Vous êtes sur la page 1sur 18

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Objetivos

asistida Procedimientos forenses en sistemas Linux Objetivos En esta sesión aprenderá a: Identificar los principios

En esta sesión aprenderá a:

Identificar los principios básicos para usar procedimientos forenses en Linux forenses en Linux

Explicar cómo se busca evidencia en un sistema Linuxbásicos para usar procedimientos forenses en Linux Explicar el proceso de investigación en un sistema

Explicar el proceso de investigación en un sistema operativo Linux Linux

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Fundamentos esenciales de los procedimientos forenses en Linux

esenciales de los procedimientos forenses en Linux Linux Es un poderoso Sistema operativo (SO) de código

Linux

Es un poderoso Sistema operativo (SO) de código abierto.esenciales de los procedimientos forenses en Linux Linux Cuenta con muchas herramientas gratuitas usadas en

Cuenta con muchas herramientas gratuitas usadas en investigaciones forenses de sistemas. investigaciones forenses de sistemas.

Muchos servidores Web operan en la plataforma Linux.gratuitas usadas en investigaciones forenses de sistemas. V e r . 1 . 0 Procedimientos forenses

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Imagen de disco

Término utilizado para crear una copia exacta, bit por bit, del contenido de cualquier dispositivo de almacenamiento conectado a un equipo. del contenido de cualquier dispositivo de almacenamiento conectado a un equipo.

Constituye un paso esencial antes de cualquier investigación forense de datos almacenados. investigación forense de datos almacenados.

Las imágenes de disco están conectadas al sistema del investigador como dispositivos de almacenamiento secundario. investigador como dispositivos de almacenamiento secundario.

Las imágenes de disco son importantes en un tribunal federal y su integridad debe ser preservada. federal y su integridad debe ser preservada.

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje

Operación que sigue a la generación de imágenes de disco. ación de imágenes de disco.

Es el proceso de conectar un dispositivo de almacenamiento con el soft ware del sistema operativo. almacenamiento con el software del sistema operativo.

Se realiza para analizar las imágenes de disco en la investigación. investigación.

Las imágenes de disco de un sistema de archivos no compatible con el sistema operativo no pueden montarse.para analizar las imágenes de disco en la investigación. V e r . 1 . 0

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Las siguientes utilidades de Linux ayudan a generar y

Las siguientes utilidades de Linux ayudan a generar y evaluar imágenes de disco:

Herramienta List Open Files (lsof ) lsof)

Utilidad dd dd

Herramienta find find

Utilidad mount mount

Comando file file

Utilidad strings strings

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Herramienta lsof Herramienta de diagnóstico que muestra

Herramienta lsof

Herramienta de diagnóstico que muestra información sobre los archivos abiertos por los procesos. archivos abiertos por los procesos.

Se usa para enumerar los archivos que son usados por un proceso específico mediante la generación de un ID de proceso (PID). proceso específico mediante la generación de un ID de proceso (PID).

Ayuda a determinar si un archivo es un caballo de Troya mientras se analizan los procesos activos. mientras se analizan los procesos activos.

Sintaxis del comando: lsofcaballo de Troya mientras se analizan los procesos activos. lsof [ -p s] [-I [I] ]

se analizan los procesos activos. Sintaxis del comando: lsof lsof [ -p s] [-I [I] ]

lsof [ -p s] [-I [I] ]

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Utilidad dd Se usa para copiar datos de un

Utilidad dd

Se usa para copiar datos de un dispositivo de entrada específico a un dispositivo de salida específico.forenses en sistemas Linux Montaje (cont.) Utilidad dd Copia datos de la secuencia de salida, 512

Copia datos de la secuencia de salida, 512 bytes de una sola vez, y escribe ese dato en la secuencia de salida. vez, y escribe ese dato en la secuencia de salida.

Se usa para copia de seguridad de datos, sobrescritura de archivos o dispositivos y generación de imágenes de disco de dispositivos de almacenamiento completos. dispositivos de almacenamiento completos.

Sintaxis del comando: dd dd

de almacenamiento completos. Sintaxis del comando: dd dd if =<archivo de entrada> of = <archivo de

dd if =<archivo de entrada> of = <archivo de salida>

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Herramienta find la herramienta find busca archivos

Herramienta find

la herramienta find busca archivos almacenados en el sistema.forenses en sistemas Linux Montaje (cont.) Herramienta find Los parámetros en los que se basa la

Los parámetros en los que se basa la búsqueda incluyen nombre, tamaño, fecha, hora, número de inodo y permisos de acceso. nombre, tamaño, fecha, hora, número de inodo y permisos de acceso.

