La recolección de evidencias

 Actividad 1

En esta primera actividad vamos a obtener la fecha y hora del sistema que ha sufrido un incidente, de tal forma que podremos establecer una línea temporal de recopilación de evidencias, duración del proceso, etc. Para ello nos vamos a valer de la línea de comandos utilizando las instrucciones date y time:

  • En primer lugar, para que el dispositivo nos ofrezca la fecha debemos introducir el comando "date /t" en la famosa aplicación símbolo del sistema, observando así que la respuesta aparece con rapidez.


Ahora vamos a realizar esta misma actividad pero de manera más elegante. Vamos a ordenar a las instrucciones date y time que la información que nos dan la guarde a un fichero de texto, en vez de mostrarla en pantalla. 
  • Primero lo hacemos sólo con el comando date: ◦ date /t > fechayhora.txt
  • Dentro del fichero fecha.txt tendremos la fecha del sistema. Ahora vamos hacer lo mismo pero añadiendo también la hora. ◦ time /t >> fechayhora.txt
  • Para terminar esta actividad vamos a ejecutar el comando como debiéramos hacer para recopilar la fecha y hora de inicio de recolección de evidencias tras un incidente: ◦ date /t > start-time.txt &time /t >> start-time.txt 


Actividad 2 
En esta segunda actividad vamos a realizar un volcado de memoria del equipo mediante la herramienta "FTK Imager".

En primer lugar, descargamos app y seleccionamos, una vez abierto el programa, la opción "File" y lurgo "Capture Memory". Al dar click se abrirá una ventana de opciones donde podemos incluir...
- la ruta donde vamos a guardar el volcado de memoria.
- el nombre que queremos dar al archivo.
- si queremos incluir la memoria virtual (pagefile.sys) o no.
- si queremos crear el volcado en un archivo cifrado tipo AD1.


Para nuestra actividad vamos a seleccionar que vuelque la memoria virtual y seleccionamos como carpeta para guardar la información la carpeta de usuario, dejando todo lo demás por defecto. Pulsamos Capture Memory y dejamos que realice el proceso cerrando la ventana al finalizar.

Una vez que tenemos capturada la memoria del equipo, la cargaremos mediante File/Add Evidencie Item, seleccionando el archivo memdump.mem que es nuestro volcado de memoria.

Para realizar una búsqueda de información en texto plano nos situaremos al principio de la información del archivo y con el botón derecho seleccionamos la opción Find. Se nos abrirá una ventana y en la que podremos buscar la información que sea de nuestro interés, por ejemplo podríamos buscar el texto “&passwd=”, &password=” o “password” para intentar encontrar alguna de las contraseñas de acceso de algún servicio que el usuario hubiese utilizado durante la sesión.




Bienvenidos a mi blog, disfrutad!

Comentarios

Publicar un comentario

Entradas populares de este blog

El modelo de seguridad CIA

Imagen
PRÁCTICAS TEMA 4 Dentro del mundo de la informática, y específicamente, en el ámbito de la seguridad, el modelo CIA es uno de los conceptos más importantes que se deben tener en cuenta. Este se encuentra diseñado con el fin de guiar a las organizaciones, mediante políticas de seguridad cibernética dentro del ámbito de la seguridad informática, es decir, se trata de un modelo que hace referencia a la seguridad cibernética de los usuarios. La ciberseguridad es el conjunto de herramientas, salvaguardias, directrices o conceptos de seguridad que las grandes instituciones pueden utilizar para proteger los activos de la organización y a los usuarios dentro de Internet. De este modo, la ciber seguridad trata de proteger los dispositivos informáticos e individuos que se encuentran conectados a la red, garantizando, así que se alcancen propiedades de seguridad contra riesgos que se puedan producir en el ciber entorno. El modelo CIA (Confidentiality, Integrity and Availability) defiende que para...
Read more »

Análisis forense con Autopsy

Imagen
 PRÁCTICA 12 (2) El objetivo de esta práctica es conocer lo básico sobre el análisis de una imagen de disco con el software libre Autopsy que nos aportará la app de la universidad, myapps. El software Autopsy permite analizar tanto discos duros como teléfonos móviles y es un software de análisis forense de distribución libre, lo cual hace alusión a que es gratuita y nos permitirá localizar muchos de los programas o plugins de código abierto. Durante esta práctica analizaremos las mismas imágenes que analizamos en la práctica de Bulk Extractor, el objetivo es ver las diferencias entre ambos y comprender las ventajas que nos pueden aportar cada uno. EJERCICIO 1 En primer lugar debemos instalar del software de Autopsy con la ejecución del fichero “autopsy-4.5.0-64bit.msi”, pero en mi caso la propia entidad de mi universidad me permite acceder a la aplicación sin tener que descargarla. Una vez abierta la app, creamos un nuevo caso y rellenamos la información del siguiente modo:...
Read more »