MÁSTER EN CIBERSEGURIDAD Módulo 4. Aitor LebrónRuiz 

ANÁLISIS FORENSE Adquisición de Evidencias ___ 

 

 

INTRODUCCIÓN Este ensayo tiene como finalidad realizar los ejercicios y profundizar en el tema central del módulo 4 del máster en ciberseguridad de IMF Bussiness School. 

En esta primera parte del módulo se introduce el concepto de la Investigación Forense y los métodos para realizar, de manera segura y conforme a derecho, un Análisis Digital Forense. 

Esta sección en particular trata sobre la adquisición de datos sin comprometer la autenticidad, integridad, disponibilidad y completitud de los mismos. 

   

 

 

 

  2 

 

Ejercicio propuesto 1. 

Realizar el clonado de un pen drive a fichero utilizando alguna distribución Linux en modo forense. 

Realizar clonado 

Puesto que no dispongo de una clonadora por hardware (VOOM Hardcopy III) usaré herramientas de software para realizarlo. Según los apuntes dc3dd se presenta como la opción más completa para realizar una copia bit a bit de un disco o unidad. Este proceso de copia bit a bit se conoce como clonado.  

Sintaxis: dc3dd if=/disco/origen conv={sync,noerror} of=/disco/destino/archivo.dd hash={sha1,sha256, sha512, md5} log=/ruta/log.txt hlog=/ruta/destino/log.sha1 

dc3dd if=/dev/sdb of=/root/analisisforense/cp_USB_4GB_sha1.dd hash=sha1 log=/root/analisisforense/cp_USB4GB_sha1.txt hlog=/root/analisisforense/cp_USB_4GB_sha1_log.sha1 

 

dc3dd if=/dev/sdb of=/root/analisisforense/cp_USB_4GB_md5.dd hash=md5 log=/root/analisisforense/cp_USB4GB_md5.txt hlog=/root/analisisforense/cp_USB_4GB_sha1_log.md5 

Ejercicio propuesto 2. 

Determinar el HASH por tres sistemas distintos mientras se realiza dicho clonado. 

Introducción a los algoritmos de HASH. 

1. CRC 

Longitud del HASH resultante = 32 bits. 

Obtiene un bloque de datos de un tamaño determinado (32 o 64 Kb) y calcula la firma resultante. Generalmente esta firma se añade al final o al principio del bloque. 

 

 

  3 

 

2. MD5 

Longitud HASH resultante: 128 bits 

3. SHA1 

Longitud HASH resultante: 160 bits 

 

 

  4 

 

 

Para calcular hashes de ficheros se puede utilizar: Sha1sum, Sha2sum, Md5sum. 

Si queremos generar un HASH de todo el disco: 

 

 

  5 

 

Find $@ ! -type d -print0 | xargs -0 sha1sum | tee /media/disk/case_id/location/media_id-partition_id.sha1 

Md5sum /dev/sdb >> /root/analisisforense/4GB_md5_HASH.txt 

9649f9f7f1ed0a59f16584d92a04982d /dev/sdb 

Sha1sum /dev/sdb >> /root/analisisforense/4GB_sha1_HASH.txt 

c8635555776a4e480d4cb33fe47d045a976ad603 /dev/sdb 

Ejercicio propuesto 3. 

Crear fichero de log que contendrá toda la información relativa al clonado 

Al realizar el clonado, el argumento hashlog=/ruta/log.sha1 genera un informe en forma de log que contiene la información relativa al proceso de clonado. 

 

 

 

 

 

 

  6 

 

dc3dd 7.2.646 started at 2018-03-20 17:51:48 +0100 

compiled options: 

command line: dc3dd if=/dev/sdb of=/root/analisisforense/cp_USB_4GB_sha1.dd hash=sha1 log=/root/analisisforense/cp_USB4GB_sha1.txt hlog=/root/analisisforense/cp_USB_4GB_sha1_log.sha1 

 

input results for device `/dev/sdb': 

c8635555776a4e480d4cb33fe47d045a976ad603 (sha1) 

 

output results for file `/root/analisisforense/cp_USB_4GB_sha1.dd': 

 

dc3dd completed at 2018-03-20 17:59:10 +0100 

---------------------------------------------- 

dc3dd 7.2.646 started at 2018-03-20 18:03:05 +0100 

compiled options: 

command line: dc3dd if=/dev/sdb of=/root/analisisforense/cp_USB_4GB_md5.dd hash=md5 log=/root/analisisforense/cp_USB4GB_md5.txt hlog=/root/analisisforense/cp_USB_4GB_sha1_log.md5 

device size: 7866368 sectors (probed),4,027,580,416 bytes 

sector size: 512 bytes (probed) 

4027580416 bytes ( 3,8 G ) copied ( 100% ), 444,855 s, 8,6 M/s 

input results for device `/dev/sdb': 

7866368 sectors in 

0 bad sectors replaced by zeros 

9649f9f7f1ed0a59f16584d92a04982d (md5) 

output results for file `/root/analisisforense/cp_USB_4GB_md5.dd': 

7866368 sectors out 

 

 

 

  7 

 

dc3dd completed at 2018-03-20 18:10:30 +0100 

Ejercicio propuesto 4. 

Con el programa FTK (o similar) cargar la imagen obtenida y buscar información en su unallocated space. ¿Qué se halla?¿Por qué no está listado? 

Forensic ToolKit (FTK) 

Forensics Toolkit (FTK) es una plataforma destinada a las investigaciones digitales. 

Este software escanea el disco en busca de información. Localizar correos borrados, buscar cadenas de texto para utilizarlas posteriormente en diccionarios para contraseñas. Además, incluye imágenes de discos independientes del programa llamadas FTK Imager. Guarda imágenes de un disco duro en segmentos que más tarde pueden ser reestructurados.  

Se puede descargar desde la web de la empresa Access Data. 

FTK Imager es de descarga libre de manera que será esta herramienta la que utilizaré. 

 

Añadir la fuente de evidencias, como imagen y seleccionar el path hasta el archivo .dd 

 

 

  8 

 

 

En el USB que se está utilizando el unallocated space está en blanco salvo por secciones con contenido hexadecimal que da información sobre el dispositivo, su sistema de ficheros, por ejemplo. 

 

Como se antoja insuficiente la información que puedo extraer de esta herramienta (seguro que debido a mi desconocimiento de la misma) probaré la muestra con otro software, en este caso Autopsy. 

 

 

  9 

 

 

 

 

 

 

  10 

 

 

 

 

  11 

 

Mostramos el punto: Data Sources > cp_USB4GB_sha1.dd > vol 2 > $unalloc (4) 

 

Ejercicio propuesto 5. 

Buscar en el $MFT dichos datos. ¿Hay alguna dirección apuntando a ellos?¿A qué se debe? 

 

La $MFT (Master File Table) Realiza un seguimiento de todos los archivos en el volumen, su ubicación lógica en carpetas, su ubicación física en el disco, y los metadatos de los archivos, incluyendo: 

● Fecha de Creación, de modificación, fecha de acceso, así como la última fecha de acceso al archivo, todo esto como información estandard. 

● El tamaño y peso del archivo ● (Permisos de acceso de seguridad) para el archivo 

Toda esta información se va almacenando como entradas dentro de la $MFT. 

 

 

 

  12 

 

 

The Sleuth Kit® (TSK) is a library and collection of command line tools that allow you to investigate disk images. The core functionality of TSK allows you to analyze volume and file system data. The plug-in framework allows you to incorporate additional modules to analyze file contents and build automated systems. The library can be incorporated into larger digital forensics tools and the command line tools can be directly used to find evidence.  

Mmls imagen.dd 

 

 

  13 

 

 

Devuelve información del dispositivo en la imagen, entre esta info, el offset para windows 95 en 0000000064 (0x0b) 

Fls -o 0000000064 cp_USB_4GB_sha1.dd > cp_USB_4GB_sha1.txt 

 

Con mactime -b fichero.txt -d > fichero.csv exportamos una línea temporal para poder examinar en Excel o con herramientas como Splunk. 

En Autopsy se obtiene esta línea temporal de manera automática y gráfica. 

 

 

  14 

 

 

Aquí vemos que el USB contenía 3 ficheros pdf, con su título y el contenido del texto de los mismos. 

Podemos ver que estos ficheros fueron modificados el 16-oct-2017 9:54:20 

Se observa que los ficheros fueron creados el 02-mar-2018 11:37:30, esta es la fecha y hora en la que se volcaron al USB. 

 

Por último podemos listar los ficheros encontrados y clasificarlos por tipo o por extensión. 

 

 

 

  15 

 

Referencias 

http://www.reydes.com/d/?q=Calcular_el_Hash_Desde_un_Dispositivo_de_Almacenamiento_para_Propositos_Forenses 

https://accessdata.com/product-download/ftk-download-page  

https://accessdata.com/knowledge-library  

https://aprendizdesysadmin.com/informatica-forense-recuperacion-en-la-mft-cuando-y-como/  

https://aprendizdesysadmin.com/obtencion-de-mft-de-manera-alternativa/  

http://www.sleuthkit.org/sleuthkit/