Sintaxis del comando: find find

de inodo y permisos de acceso. Sintaxis del comando: find find<directorio de inicio> -name <nombre de

find<directorio de inicio> -name <nombre de archivo que buscar>

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Utilidad mount Se usa en el equipo del investigador

Utilidad mount

Se usa en el equipo del investigador para permitirle al sistema operativo acceder al dispositivo de almacenamiento. operativo acceder al dispositivo de almacenamiento.

Sintaxis del comandomount:sistema operativo acceder al dispositivo de almacenamiento. mount –o<opciones> <dispositivo que

mount –o<opciones> <dispositivo que montar> <punto de montaje, donde se montará> <punto de montaje, donde se montará>

Opciones de seguridad que se pueden agregar al argumento ‘o’: ‘o’:

rode seguridad que se pueden agregar al argumento ‘o’: noexec nodev noatime V e r .

noexecde seguridad que se pueden agregar al argumento ‘o’: ro nodev noatime V e r .

nodevque se pueden agregar al argumento ‘o’: ro noexec noatime V e r . 1 .

noatimeque se pueden agregar al argumento ‘o’: ro noexec nodev V e r . 1 .

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Comando file Ayuda a analizar los datos dentro de

Comando file

Ayuda a analizar los datos dentro de un archivo y muestra el tipo de archivo.forenses en sistemas Linux Montaje (cont.) Comando file Realiza el análisis basado en las posiciones de

Realiza el análisis basado en las posiciones de algunos bytes dentro del archivo, que actúan como huellas del mismo. dentro del archivo, que actúan como huellas del mismo.

Cuando múltiples bytes coinciden, file busca su propia base de datos y encuentra un tipo de archivo para ese archivo. datos y encuentra un tipo de archivo para ese archivo.

Sintaxis del comando file:de datos y encuentra un tipo de archivo para ese archivo. file<nombre de archivo> V e

tipo de archivo para ese archivo. Sintaxis del comando file: file<nombre de archivo> V e r

file<nombre de archivo>

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Montaje (cont.)

Procedimientos forenses en sistemas Linux Montaje (cont.) Utilidad strings Extrae datos de archivos que no son

Utilidad strings

Extrae datos de archivos que no son legibles o comprensibles.forenses en sistemas Linux Montaje (cont.) Utilidad strings Extrae todas las cadenas de texto legibles de

Extrae todas las cadenas de texto legibles de un archivo ejecutable. ejecutable.

Sintaxis del comando strings : strings:

strings <nombre de archivo>de un archivo ejecutable. Sintaxis del comando strings : Cuando se usa con grep, ayuda a

Cuando se usa con grep, ayuda a encontrar un texto específico: específico:

strings <nombre de archivo> I grep “texto que buscar” buscar”

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Recopilación de evidencias en Linux

Asimilación de datos importantes de varios archivos y programas del sistema de destino. programas del sistema de destino.

Los siguientes archivos de Linux proveen pistas importantes acerca de un delito: acerca de un delito:

Archivos de contraseñasde Linux proveen pistas importantes acerca de un delito: Archivos de registros Archivos ocultos y archivos

Archivos de registrosimportantes acerca de un delito: Archivos de contraseñas Archivos ocultos y archivos de historiales V e

Archivos ocultos y archivos de historialesde un delito: Archivos de contraseñas Archivos de registros V e r . 1 . 0

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Proceso de investigación

El proceso inicial de investigación incluye la generación de imágenes y el montaje del di spositivo de almacenamiento. imágenes y el montaje del dispositivo de almacenamiento.

Las precauciones que deben tomarse mientras se montan las imágenes de disco son: las imágenes de disco son:

Debe garantizarse que las imágenes se monten con algunas opciones habilitadas. opciones habilitadas.

Durante el montaje, use el comando mount . mount.

Luego del montaje, recuerde desmontar las imágenes de disco con el comando umount . con el comando umount.

Las imágenes de disco deben almacenarse en CD ROM o en dispositivos de cinta especiales. dispositivos de cinta especiales.

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Proceso de investigación (cont.)

forenses en sistemas Linux Proceso de investigación (cont.) Integridad de datos mediante el programa md5sum El

Integridad de datos mediante el programa md5sum

El programa md5sum utiliza el algoritmo md5 para generar el hash de 128 bits de los datos alimentados al programa hash de 128 bits de los datos alimentados al programa

md5sum.

El programa recibe su entrada desde el dispositivo de entrada predeterminado, tal como el teclado. predeterminado, tal como el teclado.

Para mantener la integridad de las imágenes de disco:dispositivo de entrada predeterminado, tal como el teclado. Compare los hash md5 de las imágenes de

Para mantener la integridad de las imágenes de disco: Compare los hash md5 de las imágenes

Compare los hash md5 de las imágenes de disco con los hash md5 de los datos originales del equipo de destino.

