Forensics in Spanish
Pasos de Análisis Forense Jan 19 2007 12:01AM
abraham Lizardo (qlalizardo hotmail com) (1 replies)
Re: Pasos de Análisis Forense Jan 19 2007 12:41PM
Román Ramírez (rramirez chasethesun es) (1 replies)
Re: Pasos de Análisis Forense Jan 20 2007 11:09PM
Flavio, el HdP (flaviohdp gmail com) (1 replies)
Con respecto a la Preservación de Evidencia Volátil, específicamente RAM
(también la conectividad en Red aporta mucha Evidencia Volátil, que debe ser
preservada) :

Primero : Actualmente, el volcado de memoria *SI *proporciona mucha
información importante, especialmente ahora que las memorias son baratas, y
la mayoría de las personas usa un mínimo de 512 megas, lo que permite
recuperar páginas no reemplazadas de hasta *horas* anteriores, como lo pude
demostrar a los alumnos en cursos dados en Ecuador, Uruguay, Argentina, Perú
y Bolivia.. inclusive ver lo que se copió a un flash un rato antes, para
saber si alguien se sacó información confidencial...

Segundo : Cómo congelo la memoria ENTERA, sin corromper nada ? Si corro un
programa que me haga un volcado, obligadamente necesita instalarse en RAM,
lo que jode un parte de la Evidencia (aunque es pequeña, el principio de
Evidencia Nula parte de la premisa de Evidencia Contaminada). Para dar
solución (mía) fácil a esto, simplemente HIBERNE el equipo (la mayoría de
los S.O. y Hards actuales lo permite), en el caso de una Laptop ciérrela
inmediatamente, y espere que se apague. Una vez hibernada, se saca el disco
duro, se hace una Imagen del Disco completo, y luego se la analiza
adecuadamente. TODO lo que estaba en RAM bajó al disco.
Tercero : Este método permite además levantar nuevamente el equipo
(despertarlo) para hacer Análisis In Situ, y encontrar otras Evidencias
mediante Shells Remotos, vínculos en red, etc., pero con TODA la Evidencia
(HDD + RAM) preservada correctamente.

