Bueno tengo bastante tiempo pensando sobre como o que programas se utilizan para el análisis forense Digital, buscando en Internet me encontre con una maravillosa herramienta llamada: The Sleuth Kit "Las herramientas del Sabueso". Es una colección de herramientas de análisis forense de volumen de sistema y archivos, está basado en línea de comandos,las herramientas permiten examinar de una manera no intrusiva el sistema de archivos de la computadora en cuestión, esto debido que las herramientas no confían en el Sistema Operativo para los procesos del sistema de archivos, de manera que es muy posible ubicar contenido borrado y oculto.
Pero eso no es todo, The Sleuth Kit es de código abierto y ademas se encuentra en los repositorios de Debían y por si fuera poco posee una interfaz gráfica basada en HTML, el paquete que proporciona esto se llama Autopsy.
Instalación:
$ aptitude install Sleuthkit autopsyLos sistemas de archivos soportados por The Sleuth Kit (NTFS, FAT, FFS, EXT2FS, y EXT3FS), es muy complejo utilizar todas las herramientas que posee The Sleuth Kit, sin embargo colocare un pequeño ejemplo de su uso:
En este ejemplo copiare un Disco duro completo en un archivo.
# dd if=/dev/sda1 of=/media/sda2/archivo.ddLuego como root ejecutamos Autopsy
# autopsy
Ahora entramos con nuestro navegador en http://localhost:9999/autopsy
Creamos un nuevo caso y damos a “add image” seleccionando el archivo de nuestra imagen, grabado en /media/sda2/archivo.dd
Seleccionamos “Analize” y luego “File Analysis“. A medida que el análisis va pasando, podemos ver los archivos que hemos borrado y, en su caso, recuperarlo.
Este es otro ejemplo de recuperación de datos de USB con Autopsy-SleuthKit
Técnicas de Búsquedas
Listado del archivo: Analiza los archivos y los directorios, incluyendo los nombres de archivos suprimidos.
Bases de datos de Hash: Los archivos son reconocidos como buenos o perjudiciales para el sistema basándose en la biblioteca de referencia del software NIST (NSRL) y las bases de datos creadas por el usuario.
Clasificación de tipos de archivo por extensiones: Clasifica los archivos basándose en sus firmas internas para identificar extensiones conocidas. La autopsia puede también extraer solamente imágenes gráficas y comparar el tipo de archivo para identificar posibles cambios en la extensión para ocultarlos.
Línea de tiempo de la actividad del archivo: En algunos casos, tener una línea de tiempo de la actividad del archivo puede ayudar a identificar áreas de un sistema de ficheros que puedan contener evidencias. La autopsia puede crear la línea de tiempo que contienen los registros de: modificación, acceso, y cambios de fechas en los archivos.
Búsqueda de palabra clave: Las búsquedas de palabra clave de la imagen del sistema de ficheros se pueden realizar usando secuencias del ASCII y expresiones regulares. Las búsquedas se pueden realizar en la imagen completa del sistema de ficheros.
Análisis de los meta datos: Las estructuras de los meta datos contienen los detalles sobre archivos y directorios. La autopsia permite una visión los detalles de cualquier estructura de los meta datos en el sistema de ficheros.
Detalles de la imagen: Se pueden ver los detalles del sistema de ficheros, incluyendo la disposición en disco y épocas de actividad. Este modo proporciona información útil durante la recuperación de datos.
Secuenciador de acontecimientos: Los acontecimientos se pueden agregar de los log de un IDS o de un cortafuegos. La autopsia clasifica los acontecimientos para poder determinar más fácilmente la secuencia de los acontecimientos del incidente.
Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrión y investigador. Esto permite hacer notas rápidas sobre archivos y estructuras.
Registros: Los registros de la intervención se crean en un caso, un anfitrión, y un nivel del investigador para poder recordar fácilmente las acciones y los comandos ejecutados.
Bueno eso es todo, esta entrada es simplemente introductoria, The Sleuth Kit posee muchas herramientas destinadas al Análisis Forense Digital, no solo esta disponible para GNU/linux, sino también para Windows y MAC OS
Fuentes:
Pagina Oficial : http://www.sleuthkit.org/
http://pyr0s-9889.blogspot.com/2009/04/recuperar-datos-de-usb-con-autops...
http://mamalibre.eshost.com.ar/?q=node/262
Saludos.
Hay distribuciones especificas para análisis forense, por ejemplo Helix, que trae herramientas para recolección de información, para copiar discos, para buscar información eliminada, etc..... la ventaja de Helix es que tiene 2 modalidades de funcionamiento, 1 es desde LiveCD con una gran cantidad de herramientas, y la otra estando desde sistemas Windows permite ejecutar aplicaciones para dicho sistema.
Hay distribuciones especificas para análisis forense, por ejemplo Helix, que trae herramientas para recolección de información, para copiar discos, para buscar información eliminada, etc..... la ventaja de Helix es que tiene 2 modalidades de funcionamiento, 1 es desde LiveCD con una gran cantidad de herramientas, y la otra estando desde sistemas Windows permite ejecutar aplicaciones para dicho sistema.
Si he leído sobre Helix, aunque no he tenido el tiempo de probarlo, gracias por el aporte.
que buen tema, no habia pensado nunca en este tipo de herramientas, se agradece el compartir esta información. Saludos.
Interesante herramienta. La voy a probar, no la conocía.
Se agradece la informacion, bastante util, en este apartado existen varios liveCD ,como bien apunta tuxerito, otros pueden ser por ejemplo Caine.
En este enlace hay una lista de unos cuantos
Gracias por responder, Cnicolas se agradece el link.
Saludos.
Buena introducción, una pregunta ¿pretendes seguir profundizando en el tema en futuros posts en tu blog?
Esta herramienta no la conocía, pero photorec es el mejor amigo de la cámara de fotos de una amiga mía
Buena introducción, una pregunta ¿pretendes seguir profundizando en el tema en futuros posts en tu blog?
Esta herramienta no la conocía, pero photorec es el mejor amigo de la cámara de fotos de una amiga mía
Si efectivamente pienso seguir, estoy estudiando, es que como dije es muy complejo utilizarlo al 100%. Y lo de photorec es el amigo de mas de uno
Saludos.
Hace unos meses probé autopsy pero me pareció muy complejo, terminé usando photorec y foremost.
Buen aporte, buen video y buena música. ¿Qué grupo de música es?
Saludos.