SEGURIDAD INFORMÁTICA 2007-2008

A N Á LIS I S FOR E N S E D E S I S T EM A S DE I N F ORM AC IÓN

CARMEN RODRÍGUEZ VÁZQUEZ

ÍNDICE
INTRODUCCIÓN DEFINICIONES ANÁLISIS DIGITAL TIPOS METODOLOGÍA DE ANÁLISIS INVESTIGACIÓN DE LA ESCENA DEL CRIMEN DIGITAL FASES Normativa RFC3227 ADQUISICIÓN DE DATOS LECTURA DE DATOS DE ORIGEN ESCRITURA DE DATOS Integridad a través de los valores hash HERRAMIENTAS ÚTILES EN EL ANÁLISIS DIGITAL DE SISTEMAS DE ARCHIVOS
DD SLEUTH KIT AUTOPSY MAC-ROBBER DISTRIBUCIONES LIVE-CD LINUX

4 5 6 6 7 9 9 9 11 11 11 12

13 13 14 16 16 16 17 17 18 19 19 20 21 22 22 23 24 25 26 29 30

CASOS PRÁCTICOS SCAN OF THE MONTH #24. HONEYNET PROJECT
INVESTIGACION

coverpage.jpgc jimmy jungle.doc scheduled visits.exe coverpage.jpgc (de nuevo) scheduled visits.exe (de nuevo) Bonus question SCAN OF THE MONTH #26. HONEYNET PROJECT INVESTIGACIÓN Análisis del espacio no asignado Conclusiones CONCLUSIONES BIBLIOGRAFÍA

2

ÍNDICE DE FIGURAS
FIGURA 1. NIVELES DE ANÁLISIS DIGITAL SEGÚN LA ESTRUCTURA DE LOS DATOS A ANALIZAR ................................................................................................................................6 FIGURA 2. FASES DE LA METODOLOGÍA DE ANÁLISIS PROPUESTA POR CARRIER Y SPAFFORD................................................................................................................................7 FIGURA 3. FASES DE LA INVESTIGACIÓN DE UNA ESCENA DEL CRIMEN DIGITAL ................9 FIGURA 4. AUTOPSY: AÑADIR IMAGEN AL HOST ..................................................................... 18 FIGURA 5. AUTOPSY: ANÁLISIS DE FICHEROS .......................................................................... 18 FIGURA 6. AUTOPSY: ANÁLISIS DE LA IMAGEN ....................................................................... 20 FIGURA 7. AUTOPSY: ANÁLISIS DEL CONTENIDO DE UN CONJUNTO DE SECTORES.......... 21 FIGURA 8. CONTENIDO DEL FICHERO DE PRUEBA REALIZADO CON MICROSOFT PAINT.22 FIGURA 9. CONTENIDO DEL FICHERO COVERPAGE.JPG........................................................ 22 FIGURA 10. AUTOPSY: DETALLES DE LA IMAGEN .................................................................. 24 FIGURA 11. AUTOPSY: CONTENIDO DEL ESPACIO NO ASIGNADO. ...................................... 25

3

Aunque en muchos textos utilizan ambos términos como sinónimos. Existen dos áreas independientes de análisis de sistemas de información: el análisis de medios físicos (por ejemplo. y sin embargo. El análisis forense digital se refiere a cualquier medio digital del que se puedan recoger dichas evidencias (desde un teléfono móvil a una red de ordenadores). Debido a esto y dado que existen numerosos tipos de delitos que en su consecución han hecho uso (en mayor o menor medida) de algún tipo de sistema de información. Los sistemas de información han pasado de ser una herramienta reservada a unos pocos a un recurso utilizado masivamente en los últimos 20-25 años. el análisis forense de los mismos ha adquirido gran relevancia en las investigaciones criminales. El sistema de información puede haber sido utilizado bien para cometer el crimen bien para ejecutar un evento digital que haya violado alguna política o ley (por ejemplo. existen pautas comunes a la hora de realizar el análisis. análisis forense digital El análisis forense de sistemas de información es el análisis de las evidencias recogidas en un sistema de información (involucrado en algún delito o crimen1) con el objeto de extraer conclusiones que sirvan para incluir dichas evidencias como pruebas en procesos judiciales. Sin embargo. el análisis forense de sistemas de información es un tipo de análisis forense digital. Algunos autores (como Brian Carrier y Eugene Spafford) prefieren omitir el término forense. discos duros) y el análisis basado en dispositivos de comunicación (análisis de redes). ya que entonces el análisis variará en función de las leyes del país o países en los que se pretende presentar las evidencias como prueba judicial. donde el término forense pierde su sentido. al margen de las leyes que imperen en el país determinado. acceder ilícitamente a un sistema). sino a la recopilación de evidencias que puedan servir como prueba judicial. Análisis forense de sistemas de información vs. Otros muchos pensarán en salas frías embaldosadas de blanco.ANÁLISIS FORENSE DE S I S T E M A S D E I N F O R M AC I Ó N I N T RO D U C C I Ó N Es irremediable que el término análisis forense traiga a la memoria de muchos numerosas series y/o películas de ciencia ficción donde policías muy hábiles resuelven crímenes. por tanto. a simple vista perfectos o inexplicables. En este trabajo seguiré su filosofía. 1 4 . el término forense. También es posible realizar un análisis de sistemas de información en un entorno corporativo. eludiendo los detalles legales del análisis de sistemas de información y omitiendo. En este trabajo nos centraremos en el primer área. el término forense en nuestro caso no se refiere a la medicina forense.

Objeto digital es una colección de datos digitales. Un incidente digital es un suceso digital o una colección de ellos que violan una política y/o ley. Un suceso digital es un acontecimiento que modifica el estado de uno o más objetos digitales. Por ejemplo.DEFINICIONES Datos digitales son los datos representados de forma numérica (en los sistemas de información comunes. la única diferencia entre evidencia física y digital es su formato. en forma binaria). que pueden ser utilizados para identificarlos. Una investigación es el proceso de desarrollar y probar hipótesis sobre sucesos que hayan ocurrido. los datos de un disco duro son impulsos magnéticos en un disco que son leídos por un sensor analógico. Algunos entornos desarrollan políticas y leyes que prohíben ciertos sucesos. Como un objeto digital tiene representaciones numérica y física. Normalmente son objetos que pueden establecer si un delito ha sido cometido. crear una conexión entre el delito y la victima o entre un delito y quien lo perpetró. La escena del crimen físico es el entorno en el cual existe evidencia de un crimen o incidente. una cámara de video crea una representación digital de un suceso físico y el fichero resultante será una evidencia digital del suceso) o evidencia física de un crimen digital. por lo que podemos poseer evidencia digital de un crimen o incidente físico (por ejemplo. como pueden ser un archivo. un sector de disco duro. Un incidente es un suceso o secuencia de sucesos que violan una política y un crimen es un suceso o secuencia de sucesos que violan una ley. Evidencias de un incidente son cualquier objeto que contiene información fiable que confirma o niega una hipótesis sobre un incidente. El estado de un objeto es el valor de sus características. Como los datos digitales poseen una forma física. 5 . las evidencias físicas de un incidente pueden contener evidencias digitales. un paquete (en terminología de redes). su estado puede verse alterado por eventos digitales y físicos. Los datos digitales poseen características o rasgos únicos. Las redes cableadas utilizan señales eléctricas para representar los datos. Según su naturaleza se pueden clasificar en evidencias físicas y evidencias digitales. Los datos digitales tienen también una representación física. una página de memoria o un proceso del sistema operativo. A su vez. La escena del crimen digital es el entorno virtual creado por el conjunto de software-hardware donde existe evidencia digital de un crimen o incidente.

como pueden ser: • Análisis de sistemas operativos. en el que se examinan los sucesos que podrían desencadenan los mismos. como los disquetes. que únicamente poseen un volumen. El análisis de aplicación se divide a su vez en varias categorías. existen a su vez numerosos tipos de análisis digital. se pueden organizar volúmenes para formar otros más grandes (como en los sistemas RAID). Los volúmenes de los dispositivos pueden contener sistemas de ficheros (lo más común).A N Á L I S I S D I G I TA L TIPOS Al existir numerosos formatos para los datos digitales. recuperar ficheros borrados y encontrar ficheros ocultos. El análisis de un sistema de ficheros nos permite encontrar ficheros. en el que se examinan los ficheros de configuración y salida del SO para obtener información sobre los sucesos ocurridos. Las particiones son utilizadas para dividir un volumen en otros más pequeños. Los más comunes se resumen en este grafico: Análisis de aplicaciones / SO Análisis de sistemas de ficheros Análisis del espacio de intercambio (swap) Análisis de bases de datos Análisis de volúmenes Análisis de memoria Análisis de medios de almacenamiento fisíco Analisis de redes Figura 1. Para poder analizar los ficheros encontrados necesitamos analizarlos a nivel de aplicación. Niveles de análisis digital según la estructura de los datos a analizar Los dispositivos de almacenamiento no-volátil (como un disco duro o una memoria flash) están normalmente organizados en volúmenes. A su vez. 6 . leer y escribir ficheros en el disco. espacios de intercambio (denominados swap) o bases de datos. ya que su estructura depende de las aplicaciones que los crearon (y del sistema operativo sobre el que estas funcionaban). Hay dispositivos. • Análisis de programas ejecutables. Los sistemas de ficheros son estructuras de datos que permiten a las aplicaciones crear. Es necesario conocer la información referente a los volúmenes porque nos permitirá encontrar datos ocultos y descubrir donde se encuentran los sistemas de archivos.

dónde y cuándo fue grabado.• • Análisis de imágenes. para evitar que se perciba la existencia del mismo. cuya relación se representa en la siguiente figura: Fase de preparacion Fase de despliegue Fase de investigacion de la escena del crimen fisico Fase de presentacion Fase de investigacion de la escena del crimen digital Figura 2. Un efecto similar se produce en una escena del crimen digital. • La fase de preparación de infraestructuras. dejan rastros de evidencia digital tras ellos. la investigación de miles de evidencias digitales recogidas es similar a la investigación de una casa en la que el investigador debe analizar cientos de objetos. Los ficheros temporales. Por todo ello. información de quién aparece. Así. como el utilizado con webcams o cámaras de vigilancia. en La esteganografía es la ocultación de mensajes. Análisis de videos. en el que se trata de buscar información en las fotografías. como por ejemplo quién está en la foto o quién la tomó y cuándo. También se buscan indicios de esteganografía2. un ordenador no deja de ser una evidencia física. donde se configura el equipamiento que asegura que los datos necesarios existirán cuando un incidente ocurra. 2 7 . superficies y fibras. al igual que en las escenas de crimen físicas. Estas evidencias pueden ser analizadas de la misma manera que se hace con las evidencias físicas para obtener información válida para probar hipótesis o rechazarlas. pero al ser procesada puede producir cientos de evidencias digitales. En la investigación de una escena del crimen físico se aplica el principio de intercambio de Locard: “siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. Brian Carrier y Eugene Spafford proponen en [ 1 ] una metodología de análisis digital basada en las fases que se documentan en las investigaciones de crímenes “físicos”. en el que se busca. Fases de la metodología de análisis propuesta por Carrier y Spafford La fase de preparación debe ser mantenida constantemente e incluye: • la fase de preparación de operaciones. Por ejemplo. Esta metodología se compone de cinco fases. al igual que en el análisis de imágenes. fragmentos de ficheros eliminados o contenidos de la memoria transferidos al disco pueden existir porque el sospechoso haya ejecutado algún software. en la que se enseña al personal a utilizar las herramientas que serán usadas a lo largo del proceso de investigación de un sistema. Los datos entran y salen de la escena del crimen digital y. METODOLOGÍA DE ANÁLISIS En principio.

La fase de despliegue provee los mecanismos necesarios para detectar y confirmar que un incidente ha sucedido. ante quien ha autorizado la investigación). se omiten aquí. La fase de investigación de la escena del crimen3 digital incluye las fases que suponen examinar los datos en busca de pruebas (evidencias). Recordemos que una escena del crimen digital no es necesariamente un sitio donde se haya producido un crimen. sino el entorno virtual creado por el conjunto de software-hardware donde existe evidencia digital de un crimen o incidente. • La fase de confirmación y autorización.un entrono corporativo esta fase podría incluir añadir sistemas de monitorización de redes. Esta fase incluye: • La fase de detección y notificación. Esta fase y la fase de investigación de la escena del crimen digital se comunican permanentemente: las conclusiones de la investigación de la escena del crimen digital se utilizan en la investigación de la escena del crimen físico. La fase de presentación incluye el presentar las conclusiones extraídas de las fases anteriores ante quien corresponda (normalmente. En [ 1 ]. En esta fase se recogen evidencias físicas que permitan enlazar una persona con un uso sospechoso de algún sistema de información. Por ejemplo. Cuando se encuentra un objeto que pueda contener evidencia digital da comienzo una investigación digital. un acceso ilegítimo a un sistema puede ser detectado por un sistema de detección de intrusiones. donde los investigadores son autorizados a analizar la escena del crimen e iniciar una investigación. es detallada mas adelante. Las tareas que se desarrollen dentro de esta fase difieren si se trata de una investigación en un sistema corporativo o con fines judiciales. La fase de investigación de la escena del crimen físico supone examinar los objetos que existen en una escena del crimen en la que existe algún dispositivo digital. en donde el incidente es detectado (por la víctima o un tercero) y los investigadores son alertados. Carrier y Spafford presentan dos casos de estudio de aplicación de esta metodología que ayudan a comprenderla mejor y que por razones temporales. 3 8 . Esta fase supone el comienzo de la investigación como tal.

un programa. En otros entornos no es necesaria. A su vez. ya que el sistema podría estar ocultando o falsificando maliciosamente la información (utilizando algún tipo de rootkit. Este proceso puede ser aplicado a análisis vivos o muertos. esta fase es vital. Es muy importante documentar este proceso. Es mejor utilizar herramientas de captura de evidencias desde un entorno protegido. etc. aunque sea de forma accidental: • No apagar el ordenador hasta que no se ha acabado de recopilar evidencias. Para buscar evidencias es necesario fijar objetivos donde pueden ser encontradas. como por ejemplo. Por ejemplo. 9 . a lo que suele ayudar la experiencia. se debe documentar adecuadamente la escena. La fase de búsqueda de evidencias tiene como objetivo determinar qué objetos digitales contienen información útil sobre el incidente. por ejemplo). Normativa RFC3227 Indica ciertas actuaciones que deberemos evitar si no queremos destruir alguna evidencia. procesos en ejecución o conexiones de red. estado de la memoria. En las investigaciones digitales esto se puede conseguir realizando resúmenes criptográficos (como MD-5 o SHA-1) y realizando copias de seguridad de la información. La fase de conservación del sistema tiene con objetivo preservar el estado de la escena del crimen original. aunque la investigación se lleve a cabo en entornos corporativos. se muestran en el siguiente grafico: Fase de conservación del sistema Fase de búsqueda de evidencias Fase de reconstrucción de sucesos Figura 3. Muchas evidencias podrían perderse por el simple hecho de apagar y además el atacante podría haber modificado los script/servicios de inicio/apagado para destruir evidencias. por ejemplo. Con un análisis vivo es posible obtener información falsa. Un análisis vivo es aquel que utiliza el sistema operativo u otros recursos del sistema investigado para encontrar pruebas. no tienen por qué darse en un orden concreto. Fases de la investigación de una escena del crimen digital Como se puede observar.jpg. corporativo.I N V E S T I G A C I Ó N D E L A E S C E NA D E L C R I M E N D I G I TA L FASES Las fases de la investigación de la escena en un crimen digital. El atacante podría haberlos modificado o utilizar un rootkit para hacerlos funcionar de forma distinta. Si un objeto es identificado como prueba debe ser documentado y preservado correctamente. previniendo cualquier suceso que pueda modificar dicho estado.). Un análisis muerto es aquel que utiliza aplicaciones de confianza en un entorno seguro para encontrar pruebas. Las evidencias digitales se clasifican en dos tipos: volátiles y no volátiles. si queremos obtener indicios de un delito relacionado con la pornografía podemos realizar una búsqueda sobre ficheros de imágenes . Las primeras son aquellas que se pierden al apagar el equipo. • No confiar en los programas del sistema. En un entorno judicial . Las acciones a realizar en esta fase dependen en gran medida del entorno en el que se realiza la investigación (judicial. y las evidencias no volátiles son aquellas que se encuentran almacenadas en el sistema de ficheros.

• No olvidar a las personas involucradas. 5. Tabla de enrutado. recoger las evidencias con herramientas adecuadas. Discos. De esta forma se podrán reproducir los pasos del ataque y así comprender mejor determinadas evidencias que ayudarán en la toma de decisiones. Lo ideal sería poder disponer de dos equipos o máquinas virtuales: • En un equipo se montará el sistema de ficheros en modo lectura para su análisis. Eliminar agentes externos que puedan provocar cambios. memoria. Registros. 10 . y por tanto el orden en el que deberían ser recogidas: 1. 3. • Siguiendo el orden de volatibilidad. tabla de procesos. Tomar nota de quién estaba en el lugar y qué estaba haciendo.• • No utilizar programas que modifican la hora de acceso de todos los archivos del sistema (por ejemplo: "tar" o "xcopy"). Esto podría disparar programas que detectan cuando se desconecta la red y eliminan todas las evidencias generadas. topología de la red. En caso de duda es mejor pecar por exceso que por defecto. estadísticas del kernel. qué observaron y cual fue su reacción. 4. por ejemplo). Establece el siguiente orden de volatibilidad de las evidencias. La fase de reconstrucción de sucesos tiene como objetivo examinar las evidencias recogidas y determinar en qué sucesos estuvieron envueltas para poder determinar qué pasó en la escena del crimen. No desconectar el sistema de la red. caché. Es necesario probar la hipótesis de que fue descargado a través del navegador (y no fue puesto allí por algún tipo de malware. • Establecer lo que es susceptible de ser relevante. • Documentar cada paso. Registros y datos de monitorización remotos que sean relevantes para el sistema en cuestión. y ello se lleva a cabo en esta fase. • Para cada sistema obtener el orden de volatibilidad. caché arp. Ficheros temporales del sistema. Fija el protocolo a seguir a la hora de recoger evidencias: • ¿Dónde está la evidencia? Listar qué sistemas están involucrados en el incidente y desde qué sistema se recogerán las evidencias. • En el otro se simulará de la forma más precisa posible el equipo antes de ser atacado. • Preguntarse qué más puede ser una evidencia a medida que se realizan estos pasos. 2. Configuración física. Un ejemplo es un fichero sospechoso encontrado en la caché de un navegador web.

ADQUISICIÓN DE DATOS Como se ha mencionado con anterioridad. a las que no se tiene acceso. finalmente. A la hora de adquirir los datos debemos tener en cuenta que los mismos están interpretados en diferentes niveles (discos. este archivo será denominado una imagen del sistema original. por si en el cambio de configuración pudiéramos perder datos. además de los datos del dispositivo fuente incluye datos sobre la adquisición. por tanto. etc. crear imágenes embebidas (que. La adquisición de datos desde un dispositivo (supongamos que queremos obtener los datos a nivel de disco) tiene dos fases: la lectura de la información y la posterior escritura. se puede realizar un análisis vivo de un sistema utilizando su sistema operativo para obtener los datos necesarios o un análisis muerto (lo más común) para lo cual se realizan copias de los datos del sistema para analizarlos posteriormente en un entorno “seguro” (aquel que sabemos que no está modificado para falsear datos). si nos encontramos con una de estas zonas deberemos realizar dos imágenes: una antes de modificar la configuración del disco y otra después . tres sistemas de creación de imágenes: crear imágenes raw (contiene únicamente los datos del dispositivo fuente) . Se puede concluir por tanto (y de manera acertada) que adquirir los datos de un sistema mediante la realización de copias o imágenes es un proceso vital en un análisis de un sistema de información y el punto de partida para cualquier investigación. En un disco duro ATA pueden existir zonas “ocultas” denominadas HPA (Host protected area) y DCO (device configuration overlay). Existen. pero hay que tener en cuenta que: 11 . a través de una red. Esto es debido a que muchas de ellas utilizan la BIOS del ordenador para conocer el tamaño del disco. volúmenes. dependiendo del nivel al que creamos que se encuentran los datos que nos proporcionaran evidencias. o cuando se utiliza un sistema operativo que monte automáticamente cualquier disco (como Microsoft Windows) ya que se podría modificar el contenido del disco donde se ha almacenado la copia. Como se ha visto con anterioridad. lo que supone un problema en el momento que el disco origen tiene un mayor tamaño que el disco destino. es vital asegurarse de que utilizamos una herramienta que no hace uso de la BIOS para informarse del tamaño de los discos. ficheros. También se pueden crear imágenes de manera remota. Actualmente lo mas común es realizar la copia de datos a un archivo en un disco duro o incluso en un CD-ROM. crear imágenes en las que por una parte se almacena la imagen raw y por otra parte los metadatos sobre la adquisición. Las imágenes también pueden ser comprimidas. y ésta puede proporcionar información inexacta. ESCRITURA DE DATOS Antes de existir software especializado la copia de datos se realizaba disco a disco. una de las premisas del análisis digital debe ser modificar los datos originales lo menos posible.) y que puede que sea necesario realizar una copia de todo el disco o solo de unos cuantos ficheros. Para ello se pueden utilizar durante esta fase bloqueadores de escritura (hardware o software) que se interponen entre el controlador y el disco duro y evitan que se realicen las operaciones de escritura. Algunas herramientas incluso permiten encriptar el canal de comunicación para garantizar la confidencialidad. como fechas o valores hash) y. Por tanto. Para que dichas zonas ocultas sean accesibles es necesario modificar la configuración del disco. LECTURA DE DATOS DE ORIGEN Diferentes herramientas de obtención de datos desde discos pueden proporcionar diferentes tamaños de disco. principalmente.

A su vez. El análisis puede resultar mucho más lento. en definitiva. Integridad a través de los valores hash Se ha mencionado anteriormente que es muy importante calcular resúmenes hash de los datos en las investigaciones digitales para documentarlos. Imaginemos que utilizamos una imagen de formato embebido: si alguien accede a ella y modifica los datos puede perfectamente recalcular los valores hash e intercambiarlos con los verdaderos. nos ayudan a asegurar la integridad de los datos. pero más difíciles de realizar. las pruebas anuladas.• • • No todas las herramientas de análisis soportan todos los formatos de compresión. 12 . De esta manera nos aseguramos que siempre podemos verificar si los datos originales han sido modificados y por tanto. ya que la herramienta deberá descomprimir los datos cada vez que lea la imagen original. Los resúmenes hash. pero bajo ciertas condiciones. La adquisición ocupará más tiempo. los resúmenes hash ayudan a probar que durante el proceso de adquisición de datos no se ha realizado ninguna modificación sobre el dispositivo original. Cuando se realizan resúmenes hash de imágenes hay que tener en cuenta que lo ideal es almacenar dichos valores hash de manera separada. Si los valores hash se almacenan aparte este tipo de modificaciones siguen siendo posibles.

dat (cuyo tamaño es 1024 bytes) a archivo2.dat utilizando bloques de 512 bytes ejecutaremos en un terminal la orden: dd if=archivo1.H E R R A M I E N TA S Ú T I L E S E N E L A N Á L I S I S D I G I TA L D E S I S T E M A S D E A RC H I VO S Existen numerosas herramientas en el mercado de software que se utilizan a lo largo del desarrollo de una investigación digital. dd if=/dev/hda bs=2k | md5sum lo que nos muestra en pantalla la suma MD5 del disco maestro del primer canal IDE. Recordemos que en UNIX un dispositivo es representado como un archivo también. dd toma como fuente la entrada por defecto del sistema. redirigiendo la salida de dd a la entrada de los mismos. DD En el proceso de adquisición de datos se puede utilizar cualquier herramienta que permita realizar una copia bit a bit de la información seleccionada. por lo que podemos realizar una imagen de un disco utilizando dd.0. Utilizando la bandera if= indicamos la fuente de los datos (si if= es omitido. si se omite of= se utiliza como salida la salida estándar.dat bs=512 que nos mostrará como salida: 2+0 records in 2+0 records out lo que significa que dos bloques completos fueron leídos del fichero fuente (records in) y que dos bloques completos fueron escritos al fichero destino (records out). Es posible realizar la copia a un servidor seguro localizado en alguna parte de la red o Internet utilizando herramientas como netcat o cryptcat. sólo archivos. dd copia bloques de datos de un fichero a otro. No tiene en cuenta el tipo de datos que esta copiando y no entiende de sistemas de archivos. Por ejemplo. para copiar el contenido de archivo1. La más utilizada es dd. Para calcular los resúmenes hash de las imágenes que generemos utilizando dd podemos utilizar las herramientas que incluyen los sistemas UNIX como. por ejemplo.dd (en el ejemplo. md5sum . Muchas son de pago. Existen ampliaciones de dd desarrolladas por el departamento de defensa de los EEUU que permiten realizar el resumen hash del contenido a medida que este es copiado. como ddfldd y dccidd. Presentamos aquí las más utilizadas en el análisis digital de sistemas de archivos. 7000) y se guardarán los datos a un fichero de nombre archivo. sin embargo existen muchas más. Si no se puede realizar la lectura de un bloque completo el resultado muestra un +1 en lugar de +0.0.1) se iniciará el proceso de escucha en un puerto elegido (por ejemplo. En ese caso en el servidor (10. El tamaño del bloque por defecto es de 512 bytes (se puede modificar utilizando la bandera bs=). las mayoritariamente utilizadas son código libre. se utiliza netcat): 13 . sin embargo. incluida en la mayor parte de sistemas UNIX y disponible también para Windows. que normalmente es el teclado).dat of=archivo2. ni volúmenes. que normalmente es el monitor). Con la bandera of= se especifica el fichero de salida (al igual que con if=.

o icat: obtiene los datos de un fichero basándose en la dirección a la que apuntan sus metadatos (no a través del nombre del fichero).dd en el sistema que queramos analizar (a través de un live-cd o el propio sistema operativo. SLEUTH KIT Durante la fase de reconstrucción de sucesos se realiza un análisis minucioso de las evidencias recogidas en la fase anterior con el objeto de obtener conclusiones que nos permitan probar o rechazar hipótesis sobre el crimen o incidente acontecido. fls: lista los archivos en un directorio (incluso aunque hayan sido borrados). 14 . ils: muestra las estructuras de metadatos y sus contenidos. desarrollado a partir de su predecesor “The Coroner’s Toolkit” y que puede utilizarse en cualquier sistema Unix (como Linux. Sleuth kit es un conjunto de herramientas para ayudar en este análisis. istat: muestra las estadisticas y detalles de una estructura de metadatos dada de manera “amigable” para el usuario.nc –l –p 7000 > archivo. las entradas de directorio de los sistemas FAT o los inodos de los sistemas ext2 o ext3. Está compuesto por las siguientes aplicaciones: • File System Layer tools o • fsstat: muestra información sobre los sistemas de archivos. ifind: localiza la estructura de metadatos a la que apunta un determinado nombre de fichero o la estructura de metadatos que apunta a una unidad de datos determinada. OS X. distribución y etiquetas. dependiendo de si se trata de un análisis vivo o muerto) ejecutaremos la orden: dd if=/dev/hda bs=2k | nc –w 3 10.1 7000 -w 3 implica que la conexión se cerrará tras 3 segundos de inactividad.0. OpenBSD y Solaris) y en Windows (sólo si no se pretende utilizar Autopsy).0. como su tamaño. que almacenan los detalles de un archivo. o o o • Data Unit Layer Tools Estas herramientas son utilizadas para procesar las unidades de datos donde se almacena el contenido de los ficheros. Por ejemplo. File Name Layer Tools o ffind: localiza nombres de archivos que apunten a una determinada estructura de metadatos. o dcat: extrae el contenido de una unidad de datos determinada. FreeBSD. o • Meta Data Layer Tools: Estas herramientas procesan las estructuras de metadatos.

sorter: muestra los ficheros ordenados según su tipo. o o o 15 . img_cat: muestra el contenido de un a imagen (útil cuando tenemos imágenes comprimidas o distribuidas en varios ficheros). comprueba su extensión y realiza una búsqueda de sus resúmenes hash en las bases de datos mencionadas con anterioridad. dstat: muestra las estadisticas referentes a una unidad de datos dada. o disk_sreset: elimina temporalmente una zona HPA si existe.o dls: muestra los detalles de las unidades de datos y puede mostrar el espacio libre del sistema de archivos. macticme: utiliza las herramientas fls e ils para crear una línea del tiempo de la actividad con los ficheros que se ha dado en determinada imagen. o • File System Journal Tools Algunos sistemas de archivos (como ext3 o NTFS) almacenan una bitácora con los cambios recientes en los metadatos de los archivos. o o jcat: muestra el contenido de un bloque de la bitácora determinado. Cuando el disco sea reiniciado. • Media Management Tools o mmls: muestra la organización de un disco . sigfind: busca un valor binario determinado. Se identifica para cada partición su tipo y longitud. Es útil para recuperar estructuras de datos “perdidas”. lo cual permite extraer el contenido de las mismas mediante dd. la zona HPA volverá a existir. jls: muestra las entradas en la bitácora del sistema de archivos. o • Disk Tools Estas herramientas son utilizadas para detectar y eliminar áreas “ocultas” en los discos ATA denominadas HPA (host protected area). • Image File Tools o img_stat: muestra los detalles sobre el formato en el que se ha almacenado una imagen. de manera análoga a la búsqueda que realiza la herramienta grep con cadenas ASCII. incluido el espacio no utilizado. disk_stat: muestra si existe una zona HPA. Estas herramientas permiten analizar dichas bitácoras. o • Other Tools o hfind: permite buscar un resumen hash en las bases de datos de resúmenes hash creadas con el objetivo de identificar ficheros “buenos” y “malos” según el valor de sus funciones hash.

Esto es útil durante la respuesta a incidentes. crear y visualizar una línea de tiempo. • Mantiene logs sobre las acciones realizadas por cada uno de los investigadores del sistema. MAC-ROBBER Mac-robber es una herramienta que recoge datos de los archivos asignados en un sistema de ficheros montado. El programa puede ser compilado en cualquier sistema UNIX. cuando se trata de analizar un sistema de archivos que no es compatible con Sleuth kit u otras herramientas de análisis del sistema de archivos. mac-robber es útil en una investigación. 16 . • Organiza el manejo de la investigación digital en los casos en los que ésta contiene uno o más equipos. DISTRIBUCIONES LIVE-CD LINUX Existen numerosas distribuciones Linux de tipo live-cd (no realizan instalación en el disco duro) que permiten realizar un análisis de un sistema de ficheros sin escribir en él (estas distribuciones suelen integrar las herramientas antes mencionadas.). • Permite realizar búsquedas directamente sobre la imagen. etc. Para simplificar el proceso de análisis se puede utilizar la aplicación web Autopsy. que nos reporta las siguientes ventajas: • Permite utilizar de forma transparente los comandos de Sleuth kit. organizar archivos. Macrobber también modifica los tiempos de acceso a directorios que se han montado con permisos de escritura. Aunque no lo parezca. mac-robber no recogerá datos de los archivos borrados o archivos que han sido ocultados por rootkits.La alternativa comercial a Sleuth kit es EnCase. la detección de ficheros encriptados. Los datos recogidos pueden ser utilizados por la herramienta mactime de Sleuth kit para hacer una línea de tiempo sobre la actividad de los archivos. • Permite navegar por el sistema de archivos que se encuentra en las imágenes (incluso en los archivos borrados). Mac-robber requiere que el sistema de archivos esté montado por un sistema operativo. AUTOPSY Utilizar directamente los comandos de Sleuth kit puede resultar un poco difícil. como por ejemplo. Algunas muy conocidas son Helix o FIRE. Por lo tanto. en el análisis de un sistema vivo o al analizar un sistema en un laboratorio. por ejemplo. a diferencia de las herramientas de Sleuth kit para el sistema de archivos. que posee algunas características mas avanzadas. Una comparación entre diversos kits de herramientas se presenta en el documento [ 2 ] .

