Archive for the ‘Informatica Forense’ Category

Análisis Forense en Firefox 3.x

mayo 20, 2009

Navegando por internet me encontre con una  herramienta  Firefox 3 Extractor.

Esta herramienta forense de linea de comandos lo que hace es analizar la base de datos SQLite del navegador y generar un informe completo de los sitios webs visitados, descargas, marcadores y cualquier otra información que puede ser muy útil para un examinador forense.

Base de datos en SQLite?

Esto es porque a partir de la version 3 de firefox se utiliza un nuevo formato para registrar información sobre el historial de navegación en el navegador, en lugar de almacenar la información en un archivo usando el formato de archivo Mork, la información se guarda en una base de datos SQLite.

Es muy sencillo de utilizar, después de que el programa lee los archivos de SQLite en la carpeta del perfil de firefox nos genera un panorama muy completa en formato HTML o también puede extraer los datos a un archivo CSV, este tipo de archivos es un tipo de documento sencillo para presentar datos de forma de tabla, y con un programa de calculo como exel nos ayudara a clasificar los datos.

Firefox 3 Extractor actualmente tiene las siguientes características:

  • Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV.
  • Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.
  • Crear un archivo CSV con un informe del Historia del uso de Internet
  • Crear un archivo HTML con un informe del Historia del uso de Internet
  • Descodificación de PRTime.
  • Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV.
  • Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.

(more…)

Analisis forense de UserAssist

enero 30, 2009

Para saber cuantas veces el usuario al que pertenece el ordenador ejecuta una aplicación un metodo rápido a  simple vista consiste en ver sobre el lado izquierdo del menu de inicio las aplicaciones que ha ejecutado, de esta forma podemos deducir que aplicaciones ejecuta, pero sigo sin saber cuantas veces lo ha hecho

Aparte de los muchos otros métodos que puede haber, hoy nos centraremos en una clave del registro que no esta documentada por Microsoft. Estamos hablando del UserAssist.

En un principio el userassist es una clave del registro que contiene una lista de programas que con frecuencia aparecen en el menú de inicio.

Si nos vamos al registro de Windows nos encontramos que la clave siguiente contiene toda la información que buscamos pero con una sorpresa, esta cifrada.

(more…)

Analisis forense de los ficheros Thumbs.db

diciembre 15, 2008

Los ficheros Thumbs.db  son ficheros propios de los sistemas Microsoft Windows, empleados para almacenar información que tiene que ver con las imágenes y fotografías contenidas en un directorio.

Los sistemas Windows pueden almacenar información de las miniaturas de las imágenes de un directorio del sistema, así como sus metadatos asociados.

El objetivo de estos ficheros es acelerar la aparición de imágenes, ya que las imágenes más pequeñas no se recalculan cada vez que el usuario visualiza las miniaturas de una carpeta. Como consecuencia de lo anterior, si en un sistema Windows empleamos la opción “Mostrar archivos ocultos”, aparecerán con frecuencia ficheros Thumbs.db acompañando a las imágenes y fotografías que tengamos en un directorio, siempre que hayamos empleado la vista de miniaturas.

Técnicamente hablando, los ficheros Thumbs.db son OLE structured storage files, o si lo preferimos, ficheros OLE de almacenamiento estructurado.

Extracción de información

Vamos a coger un fichero Thumbs.db públicamente accesible, también necesitaremos un programa de análisis, en este caso, Vinetto, orientado al análisis forense de estos ficheros.

(more…)

Análisis forense de elementos enviados a la papelera de reciclaje.

noviembre 27, 2008

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

  • Windows 95/98/ME en “C:\Recycled\”
  • Windows NT/2000/XP/ en “C:\Recycler\”

Un ejemplo en de la estructura en un Windows XP con dos usuarios:

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.
(more…)

CAINE, LiveCD GNU/Linux para Informática Forense

noviembre 27, 2008

CAINE (Computer Aided INvestigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense (Forense Digital) para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia.

El proyecto CAINE (Computer Aided INvestigative Environment) no pretende ser una nueva herramienta forense o framework de recopilación de ellas, pues este tipo de distribuciones ya existen (ej. Felix FCCU, Deft, entre otras). CAINE propone como novedad un nuevo entorno de fácil uso para todo este tipo de herramientas. Además introduce nuevas características importantes, que aspiran a llenar el vacio de interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes  y resultados.

page3-1002-full

page3-1005-full

(more…)

Cómo ver y administrar registros de sucesos en el Visor de sucesos de Windows XP

noviembre 24, 2008

 En Windows XP, un evento es cualquier evento significativo del sistema o de un programa que requiere que se notifique a los usuarios o que se agregue una entrada a un registro. El servicio Registro de eventos graba eventos de aplicación, de seguridad y de sistema en el Visor de eventos. Con los registros de eventos del Visor de eventos puede obtener información acerca de los componentes de hardware, software y sistema, y supervisar los eventos de seguridad de un equipo local o remoto. Los registros de eventos pueden ayudar a identificar y diagnosticar el origen de los problemas actuales del sistema o a predecir posibles problemas del sistema.

Tipos de registros de eventos

Un equipo con Windows XP graba los eventos en los tres registros siguientes:

  • Registro de aplicación

    El registro de aplicación contiene eventos registrados por los programas. Por ejemplo, un programa de base de datos puede grabar un error de archivo en el registro de aplicación. Los desarrolladores del programa de software determinan los eventos que se escriben en el registro de aplicación. (more…)

Nipper = auditar seguridad en dispositivos Switches, routers y firewalls

julio 30, 2008

Usando la aplicación Nipper que sirve para auditar la seguridad de dispositivos de red: Switches, routers y firewalls. Este auditor de seguridad soporta los siguientes dispositivos:

  • Cisco Switches (IOS)
  • Cisco Routers (IOS)
  • Cisco Firewalls (PIX, ASA, FWSM)
  • Cisco Catalysts (NMP, CatOS, IOS)
  • Cisco Content Service Switches (CSS)
  • Juniper NetScreen Firewalls (ScreenOS)
  • CheckPoint Firewall-1 (FW1)
  • Nokia IP Firewalls (FW1)
  • Nortel Passport
  • Bay Networks Accelar Switches
  • SonicWALL SonicOS Firewalls (SonicOS)

Nipper es gratuito y funciona bajo las plataformas Windows y Linux. Su funcionamiento consiste en que, pasándole la configuración del dispositivo, Nipper genera un log en HTML con las posibles fallos de seguridad, tales como:

  • Si la versión del software tiene vulnerabilidades y los números de referencia para esas vulnerabilidades.
  • Recomendaciones de inhabilitar los servicios que puede ser usado para tener acceso no permitido al dispositivo.
  • Comandos necesarios para ayudar a asegurar el dispositivo.
  • Muestra la configuración del dispositivo explicando cada servicio y utilidad.

(more…)