Inicio
Buscar
Ingresar
Registrarse
Starfield: el juego que revolucionará el espacio y la tecnología
Hack x Crack - Comunidad de Seguridad informática
»
Seguridad Informatica
»
Seguridad
»
Forense
»
Autopsy Forensic Browser
Imprimir
Páginas: [
1
]
Ir Abajo
Autor
Tema: Autopsy Forensic Browser (Leído 4844 veces)
Stuxnet
{ L3 } Über
Mensajes: 150
Stuxnet hack!!!!!!!!!
Autopsy Forensic Browser
«
en:
Enero 09, 2013, 12:59:38 am »
Es un interfaz gráfico basado en las herramientas en línea de comandos del Sleuth Kit. La combinación de estas herramientas instalada en un servidor utilizando un sistema basado en la plataforma Unix forman un una completa suite informática que solo necesita de un sistema operativo con navegador para acceder a ella. Ya que Autopsy Forensic Browser proporciona una aplicación basada en HTML que puede usarse para análisis forenses de los sistemas Windows y UNIX soportando sistemas de ficheros (NTFS, FAT, UFS1/2, Ext2/3).
Su filosofía de funcionamiento se basa en la buena práctica forense partiendo de dos tipos de análisis:
Un análisis de sistema muerto, en este caso se utiliza la herramienta desde otro sistema operativo y con el sistema a investigar en su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integridad de archivos, estructura de ficheros, logs del sistema y datos borrados.
Un análisis de sistema vivo ocurre cuando se está analizando el sistema sospechoso mientras está funcionando. Este análisis se utiliza mientras que se está produciendo el incidente y se analiza básicamente: procesos, memoria, ficheros… Después de que se confirme la amenaza, el sistema puede ser adquirido en una imagen para conservarlo sin corrupciones posteriores y así realizar análisis de sistema muerto.
Esta aplicación posee las siguientes técnicas de búsqueda de evidencias:
Listado del archivo:
Analiza los archivos y los directorios, incluyendo los nombres de archivos suprimidos.
El contenido de archivos: Se puede ver en formato raw, hex o ASCII. Cuando se interpretan los datos, la autopsia los esteriliza para prevenir corrupción por parte del análisis del sistema local.
Bases de datos de Hash:
Los archivos son reconocidos como buenos o perjudiciales para el sistema basándose en la biblioteca de referencia del software NIST (NSRL) y las bases de datos creadas por el usuario.
Clasificación de tipos de archivo por extensiones:
Clasifica los archivos basándose en sus firmas internas para identificar extensiones conocidas. La autopsia puede también extraer solamente imágenes gráficas y comparar el tipo de archivo para identificar posibles cambios en la extensión para ocultarlos.
Línea de tiempo de la actividad del archivo:
En algunos casos, tener una línea de tiempo de la actividad del archivo puede ayudar a identificar áreas de un sistema de ficheros que puedan contener evidencias. La autopsia puede crear la línea de tiempo que contienen los registros de: modificación, acceso, y cambios de fechas en los archivos.
Búsqueda de palabra clave:
Las búsquedas de palabra clave de la imagen del sistema de ficheros se pueden realizar usando secuencias del ASCII y expresiones regulares. Las búsquedas se pueden realizar en la imagen completa del sistema de ficheros.
Análisis de los meta datos
: Las estructuras de los meta datos contienen los detalles sobre archivos y directorios. La autopsia permite una visión los detalles de cualquier estructura de los meta datos en el sistema de ficheros. Esto es útil para recuperar el contenido eliminado. La autopsia buscará los directorios para identificar la trayectoria de los archivo.
Detalles de la imagen:
Se pueden ver los detalles del sistema de ficheros, incluyendo la disposición en disco y épocas de actividad. Este modo proporciona información útil durante la recuperación de datos.
En los que se refiere a la gestión de diferentes casos y la elaboración de informes esta suite posee módulos como:
Gerencia del Caso:
Las investigaciones son organizadas por casos, que pueden contener uno o más anfitriones. Cada anfitrión se configura para tener su propia posición, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada anfitrión puede contener unas o más imágenes del sistema de ficheros para analizar.
Secuenciador de acontecimientos:
Los acontecimientos se pueden agregar de los log de un IDS o de un cortafuegos. La autopsia clasifica los acontecimientos para poder determinar más fácilmente la secuencia de los acontecimientos del incidente.
Notas:
Las notas se pueden clasificar en una base de datos organizados por anfitrión y investigador. Esto permite hacer notas rápidas sobre archivos y estructuras.
Integridad de imagen:
Es crucial asegurarse de que los archivos no están modificados durante análisis. La autopsia, por defecto, generará un valor MD5 para todos los archivos. Se puede validar en cualquier momento, la integridad de cualquier archivo que la autopsia utiliza.
Informes:
La autopsia puede crear los informes para los archivos y otras estructuras del sistema de ficheros.
Registros:
Los registros de la intervención se crean en un caso, un anfitrión, y un nivel del investigador para poder recordar fácilmente las acciones y los comandos ejecutados.
Entre las características de este kit hay que destacar que esta basado en una aplicación cliente-servidor en HTML por lo tanto no hay trabajar en el mismo sistema que las imágenes del sistema de ficheros. Esto permite que múltiples investigadores utilicen el mismo servidor y conecten sus sistemas personales.
http://www.sleuthkit.org/autopsy/
En línea
BTshell
Visitante
Autopsy: Informática forense
«
Respuesta #1 en:
Marzo 06, 2013, 09:44:25 pm »
Autopsy es Tal vez la mejor herramienta libre que existe para el análisis de evidencia digital. Su interfaz gráfica es un browser que basado en las herramientas en línea de comandos del Sleuth Kit, permite un análisis de diversos tipos de evidencia mediante una captura de una imagen de disco.
Ejecutando Autopsy
El programa autopsy corre en diversos sistemas operativos como Linux, Unix y hasta en el sistema operativo Microsoft.
Al ejecutar autopsy, inmediatamente se abre el navegador(browse), que debe estar configurado para navegar en line, es decir debemos deshabilitar la opción work offline, desde la barra de menú, opción archivo(ver figura 1) y de esta manera accedemos a la primera presentación de en case.
Fig 1. Deshabilitando Work Offline
Iniciando el caso
Para iniciar por primera vez una recolección y análisis de evidencia digital, es importante previamente haber obtenido la réplica o imagen del disco donde reside la evidencia. Una vez iniciada la interfaz gráfica de autopsy, se procede a la creación de un nuevo caso.
Figura 2 Iniciando el caso.
Al dar click a newcase, se despliega un formulario para diligenciar los datos básicos del nuevo caso (Nombre del caso, descripción, investigador), como se observa en la siguiente figura.
Fig 3. Formulario de datos .
Agrando la Imagen Obtenida
Como se expresó al inicio de este manual, previamente se debe contar con una réplica o imagen bit a bit del disco donde reside la evidencia. Previamente hemos creado un archivo de imagen llamado imagen.dd, en la ubicación /adquisición/imagen.dd(Usando Guymager). Se introduce la ruta de ubicación y nombre del archivo, las demás opciones permanecen por defecto.
Figura 4 Obteniendo Imagen.
Recolectando evidencias para el análisis.
Una vez efectuado paso a paso los procesos anteriormente descritos, se obtienen los volúmenes que fueron encontrados en la imagen, para su respectiva exploración.
Figura 5. Volumenes encontrados
Al ingresar a la opción de análisis, podemos evidencia cada uno de los archivos tanto temporales, permanentes, eliminados o averiados, que residen en la imagen o replica extraída del medio de almacenamiento original.
Figura 6. Evidencias Obtenidas
Como se observa en la figura anterior, los archivos que no son permanentes o que han sido borrados, se encuentra en color rojo, los demás archivo de color azul son permanentes. Teniendo en cuenta que la cantidad de archivos encontrados en la imagen puede ser demasiadamente extensa, autopsy cuenta con una barra de menus, que tienen la opción de buscar archivos o evidencias, por palabras claves, iniciales, tipo de archivos, matadatos, sectores específicos del disco y otras series de opciones, que permiten optimizar al máximo la búsqueda de evidencia.
Como ejemplo del uso de opciones para la búsqueda de archivos, introduciremos una palabra clave como “boot”.
Figura 7 Busqueda de evidencia por palabra clave
Autopsy genera una lista con todos los resultados encontrados, en nuestro caso 64 y como podemos observar en la siguiente figura, se ha encontrado información que contiene la palabra clave boot.
Figura 8. Evidencia encontrad por palabra clave
Analizando Metadatos
Los metadatos son un conjunto de datos del dato, es decir una información acerca del dato o archivo localizado como evidencia. Estos almacenan características relevantes como el nombre, la fecha y hora de creación, longitud, tamaño y otros atributos relevantes en una investigación.
Figura 9 Análisis de Metadato
Generando Reportes
Por cada evidencia encontrada Autopsy genera un completo reporte sobre el estado, atributos, características y contenido de dicha evidencia. Estos reportes son de gran ayuda en el momento del análisis de la evidencia y como elemento probatorio, en caso de que exista un proceso legal llevado a juicio. El reporte permite visualizar el estado de MD5 y SHDA1, con el fin de comprobar que la evidencia examinada desde una copia no ha sido modificada o alterada con respecto a la evidencia que reside originalmente.
Fuente: software-libre.blogspot.com
En línea
Imprimir
Páginas: [
1
]
Ir Arriba
Hack x Crack - Comunidad de Seguridad informática
»
Seguridad Informatica
»
Seguridad
»
Forense
»
Autopsy Forensic Browser
Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso...
OK
Learn more