Guide Theme 2 - Practice Memdump
December 2, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Guide Theme 2 - Practice Memdump...
Description
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
Guía Práctica de Laboratorio 1. DATOS GENERALES Asignatura Nombre del docente Unidad/Tema Subtema/Tópico Título de la práctica
Computación forense 05 Práctica No. Ing. Lídice Haz López 4 horas Duración Tema 2. Técnicas de adquisición de evidencia digital Generación de imágenes forenses: imágenes forenses de unidades de almacenamiento, memoria RAM y dispositivos móviles Android. Adquisición de evidencia digital: generación de imágenes forenses.
2. OBJETIVOS
software especializado para obtener copias o imágenes forenses de las evidencias Usar digitales.
Parte 1: Generar la imagen forense de la memoria RAM en un equipo encendido. 3. INTRODUCCIÓN BÁSICA Las imágenes forenses son copias bit a bit de un medio de almacenamiento de uno o varios archivos, es decir, si se requiere copiar toda la información de una memoria USB y cuya copia sea intacta, en ese caso son útiles las imágenes forenses, porque en ella se copia cada espacio del disco incluyendo los espacios libres o vacíos. No se modifican los metadatos, se conservan las propiedades como fechas y horas originales de los archivos y puede recuperarse información borrada del medio; entonces, si existen archivos borrados borrados o que se “perdieron”, en la imagen podría ser posible recuperarla. También es posible obtener un volcado de la memoria RAM cuando los equipos comprometidos en el incidente están encendidos “sistema “sistemass vivos” vivos”.. Obtener esta información es muy importante, pues existen procesos que se encuentran activos y será necesario extraer dicha información para su posterior análisis. La obtención de evidencias volátiles puede ser desde los siguientes lugares: 1. Registros y cache del procesador 2. Tablas de rutas 3. Cache ARP 4. Tabla de procesos 5. Estadísticas del kernel y módulos
Page 1 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN 6. Memoria RAM 7. Ficheros temporales del sistema 8. Estado de la red 9. Ficheros abiertos 10. Tiempos de los ficheros (tiempos MAC: modificación, acceso y creación) 11. Documentos abiertos. Toda evidencia volátil debe ser grabada como fichero a un dispositivo de almacenamiento externo; es decir, fuera del equipo víctima, y asegurar su integridad. En caso de no poder grabar a fichero las evidencias volátiles, habrá que realizar un estudio forense on-line de las mismas, con el riesgo de pérdida de evidencias o integridad que esto supone. Trabajar en un sistema vivo es un riesgo, ya que, es posible que el delincuente tome ventaja dentro del computador involucrado y borre sus huellas. Esta es una decisión del informático forense o del administrador del sistema en apagar o no el equipo o desconectarse de la red. El análisis de sistemas apagados o “sistemas muertos” implica la extracción ex tracción de imágenes forenses de los dispositivos de almacenamiento y archivos del sistema como el archivo de paginación pagefile.sys el mismo que trabaja en conjunto con la memoria RAM. Este proceso es el más recomendado. La evidencia se encuentra sellada y ha pasado por el proceso de cadena de custodia evitando que sea contaminada, alterada o eliminada. El análisis forense realizado a dispositivos móviles difiere del proceso forense de un dispositivo de escritorio o laptop principalmente por: (1) arquitectura diferente, (2) diversidad en los modelos y tecnologías de los dispositivos, (3) diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales, (4) software de análisis forense y hardware específico; y (5) la mayoría de software forense para estos dispositivos son de pago con licencia propietaria. Sin embargo, el variado ecosistema de los dispositivos móviles y su masificación entre los usuarios, lo hace una fuente de evidencia importante en un proceso de investigación penal o administrativo. Los dispositivos móviles almacenan multitud de información que puede resultar determinante a la hora de resolver un incidente, por ejemplo: historial de llamadas tanto entrantes como salientes, mensajes de texto y multimedia, correos electrónicos, historial de navegación, fotos, videos, documentos, información en redes sociales, información en servicios de almacenamiento online, etc. e incluso es posible recuperar información eliminada previamente. El análisis forense móvil tiene 3 métodos distintos de extracción de evidencias: adquisición física, adquisición del sistema de ficheros y adquisición lógica.
Adquisición física: es el método más utilizado habitualmente. Consiste en realizar una réplica idéntica del original que preserva la totalidad de las evidencias potenciales. Este
Page 2 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN procedimiento presenta la ventaja y posibilidad de buscar elementos eliminados. La desventaja es el nivel de complejidad respecto a los otros métodos y el tiempo que lleva su realización.
Adquisición lógica: consiste en realizar una copia de los objetos almacenados en el dispositivo. Para ello, se utilizan los mecanismos implementados de manera nativa por el fabricante, es decir, aquellos que son utilizados de manera habitual para sincronizar el terminal con un ordenador, de modo que se solicita la información deseada al sistema operativo del dispositivo móvil. Presenta la ventaja de que es un proceso mucho más sencillo que el anterior, pero no permite acceder a multitud de información.
Adquisición del sistema de ficheros: permite obtener todos los ficheros visibles mediante el sistema de ficheros, lo que no incluye son ficheros eliminados o particiones ocultas. Dependiendo del tipo de investigación puede pued e resultar suficiente utilizar este método lo que supone una complejidad menor que la adquisición física. Para llevarlo a cabo se aprovecha de los mecanismos integrados en el sistema operativo para copiar los ficheros, Android Device Bridge (ADB) en el caso de Android. Mediante este método es posible recuperar cierta información eliminada ya que algunos sistemas operativos como es el caso de Android e iOS se valen de una estructura que utiliza bases de datos SQLite para almacenar gran parte de la información. De este modo, cuando se eliminan registros de los ficheros, únicamente se marcan como disponibles para sobreescritura, por lo que temporalmente siguen disponibles y por tanto es posible recuperarlos.
A la hora de seleccionar el método más adecuado, se tienen en cuenta multitud de aspectos como por ejemplo: el nivel de exhaustividad requerido, la limitación de tiempo para realizar el proceso, qué tipo de información es necesario obtener: información volátil, información que ha sido previamente eliminada, información de aplicaciones de terceros, etc. Otro método más práctico en el momento de elegir la manera más adecuada / posible de adquirir las evidencias es el siguiente diagrama, en el que se diferencia aspectos como si está activada la depuración USB, si el terminal está bloqueado o si se tiene acceso, etc.
Page 3 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
Fuente: ¿Qué Fuente: ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
4. RECURSOS NECESARIOS
Computadora con acceso a internet Máquina virtual Oracle VM VirtualBox o VMware Workstation Sistemas operativos virtualizados Caine, Santoku Software Access Data FTK Imager, Guymager, Memoryze, herramienta Win32dd.exe / win64dd.exe, LiMe. Pendrive 2GB o superior Dispositivo móvil android
Page 4 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
5. PROCEDIMIENTO PARTE 1: Generar la imagen forense de la memoria RAM en un equipo encendido. Para esta actividad se usará primero la línea de comandos desde O.S. Windows a través de la herramienta win32dd de MoonSols, y luego con el software Access Data FTK Imager desde Windows o Linux. Para esta actividad se sugiere realizar el volcado de memoria de una máquina virtual cuyo tamaño de RAM no supere los 4GB por la capacidad de almacenamiento que se requiere para este proceso. A continuación, se usará una máquina virtual con O.S. Windows 7 : virtual e e iniciar el O.S. Windows 7. 1. Ejecutar la máquina virtual 2. En las propiedades del equipo se observa la capacidad de la memoria RAM de 1.5GB 1.5GB..
3. Ejecutar la línea de comandos de comandos de Windows en modo administrador. Cambiarse a la ruta donde se encuentra el programa win32dd . Para el ejemplo, esta carpeta se encuentra en el escritorio. Desktop\win32dd Moverse a la ruta mediante la instrucción cd C:\Users\Administrator\ C: \Users\Administrator\Desktop\win32dd
Page 5 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
4. Ubicado en la ruta donde que contiene el programa win32dd; ejecutar la instrucción win64dd -d /f C:\Users\Administrator\Desktop\win32dd DumpMemoryRam.dmp. Esta instrucción corresponde a la sintaxis c:\[ruta_carpeta_win32dd] win64dd -d /f [ruta_carpeta_win32dd] NombreArchivoSalida
5. A continuación, el programa requiere de una confirmación para iniciar el proceso. Para confirmar presionar la tecla y. El proceso concluye con un archivo de salida de igual tamaño de la memoria RAM del equipo.
Page 6 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
Page 7 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
A continuación, se usará
Access Data FTK Imager:
Memory. 1. Inicie el software Access Data FTK Imager . Luego escoja la opción File -> Capture Memory.
2. En la ventana de Memory Capture seleccione Capture seleccione la ruta de destino donde se almacenará la imagen de la memoria RAM. Digite el nombre del archivo de destino de la imagen cuya extensión será .mem .mem.. En este proceso tiene la opción de incluir la carga del archivo pagefile.sys, pagefile.sys, para el ejemplo se extraerá este archivo clic en check Include pagefile pagefile.. Luego presione el botón Capture Memory para Memory para iniciar el volcado de la memoria RAM.
Page 8 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
Page 9 of 10
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
6. ACTIVIDADES PROPUESTAS 1. ¿Qué importancia tiene conocer la arquitectura y el sistema operativo de los dispositivos móviles a analizar en una investigación forense? 2. Investigue y utilice herramientas integradas en los O.S. DeftZero ó Helix para obtener imágenes forenses de medios de almacenamiento y memoria RAM.
Page 10 of 10
View more...
Comments