¿Cuales son los nombres de los institutos que frecuenta Jacobs? 4. En este caso la resolución que se presenta aquí fue dada por Brian Carrier. se presentan las soluciones que han dado algunos de los miembros del proyecto. El individuo niega este hecho y rehúsa decir quién es su proveedor. ¿Qué proceso has seguido (tu. El individuo ha sido visto rondando las salidas de diversos institutos. En la página web del proyecto Honeynet se publican retos (normalmente basados en hechos ficticios) que los participantes deben realizar.org/scans/scan24 Este caso de prueba se utiliza para familiarizarnos con el uso de Autopsy y las herramientas de Sleuth kit. respondiendo a diversas preguntas. ¿Qué datos importantes se encuentran en el fichero coverpage. como Autopsy – Sleuth kit. la cual se nos entrega. Cuando el reto ha finalizado. ¿Qué acciones realizó el sospechoso con cada fichero para tratar de ocultar su contenido? 5. En un registro de su casa se ha encontrado un disquete cuyo contenido ha sido copiado a una imagen. Se ha elegido su respuesta porque utiliza herramientas libres. La policía ha arrestado a un hombre llamado Job Jacobs tras ofrecer éste marihuana a un policía de incógnito a la salida de un instituto. el investigador) para contestar a estas preguntas? Bonus Question: 6. La policía requiere nuestros servicios para obtener toda la información posible del disquete relacionada con el caso. HONEYNET PROJECT http://www.honeynet. que utiliza herramientas propietarias y la cual no podríamos seguir paso a paso. el Smith Hill High School. por lo que se sospecha que provee de marihuana a más alumnos de instituto aparte de los de Smith Hill. ¿Quién es el proveedor de Jacobs y cual es su dirección? 2.jpg? 17 . ¿Qué programa de Microsoft fue utilizado para crear el fichero coverpage. al contrario que la otra solución.CASOS PRÁCTICOS SCAN OF THE MONTH #24.jpg y por qué son importantes? 3. Para ello deberemos contestar las siguientes preguntas: 1.

Ahora elegimos ‘add image file’ e introducimos el path al fichero de la imagen. deberíamos poner aquella en la que funcionaba el sistema). Seleccionamos que se compruebe el valor hash. obteniendo la siguiente salida: Figura 4. por tanto. Este host se llamará floppy y representa a nuestro disquete. pulsamos analyze y utilizamos la opción ‘File Browsing’ de Autopsy para examinar el contenido de la imagen del disquete.INVESTIGACION Es necesario descargar la imagen desde la página web de Honeynet y comprobar su suma MD5. Como zona horaria introduciremos EST5EDT (que es una zona genérica. Seleccionamos la opción de copy para que la imagen sea copiada a /var/lib/autopsy. Una vez creada la investigación añadiremos un nuevo host. Tras seleccionar nuestra imagen en host manager. que es como autopsy denomina a las fuentes de evidencias digitales. Autopsy: añadir imagen al host Por lo que verificamos que la imagen es integra y podemos. Nos indica que existen tres ficheros en el directorio raíz del mismo: Figura 5. Autopsy: análisis de ficheros 18 . con un único investigador. Iniciamos Autopsy y creamos un nuevo caso. trabajar con ella.

Por tanto. your pot must be the best – it made the cover of High Times Magazine! Thanks for sending me the Cover Page. el fichero ocupa 15585 bytes. según sus metadatos. Como sector de inicio elegimos 33 y como número de sectores 40. También observamos que el primer sector accesible es el 33. Man. En este estadio de la investigación todavía no podemos concluir nada útil. Existe por tanto. I’m sure glad you told me about targeting the high school students. These kids. What do you put in your soil when you plant the marijuana seeds? At least I know your growing it and not some guy in Columbia. por tanto. Si el fichero no se encuentra fragmentado. Para obtener más información sobre este extraño fichero seleccionamos su entrada de directorio correspondiente (8). el número 451. El contenido de dicho fichero es: Jimmy Jungle 626 Jungle Ave Apt 2 Jungle. Sin embargo. but they don’t stop buying from me. jimmy jungle. Para extraer los datos de este fichero fantasma elegimos la opción ‘Data Browsing’. coverpage.jpgc Si seleccionamos el fichero coverpage. lo primero es conocer cuantos sectores ocuparía el fichero: el tamaño del fichero es de 20480 bytes y cada sector son 512 bytes. que su tipo es ‘Microsoft Office Document’. (Para que el contenido sea “amigable” utilizamos la opción strings-display). they tell me marijuana isn’t addictive. ocupará los sectores 33 al 72 (siempre que estos no hayan sido reasignados desde la eliminación del fichero). que el fichero comienza en el sector 33 y tiene un tamaño de 20480 bytes. You 19 . que nos indica que los sectores 73 al 103 y 104 al 108 están ocupados. Si cada sector está formado por 512 bytes. Utilizando la opción ‘Image details’ de Autopsy accedemos a la tabla de asignación FAT. el número de sectores que debería ocupar es ((15585 + 511) / 512) = 31. Si utilizamos la opción export podemos abrir el documento doc resultante en un procesador de textos.doc fue eliminado.jpgc. ocupa. no así el resto. una incongruencia entre el tamaño del archivo y los sectores que. Autopsy nos muestra como tipo de fichero ‘PC formatted floppy with no filesystem’.Procedemos a analizarlos en orden alfabético. La herramienta nos permite recuperar el contenido del fichero automáticamente. NY 11111 Jimmy: Dude. Autopsy nos muestra que el fichero utiliza un sólo sector. sólo podemos saber que este fichero ha sido manipulado para que no sea de fácil acceso (ya que además de lo anterior se ha modificado su extensión natural). este proceso puede ser realizado “a mano”: En los sistemas FAT (como es el caso de un disquete) cuando un fichero es borrado el primer sector que ocupa sigue siendo conocido. lo que confirma nuestra teoría de que el archivo se encuentra en los sectores 33 al 72. el fichero ocuparía ((20480 + 511) / 512) = 40 sectores.doc Autopsy muestra que el fichero jimmy jungle. Sin embargo. que son sobrescritos con un 0 en la tabla de asignación FAT.

xls es nombrado dos veces. Autopsy nos muestra como tipo de fichero ‘Zip archive data. Joe scheduled visits.0 to extract’. Si tratamos de descomprimir el mismo a través del comando unzip obtenemos un error. (Utilizamos la opción string para que el resultado sea ‘amigable’).must have some experience. así que éste podría ser el 20 . Tell me what you think. I’m an entrepreneur. Podemos observar en el contenido que el fichero Scheduled visits. I think it helps me cover myself and not be predictive. Thanks.exe. accedemos a la tabla de asignación FAT. en la cual figura que los sectores 104 a 108 están ocupados por un solo archivo.zip y no . at least v2.exe Si seleccionamos el fichero scheduled visits. Autopsy: análisis de la imagen Por tanto. como se observa en la siguiente imagen: Figura 6. Si volvemos a utilizar la opción ‘Image Details’. Así que existen dos posibilidades: o el fichero está corrupto o existe una parte que no hemos obtenido. Am I only one you sell to? Maybe I can become distributor of the year! I emailed you the schedule that I am using.exe) utilizamos la opción export para obtener el fichero. Accediendo a los metadatos del archivo correspondiente (11) observamos que el tamaño del fichero son 1000 bytes y que ocupa los sectores 104 y 105. Talk to you later. It’s like a guaranteed paycheck. Como la extensión del fichero no coincide con su tipo (debería ser . Para comprobar esta teoría utilizamos la opción ‘Data Unit’ de Autopsy para obtener el contenido de los sectores 104 a 108. To open it. use the same password that you sent me before with that file. no se encuentra el final del fichero. Their parents give them money for lunch and they spend it on my stuff. es posible que alguien haya modificado el tamaño del archivo para que no aparezca que el archivo también ocupa los sectores 106 y 107.

