DESARROLLO CON ENCASE
1.- Imagen de datos
Fue provista junto a su marco circunstancial (The Honeynet project) .
2.- Verificación de integridad de imagen
Se realizo de integridad del archivo proveído con el caso tomando en cuenta que se hace frente a otra imagen no frente a la fuente original .
3.- Creación de una imagen suministrada
En el momento que se recibe una imagen encase se genera el archivo de trabajo por lo tanto no se genera una copia d seguridad.
4.- Aseguramiento de la imagen suministrada
Debido a que se trabaja en una copia de segura de solo lectura se puede asegurar la imagen original ubicándolas en un lugar seguro del disco del investigador o copiándola en algún dispositivo de almacenamiento en una carpeta asignada al caso.
5.- Revisión antivirus y verificación de la integridad de la copia de la imagen
El primer paso es crear una copia de dicha imagen la cual se analiza con el antivirus por alguna infección que traiga para este caso se realiza en un disquete, usando dd en Linux para después hacer la revisión antivirus sobre Windows, usando norton antivirus (Symantec.(s.f.)).
Posterior se realiza el cálculo del compendio criptográfico del archivo de trabajo para compararlo con el compendio inicial de la imagen obtenida con el caso.
6.- Identificación de las particiones actuales y anteriores (las que sea posible recuperar)
Según Guídense software (julio de 2004) Encase identifica las particiones del disco por medio de la búsqueda del carácter 0x55AA y las enumera como partes no usadas del disco
7.- Detección de información en los espacios entre las particiones
Al no haber particiones no existe espacio en las particiones que pueda ser analizado.
8.- Detección de HPA
Este caso no aplica por que se está trabajando sobre la imagen de un disquete.
9.- Identificación del sistema de archivo
Aunque Encase identifica automáticamente el sistema de archivos de la imagen, y por esta razón puede mostrar de manera ordenada sus archivos; se debe realizar una búsqueda en el sector de boot en la imagen para identificar el tipo de sistema de archivos y que Encase no muestra este dato.
10.- Recuperación de archivos borrados
En la recuperación inicial de la imagen Encase reconoce algunos clústers no asignados y archivos eliminados mostrándolos en el árbol de archivos, también para tener la certeza de que no había más archivos escondidos se realiza una recuperación de carpetas que no arrojo ningún resultado indicios que hace concluir que solo fue un archivo borrado.
11.- Recuperación de información escondida.
Esta fase se concentra en los clusters de la imagen con el fin de tratar de recuperar la información que contiene .en la imagen se pueden encontrar clusters perdidos o dañados que pueden dar información relevante para el caso con solo una palabra puede ser evidencia para el caso en cuestión.
12.- Identificación de archivos existentes.
Con base en el análisis de clusters y en la recuperación de archivos proveído por Encase se pueden identificar dos archivos; Schedule visits.exe y coveredpage.jpgc.
13.- Identificación de archivos protegidos.
Durante esta fase, en particular, no se identifica ningún archivo protegido con contraseña.
14.- Consolidación de archivos potencialmente analizables.
En este punto del análisis se reúnen los archivos dispuestos a ser analizados.
15.- Determinación del sistema operativo y las aplicaciones instaladas.
En este caso no aplica, debido a que se está trabajando sobre la imagen de un disquete.
16.- filtrado basado en archivos buenos conocidos.
En este caso tampoco plica, debido a que se está trabajando sobre la imagen de un disquete.
17.- Consolidación de archivos sospechosos.
Al encontrarse pocos archivos en la imagen, no es necesario realizar un filtro. Esto indica que todos los archivos son sospechosos
18.- Primera clasificación.
Durante este paso se debe hacer una ponderación de los archivos, teniendo en cuenta diferentes criterios. En este caso uno de los archivos con mas prioridad es el archivo de Word que se encuentra eliminado aunque también se debe realizar el análisis de los otros archivos existentes
Encase no arrojo ninguna inconsistencia entre los archivos y su extensión; sin embargo, sse identifico manualmente que el contenido de dos de los archivos no correspondían a su extensión: coverpage.jpgc y Schedule visits.exe.
19.- Segunda clasificación
Durante esta fase, se analiza el archivo de Word identificando el paso de recuperación de archivos borrados, lo que revela datos concretos relevantes a la investigación.
20.- Analizar los archivos.
Al correlacionar el archivo encontrado en el paso 18 y la información obtenida en el paso anterior se pudo determinar que el contenido de este archivo está protegido posiblemente con una contraseña que resulto ser la palabra sospechosa identificada en el paso 11
Es imposible notar que el proceso de recuperación del archivo Zip se hizo mediante el mismo procedimiento de exportación de contenido por clusters empleando el paso 11
21.- Archivos comprometidos con el caso.
A partir del análisis se identificaron tres archivos comprometidos
*coverpage.jfif.
*Schedule visits.xls
*Jimmy jungle.doc
22.-Obtención de la línea de tiempo definitiva.
En este caso no es necesario hacer una línea de tiempo, ya que el caso se resolvió completamente mediante los archivos encontrados y sus relaciones.
Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.
Autor: Jeimy J. Cano M.
Paginas:198-205.
No hay comentarios:
Publicar un comentario