Seguridad Informatica

13/07/2015

Huellas digitales HASH

Son procedimientos matemáticos que permiten cifrar la información por medio de algoritmos a un archivo conocidos como técnicas hashing  se guardan en formato md5, Sha1, Sha256, Crc32.

[pic 1]

                                Técnicas hashing                Identificación [pic 2][pic 3]

                                                                Cadena de byte

                                                                Cadena Caracteres Alfanuméricos

.doc

Md5sumer

Seleccionar carpeta de información

– créate sums

“Add recursively para mirar varias carpetas”.

- Add

- ok

Se puede guardar como txt o md5

Para mayor seguridad se realiza un HASH a todos los archivos del disco y este archivo generado se realiza nuevamente un HASH

ESTEGANOGRAFIA

C:\esteganografia>copy /b imagen.jpg+prueba.zip final.jpg

Prefetch

Prefetching

Superfetch

Index.dat

DataCarving

ANALISIS FORENSE DIGITAL

1. Revisar la documentación (álbum fotográfico, evidencia recaudada)
2. Confrontar la imagen forense – “HASH comparación”

Como se compara:

• FTK Imagener—
• File
• Verificar drive/imagen

1. Extraer un copia de imagen forense (dos copias)
2. Vamos a realizar el Análisis geométrico del disco

Como se realiza el analisis:

• osfmount
• file
• moun view virtual
• seleccionamos el tipo de imagen
• ruta de ubicación
• seleccionamos la partición
• y podemos proteger la imagen seleccionamos una letra a montar la información. ”
• Analizar con antivirus”.

1,76 Gb “J”                540Mb diferentes que no aparecen.[pic 4]

2,3 Gb Physical         

“Nota: se verifica el tamaño de la información frente al informe generado por el aplicativo”.

Verificar contenido de Particiones

• FTK Imagener
• File
• Image Mounting

• Tipo de imagen física y logica
• Letra asignada
• Bloqueo contra escritura.

1. Recuperación Información – Estructura – MFT (Master File Table).
2. DataCarving lectura sector a sector (excavado de datos).

Como realizar recuperación:

• Diskdigger
• Se ubica el disco físico
• Seleccionamos los tipos de archivo.

1. Reconstruir archivos complejos – Exportar – gestionar archivos
2. Extraer Hash Archivos.  Se genera cuando se encuentra nuevos archivos como archivos pst, presentaciones los cuales contiene mar archivos internamente. “Los cuales se hacen antes de verificar dicha evidencia”.
3. Librerías de HASH.
4. Encontrar y descifrar archivos con contraseña o cifrados.

Analisis=        – búsqueda de palabras claves – código GREP “comodines para realizar busquedas”.[pic 9]

• Análisis de Malware
• Analizar archivos de sistema.

Archivos de Impresión Demonio de impresión         EMF        SPL        Fotografía

                                                RAW        SHD        Características de la Impresión:

C:/Windows/system32/spool/printers

Se exportan los archivos desde la herramienta: AccessData FTK Imager

Analizar imágenes de impresión

• EMFSpoolViewer
• File
• Open (solamente permite ver archivos con extensión SPL)
• Buscamos el archivo
• Propiedades del archivo, donde se imprimió y de qué documento se envió.

Prefetch: cada vez que se ejecuta un programa se genera un archivo -- (pf) – c:/Windows/ prefetch

PrefetchForensics.v.1.0.4

• File
• Import: Buscando los prefesh del sistema.
• Ok

Usuarios: Cuando se crea un usuario interfiere 3 archivos de registro del sistema.

• SAM
• SYSTEM
• SOFTWARE

C:/Windows/system32/config

Se exportan y se verifican con el aplicativo: ForensicUserInfo

ForensicUserInfo

• File
• Open Se consulta la ruta de los archivos en el orden que solicita, SAM, SOFTWARE y SYSTEM

Index.DAT

C:/

WFA

Windows File Analyzer

Open

Analyzer extension a consultar.

Busqueda de clave mediante Diccionario o Fuerza bruta indexar

...