Abrir imagenes forense con Forensic7z

Como investigadores forenses durante las tareas del día a día tenemos la necesidad de acudir a pequeños programas o soluciones que nos permitan solventar alguna necesidad en concreto. Una de estas necesidades es poder acceder o una imagen forense y navegar por sus contenidos, para este fin hablaremos de Forensic7z  un complemento del programa de comprensión 7-zip el  cual nos permitirá acceder a imágenes generadas con programas especializados cuya extensión sean:

  • Formato de compresión ASR Expert Witness (.S01)
  • Formato de archivo de imagen encapsulado (.E01, .Ex01)
  • Formato de archivo de imagen lógica (.L01, .Lx01) de Encase
  • Formato Forense Avanzado (.AFF)
  • Imagen lógica de AccessData FTK Imager (.AD1)

Primeramente, para trabajar con este complemento, debemos tener instalado el aplicativo 7-zip y dentro de la carpeta de instalación crear una carpeta de nombre “Formats” donde copiaremos los complementos foresnic7z.

Forensic7z-1

Figura 1: Copia de archivos en carpeta creada

Una vez copiado estos complementos podemos ejecutar ya el aplicativo y abrir la imagen forense requerido. Es importante recomendar que si la imagen tiene varios segmentos o volúmenes se deberá escoger el primer volumen y el programa automáticamente procesará y encontrará el resto de volúmenes.

Forensic7z-2

Figura 2: Imagen forense a ser Abierta

Una vez identificada la imagen realizamos doble clic en la misma para que sea abierta.

Forensic7z-3

Figura 3: Imagen forense Abierta con el aplicativo y los complementos

De esta forma podremos navegar u extraer información requerida.

Descargar herramientas.

Javier Leon C |Investigador Digtial

 

Gogle Drive Forensic

Dividiremos la publicación en algunas partes, enfocándonos en diferentes fuentes de evidencia digital potencial: sistema de archivos, registro, bases de datos SQLite e historial de navegación web.

Sistema de archivos

La parte más trivial: el objetivo es encontrar la ubicación de la carpeta que se está sincronizando con la nube. De forma predeterminada, es C: \ Users \% username% \ Google Drive :

google_drive_1

Por supuesto, los usuarios pueden cambiar la ubicación predeterminada de esta carpeta. En le mostrará cómo encontrar la carpeta de Google Drive usando el registro forense.

Registro

Como siempre, el registro de Windows contiene un montón de información valiosa desde un punto de vista forense. Primero, comencemos a entender si el proceso de sincronización se inicia automáticamente con el inicio de sesión del usuario, veamos Software \ Microsoft \ Windows \ CurrentVersion \ Run (NTUSER.DAT):

google_drive_4

Como puede ver, al igual que en muchas otras aplicaciones de la nube, el proceso de sincronización de Google Drive se inicia automáticamente con el inicio de sesión del usuario.

Para averiguar dónde podemos encontrar artefactos relacionados con la aplicación, veamos Software \ Google \ Drive (NTUSER.DAT):

google_drive_2

Como puede ver, vamos a encontrar información relacionada con la aplicación, incluidas las bases de datos SQLite, en C: \ Users \ 0136 \ AppData \ Local \ Google \ Drive .

Bases de datos SQLite

En C: \ Users \ 0136 \ AppData \ Local \ Google \ Drive encontrará otra carpeta: user_default . Esta carpeta contiene un montón de valiosas bases de datos SQLite, por ejemplo, sync_config.db y snapshot.db .

Vamos a empezar desde sync_config.db . Esta base de datos solo contiene una tabla: datos , pero está llena de información valiosa, por ejemplo, aquí puede encontrar el nombre de la cuenta de Google y la ubicación de la carpeta de Google Drive, es muy importante si el usuario cambió la ubicación predeterminada.

Veamos la segunda base de datos, snapshot.db , y su tabla local_entry . ¡Aquí tenemos nombres de archivos, sus tamaños, marcas de tiempo modificadas e incluso hashes MD5! Escribamos una consulta simple para que estos datos sean aún más legibles:
google_drive_query

Por supuesto, si profundiza, puede encontrar más artefactos relacionados con el caso en esta base de datos, por lo que le recomendamos que siga investigando.

Historial de navegación web

Hay muchos navegadores web populares en la actualidad, pero esta vez nos centraremos en Google Chrome. Puede encontrar una base de datos SQLite con historial de navegación en C: \ Users \% username% \ AppData \ Local \ Google \ Chrome \ User Data \ Default . Se llama historia . Y sí, no tiene extensión, pero aún puede abrirlo con el navegador de SQLite que elija. Google Drive usualmente comienza desde “drive.google.com”, así que escribamos otra consulta para extraer datos de la tabla de URL :

history_query1

Figura 5. Extracción de artefactos relacionados con Google Drive de la base de datos del historial de Google Chrome

Como puede ver, hay muchos buenos artefactos forenses basados ​​en host. Por supuesto, no hay una lista completa de ellos, los archivos de página o de intercambio, la RAM y algunas otras partes del sistema de archivos y el registro pueden contener muchos más artefactos, ¡pero estos son un buen lugar para comenzar!

