miércoles, 14 de mayo de 2008

Adquiriendo evidencias (I)

Uno de los grandes problemas a los que nos enfretamos a la hora de realizar una toma de evidencias en un escenario de posible judicialización, es la necesidad de realizarlo sin la corrupción de las propias evidencias (por ejemplo modificación de fechas) y que nos faculte para poder realizar un análisis offline de la misma.

Yo en este sentido y puesto que no dispongo de una clonadora física, utilizo como mecanismo el uso de Adepto como sistema para la clonación de discos a través del software de Análisis Forense Helix. Este software es una distribución de Knoppix, que tiene dos formas de funcionalidad:
  • Modo online para windows con el Sistema Operativo activo que permite el análisis de aspectos importantes del sistema, como procesos, memoria, datos coultos, contraseñas, etc. Aunque presenta el problema que modifica datos y podría ser esgrimido como manipulación de pruebas. De las herramientas incluidas destaco Windows Forensic Toolchest: conjunto de herramientas "free" que adquieren datos importantes de la máquina para un forense de procesos. También como característica importante permite mediante el uso de DD de la captura online de una partición, el disco físico o la memoria RAM.
  • Modo offline, mediante LiveCD carga las particiones del disco en modo de solo lectura, impidiendo la manipulación de datos. Presenta herramientas para la adquisición de información de una máquina mediante aplicaciones forense, aunque la funcionalidad principal es un conjunto e paquetes orientado a la captuar de unidades de Disco, USB y otros sistemas de almacenamiento, que no solo realizan copiados binarios y generación de imágenes sino permiten la generación de los hashes de la copia y los ficheros de Cadena de Custodia que pueden ser presentados judicialmente. Destaco de entre estas herramientas Adepto.

En el siguiente Post enseñaré a realizar una captura de un disco con Adepto y a la obtención de los hash de la copia y los ficheros de custodia.

4 comentarios:

Anónimo dijo...

Hola Juan,

Solo una petición; la semana pasada observé un pequeño revuelo acerca de COFEE. Podrías, tu como experto en análisis forense, dedicar un post sobre esto???

Gracias,
Vic.

Undercoder dijo...

Muy buenas Vic.

Pues a petición tuya en el siguiente post hablaré de que es COFEE y cual es el objetivo de este tipo de herramientas, aunque no es ni más ni menos que un Forensics Toolchest (como el que incorpora Helix) que permite la obtención de datos que puedan aportar información de una máquina en un caso forense, aunque todo orientado al sistema.

Un sistema

Anónimo dijo...

Hola,
revisando este foro, traído desde las manos "del maligno" he visto que tienes solo esta primera parte de adquirir evidencias. Al final no va a haber una segunda parte sobre Adepto??

Saludos

pharmacy reviews dijo...

Sinceramente no hay forma de evitar que los datos sean modificados facilmente en internet, esa es la triste realidad.