Hola,

Me preguntaban el otro día qué son los ficheros Thumbs.db. La explicación más rápida y más sencilla que se me ocurre es que son ficheros propios de los sistemas Microsoft Windows, empleados para almacenar información que tiene que ver con las imágenes y fotografías contenidas en un directorio.

(más…)

Buenas,

Este mes, concretamente el pasado día 5, IBM lanzó una solución para la gestión de Electronic Discovery (eDiscovery) dentro de las organizaciones que licencien el software. El producto está especialmente pensado para dar cumplimiento a las reglas norteamericanas descritas en las Federal Rules of Civil Procedure, sobre funcionamiento general de procesos civiles en los tribunales de justicia, aunque como es obvio, es una solución no sólo legal, sino técnica, y puede abastecer a otros procesos de investigación forense.

(más…)

Hola,

A través del histórico de diciembre 2008 de CriptoRed (gracias, Jorge) he llegado a un documento que versa sobre el análisis forense en dispositivos móviles. El documento se titula Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM y es un trabajo de grado de Carlos Andrés Castillo Londoño y Rafael Andrés Romero Ramírez, bajo la dirección de un viejo conocido del panorama forense, Jeimy Cano, de la Pontificia Universidad Javeriana de Bogotá, Colombia.

(más…)

Hola,

El otro día efectuamos un análisis forense de memoria de una máquina en Windows en producción, y lo hicimos empleando dos herramientas: Mantech Memory DD y Volatility.

Hoy vamos a realizar otro análisis empleando herramientas distintas, para ir ampliando un poco el abanico de metodologías que existen, que son muchas. Utilizaremos Mandiant Memoryze y AuditViewer, y nuestro objetivo es el mismo que teníamos el otro día: obtener e interpretar los datos volátiles (RAM) de una máquina en ejecución.

(más…)

Hola,

Os dejo una notita para hablar de una herramienta de análisis forense bastante curiosa y útil. Se trata de Live View.

(más…)

Buenas,

Otro paper más que versa sobre análisis forense en dispositivos móviles. Si me animo a traerlo a portada no es por otra cosa que es un documento del SANS y porque es parte de la GCFA Gold Certification, lo que me hace pensar que al menos, de entrada, es un documento cuidado. Por otro lado el texto cuenta con ejemplos concretos y reales, y ejemplifica estas técnicas con dispositivos multimedia no telefónicos, como un reproductor MP3.

(más…)

MSN Shadow es una herramienta de análisis forense orientada a MSN Messenger (recientemente rebautizado como Windows Live Messenger), ya que puede realizar operaciones específicas de análisis basadas en el Microsoft Notification Protocol, el protocolo de mensajería instantánea desarrollado por Redmond del que se abastece el popular Messenger.

MSN Shadow permite capturar el tráfico de texto y de vídeo de las sesiones Messenger, pudiendo exportarlas a HTML y AVI respectivamente. Adicionamente, permite la realización de pruebas de concepto relacionadas con el spoofing de autoría de mensajes (reenviando los números ack de las conversaciones mediante paquetes reset RST) y el secuestro de sesiones (igual que el método anterior, pero creando dos reglas específicas iptables para gestionar los paquetes, lo que hará que se abra una nueva ventana para continuar la conversación como si fuéramos la persona cuya sesión ha sido secuestrada)

(más…)

Buenas,

Apache es un servidor Web que no necesita presentación. Existe mucha documentación asociada a cómo compilarlo, cómo configurarlo y cómo administrarlo, así que sobre eso poco o nada tengo que decir.

Lo que os voy a contar hoy es cómo se activa y se utiliza un módulo determinado en el servidor. Ese módulo es mod_log_forensics. Las explicaciones se harán para una instalación FreeBSD, con lo que los usuarios de Linux que se anden con ojo, ya que los filesystem de *BSD difieren de los Linux, con lo que quizás algún fichero de configuración tenga distintas ubicaciones y denominaciones que las mostradas en este pequeño tutorial. La instalación la he efectuado en Apache/1.3.39

(más…)

Para un análisis forense en el que me encuentro trabajando, tenía que probar que el sospechoso había utilizado un disquete que se encontró tirado cerca de la escena del crimen. Afortunadamente, esto resulto muy sencillo de hacer gracias a los metadatos que se encuentran en los archivos Link de Windows.

Uno de los metadatos más interesantes es el “Volume Serial Number”, que es el código del volumen en donde un archivo o directorio ha sido guardado. Esto por ejemplo, nos permitiría identificar unívocamente que un archivo ha sido guardado en un disquete o pen-drive en particular.

Si a todo esto le sumamos que cada vez que abrimos un documento en Windows, un Link se crea en la carpeta “Recent”, podemos encontrar en los archivos Link una importante fuente probatoria para un análisis forense.

EnCase trae módulos para buscar y parsear archivos LNK automáticamente dentro de un caso, pero sino también pueden utilizar este programa que decodifica la información de estos archivos como se muestra a continuación: