Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Proyecto Final. I Parcial 1. DATOS GENERALES Asignatura Computación forense Proyecto No. 01 Nombre del docente Ing. Lídice Haz López Duración Indefinida Unidad/Tema Proyecto Final I. Generación de imágenes forense en los sistemas operativos Windows y Linux Título de la práctica Comandos de gestión de dispositivos de almacenamiento para generar imágenes forenses. Integrantes Tomalá Cucalón Kevin Alejandro Cruz Byron Chele Alvia Alexander Diaz Reyes Kevin Coronado Madeline Ricardo Carlos 2. OBJETIVOS ▪ Aplicar comandos para generar imágenes forenses. Parte 1: Investigar y realizar una tabla descriptiva con los comandos utilizados. Parte 2: Realizar una copia bit a bit de un pendrive desde la línea de comandos. Parte 3: Documentar los procedimientos, y generar un reporte de actividades. 3. INTRODUCCIÓN BÁSICA Los comandos que se aplican en la consola de los sistemas operativos Linux y Windows, sirven para obtener un resultado final de un proceso para la creación de una imagen forense, normalmente de procedencia sospechosa, motivo por la cual, es necesario generar un archivo que contiene una copia exacta del dispositivo que se encuentra en custodia, con formatos de imágenes forenses como: EnCase (Extensión .E01), DD (Extensión .001 o .dd) y Access Data Custom Content Image (Extensión .ADI). 4. RECURSOS NECESARIOS ▪ Computadora o máquinas virtuales con sistema operativo Windows y Linux ▪ Herramientas de adquisición digital: dc3dd. ▪ Pendrive de 4GB de almacenamiento. UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN 5. PROCEDIMIENTO PARTE 1: Investigue y realice una tabla descriptiva con los comandos que permiten gestionar dispositivos de almacenamiento en los sistemas operativos Windows y Linux, y que son usados para generar imágenes forenses. Cuadro descriptivo para los sistemas operativos Linux y Windows: Herramienta Utilidad Sistema operativo Comandos cfdisk Permite la gestión de las particiones en disco MBR, soporta la creación del comando fdisk, crear particiones en disco GTP [1]. Linux cfdisk /dev/loop0p1: Permite crear una partición fdisk Es un comando para la gestión de particiones, también permite presentar información de la partición en disco MBR, cantidad de bloques y sistemas de archivo [1]. Linux fdisk -l: Listar los dispositivos y particiones sfdisk Utilizado para comprobar la configuración de particiones de un dispositivo de bloques [1]. Linux sfdisk -l /dev/sdb: Lista articiones del dispositivo /dev/sdb sfdisk -l /dev/sda > /tmp/partable: Copiar la configuración de la tabla de partición a un archivo sfdisk -d /dev/sda | sfdisk /dev/sdb: Copiar la tabla de particiones del dispositivo /dev/sda en /dev/sdb mount Comando para realizar el montado y desmontado de particiones, ver los sistemas de archivos montados [1]. Linux mount -t (tipo de dispotivo, fat, ext3, ext4, etc ) Directorio de destino (que tiene que estar creado ) lsblk Presenta en forma de árbol los dispositivos de bloque, detalle del dispositivo, espacio disponible, el tipo y punto de montaje [2]. Linux lsblk diskpart Es una herramienta de línea de comandos usada para administrar el disco duro en sistemas operativos Windows [3] Windows List disk: lista los discos duros existentes en el equipo fdisk -l: Listar los dispositivos y particiones Select disk (número del disco): Permite seleccionar el disco a utilizar para realizar diversas operaciones Clean: Limpia el disco seleccionado para realizar las particiones create partition primary size=(tamaño): Crea una partición en el disco con el tamaño que se le asigne al parámetro size. format fs=ntfs quick: Crear formato de partición con el parámetro fs para aplicar el formato a la partición NTFS reconocido por Windows assign letter=s: Asignar la letra a la partición creada extend size=(tamaño): Permite asignar más tamaño a la partición shrink desired=(tamaño del disco) minimum=(tamaño): Mediante este parámetro desired se selecciona la unidad a reducir y con el parámetro minimun el tamaño a reducir The forensic toolkit Es una colección de herramientas forense para Windows, permite recopilar información y presentar informes de un ataque informático [4]. Windows Afind: Permite realizar búsqueda de archivo de acuerdo al tiempo de acceso sin modificarlos Hfind: Busca archivos ocultos en el sistema operativo Sfind: Búsqueda de flujo de datos ocultos debido a que pueden ocultar datos o software malicioso es diferente a archivos ocultos del sistema operativo Filestat: Ofrece lista de atributos del archivo Hunt: Obtiene información sobre sistemas que utilizan sesiones NULL, como usuarios, recursos compartidos y servicios Los comandos que son para windows y Linux la variación para el funcionamiento es en la selección de la ruta, en la que se encuentran las unidades para la generación de la imagen forense dd El comando dd permite realizar copias de seguridad con varias funciones como la de clonar disco, particiones, discos de autoarranque entre otras [5]. Linux y Windows dd if=/dev/zero of=./fsraw bs=1M count=10000: Crea un archive con el nombre fsraw, en el directorio especificado en el parámetro of con un tamaño de 10GB dc3dd Este comando es una versión mejorada con más interacción con respecto a dd, con características de adquirir imágenes forenses [5] Linux y Windows dc3dd if=/dev/sdb hosf=/media/dev/dm-0/image.dd.000 ofsz=500mb hash=md5 log=/media/dev/dm-0/image.txt El para metro if determina el dispositivo a ser clonado, el hosf la ubicación en la que se guardar la ubicación, ofsz dividir archivo en un máximo de 500mb y el log es un archivo en el que se guardara dcfldd Esta otra herramienta también está basada en dd, es una bifurcación de dd debido a esto cuenta con similitudes a dc3dd [5]. Linux y Windows dcfldd if=/dev/sdb split=500 vsplitformat=000 f=/media/dev/dm-0/image.dd.000 hashwindow=500mb hash=md5 haslog=/media/dev/dm-0/image.txt El parámetro haswindow indica la cantidad de bit para el cálculo del has. ftkimager Este comando proporcionado por una herramienta con el mismo nombre para el análisis forense, otra opción integrada es la de verificar el has generado por la herramienta [5]. Linux y Windows ftkimager /dev/sdb /media/dev/dm-0/ftkimager/imagen –verify –e01 –frag 500M –compress 5 Este comando permite realizar la creación de la imagen forense de un dispositivo en la ruta /dev/sdb hacia /media/dev –list El comando en lista los dispositivos o elementos que están conectados en el ordeñador del usuario. [6] Linux y Windows Ftkimager.exe –list drives El siguiente comando permite que la herramienta Ftkimager detecte y enliste los elementos conectados actualmente en nuestro ordenador. --verify Como el mismo comando lo dice, comprueba que los archivos se guarden en el disco correctamente. En otras palabras, el sistema vuelve a leer el disco después de haber guardado con el fin de verificar que el archivo es legible. [7] Linux y Windows ftkimager \\.\PHYSICALDRIVE1 C:\captura -verify El comando especifica el dispositivo el cual se generará el hash del disco seleccionado. PARTE 2: Realice una copia bit a bit de un pendrive (máximo 8GB) desde la línea de comandos usando el sistema operativo Linux y Windows. Copia Forense mediante DC3DD en sistema operativo Linux: Instalación de la herramienta dc3dd en Kali Linux, con el comando: sudo apt-get install dc3dd Listar los dispositivos de almacenamiento que están disponibles en el sistema: sudo fdisk -l Ejecución de la herramienta dc3dd, con el comando: dc3dd if=/dev/sdb hofs=/root/Documents/proyecto/imagen.dd.000 ofsz=500M hash=md5 log=/root/Documents/proyecto/estadísticas/imagen.txt En donde: · if=/dev/sdb: el dispositivo a copiar. En este caso es un pendrive de 4 GB. · hofs=/root/ … /imagen.dd.000: el destino donde guardar la imagen realizada, hofs permite dividir la salida en distintos archivos con una extensiónsecuencial (imagen.dd.000, imagen.dd.001, etc.) y calcula el hash para cada uno de estos archivos, comparando contra el disco de origen. · ofsz=500M: el tamaño de cada uno de los archivos en que se dividirá la imagen. · hash=md5: el algoritmo de verificación a utilizar. Puede ser: md5, sha1, sha256 ó sha512. · log=/root/ … /imagen.txt: ruta al archivo donde se almacenarán las estadísticas del proceso. Es opcional, ya que esta información también aparece por pantalla. Generar copia de imagen forense, bit a bit: Obtención de resultados en paralelo, código hash y sectores en los que la imagen se ha divido: Verificación de la imagen forense, y el historial de las ejecuciones que se han realizado, registrados en el archivo imagen.txt: Copia Forense mediante FTKIMAGER en sistema operativo Windows: Crear una copia bit stream de disco a imagen: Este método permite realizar tantas copias como sea necesario de forma rápida y sencilla. Para crear una copia bit stream de disco a imagen se utilizará la herramienta utilidad como FTK Imager (versión de línea de comandos) [8]. Para poder usar los programas es necesario ejecutar como administrador. Parámetros de la herramienta Para ello tan sólo es necesario seguir los siguientes pasos: · Bloqueo de puertos Para el bloqueo de puertos se usó la herramienta USB WriteProtector: Permite bloquear y desbloquear la protección contra escritura de todos los dispositivos de almacenamiento USB que son conectados al ordenador. Puede ejecutarse desde la interfaz o directamente desde la línea de comandos de Windows, el uso puede variar entre usuarios, pero más gusta a los avanzados. Una vez activada la protección, no se podrá transferir datos a los dispositivos. · Añadir en el patch Dentro de las variables de entornos del sistema añadir en el path la dirección donde se encuentra el programa FTK Imager · Detectar el nombre de la unidad USB Este comando se utiliza para detectar el nombre de los discos conectados a la PC para realizar la copia bit a bit de un pendrive. ftkimager.exe –list-drives · Crear una copia bit stream de disco a imagen Para la creación de la imagen se utilizo el siguiente comando donde se indica el lugar donde se almacenará la imagen y el nombre el cual es captura, el parámetro verify genera un hash del disco. ftkimager \\.\PHYSICALDRIVE1 C:\captura --verify Ejecución del comando El proceso se demoró aproximadamente unos 15 minutos. Finalización de la creación de la imagen del dispositivo USB Al terminar el proceso se aprecia un archivo llamado captura con un tamaño de 7,60 Gigabytes y con extensión (.001). Esta herramienta solo muestra hash de tipo MD5 y SHA1. Además, se aprecia que ambos hashes tanto MD5 y SHA1 coinciden [MD5] Computed hash: 835bb03fdabe973125a1ca4f40cf87e0 Report hash: 835bb03fdabe973125a1ca4f40cf87e0 Verify result: Match [SHA1] Computed hash: 7ed0b1e8aee926d3850f2f43c1c1dc5285cdc0bc Report hash: 7ed0b1e8aee926d3850f2f43c1c1dc5285cdc0bc Verify result: Match · Otras Herramientas Aparte de la herramienta FTK Imager (versión de línea de comandos) en la que se dejo de realizar actualizaciones a partir el 2012 existen otras herramientas que permiten realizar funciones similares a FTK Imager. winndd64: Esta herramienta es una versión multiproceso de dumper de disco par Windows con arquitectura de 64 bits.Este programa clona sectores del disco del origen al destino 1:1 [9], el funcionamiento es mediante la utilización de consola de Windows. Estos son los tipos de volcados comunes que pueden realizar la aplicación: · Dispositivo de bloqueo sobre dispositivo de bloqueo · Bloquear dispositivo sobre archivo · Archivo sobre dispositivo de bloque OSFClone: Es una herramienta gratuita y funciona mediante consola la cual permite crear o clonar imágenes de disco sin procesar exactas de forma rápida. Ademas permite trabajar con formatos Advance Forensics Format (AFF) y Expert Witness Compression Format (EWF) [10]. Estos son los tipos de volcados comunes que pueden realizar la aplicación: · crea una imagen forense de un disco · crear imágenes de disco en formato dc3dd · Verifique que un clon de disco sea idéntico a la unidad de origen PARTE 3: Documente los procedimientos (Carlos Ricardo), y genere un reporte de actividades (Kevin Diaz). FALTA CONCLUSIONES Y RECOMENDACIONES Conclusiones: Los comandos para dc3dd permitió la adquisición de imágenes forense para Linux basándose en las medidas de rendimiento, utilizando otro disco suficiente para almacenar la imagen. Este procedimiento consiente en la copia de bit a bit dd, ofreciendo gran cantidad de información al usuario, permitiendo observar la cantidad de bytes copiado, su velocidad y el tiempo transcurrido. Al trascurrir el proceso y la creación de imagen se calcula el hash de disco de origen en paralelo y el hash de salida, diferenciándole con el origen. Para realizar la copia de una imagen forense de bit a bit desde el sistema operativo de Windows se utilizó la herramienta dc3dd y por medio de un pendrive que permitió el almacenamiento de la imagen. Para el procedimiento se utilizaron comandos para administrar, listar y acceder al disco que contenía la imagen, para guardar la imagen se especificó a través de comando la ruta del USB y la carpeta donde se realizara la copia de la imagen. Recomendaciones: · Utilizar un dispositivo USB preferible de 2 GB para que el proceso sea rápido y eficaz. · Establecer la lista de comando especifico que se va a utilizar en consola ya sea en Linux o Windows que permitan manejar la herramienta dc3dd de manera adecuada. · Identificar las características del dispositivo USB que permitirá tener de manera detallada para la búsqueda en consola. Bibliografía [1] A., «Hipertextual,» 04 06 2014. [En línea]. Available: https://hipertextual.com/archivo/2014/06/comandos-informacion-sistema/. [Último acceso: 28 12 2020]. [2] s.f., «Gestión de Dispositivos de Almacenamiento - Manuais Informática - IES San Clemente.,» s.f. s.f. s.f.. [En línea]. Available: https://manuais.iessanclemente.net/index.php/Gesti%C3%B3n_de_Dispositivos_de_Almacenamiento#Creaci.C3.B3n_de_particiones_con_cfdisk. [Último acceso: 28 12 2020]. [3] S. Sistemas, «Solvetic,» 04 06 2019. [En línea]. Available: https://www.solvetic.com/tutoriales/article/4476-como-administrar-disco-duro-comandos-windows-10-8-7/. [Último acceso: 28 12 2020]. [4] M. Lopez Delgado, de Analisis forence diguital, Criptored, 207, p. 24. [5] welivesecurity, «welivesecurity,» 17 04 2013. [En línea]. Available: https://www.welivesecurity.com/la-es/2013/07/17/herramienta-adquisicion-imagenes-forenses-elegir/. [Último acceso: 28 12 2020]. [6] elandroide, «Androide,» 15 Junio 2020. [En línea]. Available: https://elandroidefeliz.com/comandos-cmd-comandos-dos-listado/. [Último acceso: 10 01 2021]. [7] Digital, «Digital Guide Ionos,» 04 09 2019. [En línea]. Available: https://www.ionos.es/digitalguide/servidores/know-how/comandos-cmd/. [Último acceso: 10 01 2021]. [8] A. Martínez Retenaga, Guía de Toma de Evidencias en entornos Windows, INCIBE, 2014. [9] L. González Fernández, «github.com,» s.f. s.f. 2015 . [En línea]. Available: https://github.com/luisgf/windd. [Último acceso: 10 01 2021]. [10] s.f., «OSFClone,» s.f. s.f. s.f.. [En línea]. Available: https://www.osforensics.com/tools/create-disk-images.html. [Último acceso: 10 01 2021].
Compartir