Autor
|
Tema: me podrian ayudar a conocer mas sobre analisis forense? (Leído 3,643 veces)
|
Belial & Grimoire
Desconectado
Mensajes: 559
Tea_Madhatter
|
hola
quisiera saber si alguien conoce manuales de como funcionan los programas forenses, lo que pasa es que la mayoria de los tutoriales que encontre por lo general te dan un poco de teoria forense y despues te enseñan como recuperar un archivo mediante programas como EnCase o Autpsy, etc
pero me gustaria saber mas a fondo que hacen
por ejemplo, yo tenia entendido que los sistemas operativos cuando borras un archivo no lo borran por completo, solo borran la cabecera, y en los cluters queda guardada la informacion
hay informacion que es sobreescrita y ya no es recuperable pero cuando no es sobreescrita, quiero creer que lo unico que se necesita es reestaurar la cabecera, asi que se necesita encontrar en los cluters el archivo
y si un archivo pesa 120 bytes y cada cluter son de 512 bytes, un cluter contiene el archivo y los bytes sobrantes son wipeados con ceros para llenar los 512 y si un archivo pesa 612 bytes, es usado un cluter y el cluter contiguo y wipeado de nuevo con ceros
y cuando borras el archivo, en realidad borras la cabecera que si no es detectada al guardar mas informacion y por lo general es detectada por FF FF... alli es cuando puede llegar a ser sobreescrita y ya no es recuperable mientras la cabecera exista el disco duro busca un sector con inicio 00 00 que significa vacio, alli es donde guarda la informacion, no recuerdo cuales son los HEX para saber el fin del archivo, aunque creo depende del formato, si es FAT, NTFS, EXT, etc
y las cabeceras depende el archivo, por ejemplo las imagenes PNG su cabecera es
FIRMA,IHDR,tEXt,sRGB,IDAT
Y quiero creer que recuperando los primeros 4, el archivo borrado puede ser recuperado para volverse a ver
bueno, todo eso yo imagino que son los pasos a seguir, pero la verdad no tengo idea de si estoy bien o mal
alguien conoce como o donde podria saber mas, porque bueno, nisiquiera se como le hacen los programas forenses para buscar los archivo borrados, y como los recupera, que busca, etc
bueno, mi interes es porque no me gusta pensar que hay programas que lo hacen y ya, me gusta saber el como lo hacen, ya que creo que los programas son utilidades que facilitan las cosas para cosas urgentes o muy tediosas, pero para aprendizaje, creo es mejor conocer como hacerlo tu mismo, digo para cosas sencillas creo es mas divertido hacerlo manualmente
bueno, espero me puedan ayudar
salu2
|
|
« Última modificación: 8 Septiembre 2012, 05:58 am por Belial & Grimoire »
|
En línea
|
.
|
|
|
r32
|
Hola Belial & Grimoire, el análisis forense de sistemas va más allá de la recuperación de archivos, sobre todo en casos sobre intrusiones y extracción de datos, el funcionamiento puede variar en función del tipo de análisis a realizar. Para realizar un análisis forense hay que tener en cuenta que evidencias se han dejado, de que forma han vulnerado el sistema, desde donde se ha conectado, volcado de los log´s de registro. Creo que conforme te adentres en el tema podrás observar que el trabajo de ciertas herramientas es imprescindible y a la vez práctico. Muchas de las herramientas automatizadas como Encase, autopsy y otras muchas aunque se basen en scripts extraen la información relativa al incidente creado en el sistema, se reunen todas esas evidéncias y se saca una conclusión de la forma en que se ha vulnerado X sistema. En muchos casos el intruso hace uso de "Zappers", éstas herramientas lo que hacen es vaciar o eliminar log´s, limpiar las huellas dejadas durante una intrusión, pero en casi todos los casos puede quedar un resquicio de información que oriente al auditor del sistema. Cuando te comentaba al principio que va más allá no es para dejarte mal ni mucho menos, no soy el más indicado para hablar de éste tema, aunque te doy mi opinión y lo que voy recogiendo por el camino, con ésto me refiero a que últimamente se ve cada vez más el análisis forense orientado a todo lo que tenga un sistema operativo, ya sea un iPhone, un tablet, y si usa Win pues mejor que mejor, bajo Linux tambien tienes este tipo de análisis. Conclusión: Realizar la tarea que quieres a mano puede ser una tarea más que ardua y contra producente, teniendo a mano herramientas de las que aprender. Busca información donde se guardan los log´s de registro, bajo todas las plataformas o solo para Windows si es en la plataforma que te quieres orientar. El tema de "borrado" de archivos, funcionamiento, puedes ver éste tema del foro que explica basicamente como funciona la eliminación de archivos: No encuentro el tema en nuestra Wiki, te adjunto varios links, lo mismo ya los has revisado pero bueno: http://es.wikipedia.org/wiki/Papelera_de_reciclaje_%28Windows%29También comentarte que hay programas que "destruyen" el documento eliminado, por ejemplo CCleaner tiene opción para realizar borrado seguro de archivos, el método Gutman usa 35 pasadas con lo que el documento queda casi obsoleto, al menos recuva y similares no recuperan el archivo. Desde MalwareInt se ofrecen tutoriales variados al respecto: http://malwareint.com/docs.htmlTe adjunto otros documentos aplicados a análisis forense bajo diferentes plataformas: http://www.slideshare.net/diablosolis/analisis-forense-en-dispositivos-androidhttp://www.ausejo.net/seguridad/forense.htmhttp://es.wikipedia.org/wiki/C%C3%B3mputo_forenseEstos últimos son más viejos, aplicables dentro de lo que cabe a lo actual: http://www.rediris.es/cert/doc/reuniones/fs2004/archivo/USC-Forense.pdfhttps://docs.google.com/viewer?a=v&q=cache:1FupHIdaw2wJ:download.microsoft.com/download/d/b/c/dbc2d4df-f27c-4c3e-ac56-36950ba57115/060711-mad-microsoft-3-forense.pdf+&hl=es&gl=es&pid=bl&srcid=ADGEESjAmcms973rL0ALX_-F5kcjUzcRSgHgHW4UBbJhqcuP9OUnVfZO65rX0uSKecLTACccVtheu-Cq_QI_fKfc7PH8XAD0nd6NeL78_2dHj5PUw6HbyF7R2ep_AzV9KR9pzaZcMCfA&sig=AHIEtbRWOon90HvoZ5Sa5bCLEkNPovkNsgNo se si es la información que buscas, ahora no tengo las url pero te adjuntaré mas documentos. Saludos.
|
|
|
En línea
|
|
|
|
Belial & Grimoire
Desconectado
Mensajes: 559
Tea_Madhatter
|
hola r32
pues si, tienes razon, la informatica forense va mas alla de solo recuperar archivos, pero se me hizo interesante esa parte del analisis forense
hasta ahora he recuperado una imagen descargada de internet, lo unico que hice fue analizar los paquetes de envio con wireshark y reescribir los hexadecimales, y logre hacer una copia, me imagino que si hiciera un sniffer a una red lan, podria recuperar alguna imagen, archivo o executable de otras computadoras
bueno, eso solo fue una practica para empezar, tambien encontre cosas interesantes con Estenografia, creo haber podido entender un poco mas sobre como recuperar archivos
me diste una buena pista con el reciclaje, tambien es bueno analizar los archivos Info2, el problema viene cuando ya no estan los archivos, y por ejemplo, cuando es un USB...¿como encontrar esos archivos borrados?
Encase y Autopsy, me han encontrado archivos tanto en windows como en linux y es posible recuperarlos, por ejemplo si yo hago un respaldo de mi usb con el comando "dd", Autopsy puede recuperar archivos que todavia no esten corruptos de ese backup que hice, y eso es lo que quiero saber, que hacen esos programas para encontrarlos, ya encontrandolos seria cuestion de investigar que se necesita para recuperarlos, en el primer post puse mi suposicion de como se podria recuperar
bueno, muchas gracias por los links, y espero encuentres mas cosas, me son de gran ayuda
bueno, seguire investigando
salu2
P.D. si alguien tiene los libros de informatica64, espero algun dia los compartan XD porfavor
|
|
|
En línea
|
.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Una de analisis forense
Hacking
|
zoneh
|
1
|
4,160
|
14 Marzo 2020, 13:47 pm
por BDS
|
|
|
me podrian ayudar explicandome dudas sobre PEB y shellcode porfavor
ASM
|
Belial & Grimoire
|
6
|
5,021
|
21 Junio 2012, 00:51 am
por Belial & Grimoire
|
|
|
conocen tutoriales de analisis forense?
Seguridad
|
Belial & Grimoire
|
2
|
5,036
|
7 Septiembre 2012, 04:22 am
por Belial & Grimoire
|
|
|
Suite forense sobre la que desarrollar
Seguridad
|
necross
|
0
|
1,637
|
15 Marzo 2013, 11:41 am
por necross
|
|
|
El hacktivismo impone mayor atención sobre el análisis forense de las redes ...
Noticias
|
wolfbcn
|
0
|
1,274
|
31 Octubre 2014, 02:01 am
por wolfbcn
|
|