me podrian ayudar a conocer mas sobre analisis forense?

Iniciado por Belial & Grimoire, 8 Septiembre 2012, 05:56 AM

0 Miembros y 1 Visitante están viendo este tema.

Belial & Grimoire

hola

quisiera saber si alguien conoce manuales de como funcionan los programas forenses, lo que pasa es que la mayoria de los tutoriales que encontre por lo general te dan un poco de teoria forense y despues te enseñan como recuperar un archivo mediante programas como EnCase o Autpsy, etc

pero me gustaria saber mas a fondo que hacen

por ejemplo, yo tenia entendido que los sistemas operativos cuando borras un archivo no lo borran por completo, solo borran la cabecera, y en los cluters queda guardada la informacion

hay informacion que es sobreescrita y ya no es recuperable  pero cuando no es sobreescrita, quiero creer que lo unico que se necesita es reestaurar la cabecera, asi que se necesita encontrar en los cluters el archivo

y si un archivo pesa 120 bytes y cada cluter son de 512 bytes, un cluter contiene el archivo y los bytes sobrantes son wipeados con ceros para llenar los 512 y si un archivo pesa 612 bytes, es usado un cluter y el cluter contiguo y wipeado de nuevo con ceros

y cuando borras el archivo, en realidad borras la cabecera que si no es detectada al guardar mas informacion y por lo general es detectada por FF FF... alli es cuando puede llegar a ser sobreescrita y ya no es recuperable mientras la cabecera exista el disco duro busca un sector con inicio 00 00 que significa vacio, alli es donde guarda la informacion, no recuerdo cuales son los HEX para saber el fin del archivo, aunque creo depende del formato, si es FAT, NTFS, EXT, etc

y las cabeceras depende el archivo, por ejemplo las imagenes PNG su cabecera es

FIRMA,IHDR,tEXt,sRGB,IDAT

Y quiero creer que recuperando los primeros 4, el archivo borrado puede ser recuperado para volverse a ver

bueno, todo eso yo imagino que son los pasos a seguir, pero la verdad no tengo idea de si estoy bien o mal

alguien conoce como o donde podria saber mas, porque bueno, nisiquiera se como le hacen los programas forenses para buscar los archivo borrados, y como los recupera, que busca, etc

bueno, mi interes es porque no me gusta pensar que hay programas que lo hacen y ya, me gusta saber el como lo hacen, ya que creo que los programas son utilidades que facilitan las cosas para cosas urgentes o muy tediosas, pero para aprendizaje, creo es mejor conocer como hacerlo tu mismo, digo para cosas sencillas creo es mas divertido hacerlo manualmente

bueno, espero me puedan ayudar

salu2
.                                 

r32

Hola Belial & Grimoire, el análisis forense de sistemas va más allá de la recuperación de archivos, sobre todo en casos sobre intrusiones
y extracción de datos, el funcionamiento puede variar en función del tipo de análisis a realizar.
Para realizar un análisis forense hay que tener en cuenta que evidencias se han dejado, de que forma han vulnerado el sistema,
desde donde se ha conectado, volcado de los log´s de registro.
Creo que conforme te adentres en el tema podrás observar que el trabajo de ciertas herramientas es imprescindible y a la vez práctico.
Muchas de las herramientas automatizadas como Encase, autopsy y otras muchas aunque se basen en scripts extraen la información relativa
al incidente creado en el sistema, se reunen todas esas evidéncias y se saca una conclusión de la forma en que se ha vulnerado X sistema.
En muchos casos el intruso hace uso de "Zappers", éstas herramientas lo que hacen es vaciar o eliminar log´s, limpiar las
huellas dejadas durante una intrusión, pero en casi todos los casos puede quedar un resquicio de información que oriente al auditor del
sistema.
Cuando te comentaba al principio que va más allá no es para dejarte mal ni mucho menos, no soy el más indicado para hablar de éste tema,
aunque te doy mi opinión y lo que voy recogiendo por el camino, con ésto me refiero a que últimamente se ve cada vez más el análisis
forense orientado a todo lo que tenga un sistema operativo, ya sea un iPhone, un tablet, y si usa Win pues mejor que mejor, bajo Linux
tambien tienes este tipo de análisis.
Conclusión: Realizar la tarea que quieres a mano puede ser una tarea más que ardua y contra producente, teniendo a mano herramientas de las que
aprender.
Busca información donde se guardan los log´s de registro, bajo todas las plataformas o solo para Windows si es en la plataforma que te quieres
orientar.


