurode ejecutar sus propias herramientas de seguridad. Esto excluye cualquier daño preexistente de los binarios demalware.
Los valores hash de las aplicaciones están contenidos dentro del archivo XML que a su vez se comprueba cadavez que elStarts122.This DART que permite al médico para verificar el contenido de su archivo xml no se haaltered123.
Traducido por Sykrayo España
Deft 7 Manual 2012
87
122 El valor hash del archivo XML se muestra en la esquina superior derecha de la ventana.123 Por ejemplo, el hash de un archivo ejecutable.
Traducido por Sykrayo España
Deft 7 Manual 2012
88
DART: aviso inicial
Una vez iniciado, DART debe ejecutar como administrador del sistema o como una cuenta con privilegios deadministrador. DART le informará de que no hay ninguna garantía de evitar alteraciones en el sistema en uso,ya que algunos programas pueden realizar análisis de manera invasiva.
Al mismo tiempo, se informa al usuario de que algunos programas podrían ser considerados herramientas demalware o la piratería del software antivirus. Puede que sea necesario desactivar el software antivirus ocortafuegos.
DART: Guardar el registrode auditoría
Traducido por Sykrayo España
Deft 7 Manual 2012
89
dart.xml contiene los valores hash de todas las aplicaciones, tanto en el caso en el que se actualiza un archivoejecutable incluido en el paquete de DART, su hash también debe actualizarse dentro del archivo XML. Si esto nose hace a continuación, se informará al examinador que tiene los valores no coinciden.
La estructura del archivo XML se inicia con la etiqueta "deft_extra" tag 124.The "alerta" contiene el texto de lanota inicial, dardo renuncia. Dentro de ella, debe haber una etiqueta de "texto", que mostrará la descripción dela aplicación incluida en <! [CDATA [y]]>.
Ejemplo:
<text>
<! [CDATA [
insertar texto
]]>
</ Text>
Los apps_groups etiqueta indica los grupos con los que las aplicaciones están divididas.
"Grupo" tiene los atributos siguientes:
id: Debe contener un identificador único, pero no necesariamente uno numérico;etiqueta: Que aparecerá el texto debajo del icono de la ventana de la aplicación;ico: ¿Qué camino del icono representará al grupo.
Dentro del grupo de variables a encontrar la aplicación de la etiqueta con los siguientes atributos:
etiqueta: el texto mostrado en la aplicación de menú izquierda;ExePath: familiar o ruta absoluta donde se puede encontrar el ejecutable;MD5Hash: valor hash a comprobar (no es obligatorio).
En las etiquetas de aplicaciones que hay un "texto" ¿Qué etiqueta contiene la descripción de la aplicación,también en formato HTML, que también es limitada por <! [CDATA [y]]>.
Ejemplo:
<text>
<! [CDATA [
insertar texto
]]>
</ Text>
124 El atributo "lang" le permitirá acceder al Administrador multilingüe. Actualmente esta función no está activa.
Traducido por Sykrayo España
Deft 7 Manual 2012
90
CAPÍTULO 9: profundizar
El contenido antes mencionado en este manual toca ligeramente sobre el potencial de hábil en el campo de laDigitalForense.
Nos gustaría sugerir algunos libros que aclaran los temas que hemos cubierto en este manual.
NISTGuidentificación
elines
Directrices sobre Teléfonos Móviles y Seguridad PDA - SP 800-124
Incidentes de Seguridad Informática Guía Manutención - SP 800-61
Digital FoRensics
Evidencia Digital y Delitos Informáticos, tercera edición: Ciencias Forenses, Informática e Internet
Eoghan Casey
ISBN-10: 0123742684
Academic Press
Digital Forensics con herramientas Open Source
Cory Altheide y Harlan Carvey
ISBN-10: 1597495867
Syngress
Android Forensics: Investigación, análisis y seguridad móvil para Google Android
Andrew Hoog
ISBN-10: 1597496510
Syngress
Traducido por Sykrayo España