Proyecto Final2

Vista previa del material en texto

Proyecto Final. I Parcial
1. DATOS GENERALES 
 
	Asignatura 
	Computación forense 
	Proyecto No. 	01 
	Nombre del docente 
	Ing. Lídice Haz López 
	Duración 	Indefinida
	Unidad/Tema 
	Proyecto Final I. Generación de imágenes forense en los sistemas operativos Windows y Linux
	Título de la práctica 
	Comandos de gestión de dispositivos de almacenamiento para generar imágenes forenses.
	Integrantes
	Tomalá Cucalón Kevin
Alejandro Cruz Byron
Chele Alvia Alexander
Diaz Reyes Kevin
Coronado Madeline
Ricardo Carlos
 
2. OBJETIVOS 
 
▪ Aplicar comandos para generar imágenes forenses. 
Parte 1: Investigar y realizar una tabla descriptiva con los comandos utilizados.
Parte 2: Realizar una copia bit a bit de un pendrive desde la línea de comandos.
Parte 3: Documentar los procedimientos, y generar un reporte de actividades.
3. INTRODUCCIÓN BÁSICA 
 
Los comandos que se aplican en la consola de los sistemas operativos Linux y Windows, sirven para obtener un resultado final de un proceso para la creación de una imagen forense, normalmente de procedencia sospechosa, motivo por la cual, es necesario generar un archivo que contiene una copia exacta del dispositivo que se encuentra en custodia, con formatos de imágenes forenses como: EnCase (Extensión .E01), DD (Extensión .001 o .dd) y Access Data Custom Content Image (Extensión .ADI).
4. RECURSOS NECESARIOS 
 
▪ Computadora o máquinas virtuales con sistema operativo Windows y Linux
▪ Herramientas de adquisición digital: dc3dd. 
▪ Pendrive de 4GB de almacenamiento.
UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA
FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
5. PROCEDIMIENTO 
PARTE 1: Investigue y realice una tabla descriptiva con los comandos que permiten gestionar dispositivos de almacenamiento en los sistemas operativos Windows y Linux, y que son usados para generar imágenes forenses. 
Cuadro descriptivo para los sistemas operativos Linux y Windows:
	Herramienta
	Utilidad
	Sistema operativo
	Comandos
	cfdisk
	Permite la gestión de las particiones en disco MBR, soporta la creación del comando fdisk, crear particiones en disco GTP [1].
	Linux
	cfdisk /dev/loop0p1: Permite crear una partición
	fdisk
	Es un comando para la gestión de particiones, también permite presentar información de la partición en disco MBR, cantidad de bloques y sistemas de archivo [1].
	Linux
	fdisk -l: Listar los dispositivos y particiones
	sfdisk
	Utilizado para comprobar la configuración de particiones de un dispositivo de bloques [1].
	
Linux
	sfdisk -l /dev/sdb: Lista articiones del dispositivo /dev/sdb
sfdisk -l /dev/sda > /tmp/partable: Copiar la configuración de la tabla de partición a un archivo
sfdisk -d /dev/sda | sfdisk /dev/sdb: Copiar la tabla de particiones del dispositivo /dev/sda en /dev/sdb
	mount
	Comando para realizar el montado y desmontado de particiones, ver los sistemas de archivos montados [1].
	Linux
	mount -t (tipo de dispotivo, fat, ext3, ext4, etc ) Directorio de destino (que tiene que estar creado )
	lsblk
	Presenta en forma de árbol los dispositivos de bloque, detalle del dispositivo, espacio disponible, el tipo y punto de montaje [2].
	Linux
	lsblk
	diskpart
	Es una herramienta de línea de comandos usada para administrar el disco duro en sistemas operativos Windows [3]
	Windows
	List disk: lista los discos duros existentes en el equipo
fdisk -l: Listar los dispositivos y particiones
Select disk (número del disco): Permite seleccionar el disco a utilizar para realizar diversas operaciones
Clean: Limpia el disco seleccionado para realizar las particiones
create partition primary size=(tamaño): Crea una partición en el disco con el tamaño que se le asigne al parámetro size.
format fs=ntfs quick: Crear formato de partición con el parámetro fs para aplicar el formato a la partición NTFS reconocido por Windows
assign letter=s: Asignar la letra a la partición creada
extend size=(tamaño): Permite asignar más tamaño a la partición
shrink desired=(tamaño del disco) minimum=(tamaño): Mediante este parámetro desired se selecciona la unidad a reducir y con el parámetro minimun el tamaño a reducir
	The forensic toolkit
	Es una colección de herramientas forense para Windows, permite recopilar información y presentar informes de un ataque informático [4].
	Windows
	Afind: Permite realizar búsqueda de archivo de acuerdo al tiempo de acceso sin modificarlos
Hfind: Busca archivos ocultos en el sistema operativo
Sfind: Búsqueda de flujo de datos ocultos debido a que pueden ocultar datos o software malicioso es diferente a archivos ocultos del sistema operativo
Filestat: Ofrece lista de atributos del archivo
Hunt: Obtiene información sobre sistemas que utilizan sesiones NULL, como usuarios, recursos compartidos y servicios
	Los comandos que son para windows y Linux la variación para el funcionamiento es en la selección de la ruta, en la que se encuentran las unidades para la generación de la imagen forense 
	dd
	El comando dd permite realizar copias de seguridad con varias funciones como la de clonar disco, particiones, discos de autoarranque entre otras [5].
	Linux y Windows
	dd if=/dev/zero of=./fsraw bs=1M count=10000: Crea un archive con el nombre fsraw, en el directorio especificado en el parámetro of con un tamaño de 10GB
	dc3dd
	Este comando es una versión mejorada con más interacción con respecto a dd, con características de adquirir imágenes forenses [5]
	Linux y Windows
	dc3dd if=/dev/sdb hosf=/media/dev/dm-0/image.dd.000 ofsz=500mb hash=md5 log=/media/dev/dm-0/image.txt
El para metro if determina el dispositivo a ser clonado, el hosf la ubicación en la que se guardar la ubicación, ofsz dividir archivo en un máximo de 500mb y el log es un archivo en el que se guardara 
	dcfldd
	Esta otra herramienta también está basada en dd, es una bifurcación de dd debido a esto cuenta con similitudes a dc3dd [5].
	Linux y Windows
	dcfldd if=/dev/sdb split=500 vsplitformat=000 f=/media/dev/dm-0/image.dd.000 hashwindow=500mb hash=md5 haslog=/media/dev/dm-0/image.txt
El parámetro haswindow indica la cantidad de bit para el cálculo del has.
	ftkimager
	Este comando proporcionado por una herramienta con el mismo nombre para el análisis forense, otra opción integrada es la de verificar el has generado por la herramienta [5].
	Linux y Windows
	ftkimager /dev/sdb /media/dev/dm-0/ftkimager/imagen –verify –e01 –frag 500M –compress 5
Este comando permite realizar la creación de la imagen forense de un dispositivo en la ruta /dev/sdb hacia /media/dev
	–list 
	El comando en lista los dispositivos o elementos que están conectados en el ordeñador del usuario. [6]
	Linux y Windows
	Ftkimager.exe –list drives
El siguiente comando permite que la herramienta Ftkimager detecte y enliste los elementos conectados actualmente en nuestro ordenador.
	--verify
	Como el mismo comando lo dice, comprueba que los archivos se guarden en el disco correctamente. En otras palabras, el sistema vuelve a leer el disco después de haber guardado con el fin de verificar que el archivo es legible. [7]
	Linux y Windows
	ftkimager \\.\PHYSICALDRIVE1 C:\captura -verify
El comando especifica el dispositivo el cual se generará el hash del disco seleccionado.
PARTE 2: Realice una copia bit a bit de un pendrive (máximo 8GB) desde la línea de comandos usando el sistema operativo Linux y Windows. 
Copia Forense mediante DC3DD en sistema operativo Linux:
Instalación de la herramienta dc3dd en Kali Linux, con el comando:
sudo apt-get install dc3dd
Listar los dispositivos de almacenamiento que están disponibles en el sistema: 
sudo fdisk -l
Ejecución de la herramienta dc3dd, con el comando:
dc3dd if=/dev/sdb hofs=/root/Documents/proyecto/imagen.dd.000 ofsz=500M hash=md5 log=/root/Documents/proyecto/estadísticas/imagen.txt
En donde:
· if=/dev/sdb: el dispositivo a copiar. En este caso es un pendrive de 4 GB.
· hofs=/root/ … /imagen.dd.000: el destino donde guardar la imagen realizada, hofs permite dividir la salida en distintos archivos con una extensiónsecuencial (imagen.dd.000, imagen.dd.001, etc.) y calcula el hash para cada uno de estos archivos, comparando contra el disco de origen.
· ofsz=500M: el tamaño de cada uno de los archivos en que se dividirá la imagen.
· hash=md5: el algoritmo de verificación a utilizar. Puede ser: md5, sha1, sha256 ó sha512.
· log=/root/ … /imagen.txt: ruta al archivo donde se almacenarán las estadísticas del proceso. Es opcional, ya que esta información también aparece por pantalla.
Generar copia de imagen forense, bit a bit:
Obtención de resultados en paralelo, código hash y sectores en los que la imagen se ha divido:
Verificación de la imagen forense, y el historial de las ejecuciones que se han realizado, registrados en el archivo imagen.txt:
Copia Forense mediante FTKIMAGER en sistema operativo Windows: 
Crear una copia bit stream de disco a imagen: Este método permite realizar tantas copias como sea necesario de forma rápida y sencilla. Para crear una copia bit stream de disco a imagen se utilizará la herramienta utilidad como FTK Imager (versión de línea de comandos) [8]. 
Para poder usar los programas es necesario ejecutar como administrador.
Parámetros de la herramienta
Para ello tan sólo es necesario seguir los siguientes pasos:
· Bloqueo de puertos
Para el bloqueo de puertos se usó la herramienta USB WriteProtector: Permite bloquear y desbloquear la protección contra escritura de todos los dispositivos de almacenamiento USB que son conectados al ordenador. Puede ejecutarse desde la interfaz o directamente desde la línea de comandos de Windows, el uso puede variar entre usuarios, pero más gusta a los avanzados. Una vez activada la protección, no se podrá transferir datos a los dispositivos.
· Añadir en el patch
Dentro de las variables de entornos del sistema añadir en el path la dirección donde se encuentra el programa FTK Imager
· Detectar el nombre de la unidad USB
Este comando se utiliza para detectar el nombre de los discos conectados a la PC para realizar la copia bit a bit de un pendrive.
ftkimager.exe –list-drives
· Crear una copia bit stream de disco a imagen
Para la creación de la imagen se utilizo el siguiente comando donde se indica el lugar donde se almacenará la imagen y el nombre el cual es captura, el parámetro verify genera un hash del disco.
ftkimager \\.\PHYSICALDRIVE1 C:\captura --verify
Ejecución del comando
El proceso se demoró aproximadamente unos 15 minutos.
Finalización de la creación de la imagen del dispositivo USB
Al terminar el proceso se aprecia un archivo llamado captura con un tamaño de 7,60 Gigabytes y con extensión (.001). Esta herramienta solo muestra hash de tipo MD5 y SHA1. Además, se aprecia que ambos hashes tanto MD5 y SHA1 coinciden
[MD5]
 Computed hash: 835bb03fdabe973125a1ca4f40cf87e0
Report hash: 	 835bb03fdabe973125a1ca4f40cf87e0
 Verify result: Match
[SHA1]
 Computed hash: 7ed0b1e8aee926d3850f2f43c1c1dc5285cdc0bc
 Report hash: 7ed0b1e8aee926d3850f2f43c1c1dc5285cdc0bc
 Verify result: Match
· Otras Herramientas
Aparte de la herramienta FTK Imager (versión de línea de comandos) en la que se dejo de realizar actualizaciones a partir el 2012 existen otras herramientas que permiten realizar funciones similares a FTK Imager.
winndd64: Esta herramienta es una versión multiproceso de dumper de disco par Windows con arquitectura de 64 bits.Este programa clona sectores del disco del origen al destino 1:1 [9], el funcionamiento es mediante la utilización de consola de Windows.
Estos son los tipos de volcados comunes que pueden realizar la aplicación:
· Dispositivo de bloqueo sobre dispositivo de bloqueo
· Bloquear dispositivo sobre archivo
· Archivo sobre dispositivo de bloque
OSFClone: Es una herramienta gratuita y funciona mediante consola la cual permite crear o clonar imágenes de disco sin procesar exactas de forma rápida. Ademas permite trabajar con formatos Advance Forensics Format (AFF) y Expert Witness Compression Format (EWF) [10].
Estos son los tipos de volcados comunes que pueden realizar la aplicación:
· crea una imagen forense de un disco
· crear imágenes de disco en formato dc3dd
· Verifique que un clon de disco sea idéntico a la unidad de origen
PARTE 3: Documente los procedimientos (Carlos Ricardo), y genere un reporte de actividades (Kevin Diaz). 
FALTA
CONCLUSIONES Y RECOMENDACIONES
Conclusiones: 
Los comandos para dc3dd permitió la adquisición de imágenes forense para Linux basándose en las medidas de rendimiento, utilizando otro disco suficiente para almacenar la imagen. Este procedimiento consiente en la copia de bit a bit dd, ofreciendo gran cantidad de información al usuario, permitiendo observar la cantidad de bytes copiado, su velocidad y el tiempo transcurrido. Al trascurrir el proceso y la creación de imagen se calcula el hash de disco de origen en paralelo y el hash de salida, diferenciándole con el origen. 
Para realizar la copia de una imagen forense de bit a bit desde el sistema operativo de Windows se utilizó la herramienta dc3dd y por medio de un pendrive que permitió el almacenamiento de la imagen. Para el procedimiento se utilizaron comandos para administrar, listar y acceder al disco que contenía la imagen, para guardar la imagen se especificó a través de comando la ruta del USB y la carpeta donde se realizara la copia de la imagen. 
Recomendaciones:
· Utilizar un dispositivo USB preferible de 2 GB para que el proceso sea rápido y eficaz. 
· Establecer la lista de comando especifico que se va a utilizar en consola ya sea en Linux o Windows que permitan manejar la herramienta dc3dd de manera adecuada.
· Identificar las características del dispositivo USB que permitirá tener de manera detallada para la búsqueda en consola. 
Bibliografía
[1] 	A., «Hipertextual,» 04 06 2014. [En línea]. Available: https://hipertextual.com/archivo/2014/06/comandos-informacion-sistema/. [Último acceso: 28 12 2020].
[2] 	s.f., «Gestión de Dispositivos de Almacenamiento - Manuais Informática - IES San Clemente.,» s.f. s.f. s.f.. [En línea]. Available: https://manuais.iessanclemente.net/index.php/Gesti%C3%B3n_de_Dispositivos_de_Almacenamiento#Creaci.C3.B3n_de_particiones_con_cfdisk. [Último acceso: 28 12 2020].
[3] 	S. Sistemas, «Solvetic,» 04 06 2019. [En línea]. Available: https://www.solvetic.com/tutoriales/article/4476-como-administrar-disco-duro-comandos-windows-10-8-7/. [Último acceso: 28 12 2020].
[4] 	M. Lopez Delgado, de Analisis forence diguital, Criptored, 207, p. 24.
[5] 	welivesecurity, «welivesecurity,» 17 04 2013. [En línea]. Available: https://www.welivesecurity.com/la-es/2013/07/17/herramienta-adquisicion-imagenes-forenses-elegir/. [Último acceso: 28 12 2020].
[6] 	elandroide, «Androide,» 15 Junio 2020. [En línea]. Available: https://elandroidefeliz.com/comandos-cmd-comandos-dos-listado/. [Último acceso: 10 01 2021].
[7] 	Digital, «Digital Guide Ionos,» 04 09 2019. [En línea]. Available: https://www.ionos.es/digitalguide/servidores/know-how/comandos-cmd/. [Último acceso: 10 01 2021].
[8] 	A. Martínez Retenaga, Guía de Toma de Evidencias en entornos Windows, INCIBE, 2014. 
[9] 	L. González Fernández, «github.com,» s.f. s.f. 2015 . [En línea]. Available: https://github.com/luisgf/windd. [Último acceso: 10 01 2021].
[10] 	s.f., «OSFClone,» s.f. s.f. s.f.. [En línea]. Available: https://www.osforensics.com/tools/create-disk-images.html. [Último acceso: 10 01 2021].