Un saludo,

Flavio.-

El día 19/01/07, Román Ramírez <rramirez (at) chasethesun (dot) es [email concealed]> escribió:
>
>
> > PASO 1
> > - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o
> respaldo)
> > de dicha memoria.
>
> Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido
> a un volcado de memoria y en el caso de que lo hicieras estaríamos
> hablando de que estarías corrompiendo la escena del crimen para obtener
> una imagen de la memoria o de los procesos (has de hacerlo en caliente).
>
> Este tipo de evidencias volátiles tienen una utilidad mínima (más aún
> teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
> de los ficheros de intercambio o del swap).
>
>
> > Software, Programa o Herramienta Sugerida:
>
> Si vas a hacerlo mira pcat para unix y/o las herramientas de
> sysinternals en Microsoft.
>
>
> > - Para el análisis del sistema de archivos, obtener las particiones del
> > disco duro.
> > Software, Programa o Herramienta Sugerida:
>
> dd, Encase,...
>
>
> > - Una vez obtenido lo anterior sacar una huella digital de dichos
> archivos
> > para garantizar la integridad de la información que será manipulada
> durante
> > la investigación.
> > Software, Programa o Herramienta Sugerida:
>
> md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
> segundo con la excusa de las colisiones) o emplea un hash más potente
> como sha256 o hmac.
>
>
>
> > PASO 2
> > - Ya analizada la memoria, hacer una análisis general del Sistema
> > Operativo(SO) recopilando horas de acceso SO, últimos paquetes
> instalados,
> > archivos ocultos, procesos no identificados, etcétera. Aquí la revista
> > sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar
> que
> > las herramientas no hayan sido afectadas, aunque no menciona como hacer
> la
> > verificación.
>
> Esto son evidencias volátiles, volvemos al problema del análisis en
> caliente. No se justifica (a no ser que exista algún requisito legal que
> desconozca en tu país).
>
> Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
> una herramienta pobre).
>
>
> > PASO 3
> >
> > - Análisis de la memoria RAM para ver el detalle de las acciones
> realizadas
> > por el atacante, la explicación es muy escueta y no ofrece precisiones
> de
> > cómo hacer el análisis.
> > Software, Programa o Herramienta Sugerida:
>
> gdb, idapro, ollydbg
>
>
>
>
>
> Saludos
>
<div>Con respecto a la Preservación de Evidencia Volátil, específicamente RAM (también la conectividad en Red aporta mucha Evidencia Volátil, que debe ser preservada) :</div>
<div> </div>
<div>Primero :  Actualmente, el volcado de memoria  <strong>SI </strong>proporciona mucha información importante, especialmente ahora que las memorias son baratas, y la mayoría de las personas usa un mínimo de 512 megas, lo que permite recuperar páginas no reemplazadas de hasta
<strong>horas</strong> anteriores, como lo pude demostrar a los alumnos en cursos dados en Ecuador, Uruguay, Argentina, Perú y Bolivia.. inclusive ver lo que se copió a un flash un rato antes, para saber si alguien se sacó información confidencial...
</div>
<div> </div>
<div>Segundo : Cómo congelo la memoria ENTERA, sin corromper nada ? Si corro un programa que me haga un volcado, obligadamente necesita instalarse en RAM, lo que jode un parte de la Evidencia (aunque es pequeña, el principio de Evidencia Nula parte de la premisa de Evidencia Contaminada). Para dar solución (mía) fácil a esto, simplemente HIBERNE el equipo (la mayoría de los
S.O. y Hards actuales lo permite), en el caso de una Laptop ciérrela inmediatamente, y espere que se apague. Una vez hibernada, se saca el disco duro, se hace una Imagen del Disco completo, y luego se la analiza adecuadamente. TODO lo que estaba en RAM bajó al disco.
</div>
<div>Tercero : Este método permite además levantar  nuevamente el equipo (despertarlo) para hacer Análisis In Situ, y encontrar otras Evidencias mediante Shells Remotos, vínculos en red, etc., pero con TODA la Evidencia (HDD + RAM) preservada correctamente.
</div>
<div> </div>
<div>Un saludo,</div>
<div> </div>
<div>Flavio.-</div><br><br>
<div><span class="gmail_quote">El día 19/01/07, <b class="gmail_sendername">Román Ramírez</b> <<a href="mailto:rramirez (at) chasethesun (dot) es [email concealed]">rramirez (at) chasethesun (dot) es [email concealed]</a>> escribió:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid"><br>> PASO 1<br>> - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o respaldo)<br>> de dicha memoria.
<br><br>Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido<br>a un volcado de memoria y en el caso de que lo hicieras estaríamos<br>hablando de que estarías corrompiendo la escena del crimen para obtener
<br>una imagen de la memoria o de los procesos (has de hacerlo en caliente).<br><br>Este tipo de evidencias volátiles tienen una utilidad mínima (más aún<br>teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
<br>de los ficheros de intercambio o del swap).<br><br><br>>        &n
bsp;    Software, Programa o Herramienta Sugerida:<br><br>Si vas a hacerlo mira pcat para unix y/o las herramientas de<br>sysinternals en Microsoft.<br><br>
<br>> - Para el análisis del sistema de archivos, obtener las particiones del<br>> disco duro.<br>>          
;   Software, Programa o Herramienta Sugerida:<br><br>dd, Encase,...<br><br><br>> - Una vez obtenido lo anterior sacar una huella digital de dichos archivos
<br>> para garantizar la integridad de la información que será manipulada durante<br>> la investigación.<br>>        &n
bsp;    Software, Programa o Herramienta Sugerida:<br><br>md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
<br>segundo con la excusa de las colisiones) o emplea un hash más potente<br>como sha256 o hmac.<br><br><br><br>> PASO 2<br>> - Ya analizada la memoria, hacer una análisis general del Sistema<br>> Operativo(SO) recopilando horas de acceso SO, últimos paquetes instalados,
<br>> archivos ocultos, procesos no identificados, etcétera. Aquí la revista<br>> sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar que<br>> las herramientas no hayan sido afectadas, aunque no menciona como hacer la
<br>> verificación.<br><br>Esto son evidencias volátiles, volvemos al problema del análisis en<br>caliente. No se justifica (a no ser que exista algún requisito legal que<br>desconozca en tu país).<br><br>Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
<br>una herramienta pobre).<br><br><br>> PASO 3<br>><br>> - Análisis de la memoria RAM para ver el detalle de las acciones realizadas<br>> por el atacante, la explicación es muy escueta y no ofrece precisiones de
<br>> cómo hacer el análisis.<br>>         &
nbsp;   Software, Programa o Herramienta Sugerida:<br><br>gdb, idapro, ollydbg<br><br><br><br><br><br>Saludos<br></blockquote></div><br>

[ reply ]
Re: Pasos de Análisis Forense Jan 23 2007 07:50AM
Javier García (jgmarec gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus