ANÁLISIS

Análisis de requerimientos

Nuestro objetivo es la realización de una aplicación que sirva como asistente para la realización de un análisis forense de una computadora.

La aplicación debe ayudar durante el proceso a seguir en un análisis forense postmortem de un sistema de ficheros. Presuponemos que el usuario ha identificado el dispositivo del que tiene que extraer una imagen. Por lo tanto las etapas del proceso que debe cubrir son:

  • Adquisición del Software: La aplicación debe proveer la capacidad de extraer el contenido de undispositivo a un fichero imagen. Además debe permitir la verificación de la exactitud de la copia.

  • Documentación: Durante todo el proceso se deberá registrar en un fichero las acciones del usuario para que, de manera didáctica, pueda después ver lo queha hecho.

  • Examen y AnálisisoExtracción de Información: La aplicación debe proveer al usuario de las técnicas de extracción de datos de un sistema de ficheros, que incluyen las siguientes:

Sistema de Ficheros•Visualizar datos generales sobre el sistema de ficheros.Contenido

    • Visualizar el contenido de un fichero dada su dirección lógica.

Meta-Datos

    • Búsqueda de ficheros basada en su dirección de metadatos (Número de Inodo)

    • Visualizar el slack-space

    • Mostrar los meta-datos de un fichero dado su nombre

    • Búsqueda de ficheros basada en su tiempo MAC

(Modificiación/Acceso/Creación)

Nombre de fichero (Interfaz Humana)•Búsqueda de ficheros según su nombre.

  • Reconstrucción y Emitir los resultados: La aplicación deberá incluir un “bloc de notas” para anotar los descubrimientos del usuario y ayudar a la reconstrucción final.

Casos de Uso

Diagrama frontera de la aplicación:

Caso de uso “Obtener Imagen”:

Caso de uso “Analizar Imagen”

Caso de uso “Analizar Sistema de Ficheros”

204Herramienta de apoyo para el análisis forense de computadoras

Descripción de los casos de uso

Obtener imagen

  • Actor participante: Usuario

  • Condiciones de entrada:

El usuario dispone de un dispositivo de almacenamiento con espacio suficiente para guardar la imagen.

  • Condiciones de salida

El usuario obtiene un fichero imagen con el contenido de un dispositivo.

  • Flujo de eventos

El usuario elije el dispositivo origen del que se va a copiar la información.

El usuario elije la ruta y el nombre del archivo en el que se va a copiar la información deldispositivo.

El usuario acepta la transmisión de datos.

  • Dispositivo origen es erróneo

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario dispone de un dispositivo de almacenamiento con espacio suficiente para guardar la imagen.

    • Condiciones de salida

Se muestra un mensaje indicando que el dispositivo elegido no es válido.

    • Flujo de eventos

El usuario ha elegido el dispositivo origen del que se va a copiar la información y la ruta del fichero destino.

El usuario ha aceptado la transmisión de datos.

El dispositivo elegido no existe o no es apto para extraer información.

la misma.

  • Analizar imagen

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario dispone de un dispositivo de almacenamiento con espacio suficiente para guardar los datos temporales y los ficheros recuperados de la aplicación.

El usuario conoce información acerca del caso en el que esta involucrado el fichero imagen.

El usuario dispone de un fichero imagen apto para su análisis

    • Condiciones de salida

El usuario obtiene información sobre el contenido del fichero imagen.

El usuario puede obtener conclusiones acerca de la información extraída.

    • Flujo de eventos

El usuario elije un fichero imagen para su análisis.

Se muestra el contenido del sistema de ficheros que contiene la imagen.

El usuario examina el sistema de ficheros en base a los datos que conoce previamente de la imagen.

El usuario obtiene datos relevantes y demostrables para sacar conclusiones acerca del caso al que pertenece la imagen.

  • Formato de imagen no reconocido

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario dispone de un dispositivo de almacenamiento con espacio suficiente para guardar los datos temporales y los ficheros recuperados de la aplicación.

El usuario conoce información acerca delcaso en el que esta involucrado el fichero imagen.

El usuario dispone de un fichero imagen cuyo formato no es reconocido por la aplicación.

    • Condiciones de salida

Se muestra un mensaje indicando que la imagen no se puede analizar.

    • Flujo de eventos

El usuario elije un fichero imagen para su análisis.

Se comprueba el formato del fichero y se indica que es erróneo.

  • Sistema de ficheros no reconocido

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario dispone de un dispositivo de almacenamiento con espacio suficiente para guardar los datos temporales y los ficheros recuperados de la aplicación.

El usuario conoce información acerca del caso en el que esta involucrado el fichero imagen.

Elusuario dispone de un fichero imagen cuyo formato es reconocido por la aplicación.

El fichero imagen contiene un sistema de ficheros que no es reconocido por la aplicación.

    • Condiciones de salida

Se muestra un mensaje indicando que la imagen no se puede analizar ya que contiene un sistema de ficheros erróneo.

    • Flujo de eventos

El usuario elije un fichero imagen para su análisis.