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Análisis de sistemas de archivos

forenses en sistemas Linux Análisis de sistemas de archivos Análisis de sistemas de archivos incluye: Procedimientos

Análisis de sistemas de archivos incluye:

Procedimientos forenses de inodode archivos Análisis de sistemas de archivos incluye: Análisis de archivos de SUID y GUID Análisis

Análisis de archivos de SUID y GUIDde archivos incluye: Procedimientos forenses de inodo Análisis de los tiempos de Modificación, acceso y

Análisis de los tiempos de Modificación, acceso y creación (MAC) (MAC)

Uso de la búsqueda de cadenasde los tiempos de Modificación, acceso y creación (MAC) Análisis del espacio sin asignar y de

Análisis del espacio sin asignar y de intercambioacceso y creación (MAC) Uso de la búsqueda de cadenas Recuperación de archivos V e r

Recuperación de archivoscadenas Análisis del espacio sin asignar y de intercambio V e r . 1 . 0

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Resumen

asistida Procedimientos forenses en sistemas Linux Resumen En esta sesión aprendió: Linux tiene muchas herramientas

En esta sesión aprendió:

Linux tiene muchas herramientas gratuitas que permiten la investigación forense efectiva del equipo. investigación forense efectiva del equipo.

Creación de imagen es el término utilizado para crear una copia exacta, bit a bit, de los contenidos de cualquier dispositivo de almacenamiento conectado a copia exacta, bit a bit, de los contenidos de cualquier dispositivo de almacenamiento conectado a un equipo.

El montaje es el proceso de conexión de un dispositivo de almacenamiento al software del sistema operativo. almacenamiento al software del sistema operativo.

Linux incluye diversas utilidades y herramientas que ayudan a crear y evaluar imágenes de disco. Éstas son: crear y evaluar imágenes de disco. Éstas son:

La herramienta lsof lsof

La utilidad dd dd

La herramienta find find

La utilidad mount mount

El comando file file

La utilidad strings strings

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Resumen (cont.)

Los archivos de contraseñas almacenan información sobre usuarios que tienen cuentas en un sistema informático. usuarios que tienen cuentas en un sistema informático.

La mayoría de las actividades forenses en un sistema Linux rotan alrededor de estos archivos de registro: rotan alrededor de estos archivos de registro:

Archivos de registro del sistemaLinux rotan alrededor de estos archivos de registro: Archivos de registro de procesos Archivos de registro

Archivos de registro de procesosestos archivos de registro: Archivos de registro del sistema Archivos de registro de actividad del usuario

Archivos de registro de actividad del usuariode registro del sistema Archivos de registro de procesos Además de los registros, existen otros tipos

Además de los registros, existen otros tipos de archivos que pueden ayudar a un investigador a rastrear un crimen. Estos archivos son: pueden ayudar a un investigador a rastrear un crimen. Estos archivos son:

Archivos y directorios escondidosa un investigador a rastrear un crimen. Estos archivos son: Archivo de historial El programa md5sum

Archivo de historialEstos archivos son: Archivos y directorios escondidos El programa md5sum utiliza el algoritmo md5 para generar

El programa md5sum utiliza el algoritmo md5 para generar el hash de 128 bits de los datos alimentados al programa md5sum. Este programa se usa hash de 128 bits de los datos alimentados al programa md5sum. Este programa se usa para mantener la integridad de los datos.

Los números de inodo pueden usarse con varios programas para proveer información en los archivos a los que se conectan los programas. para proveer información en los archivos a los que se conectan los programas.

Instalación de Windows XP Professional con instalación asistida

Procedimientos forenses en sistemas Linux

Resumen (cont.)

TCT, desarrollado por Dan Farmer, contiene las herramientas que usan directamente información de inodos.Procedimientos forenses en sistemas Linux Resumen (cont.) ils icat En Linux y otras variantes UNIX, las

ilsherramientas que usan directamente información de inodos. icat En Linux y otras variantes UNIX, las horas

icatque usan directamente información de inodos. ils En Linux y otras variantes UNIX, las horas y

En Linux y otras variantes UNIX, las horas y fechas de archivo se almacenan en tres campos diferentes: hora de creación, hora de último acceso y hora se almacenan en tres campos diferentes: hora de creación, hora de último acceso y hora de última escritura o modificación.

Los tiempos MAC se usan para detectar cambios en un sistema de destino. sistema de destino.

MAC_DADDY es una herramienta que se puede usar para el análisis forense de tiempos MAC. se puede usar para el análisis forense de tiempos MAC.

El espacio no asignado y el espacio de intercambio en un equipo contiene información valiosa, tales como correo electrónico eliminado, archivos de imagen viejos y hasta equipo contiene información valiosa, tales como correo electrónico eliminado, archivos de imagen viejos y hasta datos de música y video.

La recuperación de archivos es la técnica de recuperación de archivos eliminados. archivos eliminados.