Hola,

Os dejo una notita para hablar de una herramienta de análisis forense bastante curiosa y útil. Se trata de Live View.

(más…)

Buenas,

Otro paper más que versa sobre análisis forense en dispositivos móviles. Si me animo a traerlo a portada no es por otra cosa que es un documento del SANS y porque es parte de la GCFA Gold Certification, lo que me hace pensar que al menos, de entrada, es un documento cuidado. Por otro lado el texto cuenta con ejemplos concretos y reales, y ejemplifica estas técnicas con dispositivos multimedia no telefónicos, como un reproductor MP3.

(más…)

MSN Shadow es una herramienta de análisis forense orientada a MSN Messenger (recientemente rebautizado como Windows Live Messenger), ya que puede realizar operaciones específicas de análisis basadas en el Microsoft Notification Protocol, el protocolo de mensajería instantánea desarrollado por Redmond del que se abastece el popular Messenger.

MSN Shadow permite capturar el tráfico de texto y de vídeo de las sesiones Messenger, pudiendo exportarlas a HTML y AVI respectivamente. Adicionamente, permite la realización de pruebas de concepto relacionadas con el spoofing de autoría de mensajes (reenviando los números ack de las conversaciones mediante paquetes reset RST) y el secuestro de sesiones (igual que el método anterior, pero creando dos reglas específicas iptables para gestionar los paquetes, lo que hará que se abra una nueva ventana para continuar la conversación como si fuéramos la persona cuya sesión ha sido secuestrada)

(más…)

Buenas,

Apache es un servidor Web que no necesita presentación. Existe mucha documentación asociada a cómo compilarlo, cómo configurarlo y cómo administrarlo, así que sobre eso poco o nada tengo que decir.

Lo que os voy a contar hoy es cómo se activa y se utiliza un módulo determinado en el servidor. Ese módulo es mod_log_forensics. Las explicaciones se harán para una instalación FreeBSD, con lo que los usuarios de Linux que se anden con ojo, ya que los filesystem de *BSD difieren de los Linux, con lo que quizás algún fichero de configuración tenga distintas ubicaciones y denominaciones que las mostradas en este pequeño tutorial. La instalación la he efectuado en Apache/1.3.39

(más…)

Para un análisis forense en el que me encuentro trabajando, tenía que probar que el sospechoso había utilizado un disquete que se encontró tirado cerca de la escena del crimen. Afortunadamente, esto resulto muy sencillo de hacer gracias a los metadatos que se encuentran en los archivos Link de Windows.

Uno de los metadatos más interesantes es el “Volume Serial Number”, que es el código del volumen en donde un archivo o directorio ha sido guardado. Esto por ejemplo, nos permitiría identificar unívocamente que un archivo ha sido guardado en un disquete o pen-drive en particular.

Si a todo esto le sumamos que cada vez que abrimos un documento en Windows, un Link se crea en la carpeta “Recent”, podemos encontrar en los archivos Link una importante fuente probatoria para un análisis forense.

EnCase trae módulos para buscar y parsear archivos LNK automáticamente dentro de un caso, pero sino también pueden utilizar este programa que decodifica la información de estos archivos como se muestra a continuación:

Nuevos métodos de extracción de información de las huellas dactilares pueden determinar lo que una persona hizo y toco recientemente con sus manos, desde el almuerzo a las balas, bombas, toxinas, u otras sustancias, ha sido descubierto por los científicos de la Universidad de Purdue en Indiana y la Universidad de Leicester en Gran Bretaña.

Para leer el texto completo, vaya a: www.boston.com/news/science/articles/2008/09/29/sticky_fingers

Cosim TI, empresa dedicada a la seguridad de la informacion, tiene como servicio recuperar la informacion de su disco duro, aun cuando usted lo haya creido perdido para siempre!!

(más…)