Se comprueba el formato del sistema de ficheros y se indica que es erróneo.

  • Emular imagen

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen.

La imagen es arrancable (bootable)

Condiciones de salida

Se muestra una pantalla con el resultado de laemulación del arranque de la imagen.

    • Flujo de eventos

El usuario elije el tipo de dispositivo de la imagen.

El usuario elije la memoria RAM que se usará en la emulación.

El usuario elije otros parámetros opcionales.El usuario activa la emulación de la imagen.

  • Anotar los descubrimientos obtenidos

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y ha descubierto algo que puede ser relevante para el caso en el que esta involucrado el fichero.

    • Condiciones de salida

Se guarda el descubrimiento en un fichero.

    • Flujo de eventos

El usuario esta analizando el fichero imagen.

El usuario abre un editor de textos y anota el descubrimiento.

  • Buscar ayuda

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando la imagen y precisa ayuda.

    • Condiciones de salida

El usuario obtiene la ayuda que necesita.

    • Flujo de eventos

El usuario esta analizando el fichero imagen.

El usuario necesita ayuda y abre una pagina web con enlaces a Internet y a ficheros locales con los que se puede documentar.

  • Obtener conclusiones

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario ha terminado de examinar el fichero imagen y quiere sacar conclusiones acerca del mismo.

    • Condiciones de salida

El usuario puede emitir conclusiones acerca del fichero imagen en relación al caso en el que esta involucrado.

    • Flujo de eventos

El usuario ha analizado el fichero imagen para su análisis.

El usuario revisa las anotaciones realizadas durante el transcurso de la aplicación.

El usuario revisa los pasos realizados durante el análisis de la aplicación.

  • Ver contenido de un fichero

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere ver el contenido de un fichero.

    • Condiciones de salida

Se muestra el contenido del fichero en el formato elegido por el usuario.

    • Flujo de eventos

El usuario elije un fichero dentro del sistema de ficheros.

El usuario elije la forma en la que quiere ver el fichero.Se muestra el fichero en el formato elegido.

  • Ver contenido de un directorio

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere ver el contenido de un directorio.

Condiciones de salida

Se muestra el contenido del directorio.

    • Flujo de eventos

El usuario elije un directorio dentro del sistema de ficheros.

Se muestran los ficheros y directorios que contiene el directorio.

  • Ver contenido de un directorio

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere ver el contenido de un directorio.

    • Condiciones de salida

Se muestra el contenido del directorio.

    • Flujo de eventos

El usuario elije un directorio dentro del sistema de ficheros.

Se muestran los ficheros y directorios que contiene el directorio.

  • Recuperar un fichero

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere guardar una copia exacta de un fichero.

    • Condiciones de salida

Se guarda el fichero elegido.

    • Flujo de eventos

El usuario elije un fichero dentro del sistema de ficheros.

El usuario elijela ruta y el nombre del fichero a guardar.Se guarda el fichero en la ruta elegida.

  • Recuperar un directorio

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere guardar una copia exacta de un directorio junto con su contenido.

    • Condiciones de salida

Se guarda el directorio elegido y su contenido.

    • Flujo de eventos

El usuario elije un directorio dentro del sistema de ficheros.

El usuario elije la ruta y el nombre del directorio a guardar.

Se crea un directorio en la ruta elegida.

Se guarda el contenido del directorio de manera recursiva.

  • Búsqueda por nombre

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere buscar un fichero o directorio por su nombre.

    • Condiciones de salida

Se muestra un listado con los ficheros que el usuario busca.

    • Flujode eventos

El usuario introduce un nombre que será el patrón de búsqueda.

Se buscan los ficheros que coincidan en parte o totalmente con el patrón de búsqueda.

  • Búsqueda por sellos de tiempo

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere buscar un fichero o directorio mediante sus sellos de tiempo o tiempos MAC.

    • Condiciones de salida

Se muestra un listado con los ficheros que el usuario busca.

Flujo de eventos

El usuario introduce la fecha inicial y final entra las que se realizará la búsqueda.

Se busca en el sistema de ficheros los que estén entre las dos fechas introducidas.

  • Ver propiedades de los items

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere visualizar las propiedades de un fichero o directorio.

    • Condiciones de salida

Se muestra un listado con las propiedades del ítem seleccionado.

    • Flujo de eventos

El usuario elije un fichero o directorio dentro del sistema de ficheros.

Se recopilan las propiedades del fichero.

  • El inodo del item es erroneo

    • Actor participante: Usuario
    • Condiciones de entrada:

El usuario esta analizando el fichero imagen y quiere realizar una acción sobre un fichero o directorio cuyo i-nodo es erróneo.

    • Condiciones de salida

Se muestra un mensaje mostrando el error correspondiente.

    • Flujo de eventos

El usuario elijeun fichero o directorio.

El usuario desea realizar una acción sobre el ítem.

El i-nodo del ítem es menor que 1, es decir, que al borrarse se han sobrescrito sus metadatos.

results matching ""

    No results matching ""