Professional Documents
Culture Documents
evidencias
Consideracións previas
Un dos retos principais á hora de realizar unha análise forense é ter ben claro o tipo
de incidente ao que nos enfrontamos e a partir del ver que evidencias é necesario
adquirir e a maneira de proceder.
Orde de volatilidade
A orde de volatilidade fai referencia ao período de tempo no que está accesible certa
información. Débese adquirir en primeiro lugar aquela información que vaia a estar
dispoñible durante o menor período de tempo.
• Non modificar o estado do equipo, deixalo exactamente como está: nin abrir ficheiros, nin
executar programas, nin borrar cartafoles, etc. No caso de que estea aceso, non apagalo e no
caso de que estea apagado, non acendelo.
• A adquisición de elementos volátiles soamente vai ser posible no caso de que nos atopemos
con sistemas acesos, de non ser así deberemos de pasar directamente a adquisición de
elementos non volátiles ou post-mortem.
• Non confiar na información proporcionada polos programas do sistema xa que poden verse
comprometidos. Débese recompilar a información mediante programas desde un medio
protexido contra escritura.
• Non executar programas que modifiquen a data e hora de acceso de todos os ficheiros do
sistema.
Adquisición de elementos volátiles
• Débese procurar utilizar ferramentas que alteren o menos posible o escenario, evitando, na
medida do posible, o uso de ferramentas de interface gráfico e aquelas cuxo uso de memoria
sexa grande.
• Hai que asegurarse de que toda a información recompilada durante o proceso sexa tratada
dentro do marco legal establecido, mantendo a privacidade esixida.
• De ser o caso, obter unha autorización por escrito de quen corresponda para poder levar a
cabo a análise e a recolección de evidencias.
Algunhas das evidencias obtidas mediante os comandos mostrados tamén van poder ser
adquiridas cun correcto análise tanto da memoria RAM como do disco, pero as circunstancias
poden variar dependendo da contorna e a situación na que nos atopemos polo que, un amplo
coñecemento en distintas técnicas e ferramentas achegarannos unha gran vantaxe á hora de
tomar as decisións acertadas.
No primeiro caso práctico do curso verase o uso dalgúns dos comandos listados para a
adquisición de evidencias nunha máquina virtual.
Comandos e ferramentas para a adquisición
Listado de portos abertos (Comando). Para filtrar faise uso do comando findstr:
netstat -an | findstr /i “estado listening established” > PortosAbertos.txt
* Punto no que pode realizarse unha captura de tráfico, volcado de memoria e desconectar o equipo da rede antes de
proseguir cos seguintes comandos (comentarase máis adiante)
Contrasinais correspondentes aos recursos de rede aos que está conectado o usuario actual (Nirsoft)
Netpass /stab "NetworkPasswordRecovery.txt”
Existen varios programas que se poden utilizar, dous dos máis coñecidos son TShark ou
Wireshark. O problema destas aplicacións é que adoitan necesitar ter instalado no sistema un
driver de captura de tráfico como Npcap or WinPcap. Na súa falta, teriamos que instalar un ou
permitir que as propias aplicacións o fixeran.
Unha vez realizada a captura de tráfico sería o momento de realizar o envorcado da memoria
RAM (verase a continuación adiante como facelo) e despois podería desconectarse o equipo
da rede. Desconectando ou illando un equipo da rede podemos lograr que unha determinada
acción non siga ocorrendo, por exemplo unha descarga de datos non autorizada ou o borrado
remoto de datos por parte do atacante que poderían dificultar a análise.
Comandos e ferramentas para a adquisición
Unha boa práctica para a adquisición de elementos volátiles é ter, no mesmo dispositivo no que
temos as utilidades de adquisición, un ficheiro batch para automatizar a execución e recollida da
información.
Existen un gran número de utilidades que permiten realizar un envorcado de memoria, unha das
maís sinxelas de utilizar e menos intrusiva é DumpIt, pero existen outras moitas como poden ser
Winpmem, Memoryze, RamCapture, FTK Imager, Magnet RAM Capture, etc.
Unha vez finalizado o proceso de adquisición é moi importante, no caso de que a própia
ferramenta non nolo proporcione, obter un Hash do ficheiro xerado. Ferramentas que podemos
utilizar para elo son HashMyFiles, MD5deep, ou HashCalc.
Fontes
VILA AVENDAÑO, Pilar. Técnicas de análisis forense informático para peritos judiciales
profesionales. 0XWord., 2018. 978-84-697-7700-8.