del cual necesitamos averiguar su contraseña. Autopsy: análisis del contenido de un conjunto de sectores. usando la función export contents. Como se ha mencionado con anterioridad. Esta vez no da ningún error. pero nos solicita una contraseña que no tenemos. Figura 7. los sectores 104 a 108 forman el archivo zip ya visto. coverpage. los sectores 73 a 103 están ocupados por un archivo que desconocemos. Descargamos.nombre del fichero contenido en el archivo zip. que podría ser perfectamente la contraseña del archivo zip que necesitábamos. 21 . la tabla de asignación FAT nos indica que: • • • los sectores 33 a 72 forman el archivo . el archivo coverpage.doc ya visto.jpgc (de nuevo) Resumiendo. Si seleccionamos la opción ASCII strings-display para visualizar el contenido del archivo observamos la cadena de texto ‘pw=goodtimes’.jpg debería. ocupar 31 sectores… ¿podrían ser los que van del 73 al 103? Si utilizamos la opción ‘Data Unit’ para visualizar el contenido de los sectores 73 a 103 autopsy nos indica que el archivo existente es un fichero de tipo JPEG. dicho archivo zip (sectores 104 a 108) al disco duro e intentamos descomprimirlo. según su tamaño.

Kalil. El programa con el que se creó el fichero es Microsoft Paint. obteniendo el fichero scheduled visits. no por Carrier). Figura 8.jpg. 22 . Contenido del fichero coverpage. Contenido del fichero de prueba realizado con Microsoft Paint. Bonus question (La respuesta a esta pregunta es dada por Daniel J. obtenemos una relación de institutos y días de visita.jpg con la de un fichero de prueba generado en Paint.xls (hoja de calculo Excel). scheduled visits. Si lo abrimos.Utilizamos la opción export para obtener el fichero JPEG y si lo abrimos con un visualizador vemos que se menciona al tal Jimmy Jungle en la portada de una revista sobre marihuana. Figura 9.exe (de nuevo) Utilizamos la contraseña goodtimes para descomprimir el fichero zip. el comienzo del fichero es el mismo. Lo sabemos porque si comparamos el contenido del área de datos del fichero coverpage. Otros programas producen otros comienzos de fichero diferentes.

¿Cuál es la dirección de correo de dicho proveedor? 3. HONEYNET PROJECT http://www. ¿Dónde se esconde actualmente Jimmy Jungle? 5. La policía ha realizado una imagen del disquete que está a nuestra disposición. Jimmy Jungle. Para ello deberemos contestar las siguientes preguntas: 1.org/scans/scan26 En este caso la respuesta aquí presentada fue dada por Brian Carrier. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga? 4. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el área de datos. ¿Qué tipo de coche posee? 6.SCAN OF THE MONTH #26. ¿Quién es (probablemente) el proveedor de drogas de Jimmy Jungle? 2.honeynet. La policía requiere nuestros servicios para obtener toda la información posible del disquete relacionada con el caso. Tras averiguar el nombre y dirección del proveedor de Job Jacobs. Se ha encontrado un disquete con la etiqueta dfrws.org impresa. la policía realiza un registro en su domicilio. 23 .

Autopsy nos indica que no hay ficheros en el disquete. Los sectores 19 al 32 eran utilizados por el directorio raíz. 24 . no existe ningún archivo en el sistema (FAT contents). un host y la imagen del disquete proporcionada (comprobando su integridad). Los sectores 10 al 18 eran utilizados por la tabla FAT secundaria. Para ello utilizaremos la opción ‘Data Unit’ e iremos accediendo al contenido de los sectores que las conforman. Esto puede ser debido a que o bien el disco esta en blanco o la información está oculta. Como no sabemos exactamente qué buscar. Autopsy: Detalles de la imagen Lo que nos indica que: • • • • Los sectores 1 al 9 eran utilizados por la tabla FAT primaria. al directorio raíz y al área de datos. según la tabla FAT.INVESTIGACIÓN Seguimos los pasos del caso anterior para añadir un caso. Procedemos a analizar los sectores correspondientes a la tabla FAT primaria. secundaria. Si mostramos el contenido de los sectores 1 al 9 en la vista normal no parece tener ningún contenido. Lo mismo sucede con el contenido de los sectores 10 al 18. Para intentar determinar la causa utlizamos la opción ‘Image Details’: Figura 10. Los sectores 33 al 2879 formaban el área de datos. Además. Sin embargo. procedemos a analizar los archivos incluidos en el disquete utilizando la opción ‘File Analisys’. si utilizamos la vista hexadecimal (Hex-display) observamos que los 24 primeros bits contienen información.

A través del menú keyword search accedemos a la opción extract unallocated. Dicha dirección se corresponde con el sector nº (1210704 / 512 = 2364). Al igual que en el caso anterior. que nos permite obtener el contenido del espacio de disco que según la tabla FAT no está asignado. Foremost proporciona el siguiente resultado: 25 . Autopsy nos indica que el tipo de archivo residente en dichos sectores es un archivo JPEG. Realizamos el mismo procedimiento para la cadena de texto ‘John Smith's Address: 1212 Main Street.El análisis de los sectores 19 al 32 no muestra ningún contenido. Analizamos ahora los sectores 33 al 2879. que devuelve el resultado en caracteres ASCII o Unicode (o ambos). Autopsy: contenido del espacio no asignado. no hay nada más. Por una parte tenemos que con un desplazamiento de 1210704 bytes aparece la cadena de texto ‘pw=help’. no hay nada salvo la cadena de texto ya encontrada. Análisis del espacio no asignado Utilizamos la herramienta foremost (que busca valores de cabeceras y finales de fichero conocidos para reconocer tipos de ficheros utilizados) con el fichero generado por Autopsy al extraer el contenido del espacio no asignado. Analizando la salida observamos que las dos últimas líneas del fichero contienen datos interesantes: Figura 11. Si utilizamos la opción ‘Data unit’ de autopsy (con la opción adress type=unallocated para que autopsy realice la traducción del sector del espacio no asignado al espacio de direccionamiento de la imagen completa. FL 00001’ con un desplazamiento de 1385824 bytes (1385824 / 512 = 2706). Jones. Lo podemos extraer también con la opción extract strings. que en este caso es el sector 2397) para acceder a dicho sector comprobamos que aparte de la cadena de texto mencionada.

