Story Transcript
. Herramientas de Análisis Forense para el ambiente Windows
Herramientas de Análisis Forense para el Ambiente Windows. Objetivos: Esta práctica es la base de otras que se realizarán posteriormente. Su objetivo es mostrar las bondades y utilización de la herramienta de Análisis Forense: EnCase, de Guidance Software. Ambiente de Trabajo: Windows Herramientas a Utilizar: EnCase. Autor: Reinaldo Mayol Arnao
Primera Parte. Familiarización con la Herramienta
Desarrollo: 1- Instale la herramienta siguiendo las instrucciones del facilitador. Asegúrese de seguir fielmente las indicaciones. 2- Ejecute la herramienta desde el directorio donde la instaló.
3- La herramienta debe “levantar” y Ud. verá una interfaz como la siguiente. (Obviamente el contendido de cada unidad puede variar). Haga una previsualización (Preview) de la unidad CD. Asegúrese tener el disco que le ha entregado el instructor dentro de esa unidad.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
1
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
2
. Herramientas de Análisis Forense para el ambiente Windows
4- Explore las opciones: Table. Gallery, Timeline y Report. Comente con el instructor lo encontrado en cada opción y su importancia para el análisis forense. Espacio para sus anotaciones: _________________________________________.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
3
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
4
. Herramientas de Análisis Forense para el ambiente Windows
Compare las fechas de creación, modificación y Escritura. ¿Que significa este número?
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
5
. Herramientas de Análisis Forense para el ambiente Windows
Cambio de resolución de la escala de tiempo. Click Derecho
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
6
. Herramientas de Análisis Forense para el ambiente Windows
5- Marque uno de los archivos encontrados (en la opción TABLE)
6- Vaya a la opción Bookmark. Comente los resultados con el instructor Espacio para sus anotaciones: _________________________________________.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
7
. Herramientas de Análisis Forense para el ambiente Windows
7- Marque el archivo seleccionado y presione el botón derecho del ratón y comente con el instructor las opciones y su importancia para el análisis forense.
Espacio para sus anotaciones: _________________________________________.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
8
. Herramientas de Análisis Forense para el ambiente Windows
8- Regrese a la opción CASE y vaya a la zona inferior de la pantalla y explore cada uno de las opciones posibles.
9- Note el inicio de un archivo cualquiera. ¿Puede inferir de que se trata? ¿ Que importancia puede darle a este hallazgo?
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
9
. Herramientas de Análisis Forense para el ambiente Windows
10- Dentro de los datos disponibles marque una zona de su interés, presione el botón derecho de su ratón y cree un marcador del mismo. Localice un archivo del que pueda ver su contenido.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
10
. Herramientas de Análisis Forense para el ambiente Windows
11- Vaya a la opción Keywords. Presionando el botón derecho de ratón, agregue una nueva palabra. La misma le servirá posteriormente como patrón de búsqueda.
Buscaremos la cadena “Seguridad”
Comente estas opciones
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
11
. Herramientas de Análisis Forense para el ambiente Windows
12- Vaya a la barra superior de la herramienta y busque la palabra introducida.
Vaya ahora a la opción Bookmarks y revise los resultados de la búsqueda.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
12
. Herramientas de Análisis Forense para el ambiente Windows
13- Regrese ahora a la opción Case. Marque uno de los archivos pre visualizados. Presione el botón derecho de su ratón y seleccione la opción señalada.
14- Cree una imagen del archivo seleccionado. El mismo le servirá posteriormente como posible evidencia. 15- Fije su atención ahora en la opción Adquirir (Acquire) del programa. Discuta con el instructor las diferencias de este método con el utilizado hasta este momento.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
13
. Herramientas de Análisis Forense para el ambiente Windows
Espacio para sus anotaciones: _________________________________________.
Espacio para sus conclusiones: _________________________________________.
Espacio para preguntas pendientes: _____________________________________.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
14
. Herramientas de Análisis Forense para el ambiente Windows
2da Parte Buscando Evidencias. En esta parte de la práctica trabajaremos sobre su disco duro directamente. Por favor sea cuidadoso. 1. Leyendo correos. Busque con la ayuda del instructor los archivos de correo que utilizan las herramientas Outlook y OutlookExpress. Visualice el resultado y comente sus impresiones.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
15
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
16
. Herramientas de Análisis Forense para el ambiente Windows
2. Buscando en los datos perdidos. a. Localice el sector de datos no localizados de su disco. b. Utilizando el mecanismo probado anteriormente busque la cadena de caracteres que ud. Desee. Se sorprenderá con los resultados.
En este caso buscamos la cadena “Reinaldo” dentro de una partición que fue formateada
c. Comente con su instructor como recuperar una partición formateada.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
17
. Herramientas de Análisis Forense para el ambiente Windows
3. Ahora revise la papelera de reciclaje. Indague sobre que archivos han sido borrados en su sistema. Revise que datos están borrados en cada papelera.
4. Haga lo mismo con los archivos temporales. 5. Busque un archivo MS. Word, otro MS PP. Puede ver algo común entre ambos. Comente con su instructor. 6. Revisión de las firmas de cada archivo. Vaya al menú search y siga las instrucciones del profesor.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
18
. Herramientas de Análisis Forense para el ambiente Windows
Solo haga una verificación de firmas ( signature) por cuestiones de tiempo. Verifique con el instructor las otras opciones
7. Revise las firmas de varios archivos y comente con su instructor.
Reinaldo Mayol Arnao Universidad Pontificia Bolivariana, Medellín. Colombia Modificado para WALC
19