Herramienta de Apoyo para el analisis forense

U**NIVERSIDAD DEJAÉN**

Escuela Politécnica Superior de Jaén

1

Escuela Politécnica Superior de Jaén

Ingeniería en Informática

Proyecto Fin de Carrera

H**ERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE**

DE COMPUTADORAS

D. Manuel José Lucena López, del Departamento de Informática de la Universidad de Jaén,

INFORMA

Que la memoria titulada “Herramienta de apoyo para el análisis forense de computadoras” ha sido realizada porDª. José Arquillo Cruzbajo mi dirección y se presenta como memoria del Proyecto Fin de Carrera relizado para optar al grado de Ingeniera en Informática.

Jaén, 14 de septiembre de 2006

Vº Bº

Fdo:Manuel José Lucena López

INDICE DE CONTENIDOS

Agradecimientos**9**

PARTEI: INVESTIGACIÓN**10**

1 INTRODUCCIÓN11

1.1 Contexto11

1.2 Un poco de historia12

1.3 Objetivo y Metodología15

1.4 Motivación del alumno16

2 APLICANDO LA CIENCIA FORENSE A LAS COMPUTADORAS17

2.1 Modelo de Casey (2000)17

2.2 Modelo publicado por el U.S. Dep. of Justice (2001)18

2.3 Modelo de Lee (2001)18

2.5 Modelo deReith, Carr y Gunsch (2002)20

2.6 Modelo integrado de Brian Carrier y Eugene Spafford (2003)21

2.7 Modelo mejorado propuesto por Venansius Baryamureeba y Florence Tushabe (2004)23

2.8 Modelo extendido de Séamus Ó Ciardhuáin (2004)25

3 MODELO DE CASEY (2004)30

3.1 Autorización y Preparación33

3.2 Documentación35

3.3 Identificación37

3.3.1 Identificación de Hardware37

3.3.2 Identificación del software58

3.4 Adquisición61

3.4.1 Adquisición del hardware61

3.4.2 Adquisición del software62

3.5 Examen y Análisis67

3.5.1 Filtrado/Reducción de los datos para análisis67

3.5.2 Búsqueda y recopilación de información67

3.5.4 Técnicas de extracción de información77

3.5.5 Reconstrucción104

3.5.6 Publicación de conclusiones109

4. ASPECTOS LEGALES113

4.1 Legislación internacional114

4.2 Legislación nacional (España)116

5 HERRAMIENTAS119

5.1 Evolución de las Herramientas de Investigación120

5.2 ANÁLISIS DE DISCOS122

5.2.1 LINReS, de NII Consulting Pvt. Ltd.122

5.2.2 SMART, by ASR Data123

5.2.3 Macintosh Forensic Software, de BlackBag Technologies, Inc.124

5.2.4 MacForensicLab, de Subrosasoft125

5.2.5 BringBack de Tech Assist, Inc.126

5.2.6 EnCase, by Guidance Software127

5.2.7 FBI, by Nuix Pty Ltd129

5.2.8 Forensic Toolkit (FTK), de AccessData132

5.2.9 ILook Investigator,133

5.2.10 Safeback de NTI & Armor Forensics136

5.2.11 X-Ways Forensics, de X-Ways AG136

5.2.12 Prodiscover, de Techpathways138

5.2.13 AFFLIB139

5.2.14 Autopsy139

5.2.15 FOREMOST142

5.2.16 FTimes144

5.2.17 Gfzip145

5.2.18 Gpart145

5.2.19 Magic Rescue146

5.2.20 PyFlag146

5.2.21 Scalpel148

5.2.22 Scrounge-Ntfs148

5.2.23 The Sleuth Kit149

5.2.24 The Coroner's Toolkit (TCT)150

5.2.25 Zeitline151

5.3 EXTRACCIÓN DE META-DATOS153

5.3.1 Antiword153

5.3.2 Catdoc y XLS2CSV153

5.3.3 Jhead154

5.3.4 VINETTO155

5.3.5 Word2x157

5.3.6 WvWare157

5.3.7 XPDF158

5.3.8 Metadata Assistant159

5.4 ANÁLISIS DE FICHEROS160

5.4.1 File160

5.4.2 Ldd160

5.4.3 Ltrace160

5.4.4 Strace160

5.4.5 Strings161

5.4.6 Galleta161

5.4.7 Pasco162

5.4.8 Rifiuti163

5.4.9 Yim2text163

5.5 ANÁLISIS DE INTERNET164

5.5.1 Chkrootkit164

5.5.2 Cryptcat164

5.5.3 Netcat165

5.5.4 NetIntercept165

5.5.5 Rkhunter165

5.5.6 Sguil166

5.5.7 Snort166

5.5.8 Tcpdump167

5.5.9 Tcpextract168

5.5.10 Tcpflow169

5.5.11 TrueWitness170

5.5.12 Etherpeek170

5.6 RECUPERACIÓN DE DATOS171

5.6.1 BringBack171

5.6.2 ByteBack Data Recovery Investigative Suite v4.0171

5.6.3 RAID Reconstructor173

5.6.4 Salvation Data174

5.7 RECUPERACIÓN DE PARTICIONES174

5.7.1 Partition Table Doctor174

5.7.2 Parted175

5.7.3 Active Partition Recovery175

5.7.4 Testdisk176

5.8 ADQUISICIÓN DE IMAGENES178

5.8.1 ewfacquire178

5.8.2 Adepto (Grab)178

5.8.3 aimage179

5.8.4 dcfldd179

5.8.5 dd180

5.8.6 EnCase LinEn181

5.8.7 GNU ddrescue181

5.8.8 dd_rescue182

5.8.9 iLook IXimager183

5.8.10 MacQuisition Boot CD/DVD183

5.8.11 rdd183

5.8.12 sdd184

5.8.13 Otros184

5.9 OTRAS HERRAMIENTAS186

5.9.1 QEMU186

5.9.2 VMware187

5.9.3 biew189

5.9.4 hexdump189

5.9.5 Hex Workshop, de BreakPoint Software, Inc.190

5.9.6 khexedit190

5.9.7 WinHex190

5.10 ANTI-FORENSES191

5.10.1 Declasfy192

5.10.2 Diskzapper193

5.10.3 Bcwipe193

5.10.4 Srm194

5.10.5 Darik's Boot and Nuke (DBAN)194

5.10.6 DataEraser de OnTrack195

5.10.7 shred196

5.10.8 Lenovo SDD196

5.10.9 Timestomp196

5.10.10 Evidence Eliminator197

5.10.11 Tracks Eraser Pro198

5.10.12 Slacker198

5.10.13 Hiderman198

5.10.14 Cloak199

5.10.15 Runefs199

Parte II: IMPLEMENTACIÓN**200**

ANÁLISIS201

Análisis de requerimientos201

Casos de Uso202

Descripción de los casos de uso205

DISEÑO213

Justificación de las herramientas elegidas:213

Diagrama de Clases214

PRUEBAS216

Creación del CD-Live216

Script1217

Script2218

Script3220

Pruebas con imágenes223

Disquette de arranque MS-DOS:223

Disquette perteneciente al reto nº 26 del poyecto HoneyNet225

Imagen bootable de Linux232

Imagen partida del “I Reto Rediris de Análisis Forense”234

Mp3 de 256 MB251

Movil Motorola252

Manual de usuario255

CONCLUSIONES**270**

Aspectos a mejorar271

Resumen272

Bibliografía**274**

ANEXOS**278**

A) HARDWARE PARA ANÁLISIS FORENSE DE COMPUTADORAS279

Copiadoras duplicadoras279

PCs Previewers: Equipos de investigación en caliente no intrusivos279

Bloqueadores de escritura (Write Blockers)280

Estaciones de trabajo forenses281

Análisis de Red282