domingo, 10 de enero de 2016

Análisis Forense Digital II

Una vez aclarado los aspectosbásicos y fundamentales del Análisis forense digital en la anterior entrada hoy vamos entrar de lleno a la parte técnica, para el uso de herramientas y sistemas operativos como laboratorio forense existe una gran cantidad de herramientas.


Para entender las diferentes capas que podrían ser analizadas podemos partir desde el medio físico de almacenamiento siguiendo por dos caminos: la adquisición de la memoria volátil (análisis en vivo) y/o adquisición del disco duro donde reside el S.O. Dependiendo del S.O nos encontramos con particiones o volúmenes, a su vez estas tienen un sistemas de archivos (ntfs, ext3, ext4, fat32, etc.)  Donde se ejecutan aplicaciones.

Capas de Análisis Forense Digital
Se puede observar que comenzando desde un dispositivo almacenamiento (disco duro) se genera un proceso para el análisis, desde el medio físico pasamos los sectores del disco, luego seguimos al análisis de las particiones o volúmenes, sobre esas particiones están los sistemas de archivos y los propios archivos analizar.

Flujo del Análisis Forense Digital
En nuestro caso en particular utilizaremos Kali 2.0 ya que viene con las herramientas necesarias para la adquisición de imágenes forense (copia bit a bit de los dispositivos de almacenamiento). Para esta entrada en particular vamos a utilizar la herramienta dcfldd que es una versión “reload” del tan utilizado dd, esta herramienta fue desarrollada por el laboratorio de informática forense del departamento de defensa de los Estados Unidos, algunas de sus características son:
  • Barra de progreso sobre los datos que ya han sido copiados o enviados.
  • Sobre-escritura de discos con patrones conocidos o pre establecidos.
  • Verificación de la integridad entre el elemento clonado y la imagen forense (bit a bit)
  • Salidas simultaneas de archivos (output)
  • Las imágenes pueden ser dividas output1.dd, output2.dd, output3.dd
  • Los registros y los datos pueden ser re direccionados a otra aplicación externa.
  • La aplicación solo produce imágenes crudas (raw).
Formato del archivo (Imagen Forense)

Cuando generamos una imagen dependiendo de la herramienta podes seleccionar el formato del archivo (la identificación de los distintos formatos queda fuera de esta entrada), nos vamos a centrar en el formato raw.
Formato de Imagen Forense
Comenzamos viendo la ayuda de la herramienta (cuando algo sale mal lea el manual).

Ayuda de dcfldd
La ayuda es muy larga -como puteada de tartamudo- pero en la imagen podemos observar los parámetros necesarios como el if (que es desde donde va a leer, es decir el elemento o dispositivo a copiar y el of que es el destino donde vamos almacenar la imagen forense (copia bit a bit), como vimos en la descripción de la herramienta podemos generar el hash para preservar la integridad al vuelo (on-the-fly) con el parámetro hashlog, otro parámetro interesante es errlog aquí configuramos la dirección donde se creara un archivo con los mensajes de error (si existiesen).

Para crear la copia, debemos identificar el dispositivo a copiar y donde vamos a copiar, mediante fdisk –l se identifica /dev/sda (disco duro donde se reside el S.O) y /dev/sdb (memoria USB), para fines didácticos vamos a generar una copia de la partición /dev/sda5 que tiene un tamaño de 466M y vamos almacenar en la memoria USB.
Identificando el origen y destino
Procedemos a crear la copia, primero creamos la carpeta evidencia, luego generamos la copia preservando la integridad de la misma firmando la imagen forense mediante sha256 volcando el resultado en un archivo de texto como se puede observar en la imagen.

Generando y Preservando la Copia

No hay comentarios:

Publicar un comentario