Forensics in Spanish
Pasos de Análisis Forense Jan 19 2007 12:01AM
abraham Lizardo (qlalizardo hotmail com) (1 replies)
Re: Pasos de Análisis Forense Jan 19 2007 12:41PM
Román Ramírez (rramirez chasethesun es) (1 replies)

> PASO 1
> - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o respaldo)
> de dicha memoria.

Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido
a un volcado de memoria y en el caso de que lo hicieras estaríamos
hablando de que estarías corrompiendo la escena del crimen para obtener
una imagen de la memoria o de los procesos (has de hacerlo en caliente).

Este tipo de evidencias volátiles tienen una utilidad mínima (más aún
teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
de los ficheros de intercambio o del swap).

> Software, Programa o Herramienta Sugerida:

Si vas a hacerlo mira pcat para unix y/o las herramientas de
sysinternals en Microsoft.

> - Para el análisis del sistema de archivos, obtener las particiones del
> disco duro.
> Software, Programa o Herramienta Sugerida:

dd, Encase,...

> - Una vez obtenido lo anterior sacar una huella digital de dichos archivos
> para garantizar la integridad de la información que será manipulada durante
> la investigación.
> Software, Programa o Herramienta Sugerida:

md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
segundo con la excusa de las colisiones) o emplea un hash más potente
como sha256 o hmac.

> PASO 2
> - Ya analizada la memoria, hacer una análisis general del Sistema
> Operativo(SO) recopilando horas de acceso SO, últimos paquetes instalados,
> archivos ocultos, procesos no identificados, etcétera. Aquí la revista
> sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar que
> las herramientas no hayan sido afectadas, aunque no menciona como hacer la
> verificación.

Esto son evidencias volátiles, volvemos al problema del análisis en
caliente. No se justifica (a no ser que exista algún requisito legal que
desconozca en tu país).

Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
una herramienta pobre).

> PASO 3
>
> - Análisis de la memoria RAM para ver el detalle de las acciones realizadas
> por el atacante, la explicación es muy escueta y no ofrece precisiones de
> cómo hacer el análisis.
> Software, Programa o Herramienta Sugerida:

gdb, idapro, ollydbg

Saludos

[ reply ]
Re: Pasos de Análisis Forense Jan 20 2007 11:09PM
Flavio, el HdP (flaviohdp gmail com) (1 replies)
Re: Pasos de Análisis Forense Jan 23 2007 07:50AM
Javier García (jgmarec gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus