Evolución de las Herramientas de Investigación Computer Forensec
5 HERRAMIENTAS
5.1 Evolución de las Herramientas de Investigación
Según [7], en el comienzode la investigación criminal de computadoras, era común
para los investigadores usar el mismoordenador que estaban examinando para hacer
con este la investigación. Un riesgo de esta estrategia era que operandola computadora
que contiene las evidencias se podía alterar la evidencia de modo que era indetectable.
Aunque programas como dd en UNIX existían en los años 80 y podía usarsepara
capturardatos borrados almacenados en el discoduro, estas herramientasno eran
comúnmente usadas y la mayoría de los análisisen aquel tiempose realizaban en el
nivel de sistema de ficheros, descuidando los datos borrados.
No fue sino hasta el comienzo de los 90, cuando se desarrollaron herramientas como
SafeBacky DIBS, que permitían a los investigadores recopilartodos los datosde un
disco,sin alterar detalles importantes. Alrededor de esas fechas,se desarrollaron
herramientas como aquellas para el IRS de los Estados Unidos (Hacienda), por parte de
Mareswarey NTI. Éstas ayudaban a los investigadores a procesar datos en un disco de
ordenador. La Real PolicíaMontada de Canadátambién desarrollóherramientas
especializadas para examinar computadores. Por aquel entonces mucha gente temía por
el valor probatorio de las computadoras, y se impuso la necesidad de herramientas más
avanzadas. Para satisfacer esta necesidad, se desarrollaron herramientas integradas
como FTK para más fácil el trabajo del investigador. Estas herramientas permitían hacer
el análisis más eficiente, automatizando rutinas y mostrando datos en una interfaz
gráfica para ayudar a encontrarlos detalles importantes. Recientemente, se ha renovado
el interés de Linux como plataforma de análisisy herramientas como The Sleuth Kit o
SMART han sido desarrolladas para proveer de una interfaz amigable al usuario.
Herramientas más sofisticadas usan poderosos microscopios y están disponibles para
recuperardatos sobrescritos de los discosduros, pero son demasiado caras para la
mayoría de los bolsillos
Desafortunadamente, muchas personas aún no son conscientes de la necesidad de
estas herramientas. A pesar de que los jueces han sido indulgentes con los
investigadores que maltratan las evidencias digitales,esto está cambiando a medida que
aumenta el conocimiento sobre esta materia.
Ha habido una progresión similaren la evolución de herramientas para recopilar
evidencias en los sistemas de comunicación.A finales de los 80, Clifford Stoll describió
como hacía impresiones del tráfico de red en un esfuerzo de preservarlo como
evidencia. Las herramientas de monitorización de tráfico como tcpdump y Ethereal
pueden usarse para capturar tráfico de red, pero no están diseñadasespecíficamente para
recopilarevidencias digitales. Herramientas comerciales como Carnivore,NetIntercept,
NFR Security, NetWitness, y SilentRunner se han desarrolladocon búsqueda integrada,
visualización y características de análisis para ayudar a los investigadores a extraer
información del tráfico de red. Más que apoyarseen las herramientas, las redes
requieren el ingenio del investigador para recopilar y analizar las evidencias.
También se haproducido una evolución parecidaen lasherramientas de
recopilación de evidencias de sistemas embebidos. Es común para los investigadores
leer datos de teléfonos móviles,buscas, agendas electrónicas, y otrosasistentes
personales digitales directamente desde los dispositivos. Sin embargo,esta estrategia no
permiteel acceso a datos borrados y puede que el análisis no sea posible si el
dispositivo está protegido por contraseña o no tiene una forma de mostrar todos los
datos que contiene. Por lo tanto, herramientas como ZERT, TULP y Cards4Labs han
sido desarrolladas para acceder a datos protegidos por contraseña y a los datos borrados.
Otras técnicas más sofisticadas están disponiblesimplicando a microscopios
electrónicos para recuperar datos encriptados de sistemasembebidos, pero son
demasiado caras.
Con el paso de los años se han encontrado fallos en varias herramientas de
procesamiento de evidencias digitales, que provocan que la evidencia se pierdao se
malinterprete. Para evitar los erroresjudiciales que puedenresultar de estos fallos, es
deseableevaluar la fiabilidad de las herramientas usadascomúnmente. El Instituto
Nacionalde Estándares y Testeo (NIST) está haciendo un esfuerzo para testear algunas
de éstas herramientas. Sin embargo,ésta es una tarea ardua, debido a que puede no ser
posible crear tests estándar para características avanzadas de varias herramientas, puesto
que cada herramienta tiene diferentes características.
En 2002 Brian Carrier propusoreducir la complejidad de los test permitiendo a la
gente ver el código fuente de componentes cruciales del software. Facilitando a los
programadores de todo el mundo el código fuente, se permitiría a los testeadoresde
herramientas ganar un mejor entendimiento delprograma e incrementaría la
probabilidad de encontrar fallos. Es algo reconocido que los desarrolladores de
herramientas comerciales querrán manteneralgunas partes de sus programas de forma
privadapara proteger su ventaja en la competencia. Sin embargo, ciertasoperaciones
como copiar datos de un disco duro son suficientemente comunes y cruciales para
requerirun estándar abierto.Últimamente, dada la complejidad de los sistemas de
computadoras y las herramientas usadas para examinarlos, no es posible eliminar o
cuantificar los errores, la incertidumbre y las pérdidas, de modo que los investigadores
deben validar sus propios resultados usando varias herramientas.
5.2 ANÁLISIS DE DISCOS
Herramientas basadas en Linux
5.2.1 LINReS, de NII Consulting Pvt. Ltd.
LINReS [9] es una herramienta de Primera Respuesta diseñada para ejecutarse en
sistemasLinux sospechosos/comprometidos, con un mínimo impacto en el mismo para
satisfacer varios requerimientos estándar forenses. Esta herramienta ha sido probada con
éxito en sistemas RedHat Linux.
LINReS consiste en su mayor parte en binarios compilados estáticamente e incluye
las librerías compartidas que pueden requerirlos binarios que no están compilados
estáticamente. En definitiva, no se usa ningúnbinario del sistema comprometido,
mitigando el riesgo de recopilar información de un sistema con un rootkit, troyano, etc.
Este herramienta sigue un modelosimple cliente–servidor en el que el sistema
sospechoso actúa como servidory la estación de trabajodel investigador (bajo el
sistema operativo MS-Windows) actúa como clientey recibe todos los datos de primera
respuestadel sistema sospechoso. La elección de MS-Windows como sistema cliente se
debe principalmente a la facilidaddel uso de la opciónpersistente (–L) del comando
Netcat.
LINReScontiene tres herramientas diferentes que recogen datos volátiles y no
volátilesdel sistema sospechosoque satisfacen los requerimientos de la fase “Respuesta
Inicial”
Características principales
Recoge información volátil y no volátil del sistema sospechoso 
Recoge meta-datos de los ficheros del sistema sospechoso
Calcula los hashes de todos los ficheros del sistema sospechoso
Transfiere datos a través de la red usando conexiones de Netcat persistentes
Interacción mínima sobre el sistema sospechoso
Usa en su mayoría binarios compilados estáticamente
5.2.2 SMART, by ASR Data
SMART [10] es una herramienta software que ha sido diseñada y optimizada para
dar soporte a los investigadores forenses y al personal de seguridad informática en la
consecución de sus respectivas tareas y metas. El softwarey metodología de SMART
han sido desarrollados con la intención de integrar los requerimientos técnicos,legales y
de usuario final en un paquete completoque permite al usuario realizar su trabajode
manera más efectiva y eficiente.
SMART es más que un simple programaforense. Las características de SMART le
permiten ser usado en multitud de escenarios, incluyendo:
• Investigaciones de “Knock-and–talk”
• Vista previa remota o in-situ de un sistema objetivo
• Análisis post mortem
• Testing y verificación de otros programas forenses
• Conversión de ficheros entre distintos formatos forenses
SMART es usado actualmente por:
• Agentes de la ley Federales, estatales y locales en U.S.A.
• Organizaciones militares y de inteligencia en U.S.A.
• Empresas de contabilidad
• Investigadores forenses
• Especialistas en recuperación de datos
• Profesionales en recuperación de desastres
• Profesionales de la seguridad informática
• Profesionales de la privacidad en la asistencia sanitaria
• Auditores internos
• Administradores de sistemas
5.2.4 MacForensicLab, de Subrosasoft
MacForensicsLab™ [12] es un conjunto completode herramientas forenses y de
análisis en un paquete consistente.
• La seguridad lo primero – MacForensicsLab tiene mucho cuidado a la hora de
asegurarla integridad de la evidencia. DiskArbitration puede deshabilitarse con
el clic de un botón para asegurarnos que el SSOO Mac. no intentará montary
por tanto, alterar, el disco duro sospechoso.
• Logs detallados – Cada acción tomada mientras que se usa el software es
almacenada en logs altamentedetallados para proporcionar al investigador la
mayor cantidad posible de información. En cualquier fase se pueden crear notas
para almacenar las impresiones del investigador durante el proceso.
• Informes del caso en HTML – Una combinación de datos del gestor del caso y
de los ficheroslogs (cronología, recuperaciones, análisis, adquisición, catálogos,
favoritos, notas) puede ser exportada en un informeHTML para su visionado en
cualquier navegador Web.
• Hashing flexible – Los procesos de adquisición de datos incluyenla utilización
de hashes MD5, SHA1 y SHA256. Los hashes pueden crearse desde un fichero
o directorio con tan solo hacer clic enun botón.
• Recuperar evidencias despuésde que un disco o dispositivo ha sido
formateado – MacForensicsLab recuperaráficheros, hará búsquedas de cadenas
y permitirá el análisis de las unidades formateadas recientemente.
• Recuperaevidencias de medioscorruptos – Se procesarácualquier dato
intactoen el disco, y recuperará cadenas y ficheros enteroso parciales donde
quiera que se encuentren.
• Trabaja con datosde otros sistemasoperativos – MacForensicsLab está
preparadopara realizar adquisición de datos y análisis de unidades con
Windows, Linux, y otros sistemas operativos.
• Proporciona métodos muy rápidosy fáciles para encontrar y marcar
evidencias – con la herramienta “Browse“, MacForensicsLab permite al
investigador el visionado de ficheros en vista nativa a la vez que se recorre una
estructura completa de directorios.
Herramientas basadas en Windows
5.2.5 BringBack de Tech Assist, Inc.
BringBackTM [13] proporciona recuperación de
datos de sistemasoperativos WindowsTM &Linux
(ext2),además de imágenesdigitales almacenadas en
tarjetas de memoria, etc.
Características:
• Disk Viewer – está diseñado para asistir a una persona experta en la valoración
de las condiciones de un volumen.Proporciona búsqueda, navegación y
visionado de los formatos más comunes.
• Los sistemas de ficheros soportados son FAT16, FAT32 y NTFS (todas las
versiones)
• Proporciona soporte limitado para ext2 (sistema de ficheros Linux)
• Recupera hardware RAID0 y RAID5
• Motor de validación – compruebaficheros en discoantes de recuperarlos para
ver los que estar rotos y los que no.
La siguiente es la lista de formatos de fichero conocidospor la versión actual del
motor de validación de datos (BringBackTM 2.1), en ningún orden en particular:
o Almacenamiento con estructura OLE
Microsoft Word .doc
Microsoft Excel .xls
Microsoft Power Point .ppt
Windows Installer package .msi
o .exe, .dll, .cpl Módulo ejecutable Windows (Win32/PE format)
o .ace archivo comprimido
o .arj archivo comprimido
o .asf video
o .dbf formato de base de datos
o .gif imagen
o .gz archivo comprimido gzip
o .ico fichero icono Windows
o .inf fichero INF Windows
o .jpg, .jpeg imagen JPEG
o .mid sonido MIDI
o .mp3 sonido
o .pdf documento Adobe Acrobat
o .png imagen
o .qt video QuickTime
o .rar archivo comprimido
o .rm real Media
o .rmid fichero de sonido
o .tga imagen
o .tiff imagen
o .url fichero URL de Internet Explorer
o .wav fichero de sonido
o .zip archivo comprimido
• Recuperación de ficheros de imagen digital desde cámaras digitales
• Funciona sobre Windows NT/2000/XP/2003
• Puede ejecutarse desde un CD, por ejemplo, y no necesita escribir en el disco
excepto por dos cosas:
1. Ficheros log opcionales (configurable)
2. Ficheros recuperados
5.2.6 EnCase, by Guidance Software
EnCase [14], desarrollada por Guidance Software Inc., permite asistir al especialista
forense durante el análisis de un crimen digital.
Se trata del software líder en el mercado, el producto más ampliamente difundidoy
de mayor uso en el campo del análisis forense.
Algunasde las características más importantes de EnCasese relacionan a
continuación:
– CopiadoComprimido de Discos Fuente. Encase emplea un estándar sin pérdida
(loss-less) para crear copiascomprimidas de los discos origen.Los archivos
comprimidos resultantes, pueden ser analizados, buscados y verificados, de
manera semejante a los normales (originales).Esta característica ahorra
cantidades importantes de espacio en el disco del computador del laboratorio
forense,permitiendo trabajar en una gran diversidad de casos al mismo tiempo,
examinando la evidencia y buscando en paralelo.
– Búsqueday Análisis de Múltiples partes de archivos adquiridos. EnCase permite
al examinador buscary analizar múltiples partes de la evidencia. Muchos
investigadores involucran una gran cantidad de discos duros, discos extraíbles,
discos “zip” y otros tipos de dispositivos de almacenamiento de la información.
Con Encase, el examinador puede buscar todos los datos involucrados en un
caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede
ser colocada en un disco duro y ser examinada en paralelo por el especialista. En
varios casos la evidencia puede ser ensamblada en un disco duro grande o un
servidor de red y también buscada mediante EnCase en un solo paso.
– Diferentecapacidad de Almacenamiento. Los datos pueden ser colocados en
diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los
archivospertenecientes a la evidencia pueden ser comprimidos o guardados en
CD-ROM manteniendo su integridad forenseintacta, estos archivos pueden ser
utilizados directamente desde el CD-ROM evitandocostos, recursos y tiempo de
los especialistas.
– VariosCampos de Ordenamiento, Incluyendo Estampillas de tiempo. EnCase
permiteal especialista ordenarlos archivos de la evidencia de acuerdo a
diferentes campos, incluyendo campos como las tres estampillas de tiempo
(cuando se creó, último acceso, última escritura), nombres de los archivos, firma
de los archivos y extensiones.
– AnálisisCompuesto del Documento. EnCasepermite la recuperación de
archivosinternos y meta-datos con la opción de montardirectorios como un
sistemavirtual para la visualización de la estructura de estos directorios y sus
archivos, incluyendo el slack interno y los datos del espacio libre.
– BúsquedaAutomática y Análisisde archivos de tipo Zip y Attachments de E-
Mail. Firmas de archivos, Identificación y Análisis. La mayoría de las graficas y
de los archivosde texto comunes contiene una pequeña cantidad de bytes en el
comienzodel sector los cuales constituyen una firma del archivo.EnCase
verificaesta firma para cada archivocontra una listade firmas conocida de
extensiones de archivos. Si existe alguna discrepancia, como en el caso de que
un sospechoso haya escondido un archivo o simplemente lo haya renombrado,
EnCasedetecta automáticamente la identidad del archivo,e incluye en sus
resultados un nuevo ítem con la bandera de firma descubierta, permitiendo al
investigador darse cuenta de este detalle.
– AnálisisElectrónico Del RastroDe Intervención. Sellosde fecha, sellos de
hora, registro de accesos y la actividad de comportamiento reciclado son a
menudo puntos críticos de una investigación por computador.EnCase
proporciona los únicos medios prácticos de recuperar y de documentar esta
información de una manera no invasora y eficiente. Con la característica de
ordenamiento, el análisis del contenido de archivos y la interfaz de EnCase,
virtualmente toda la información necesitada para un análisis de rastros se puede
proporcionar en segundos.
– Soportede Múltiples Sistemas de Archivo. EnCase reconstruye los sistemas de
archivosforenses en DOS, Windows (todas las versiones),Macintosh (MFS,
HFS, HFS+), Linux,UNIX (Sun, Open BSD), CD-ROM, y los sistemas de
archivosDVDR. Con EnCase un investigador va a ser capaz de ver, buscar y
ordenar archivos desde estos discos concurridos con otros formatosen la misma
investigación de una manera totalmente limpia y clara.
– Vista de archivosy otros datos en el espacio Libre. EnCase provee una interfaz
tipo Explorador de Windows y una vista del Disco Duro de origen,también
permitever los archivos borrados y todos los datos en el espacio Libre. También
muestrael Slack File con un color rojo después de terminar el espacio ocupado
por el archivodentro del cluster,permitiendo al investigador examinar
inmediatamente y determinar cuándo el archivoreescrito fue creado. Los
archivosSwap y Print Spooler son mostrados con sus estampillas de datos para
ordenar y revisar.
– Integración de Reportes. EnCasegenera el reporte delproceso de la
investigación forense como un estimado. En este documento realiza un análisis y
una búsqueda de resultados, en donde se muestra el caso incluido, la evidencia
relevante, los comentariosdel investigador, favoritos, imágenes recuperadas,
criterios de búsqueda y tiempo en el que se realizaron las búsquedas.
– Visualizador Integrado de imágenes con Galería. EnCase ofreceuna vista
completamente integrada que localizaautomáticamente, extrae y despliega
muchos archivos de imágenes como .gif y .jpg del disco. Seleccionando la
“Vista de Galería” se despliega muchosformatos de imágenesconocidas,
incluyendo imágenes eliminadas, en el caso de una vista pequeña. El
examinador puededespués escoger lasimágenes relevantes al casoe
inmediatamente integrar todas las imágenes en el reporte de EnCase. No es
necesariover los archivos gráficos usando software de terceros, a menos que el
formato de archivo no sea muy conocido y todavía no sea soportado por EnCase.
EnCase es un software costoso, y en Estados Unidos los costos se dividen así:
• Gobierno yEducación US$1,995
Sector Privado US$2,495
5.2.7 FBI, by Nuix Pty Ltd
La empresa Nuix desarrolló FBI [15] con la asistencia de cuatrograndes agencias
gubernamentales de U.S.A. Se desarrolladesde el año 2000 y sus clientes incluyen
departamentos de gobierno, agenciasde regulación, policíay cuerpos anticorrupción,
bancos, y un número creciente de empresas e instituciones australianas.
Algunas aplicaciones de FBI incluyen:
• Búsqueda rápida de material inapropiado
• Identificación de filtraciones no autorizadas de documentos
• Recopilación de información para investigaciones de fraude
• Investigaciones de textos en Chino, Coreano, Árabe y Japonés
• Auditorias de alto riesgo de empleados
Formatos de datos de entrada soportados
Formatos de almacenamiento de emails:
• EDB,STM (Microsoft Exchange)
• PST,OST (Microsoft Outlook)
• MSG (Microsoft Outlook – ficheros con un solo correo)
• NSF (Lotus Notes / Domino)
• DBX,MBX (Microsoft Outlook Express)
• MBOX (Estándar)
• EML (Estándar, un email por archivo)
• EMLX (Apple Mac OS X Mail.app)
• BOX (Foxmail)
• Hotmail y Yahoo! Mail HTML (extraídos de la caché del explorador)
Protocolos de servidores de email:
• IMAP
• POP
• Novell GroupWise (vía IMAP como una “aplicación de confianza”)
Formatos de imagen de disco:
• E01 (EnCase)
• Imágenes en bruto “dd” en un fichero individual
Tipos de sistemas de ficheros:
• NTFS (Microsoft Windows NT)
• FAT32 (MS-DOS, Microsoft Windows)
• Ext2 (Linux)
Formatos de documentos:
• HTML
• Texto plano
• PDF
• DOC,DOT (Microsoft Word)
• XLS,XLT (Microsoft Excel)
• PPT,POT,PPS (Microsoft PowerPoint)
• RTF
• WPS,WKS,XLR (Microsoft Works)
• WPD (Corel WordPerfect)
• CPR,SHW(Presentaciones Corel, Corel SlideShow)
• WK4 (Lotus 1-2-3) *
Formatos de imágenes:
• PNG (Portable Network Graphics)
• JPEG (Joint Photographic Experts Group)
• TIFF (Tagged Image File Format)
• GIF (Graphics Interchange Format)
• BMP (Windows bitmap)
• PBM,PPM,PGM (Portable bitmaps, pixelmaps, greymaps)
• RAW (Imágenes en bruto de cámaras digitales)
• WBMP (Wireless bitmaps)
Formatos de archivos comprimidos:
• ZIP
• GZIP
Otros formatos a comentar:
• Caché del explorador Internet Explorer
• Caché del explorador Mozilla
Características de Búsqueda
La sintaxis te búsqueda soporta:
• Consultas con comodines
• Consultas difusas
• Operadores booleanos (AND, OR, NOT)
• Consultas de frases
• Consultas de proximidad
• Consultas de campos específicos de metadatos
Los filtros disponibles para las búsquedas son:
• Tipo de fichero (tipo MIME)
• comentarios
• clasificaciones
• fecha de comunicación
• listas de palabras
Formatosde salida soportados
Los informes pueden ser exportados en los siguientes formatos:
• XHTML
• PDF
• TIFF
• CSV
Integración con otros sistemas de gestión de evidencias:
• Ringtail CaseBook
Los gráficos pueden exportarse a los siguientes formatos:
• SVG
• PNG
5.2.8 Forensic Toolkit (FTK), de AccessData
AccessData Forensic Toolkit® (FTK™) [16] ofrece la posibilidad de realizar un análisis
forensecompleto. Proporciona poderosas búsquedas y filtrados de ficheros, permitiendo
ordenarmiles de ficherospara encontrar más rápidamentela evidencia. FTK está
reconocido como la herramienta líder en el análisis de emails.
Características:
Fácil de usar
• Visionado de 270 formatos de fichero diferentes.
• FTK Explorer permite navegar a través de los ficheros de una imagen adquirida.
• Genera logs e informes.
• Compatible con Password Recovery ToolkitTM y Distributed Network Attack®.
Búsqueda avanzada
• El indexado de textos completos de dtSearch® proporciona resultados de
búsqueda instantáneos.
• Búsquedas avanzadas para imágenes JPEG y texto de Internet.
• Localiza patrones de binarios usando Live Search.
• Recupera automáticamente ficheros y particiones borradas.
Ficheros soportados y Formatos de Adquisición
• Formatosde fichero: NTFS, NTFS comprimido, FAT 12/16/32, y Linux
ext2/ext3.
• Formatos de imagenadquirida: Encase, SMART,Snapback, Safeback (no
incluye la version 3), y Linux DD.
Análisis de Emails y ficheros Zip
• Soporta: Outlook,Outlook Express, AOL, Netscape, Yahoo, Earthlink, Eudora,
Hotmail, y correo MSN.
• Visionado, búsqueda, impresión y exportación de mensajes de email y sus
adjuntos.
• Recupera emails borrados o parcialmente borrados.
• Automáticamente extrae datos desdeficheros comprimidos PKZIP, WinZip,
WinRAR, GZIP, y TAR.
Known File Filter™ (KFF™) (Filtro de ficheros conocidos)
• Identifica y marca ficheros de programas y sistemas operativos estándar.
• Identifica y marca pornografía infantil conociday otros ficheros con evidencias
potenciales.
• Incluye las bases de datos de hashes conocidos: NIST y Hashkeeper
Registry Viewer™ (Visor del registro)
• Accede a datos protegidos
• Visionado de ficheros de registro independientes
• Generación de informes
5.2.9 ILook Investigator,
Realizadopor Elliot Spencery el U.S. Dept of Treasury, Internal Revenue Service –
Criminal Investigation (IRS)
Ilook [17] es una herramienta forense multihilo, compatible con Unicode, diseñada
para analizar una imagen de un sistema de ficheros. Funciona en las siguientes
plataformas de 32 bits: Win2K o WinXP, y la siguiente de 64 bits: Windows Server
2003 64bit. Puede usarse tambiénpara examinar imágenesobtenidas desdeotras
herramientas de adquisición de imágenes que producen una imagen en bruto (raw).
El hardware recomendado para la versión actual, ILookv8,es un procesador
Pentium4 a 2Ghz con 1GB de RAM. ILookv8 contieneuna ayuda Online que está
disponible una vez instalado.
Características de ILook v8
1.Adquisición de la imagen de un sistema de ficheros.
2.Identificación y soporte para los siguientes sistemas de ficheros: FAT12,FAT16,
FAT32, FAT32x,VFAT, NTFS, HFS, HFS+, Ext2FS,Ext3FS, SysV AFS, SysV
EAFS, SysV HTFS, CDFS, Netware NWFS, Reiser FS, ISO9660
3.Una interfaz tipo Explorer que permite al investigador el visionado y navegacióna
través del sistema de ficheros.
4.Posibilidad de extracción granularque permite extraer un fichero o una partedel
mismo desde una imagen.
5.Motor de búsqueda de expresiones regulares.
7.Visionado de ficheros en múltiples formatos.
8.Generador de diccionarios de passwords.
9.Visor hexadecimal.
10. Posibilidad de recuperación de ficheros.
11. Rutinasde verificación de hashes.
12.Recuperación de directorios huérfanos FAT.
14.Características de Etiquetado y Categorización de datos.
15.Posibilidad de hacer informes.
16.Características de gestión de casos y evidencias, y manejo de elementos multi-
evidencia.
17.Funciones para el tratamiento de la caché de Internet y bandejas de correo.
18.Características de investigación directamente en los dispositivos.
20.Funciones de filtrado y eliminación de ficheros.
21.Unabase de datos de resultados de búsqueda almacena los resultados de todas las
búsquedas hechas en un caso.
22.La vista de Mapa de bits de un volumen permite un visionado generalde la capa
física de cualquier volumen seleccionado..
23.Métodos sofisticados de automatización de procesos.
24.Accesocompleto a la arquitectura DotNet de Microsoft’s,y los compiladores C# y
VB.Net.
26.Detecciones de ficheros protegidos para los tipos de ficheros comúnmente protegidos
por password.
27.Carpetas virtuales de categorización de datos.
28.Visor integrado de thumbnails.
29.Diario FileTime.
30.Análisis de un stream de datos.
Bases de datos de Hash soportadas
ILookv8usa la Hashkeeper Database diseñada y mantenida por el U.S. DOJ
National Drug Intelligence Center (NDIC) http://www.usdoj.gov/ndic/about.htm
ILookv8 usa el NationalInstitute of Standardsand Technogy (NIST), National
Software Reference Library (NSRL) http://www.nsrl.nist.gov/downloads.htm.
5.2.10 Safeback de NTI & Armor Forensics
• SafeBack [18] – Usos Primarios:
• Usado para crear copias de respaldo de discos duros en sistemas basados en
Intel.
• Usado para recuperar imágenes de tipo SafeBacken otra unidad de disco duro
de igual o mayor capacidad.
• Usado como una herramienta de conservación de evidencias.
• Usado como herramienta de inteligencia en agencias militares..
• SafeBack – Características del programa y Beneficios:
• Basado en MS-DOS por facilidad de operación, velocidad y para eliminar
problemas creados por Windows concerniente a la alteración potencial de datos.
• Incorpora dos implementacionesseparadas del algoritmo testado por el NIST,
SHA256,para asegurar la integridad de todos los datos contenidos en el
dispositivo de almacenamiento a usar.
• Proporciona un seguimiento de auditoria del proceso de adquisición de imágenes
para documentar evidencias. Por defecto se muestra un valor hash SHA256 para
cada imagen extraída que puede ser comparado con el original.
• Copia con precisión todas las áreas del disco duro.
• Soporta otros discos duros no-DOS y no-Windows, por ejemplo UNIX, siempre
que esté en un sistema basado en Intel.
• Permite extraer imágenes de un disco duro a través del puerto de la impresora.
• Permite duplicar un disco duro en otro de modo directo.
• Los archivos imagende tipo SafeBackpueden ser almacenado en un fichero
grande o en ficheros separadosde tamaño fijo. Esta característica es útil a la
hora de hacer copias en CDs o DVDs.
• Permite realizar copias lógicas o físicas a elección del usuario.
• Copia y recuperamúltiples particiones conteniendo uno o más sistemas
operativos.
• Se usan combinaciones matemáticas del algoritmo CRC para garantizar la
precisión de la copia, por ejemplo, el RSA MD5.
• Escribe en unidades SCSI de cintas backup o en discos duros.
• La versión actualde SafeBack comprime las seccionesno usadas o no
formateadas del disco duro para incrementar la velocidad del proceso y ahorrar
espacio de almacenamiento en el archivo imagen SafeBack.
5.2.11 X-Ways Forensics,de X-Ways AG
X–Ways Forensics[19] es un entorno de trabajo avanzado para examinadores
forenses.Funciona bajo Windows98/Me/2000/XP/2003 (la funcionalidad completa
solo es soportada bajo Windows 2000/XP/2003). Está estrechamente integrada con la
herramienta WinHex y puede comprarse como una licencia forensepara WinHex. X–
Ways Forensics abarca todas las características conocidas de WinHex, que son:
• Clonado y extracción de imágenes con X-Ways Replica
• Examen de la estructura de directorios almacenada en archivos imagen en bruto
• Soporte nativo para FAT, NTFS, Ext2/3, CDFS, UDF
• Interpretación integrada de sistemas RAID 0 y RAID 5, y discos dinámicos.
• Visionado y volcadode la memoria RAM y de la memoria virtual de los
procesos en ejecución.
• Varias técnicas de recuperación de datos y ficheros.
• Borradoseguro de discos duros para producir medios estériles desde el punto de
vista forense.
• Recopilación del Slack Space de los ficheros, del espacio libre, el espacio entre
particiones y texto genérico de unidades de disco o imágenes.
• Fácil detección y acceso al Alternate Data Streams (ADS) del sistema de
ficheros NTFS.
• Cálculo en masa del hash de ficheros (CRC32, MD5, SHA-1, SHA-256, ...)
• No depende exclusivamente de MD5 debido a que produce colisiones.
• Motor de búsquedapara realizar variasbúsquedas lógicas y/o físicas al mismo
tiempo.
• Favoritos/anotaciones
Y además las características que aporta X-Ways:
• Soporte para sistemas de fichero HFS, HFS+, ReiserFS, Reiser4, UFS, UFS2
• Vista de galería de imágenes
• Vista de calendario
• Vista previa con visores integrados de más de 400 tipos.
• Protección contra escritura para asegurar la autenticidad de los datos.
• Gestión completa de casos
• Actividad de logging automática
• Informes automatizados que pueden importarse a varios formatos
• Habilidad para asociar comentarios sobre ficheros para incluirlos en el informe o
para filtrarlos
• Habilidad para etiquetar ficheros y añadirlos a tablas resumen de elementos
notables
• Árbol de directorios a la izquierda, con la capacidadde explorar y etiquetar
directorios incluyendo todos sus subdirectorios. Tambiénse ven los ficheros y
directorios borrados.
• Filtros dinámicos basadosen tipos de ficheros conocidos, Categoría de hash,
marcas de tiempo, tamaño, comentarios, etc.
• Identificación automática de documentos encriptados MS Office y PDF
• Encuentraimágenes embebidas dentrode documentos, por ejemplo de MS
Word, PDF o PowerPoint automáticamente
• Visor interno del registro de Windows
• Detección del color de la piel en una imagen. Por ejemplo,en una vista de
galeríaordenada por el porcentaje de color de piel se puedenencontrar más
fácilmente pornografía infantil
• Detecciónde Host-Protected Areas (HPA), conocidascomo áreas protegidas
ATA
• Capacidad para importarlos conjuntos de hashses NSRL RDS 2.x, HashKeeper,
y ILook para buscar ficheros conocidos.
• Permite crear un conjunto propio de hashes.
5.2.12 Prodiscover, de Techpathways
ProDiscover® Forensics [20] es una herramienta de seguridad en computadores que
permiteencontrar datos en un disco protegiendo la evidencia y crear informes de
calidad usados en procedimientos legales.
• Características y Beneficios:
• Crea una copia Bit a Bit del disco a analizar, incluyendo las secciones HPA.
• Busca en ficheroso discos enteros,incluyendo el Slack Space, la sección HPA y
los ADS de los sistemas NTFS.
• Vista previa de todos los ficheros, incluyendo los borrados y los ocultos y sus
metadatos.
• Mantiene la compatibilidad entre herramientas leyendo y escribiendo las
imágenes forenses en el formato “dd” de UNIX.
• Examinay realiza referencias cruzadas a los datos a nivel de fichero o cluster
para asegurar que nada está oculto, incluso en el Slack Space.
• Genera y almacenaautomáticamente los valoreshash MD5, SHA1 o SHA256
para probar la integridad de los datos.
• Utiliza bases de datos de hashes definidas por el usuario o la del NationalDrug
Intelligence Center Hashkeeper para identificar ficheros positivamente.
• Examinalos sistemas de ficherosFAT12, FAT16, FAT 32 y todos los NTFS,
incluyendo Dynamic Disk y Software RAID.
• Examina el sistema de ficheros Sun Solaris UFS y el Linux ext2 / ext3.
• Visor integrado de thumbnails y visor de registro.
• Extrae el histórico de Internet.
• Utiliza scripts de Perl para automatizar tareas de investigación.
• Extrae información EXIF de ficheros JPEG para identificar a los creadoresdel
fichero.
• Generación automática de informes en formato XML.
Herramientas de código abierto
5.2.13 AFFLIB
Es una libreríapara trabajar con imágenes de disco. Actualmente AFFLIB soporta
imágenes en los formatos: dd, AFF, AFD y EnCase.
La Librería AFF viene con las siguientes utilidades:
estándar)
5.2.14 Autopsy
• Descripción
El Autopsy ForensicBrowser [21] esuna interfaz gráfica para la herramienta de
análisis digitalThe Sleuth Kit. Ambos pueden analizarsistemas de ficheros Windows y
UNIX (NTFS, FAT, UFS1/2, Ext2/3).
The Sleuth Kit y Autopsyson de Código Abierto y funcionan sobreplataformas
UNIX. Ya que Autopsy está basado en HTML, podemosconectarnos al servidor
Autopsydesde cualquier plataforma usando un navegador HTML. Proporciona una
interfazde tipo gestor de ficherosy muestra detalles sobre datos borrados y estructuras
de sistema de ficheros.
• Modos deAnálisis
– Un dead analysis (análisispost-mortem) ocurre cuandoun sistema de análisis
dedicadose usa para examinar los datos de un sistema sospechoso. En este caso,
Autopsyy The Sleuth Kit se ejecutan en un entorno controlado, normalmente en
un laboratorio. Autopsyy T.S.K. soportanlos formatos dd, AFF y Expert
Witness.
– Un live analysis (análisisen vivo) ocurrecuando el sistema sospechoso está
siendo analizado mientrasestá en ejecución. En este caso, Autopsy y The Sleuth
Kit se ejecutan desde un CD en un entorno no fiable. Esto se usa frecuentemente
duranteuna respuesta a un incidente mientras el incidente está siendo
confirmado. Despuésde confirmarlo. Después de confirmarlo, el sistema puede
ser adquirido y realizarse posteriormente un dead análisis.
• Técnicas de búsqueda de evidencias
– Listado de Ficheros: Analiza los ficheros y directorios incluyendo los nombres
de ficheros borrados y ficheros con nombres basados en Unicode.
– Contenidodel fichero: El contenidode los ficheros puede verse en formato raw
(en bruto), en ASCII o en hexadecimal. Cuando se interpretan los datos Autopsy
los limpia para evitar daños en el sistema local de análisis. Autopsy no requiere
ningún lenguaje de scripts por parte del cliente.
– Bases de datos de Hashes: Busca ficherosconocidos/desconocidos comparando
su valor hash con una base de datos con hashes verificados. Autopsyusa el
NIST National Software Reference Library (NSRL) y bases de datos creadas por
el usuario
– Ordenación por tipo de fichero: Ordena los ficherosbasándose en su
estructura interna para identificar tipos de ficheros conocidos. Autopsy puede
tambiénextraer solamente las imágenes gráficas(incluyendo thumbnails). La
extensióndel fichero se comparará también con el tipo de fichero para verificar
si coincide con el que describe su estructura interna (alguien ha cambiadola
extensión del fichero a propósito)
– Línea de tiempo de la actividad de los ficheros: En algunoscasos, teniendo
una línea de tiempo de la actividad de los ficheros, puede ayudar a identificar
áreas de un sistema de ficheros que puedencontener evidencias. Autopsy
permitecrear líneas de tiempo que contienen entradas para los tiemposde
Modificado, Accedido o Cambiado(MAC) de los ficheros, borrados y no
borrados.
– Búsquedade palabras: Se buscancadenas de caracteres en el sistema de
ficherosusando cadenas ASCII y expresiones regulares. Las búsquedas pueden
realizarse en el sistema de ficheros completo o solo en el espacio libre. Se puede
crear un fichero índice para búsquedas más rápidas.
– Análisisde MetaDatos: Las estructuras de metadatos contienen los detalles
sobre los ficheros y directorios. Autopsypermite ver los detalles de cualquier
estructura de metadatos en el sistema de ficheros. Esto es útil para recuperar
contenidos borrados. Autopsy buscará los directorios para identificar la ruta
completa que tiene asignada la estructura.
– Análisisde Unidades de Datos: Las Unidadesde Datos es donde se almacena
el contenido de fichero (bloques, clusters,etc.). Autopsy permitever los
contenidos en una variedadde formatos, incluyendo ASCII, hexadecimal y en
cadenas.Además se puedenbuscar estructuras de metadatos que tengan
asignadas ciertas unidades de datos.
– Detallesde Imagen: Pueden verse los detallesde una imagen, incluyendo un
esquemade la estructura y tiempos de actividad. Este modo proporciona
información que es útil durante la recuperación de datos.
• Gestión de casos
– Gestor de casos: Las investigaciones están organizadas en “casos”, que pueden
conteneruno o más “hosts”. Cada host está configurado para tener su propia
zona horaria y reloj, de modo que el tiempo muestra como lo veía el usuario
original.Cada host puede contener una o más imágenes de sistemas de ficheros
a analizar.
– Secuenciador de eventos: Eventos basados en el tiempo pueden añadirse desde
la actividad de los ficheros o desde logs de IDS o firewall. Autopsy ordena los
eventosde modo que la secuenciade eventos puede determinarse más
fácilmente.
– Notas: Las notas pueden guardarsebasadas en el host o en el investigador. Esto
permitehacer notas rápidamente sobre ficheros y estructuras. Todas las notas se
almacenan en formato ASCII.
– Integridad de la Imagen: Es crucialel asegurar que los ficheros no han sido
modificados durante el análisis. Autopsy, por defecto, generaráun valor MD5
para todos los ficheros que se importen o creados. La integridad de cualquier
fichero usa se puede validar en cualquier momento.
– Informe: Autopsy puede crear informes ASCII para los ficheros y otras
estructuras del sistema.
– Logging: Se crean logs de auditoria a nivel de caso, host e investigador, de
modo que podemos recordar nuestras acciones. Se anotan también los comandos
exactos de Sleuth Kit que son ejecutados.
– Diseño Abierto: El códigode Autopsy es código abiertoy todos los ficheros
que usa están en formato raw (en bruto). Todos los ficheros de configuración
están en texto ASCII y los casos se organizan en directorios. Esto hace fácil
exportardatos y archivarlos. Esto además no restringeal investigador para usar
otras herramientasque puedenresolver el problema específico más
apropiadamente.
– ModeloCliente Servidor: Autopsy está basado en HTML y por tanto no es
necesarioestar en el mismo sistema en el que están las imágenes a analizar. Esto
permitea múltiples investigadores a usar el mismo servidor y conectarse desde
sus ordenadores personales.
Autopsyestá escrito en Perl y funciona en las mismas plataformas de UNIX que The
Sleuth Kit:
• Linux
• Mac OS X
• Open & FreeBSD
• Solaris
5.2.15 FOREMOST
Foremost [22] es un programa de consola para recuperar ficheros basándose en:
– Su cabecera: Los datos al inicio de un fichero
– Su cola: Los datos al final de un fichero
– Sus estructuras de datos internas
Este proceso se denomina comúnmente como Data Carving. Foremost puede
trabajarsobre archivos imagen,como los generados por dd, Safeback, Encase, etc. o
directamente sobre una unidad.Se pueden especificar las cabeceras y colas en un
ficherosde configuración o usar opcionesde línea de comandos para especificar tipos
de ficheros integrados. Estos tipos de datos conocidos buscanlas estructuras de un
formato especificado permitiendo una recuperación más fiable y rápida:
Desarrollado originalmente por la Air Force Office of Special Investigations y The
Center for Information Systems Security Studies and Research de los Estados Unidos,
foremost fue abierto al público. Inicialmente fue diseñado para imitar la funcionalidad
de “CarvThis”, un programa de MS-DOS escritopor el Defense Computer Forensics
Lab en 1999.
FORMATOS CONOCIDOS
jpg, gif, png, bmp, avi, mpg, exe, rar, wav, riff, wmv, mov, pdf, ole (incluye
PowerPoint, Word, Excel, Access,y Star-Writer), doc (más eficiente que olepara
buscar documentos de Word), zip (incluye los ficheros .jar y OpenOffice), htm, cpp
FICHERO DE CONFIGURACIÓN
El fichero de configuración se usa para controlar los tipos de ficheros que busca
foremost. Se incluye una configuración simple de fichero,foremost.conf. Para cada tipo
de fichero, el fichero de configuración debe describir su extensión, si la cabecera y la
cola son sensiblesa las mayúsculas, el tamañomáximo del fichero, la cabecera y por
último la cola, que es opcional.
Cada línea que comience por una almohadilla “#” se consideran comentarios, por lo
que bastacon colocar una delante de cada tipo de fichero que no queramos que aparezca
en el resultado.
Las cabeceras y las colas se decodifican antes de usarse. Para especificar valores en
hexadecimal (x[0-f][0-f]) o en octal ([1-9][1–9][1–9]). Los espacios se representan por
s.
Ejemplo:“x4F123IsCCI” se decodifica a “OSI CCI”
# ficheros GIF y JPG (muy comunes)
#
# extensión mayúsculas max–tam cabecera cola (opcional)
gif y 155000 x47x49x46x38x37x61 x00x3b
gif y 155000 x47x49x46x38x39x61 x00x00x3b
jpg y 200000 xffxd8xff xffxd9
EJEMPLOS
Ejecutar el caso por defecto
foremost imagen.dd
Generar un fichero de auditoria y mostrar los resultados por pantalla
foremost -av imagen.dd
Buscar todos los tipos de fichero definidos
foremost -t all -i imagen.dd
Buscar ficheros gif y pdf
foremost -t gif,pdf -i imagen.dd
Buscar ficheros jpeg saltando los 100 primeros bloques de la imagen
foremost -s 100 -t jpg -i imagen.dd
5.2.16 FTimes
FTimes [23] es una herramientade recolección de evidencias. El primerpropósito
de FTimes es recopilar y desarrollar información topográfica y atributos sobre
directorios y ficheros especificados para contribuir en un análisis forense o una
intrusión.
FTimes es una herramienta ligera en el sentido que no necesita ser instalada en un
sistemadado para trabajar sobre el. Cabe en un disquetey proporciona solamente una
interfaz de línea de comandos.
FTimes se diseñó para almacenar4 tipos de información en ficheros log: ficheros de
configuración, indicadores de progreso,métricas y errores. La salida producida es de
tipo texto delimitado y por tanto es fácilmente asimilada por una variedadde
herramientas.
FTimes básicamente implementa dos capacidades generales: topografía de fichero y
búsquedade cadenas. La topografía de fichero es el proceso de mapear atributos clave
de directorios sobre un sistemade ficheros. La búsqueda de cadenas es el procesode
ahondamiento en los directorios y ficheros de un sistema de ficheros dado, para buscar
una secuencia específica de bytes. Respectivamente, esto se refiere al modo “map” y al
modo “dig”.
FTimes soporta dos entornos operativos:
– EstaciónIndividual: El operadorusa FTimes para hacer cosas como examinar
evidencias (por ej: una imagen de disco de un sistema comprometido), busca
ficheros con atributos específicos, verifica la integridad, etc.
– Cliente-Servidor: El operador puedegestionar varias estaciones a la vez desde
un Servidor de Integridad de manera segura y autenticada. Un Servidor de
Integridad es un sistema blindado que maneja FTimes, GET, PING y peticiones
PUT HTTP/S.
FTimes ha sido escritoen lenguaje C y portadoa muchos SSOO populares como
AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris,y Windows 98/ME/NT/2K/XP. FTimes
no requiere intérpretes ni máquinas virtuales.
FTimes detectay procesa los Alternate Data Streams(ADS) cuando se ejecuta en
sistemas WindowsNT/2K/XP. Esto es útil en el caso que se haya usado el ADS para
esconder herramientas y/o información.
5.2.17 Gfzip
GenericForensic Zip [24] es un conjunto de herramientas y librerías para la
creacióny acceso aleatoriode ficheros forenses comprimidos. Estos ficherosque usan
un formato abierto(gfzip), permiten que una imagen de disco “dd” sea almacenada de
forma comprimiday que sea accesible aleatoriamentemediante la libreríalibgfz. Una
segunda librería, libgfzcreate está disponible para la creación de ficherosgfz desde
programasusados para adquirir datosde imágenes de disco. Finalmente el proyecto
incluyeun conjunto de herramientas básicasde líneas de comandos para la creacióny
verificación de ficheros gfzip y para restaurar imágenes dd desde ficheros gfz.
Junto con la compresión, los ficheros gfzip son seguros para el uso forense ya que se
usan certificados x509 y firmas multi-nivel (sha256). El certificado x509 se usa para
marcar dentro del fichero gfz con la información de la persona que adquirió la imagen.
5.2.18 Gpart
Gpart [25] es una herramienta que trata de adivinar la tabla primariade la partición
de un disco duro de tipo PC en caso de que la tabla primaria de la particiónen el sector
0 esté dañada, incorrecta o suprimida. La tabla supuesta o adivinada debeescribirse a un
fichero o dispositivo. Los sistemas de ficheros o tipos de particiones soportados son:
• DOS/Windows FAT (FAT 12/16/32)
• Linux ext2
• Particiones Linux Swap, versiones 0 y 1 (Linux >= v2.2.X)
• OS/2 HPFS
• Windows NT/2000 FS
• *BSD disklabels
• Solaris/x86 disklabels
• Minix FS
• Reiser FS
• Modelo de volumen físico Linux LVM (LVM de Heinz Mauelshagen)
• SGI XFS sobre Linux
• Sistema de ficheros BeOS
• Sistema de ficheros QNX 4.x
5.2.19 Magic Rescue
Magic Rescue [26] escanea un dispositivo de bloques en busca de tipos de ficheros
que pueda recuperary llama a un programa externo que los extrae. Busca “bytes
mágicos”en los contenidos de los ficheros, de modo que puede usarse como utilidad de
recuperación de ficheros borradoso para recuperar una unidad o partición corruptas.
Trabajasobre cualquier sistemade ficheros, aunqueen los sistemas de ficheros muy
fragmentados solamente puede recuperar el primer trozo de cada fichero.