Sin embargo. Si utilizamos la herramienta para intentar abrir la fotografía. un fichero bmp de tamaño 1 MB a partir del sector 32768 del espacio no asignado.bmp encontrados muestran un posible escondite de Jimmy Jungle y un muelle.jpg output/foremost/00000000. stegdetect -n output/foremost/00000000. se han encontrado: • • un fichero jpg de tamaño 31 KB en el primer sector del espacio no asignado. Conclusiones Los archivos . 26 . por lo que revisamos la imagen JPEG en busca de signos de estaganografia utilizando la herramienta stegdetect. como tampoco lo es ‘goodtimes’ (del caso anterior).jpg : invisible[7771](***) La cadena de texto invisible significa que la herramienta ‘invisible tools’ fue utilizada para esconder datos en la fotografía.unalloc Start: Thu Jan 3 10:54:08 2008 Length: 1 MB (1457664 bytes) Num Name (bs=512) Size File Offset Comment 0: 1: 0.jpg 64.jpg y . El contenido de ambos ficheros es similar. se nos pide una contraseña. ‘help’ no es valida. si bien el segundo muestra información que el primero no mostraba (un escondite).-----------------------------------------------------------------File: scan26-0-0-fat12. todavía no hemos utilizado la contraseña hallada en el espacio no asignado.bmp 31 KB 1 MB 0 32768 (720 x 540) Finish: Thu Jan 3 10:54:08 2008 2 FILES EXTRACTED jpg:= 1 bmp:= 1 ------------------------------------------------------------------ Es decir.

when? Also. abrimos el fichero bmp en Invisible Secrets utilizando la password right lo que produce el fichero Jimmy. I have 10 other dealers who combined do not total Joe's sales volume. please take a look at the map to see where I am currently hiding out. ¿Qué tipo de coche posee? Un mustang azul del 78. Utilizamos ambas contraseñas para abrir el fichero en Invisible secrets.wav que estaba oculto en el mapa de bits. A su vez este fichero está protegido por contraseña. I need to talk to you about reorganizing. The day of our scheduled meeting. 27 . Jimmy recibía la droga en el muelle 12. El archivo de audio contiene instrucciones para mantener una reunión con Jimmy Jungle en el muelle. he never showed up.Para proseguir la investigación accedemos a la pagina web cuya URL figuraba en el disquete. así como diversos detalles del vehiculo del mismo. siendo esta ‘help’. In the future.org. I called a couple of his friends and they told me he was brought in by the police for questioning. I would like to get away until things quiet down up here. Jimmy Jungle A su vez. FL 00001 3. I will pay you back for the driver's time and gas. ¿Cuál es la dirección de correo de dicho supuesto proveedor? 1212 Main Street. I'm not sure what to do. en un lugar llamado Danny’s. Sincerely. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga? Según los ficheros de imagen encontrados. Como comentarios en medio del código se encuentran las cadenas de texto ‘PW=right’ y ‘PW=lefty’. dfrws. Jones. pero analizamos el código HTML. Please understand that I cannot accept another shipment from you without his business. Do you still have the condo in Aruba? Would you be willing to meet me down there? If so. I can't pay any of my bills. we may have to find another delivery point because Danny is starting to get nervous. 1. 4. 5. en el número 22 de Jones Avenue. ¿Quién es (probablemente) el proveedor de drogas de Jimmy Jungle? John Smith 2. I was forced to turn away the delivery boat that arrived at Danny's because I didn't have the money to pay the driver. La página web parece normal a simple vista. oculto en la fotografía.doc. Without Joe. Thanks for your understanding and sorry for any inconvenience. I need some assistance. El contenido del mismo se muestra a continuación: Dear John Smith: My biggest dealer (Joe Jacobs) got busted. la segunda nos muestra el fichero John. ¿Dónde se esconde actualmente Jimmy Jungle? Según los ficheros de imagen.

es decir. borrando solo el contenido de la tabla FAT y el directorio raíz. se borra también su área de datos. Cuando un disco es formateado. 28 .6. El disquete fue formateado de manera ‘rápida’ con una herramienta de Microsoft. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el área de datos.

Las evidencias recabadas por este tipo de grupos han sido presentadas en procesos judiciales. El campo del análisis digital es muy amplio. el grupo de delitos telemáticos de la Guardia Civil. Se ha mostrado aquí la aplicación del análisis digital ‘post-mortem’. pero también para obtener evidencias (pruebas) de numerosos delitos. el acceso inautorizado a algún sistema o los ataques deliberados (tipo DDoS). en la lucha contra el contrabando de pornografía infantil. Sin embargo. por ejemplo. en estas prácticas sólo hemos cubierto una de sus partes. lo cual nos da una idea de la importancia de seguir una metodología estricta en este ámbito. también se pueden aplicar estos procedimientos de análisis digital para responder ante incidentes identificando de dónde procede el ataque. para sacar conclusiones sobre hechos ya acontecidos. el análisis de los sistemas de ficheros. sobre todo. La mayor parte de cuerpos de seguridad del planeta disponen ya de unidades especializadas en delitos digitales: en el caso de España. la Brigada de Investigación Tecnológica de la Policía Nacional o. No olvidemos que se pueden realizar también investigaciones en ámbitos corporativos. como descubrir ficheros ocultos o recuperar ficheros eliminados. perteneciente a la Ertzaintza. la Sección Central de Delitos en Tecnologías de la Información. Por ejemplo. es decir. 29 . como por ejemplo. tras sufrir una intrusión para determinar hasta qué punto se ha visto comprometido el mismo. (SCDTI). El análisis digital de sistemas de ficheros es muy utilizado hoy en día. en el País Vasco. las herramientas de análisis forense pueden ser utilizadas para descubrir si se han violado restricciones de protección de datos (la LOPD en el caso de España). FAT). como por ejemplo. Es notable que el uso de herramientas de análisis de sistemas de ficheros como Autopsy requiere un conocimiento al menos básico de los principales sistemas de ficheros (en los ejemplos. si bien es la básica.CONCLUSIONES A través de dos prácticas muy simples hemos descubierto los aspectos básicos del análisis de ficheros.

Dan Manson. Brian. 2005. Utica College. Matthew Kaufman. File System Forensic Analysis. Steve Ramos. IEEE computer society.edu/academic/institutes/ecii/publications/articles/A0AC5A7AFB6C-325D-BF515A44FDEE7459. “Is the Open Way a Better Way? Digital Forensics using Open Source Tools” 40th Hawaii International Conference on System Sciences. http://csdl.pdf [consulta en 3 de enero de 2008] 3.org/comp/proceedings/hicss/2007/2755/00/27550266b.computer. issue 2. Addison-Wesley. http://www. Eugene Spafford. 30 . Brian Carrier.pdf [consulta en 3 de enero de 2008] 2. Jeremy Treichelt. Anna Carlin. volume 2. Alain Gyger. “Getting phisycal with the digital investigation process”.BIBLIOGRAFÍA 1. 2007. Economic Crime Institute (ECI) . Carrier. Fall 2003.utica. International Journal of Digital Evidence.