incibe_toma_evidencias_analisis_forense

Recommendations

Info

Existen un gran número de utilidades que permiten realizar un volcado de memoria, pero entretodas destaca DumpIt 22 por su sencillez y compatibilidad con las distintas versiones deWindows. Con ejecutar la aplicación desde el intérprete de comandos es suficiente. Realizaun volcado de memoria en formato RAW en el mismo directorio desde donde se ejecute elprograma.Un ejemplo de uso del programa es la Ilustración 3:Ilustración 3: DumpItVolatilityAccessData FTKImagerMemoryzeMDDBelkasoft Live RAMCapturerhttps://code.google.com/p/volatilityhttp://www.accessdata.comhttp://www.mandiant.com/resources/download/memoryzehttp://sourceforge.net/projects/mdd/http://forensic.belkasoft.com/en/ram-capturerOtra manera de obtener la memoria física es mediante un “crash dump”, el cual correspondea un fallo del que el sistema no puede recuperarse. Cuando se produce este tipo de fallos segenera un fichero, que puede ser un minidump (volcado parcial de la memoria física) o, en elcaso de configurarlo 23 , un volcado completo de la memoria física(%SystemRoot%\Memory.dmp), y que posteriormente pueden ser analizados mediante laherramienta correspondiente. Este tipo de fallos pueden ser provocados medianteherramientas como NotMyFault 24 o quitando directamente el cable de corriente del22http://www.moonsols.com23http://blogs.technet.com/b/plataformas/archive/2008/08/22/como-configurar-mi-m-quina-para-obtener-undump-de-memoria.aspx24http://download.sysinternals.com/files/NotMyFault.zipToma de evidencias en entornos Windows 24
ordenador, si es uno de sobremesa, y la batería y el cable de corriente en un portátil. En elcaso de obtener la memoria mediante este método es recomendable verificar la integridad delfichero mediante alguna utilidad como Dumpchk 25 .Para ello, se debe escribir la siguiente instrucción:dumpchk.exe Memory.dmpEn el caso de que la integridad del fichero esté afectada mostrará un mensaje de error y en elcaso de que la integridad del fichero sea correcta mostrará el mensaje: “Finished dump check”.Puede darse el caso de que por diferentes motivos, como que no se tenga acceso físico alequipo al que se va a realizar la toma de evidencias, sea necesario realizar el proceso demanera remota. Para ello es posible utilizar de alguna herramienta como psexec 26 gracias ala cual se puede realizar dicho proceso de una manera eficaz y sin necesidad de instalarningún componente en el equipo remoto.Una vez obtenida la imagen correspondiente al volcado de memoria física es necesarioobtener un hash de la misma que será anotado en la documentación de la cadena de custodiapara asegurar que dicha imagen no sea modificada a posteriori y garantizar la integridad dela misma. Un hash es un valor que identifica datos de forma “unívoca”. Existen distintos tiposde hashes: MD5, SHA-1, SHA-2, etc.El uso del hash MD5, pese al alto grado de utilización, presenta el problema de quepueden surgir colisiones, es decir, puede darse el caso de que ficheros diferentestengan el mismo MD5, por lo que puede quedar en entredicho la validez de laspruebas. Es por ello que es recomendable que vaya cayendo en desuso.Un caso similar, aunque no igual, es el del SHA-1 por lo que se aconseja que sebusquen otras alternativas como SHA-256, SHA-512, etc.Hay un gran número de herramientas como por ejemplo HashMyFiles 27 , MD5deep 28 oHashCalc 29 a través de las cuales se pueden obtener los distintos hashes de un fichero. Unejemplo de uso del programa HashMyFiles es la Ilustración 425http://technet.microsoft.com/es-es/library/ee424340%28v=ws.10%29.aspx26http://technet.microsoft.com/es-es/sysinternals/bb897553.aspx27http://www.nirsoft.net/utils/hash_my_files.html28http://md5deep.sourceforge.net29http://www.slavasoft.com/hashcalc/Toma de evidencias en entornos Windows 25
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23: por ello que, como indica el RFC 32
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?