Podemos realizar ingeniería inversas de procesos en Windows a nivel de API con la herramienta oSpy. Al trabajar a nivel de API permite una vista muy profunda de los procesos, sus comportamientos y ver su código. Con esta herramienta podemos monitorizar los accesos a la red de los procesos: puertos que abre, servicios que emplea…
Además podemos simular como afectaría un entorno firewall en un proceso con una función llamada softwalling que permite aplicar reglas firewall al proceso monitorizado.
Esta herramienta simplifica un análisis de conexiones de una aplicación ya que no hay que capturar el tráfico y separarlo, como seria en el caso de usar un sniffer.
Esta técnica se puede utilizar para analizar procesos sospechosos de malware. Pero también para análisis forense de malware, ya que se detectan las acciones del malware en el sistema, las conexiones de red que establece y a que direcciones las establece.
Más información y descarga de oSpy: http://code.google.com/p/ospy/

Fuente: http://vtroger.blogspot.com/2008/08/ingeniera-inversa-de-procesos-que.html

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

• Windows 95/98/ME en “C:\Recycled\”
• Windows NT/2000/XP/ en “C:\Recycler\”

Un ejemplo en de la estructura en un Windows XP con dos usuarios:
C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500
Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.
Ejemplo:
Entramos en la carpeta de usuario en la ruta “C:\RECYCLER”.
C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>
Y ejecutamos rifiuti:
rifiuti INFO2>e:\analisis.txt
Y el resultado se genera en el archivo “analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.
Rifiuti también esta disponible para Linux.
Más información y descarga de rifiuti:

http://www.foundstone.com/us/resources/proddesc/rifiuti.htm

Fuente: http://vtroger.blogspot.com/2008/07/anlisis-forense-de-elementos-borrados_14.html

• Durante el último año ha aumentado el número de solicitudes de peritaje informático para investigar fugas de información confidencial a compañías de la competencia.

Con el aumento del delito informático, Recovery Labs, compañía líder en el desarrollo y comercialización de aplicaciones y servicios de recuperación de datos, borrado seguro y peritaje informático, lanza su nueva página Web sobre Delitos Informáticos destinada a ofrecer información práctica para las empresas y usuarios finales. Seguir leyendo

Buenas,

Sobre el análisis forense hay mucho material, y muy bueno, pero si hacemos un recuento de los materiales libres o gratuítos, la lista se vuelve más pequeña.

Es por esto que traigo a portada la disponibilidad de un informe especial del National Institute of Justice, un órgano dependiente del Departamento de Justicia norteamericano, ente que, al igual que otras agencias similares, suele publicar periódicamente informes para la consulta de los interesados.

El libro se titula Electronic Crime Scene Investigation: A Guide for First Responders, y su descarga en formato PDF es gratuíta. Consta de los siguientes apartados:

* Introducción
* Tipos de dispositivos electrónicos
* Herramientas y equipo de investigación
* Aseguramiento y evaluación de la escena del crimen
* Descripción de la escena
* Recolección de evidencias
* Empaquetado, transporte y almacenamiento de evidencias digitales
* Delitos tecnológicos y pruebas digitales, en función del tipo de crimen

Una lectura interesante, y no excesivamente profunda. Visto en el blog de Xavi

Fuente: http://www.sahw.com/wp/archivos/2008/06/16/delitos-tecnologicos-la-investigacion-de-escenarios/

Por Elena Pérez Gómez, socia de la firma de abogados Sánchez-Crespo Abogados y Consultores, empresa colaboradora de Argenta Comunicación
El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense –sus usos y objetivos- adquiere cada vez mayor trascendencia.¿En qué consiste esta técnica relativamente reciente?
La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

Informática Forense o Forensic

- ¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.

- ¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas.

- ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

Seguir leyendo

Con la herramienta Evidence Collector se puede hacer una recolección de evidencias forenses en sistema vivo de la plataforma Windows, de una forma muy rápida. Es ideal para un primer análisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados.

Con esta herramienta podemos extraer las siguientes evidencias:

• Información de sistema: Usuarios, IP y MAC .
• Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
• Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
• Software instalados: Listado del software instalado en la maquina.
• Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
• Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
• Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
• Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
• Seguimiento de proceso: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
• Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
• Módulos sospechosos: Explora módulos en busca rootkit.
• Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
• Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.

Seguir leyendo

Podemos averiguar accesos no autorizados en NTFS usando las herramientas en línea de comandos gratuitas de Forensic ToolKit. Este Kit de herramientas incluye:
AFind: Herramienta que lista los archivos por el tiempo de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido.
Sintaxis:
AFind v2.0 - Copyright(c) 2000, Foundstone, Inc.
NTFS Last Access Time Finder
Command Line Switches
[dirname] Directory to search
-f [filename] List last access time of file
-s [seconds] Files accessed less than x seconds ago
-m [minutes] Files accessed less than x minutes ago
-h [hours] Files accessed less than x hours ago
-d [days] Files accessed less than x days ago
-a [d/m/y-h:m:s] Files accessed after this date/time
-ns Exclude sub-directories
- or / Either switch statement can be used
-? Help
Additional time frame usage:
afind /s 2-4 Files accessed between 2 and 4 seconds ago
afind /m 2-4 Files between 2 and 4 minutes ago
afind /s 2-4 Files between 2 and 4 seconds ago
afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates

Seguir leyendo

Por Ana María Restrepo (Colombia)

Al igual que Sherlock Homes, los investigadores forenses de la informática descubren, analizan y recopilan evidencias digitales que incriminan a los atacantes virtuales, quienes hace más de dos décadas vienen afectando desde el universo computacional el mundo real.

Muchos pensarán que la informática forense tiene que ver con los programas o aplicaciones que se utilizan en la medicina forense, aquella especialidad que se encarga de la investigación penal en sus aspectos médicos con el fin de resolver problemas civiles, penales o administrativos y para cooperar en la formulación de leyes; pero la realidad es que la informática forense realiza las mismas funciones que esta medicina pero en otros “cadáveres” y en otros delitos, no físicos sino on line.

Seguir leyendo