un caso de forense: delito de pederastia en windows
DESCRIPTION
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.TRANSCRIPT
Reto Ciberbullyng
DragonJar I
Alejandro Ramos Computer Hacking Forensic Investigator
SecurityByDefault.com
Yo. Ego - presentación
Manager del TigerTeam de SIA
Profesor en el MOSTIC de la Universidad
Europea de Madrid (Hardening Linux y Análisis
Forense)
Editor de SecurityByDefault.com
Blah Blah…
EJEMPLO - Cyberbullying
Concurso – Reto Forense Dragon Jar I
Se obtiene una imagen (VM) del equipo de un
sospechoso de ciber-acoso
Se solicita un análisis forense del equipo para
confirmar la sospecha.
Imágenes disponibles en:
http://www.dragonjar.org/resultado-del-primer-reto-
forense-de-la-comunidad-dragonjar.xhtml
Adquisición de imagen
Por tratarse de un Vmware:
◦ Se añade un disco duro virtual > al original
◦ Se arranca con un livecd tipo CAINE/DEFT
◦ Se crea partición FAT32 y se formatea
(mkfs.vfat)
◦ Se monta sobre /mnt
◦ Se genera la imagen: guymager
dcfldd
Adquisición
Información básica
Registrado: Scarface
XP SP3
AMD Athlon 512Mb
Usuario: Administrador
Uso horario GMT+5
Fecha de instalación
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion
UnixTime: 1260862666
= 15 Dec 2009
Software instalado
TrueCrypt
Windows Live
IrfanView
Procesos en ejecución
No se detecta malware
Ni procesos extraños
Servicios en ejecución
No se detecta malware
Ni servicios extraños
Análisis de arranque
No se detecta malware
Ni servicios extraños
Drivers instalados
Driver de truecrypt instalado
Aplicaciones ejecutadas – Prefetch
Aplicaciones ejecutadas – Prefetch
Aplicación Funcionalidad
S-TOOLS Estenografía
TIMESTOMP Anti-forense, modificación de
fechas
TRUECRYPT Cifrado de volúmenes y discos
Archivos recientes C:\Documents and Settings\Admin\Reciente
Búsqueda de ADS
AlternateStremView (nirsoft)
Archivo: Scarface.jpg contine: «oculto»
«oculto» es un ejecutable de «Steganos
LockNote»
Busqueda de archivos TrueCrypt
Búsqueda con fecha
Tamaño de archivo
Busqueda de aplicación TrueCrypt
No se encuentra TrueCrypt en «Inicio» ni
en «Archivos de programa»
Se busca en el registro «Uninstall»:
HKLM\Software\Microsoft\Windows\Curr
entVersion\Uninstall\
Búsquedas en Internet
MyLastSearch de Nirsoft
Búsquedas en Google de contenido
sexual infantil
Archivos temporales de Internet
Uso de index.dat Analyzer para facilitar el
proceso
Se detectan búsquedas de sexo infantil en
Se detecta navegación de imágenes con
contenido sexual
index.dat Analyzer
http://www.systenance.com/indexdat.php
Imágenes pedófilas en la cache
Uso de irfanview para ver imágenes
cacheadas
Se detecta pornografía infantil
Cache del navegador El usuario se registra en el portal
Se obtiene usuario y correo electrónico
Cache del navegador
Se comparte contenido pornográfico
Cache del navegador Contraseña y comentarios
Cache del navegador
Usuario añadido en hotmail ¿victima?
Cache del Navegador
Se obtiene contraseña del portal
imgsrc.ru
Búsquedas en el Historial
Se encuentran referencias a imágenes
«sexy (n).jpg» en «Mis imágenes»
Los ficheros ya no existen
Búsquedas en el Historial
Referencias a los archivos anteriores en
«Z:»
Historial de MSN
No hay registros de MSN
No hay archivos en «Mis archivos
recibidos»
Se encuentran imágenes en la cache de
MSN
Contactos MSN
C:\Documents and
Settings\Administrador\Configuración
local\Datos de programa\Microsoft\Windows
Live Contacts\{2b8788be-f69b-4265-9430-
326604e4a5c0}\DBStore\contacts.edb
Disco Duro
Disco duros - interfaces
Estructura disco duro
• A Pista
• B Sector
• C Sector de una pista
• D Cluster
Sector / Cluster
Cluster es la mínima unidad de
almacenamiento para el sistema operativo
Los clusters se componen de sectores. El
mínimo es un cluster = un sector
Los sectores pueden estar marcados
como defectuosos y no ser usados.
Espacio Slack
1. Fichero ocupa: 768Bytes
2. Un cluster son 4 sectores
3. El sector 2 es ocupado parcialmente y dependiendo del SO
puede sobrescribirse o no el espacio libre
4. El resto de sectores no se sobrescribe quedando datos no
eliminados
Busqueda en «slack space»
Busqueda en «slack space»
Camila
¿LockNote?
Se obtienen las credenciales de imgsrc.ru
(ya obtenidas)
TrueCrypt
La contraseña esta cacheada en memoria
y no es necesaria
Aunque haciendo pruebas, se puede
averiguar que es «Scarface»
Línea temporal 19/12/2009 – 21:06:15 21:08:52
Obtención de datos High School Music
19/12/2009 – 21:16:04 21:20:44
Conversación MSN con Natalia
19/12/2009 – 21:35:14
Se suben imagen de Natalia«luna.jpg» a imgsrc.ru
19/12/2009 – 23:04:07 – 23:13:54
Conversación MSN con Camila
19/12/2009 – 23:38:41
Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru
20/12/2009 – 2:59:43
Archivos copiados a volumen cifrado TrueCrypt
¿PREGUNTAS?
Gracias
Alejandro Ramos
www.securitybydefault.com