Autores

Oleg Skulkin, GCFA, MCFE, ACE, is a DFIR enthusional (enthusiast + professional), Windows Forensics Cookbook and Practical Mobile Forensics co-author.

Igor Mikhaylov, MCFE, EnCE, ACE, OSFCE, is a digital forensic examiner with more than 20 years of experience and Mobile Forensics Cookbook author.

Iniciando con Computo Forense

Para los que recién inician su formación en este tema, es interesante conocer que esta rama de la informática fue creada para dar soporte a la parte del derecho para que puedan afrontar nuevas tareas probatorias que las inclusiones de las nuevas tecnológicas generan.

Con el transcurso de los años la informática forense ha incursionando en el campo de la seguridad de la información, tornándose un eje fundamental dentro de esta rama. Con estos antecedentes, podemos decir que el cómputo forense como aporte a la parte judicial, se la llama pericia informática forense, acá se gestiona las necesidades de los diferentes entes de justicia en la búsqueda de evidencias digitales que sea un aporte dentro de una causa legal.

La computación forense, dentro de la seguridad de la información entra a formar parte activa cuando la seguridad informática es quebrantada, y se requiere iniciar una investigación para conocer las causas del hecho y determinar posibles causantes del incidente.

Un profesional forense informático, debe conocer donde se generan los datos dentro de los diferentes sistemas operativos y equipos de hardware, saber dónde buscar la información de acuerdo a cada caso, saber extraerlos correctamente para posteriormente analizarlos.

Esperamos que las próximas publicaciones incentive la investigación y su preparación es esta área tan apasionante, que va ganando cada día más adeptos.

un Hacker Vs Un Forense Informático

Una pugna de fortalezas y destrezas se genera entre estas dos personalidades del ámbito digital, cuando se produce un incidente de seguridad informático o un ciberdelito.

Cada uno aspirara a que su contrincante sea menos suspicaz, ágil y conozca menos de su materia. Estos, tienen como plataforma de combate la evidencia digital y sus fuentes.

Si revisamos un poco de bibliografía sobre procesos de hacking, nos encontraremos con las fases que se recomiendan a seguir para dicho fin, así tenemos al footprinting , la enumeración, la obtención Acceso, la escalada de Privilegios, entre otros, pero destacaremos un paso muy importante que es el BORRADO DE HUELLAS, que pocos los realizan y nos permite determinar la capacidad del atacante.

¿Que requiere un “hacker” para realizar un borrado de huellas? – Saber dónde se generan……

¿Es una destreza?, Así es.

Es una destreza que debe tener un atacante, saber que datos genera cada acción que realiza sobre un sistema ajeno, para luego realizar el borrado de huellas que ocultara su acción y porque no su identidad.

Aquí entra en la batalla un informático forense, que así como el “hacker” deberá conocer donde se generan las evidencias y de cada una de sus fuentes, extraerlas correctamente, para ser analizadas y esclarecer lo sucedido.

EL forense informático encontrara lo que el atacante dejo o por desconocimiento nunca lo borro, siendo los peores errores de los atacantes novatos, que realizan una mala acción dentro de un sistema sin conocerlo apropiadamente.

Es muy interesante saber que cuando empezamos una investigación forense, inicia algo más…………

Hablemos de Evidencia Digital

Se define como los datos que son almacenados o generados por equipos informáticos.

Si hablamos de datos almacenados podremos mencionar los que un usuario conoce que existen en su equipo, documentos, música o videos, entre otros. Pero si hablamos de datos generados hablaremos de los que se generan con una acción del usuario, por ejemplo un log.

La información tiende a transformarse en evidencia cuando inicia un proceso de investigación, es aquí cuando debe ser tratada como tal y tomar las medidas pertinentes para que esta no se vea afectada.

Lo primordial y critico es cuidar que su integridad y como investigadores no seamos a los que acusen de haberla manipulado. Para solventar este problema, dentro de la informática forense se debe seguir en detalle las buenas prácticas para la preservación de evidencia digital o si en nuestros países dentro del procedimiento penal tenemos establecidos el tratamiento para estas evidencias, debemos hacerlos de la forma que ahí se detalla.

Dentro de la preservación de evidencias digitales tenemo2 paso sustanciales para precautelar la integridad, 1 generar imágenes forense de la información y 2 generar el código hash de seguridad MD5 y/o SHA1. Adjunto a  procesos adicionales, será la única forma de poder solventar el criterio que la información siempre mantuvo su integridad, comprobando los códigos de seguridad al inicio y al final de una investigación.