El tema de "borrado" de archivos, funcionamiento, puedes ver éste tema del foro que explica basicamente como funciona la eliminación de
archivos:

No encuentro el tema en nuestra Wiki, te adjunto varios links, lo mismo ya los has revisado pero bueno:

http://es.wikipedia.org/wiki/Papelera_de_reciclaje_%28Windows%29

También comentarte que hay programas que "destruyen" el documento eliminado, por ejemplo CCleaner tiene opción para realizar borrado seguro de archivos,
el método Gutman usa 35 pasadas con lo que el documento queda casi obsoleto, al menos recuva y similares no recuperan el archivo.


Desde MalwareInt se ofrecen tutoriales variados al respecto:

http://malwareint.com/docs.html



Te adjunto otros documentos aplicados a análisis forense bajo diferentes plataformas:

http://www.slideshare.net/diablosolis/analisis-forense-en-dispositivos-android

http://www.ausejo.net/seguridad/forense.htm

http://es.wikipedia.org/wiki/C%C3%B3mputo_forense

Estos últimos son más viejos, aplicables dentro de lo que cabe a lo actual:

http://www.rediris.es/cert/doc/reuniones/fs2004/archivo/USC-Forense.pdf

https://docs.google.com/viewer?a=v&q=cache:1FupHIdaw2wJ:download.microsoft.com/download/d/b/c/dbc2d4df-f27c-4c3e-ac56-36950ba57115/060711-mad-microsoft-3-forense.pdf+&hl=es&gl=es&pid=bl&srcid=ADGEESjAmcms973rL0ALX_-F5kcjUzcRSgHgHW4UBbJhqcuP9OUnVfZO65rX0uSKecLTACccVtheu-Cq_QI_fKfc7PH8XAD0nd6NeL78_2dHj5PUw6HbyF7R2ep_AzV9KR9pzaZcMCfA&sig=AHIEtbRWOon90HvoZ5Sa5bCLEkNPovkNsg


No se si es la información que buscas, ahora no tengo las url pero te adjuntaré mas documentos.

Saludos.

Belial & Grimoire

hola r32

pues si, tienes razon, la informatica forense va mas alla de solo recuperar archivos, pero se me hizo interesante esa parte del analisis forense

hasta ahora he recuperado una imagen descargada de internet, lo unico que hice fue analizar los paquetes de envio con wireshark y reescribir los hexadecimales, y logre hacer una copia, me imagino que si hiciera un sniffer a una red lan, podria recuperar alguna imagen, archivo o executable de otras computadoras

bueno, eso solo fue una practica para empezar, tambien encontre cosas interesantes con Estenografia, creo haber podido entender un poco mas sobre como recuperar archivos

me diste una buena pista con el reciclaje, tambien es bueno analizar los archivos Info2, el problema viene cuando ya no estan los archivos, y por ejemplo, cuando es un USB...¿como encontrar esos archivos borrados?

Encase y Autopsy, me han encontrado archivos tanto en windows como en linux y es posible recuperarlos, por ejemplo si yo hago un respaldo de mi usb con el comando "dd", Autopsy puede recuperar archivos que todavia no esten corruptos de ese backup que hice, y eso es lo que quiero saber, que hacen esos programas para encontrarlos, ya encontrandolos seria cuestion de investigar que se necesita para recuperarlos, en el primer post puse mi suposicion de como se podria recuperar

bueno, muchas gracias por los links, y espero encuentres mas cosas, me son de gran ayuda

bueno, seguire investigando

salu2

P.D. si alguien tiene los libros de informatica64, espero algun dia los compartan XD porfavor


.