El documento describe las características y capacidades del software Forensic Toolkit (FTK). FTK permite realizar análisis forenses integrales de computadoras, incluyendo la recuperación de contraseñas, procesamiento de datos sin demoras, análisis avanzado de memoria volátil y soporte para múltiples sistemas operativos. FTK usa una base de datos para procesar datos de manera rápida e ininterrumpida.
El documento describe las características y capacidades del software Forensic Toolkit (FTK). FTK permite realizar análisis forenses integrales de computadoras, incluyendo la recuperación de contraseñas, procesamiento de datos sin demoras, análisis avanzado de memoria volátil y soporte para múltiples sistemas operativos. FTK usa una base de datos para procesar datos de manera rápida e ininterrumpida.
El documento describe las características y capacidades del software Forensic Toolkit (FTK). FTK permite realizar análisis forenses integrales de computadoras, incluyendo la recuperación de contraseñas, procesamiento de datos sin demoras, análisis avanzado de memoria volátil y soporte para múltiples sistemas operativos. FTK usa una base de datos para procesar datos de manera rápida e ininterrumpida.
Contenido Introduccin ........................................................................................................................................ 3 Forensic Toolkit (FTK) .......................................................................................................................... 3 Cerberus .......................................................................................................................................... 4 Visualizacin .................................................................................................................................... 4 Caractersticas ................................................................................................................................. 4 SOLUCIN FORENSE INTEGRAL DE COMPUTADORAS .................................................................. 4 FUNCIONA CON BASES DE DATOS, POR LO QUE NO PIERDE EL TRABAJO AVANZADO CUANDO LA COMPUTADORA TIENE UN CRASH O DEJA DE RESPONDER .................................................... 5 PROCESAMIENTO SIN IGUAL ........................................................................................................ 5 UNA EMPRESA CON UN SOLO NODO ........................................................................................... 6 ANLISIS AVANZADO DE MEMORIA VOLTIL .............................................................................. 6 BSQUEDA MS RPIDA E INTEGRAL DE BINARIOS E NDICES .................................................... 7 CAPACIDAD DE ANLISIS DE TODO EL SISTEMA DE ARCHIVOS, TIPOS DE ARCHIVOS Y CORREO ELECTRNICO .............................................................................................................................. 7 ACCESORIO DE DETECCIN DE IMGENES EXPLCITAS (EID) ........................................................ 8 FTK Imager ........................................................................................................................................... 8 Bibliografa .................................................................................................................................... 15
Introduccin
Al buscar un dato especfico en una hoja de clculo o en un correo electrnico, se genera gran cantidad de informacin crucial para una empresa al momento de un juicio, donde se puede identificar si los datos han sido alterados, cuando, por quin y en qu circunstancias. En la actualidad, las empresas generan enormes cantidades de datos y muchos juicios han sido resueltos basndose en el resultado de estos anlisis. Lo que se busca es navegar por los sistemas de informacin en la bsqueda de evidencias, tales como: supresin o alteracin de informacin, violaciones de poltica o accesos no autorizados. Los procedimientos que suelen realizarse en un anlisis de datos, son: 1. Clonacin de Discos Duros: Se crea una rplica exacta del disco duro que contiene la informacin a investigar. La bsqueda se realizar en mensajes de correo electrnico, documentos, archivos de hojas de clculo, descargas web y otros datos electrnicos. La informacin obtenida, ya sea que haya sido borrada, encriptada o fragmentada; puede tener un enorme valor en un proceso de investigacin. 2. Bsqueda en datos electrnicos: En una investigacin compleja donde se procesan cantidades masivas de mensajes de correo electrnico o documentos, nuestras herramientas tecnolgicas tienen la capacidad de filtrar duplicaciones de datos o incluir palabras clave para minimizar el tiempo de bsqueda y as recuperar la informacin relevante en la investigacin. 3. Reporte de resultados: Al finalizar el anlisis de la informacin se procede entonces a la generacin de los reportes con los resultados obtenidos. Nuestros informes son detallados y con visualizacin en formato nativo, HTML, PDF, XML, RTF y ms con enlaces a las pruebas originales. FORENSIC TOOLKIT (FTK) Reconocido alrededor del Mundo como el Estndar en Software de Informtica Forense, es una plataforma de investigaciones digitales aprobada por tribunales, que est diseada para ser veloz, analtica y contar con escalabilidad de clase empresarial. Conocido por su interfaz intuitiva, el anlisis de correo electrnico, las vistas personalizadas de datos y su estabilidad. FTK establece el marco para una expansin sin problemas, por lo que su solucin de informtica forense puede crecer de acuerdo a las necesidades de su organizacin. Adicionalmente, AccessData ofrece nuevos mdulos de expansin, entregando el primer software de esta industria con capacidad de anlisis y con visualizacin de ltima generacin. Estos mdulos se integran con FTK para crear la plataforma de informtica forense ms completa en el mercado.
Cerberus
Cerberus es una tecnologa de clasificacin de malware que est disponible como accesorio para FTK 4. El primer paso hacia la ingeniera inversa automatizada. Califica las amenazas y hace un anlisis de desmontaje para determinar tanto el comportamiento como la intencin de binarios sospechosos.
Visualizacin Vista de datos en varios formatos, incluyendo lneas de tiempo, grficas de clster, grficas circulares y ms. Esto nos permite: Determinar rpidamente las relaciones en los datos Encuentra piezas claves de informacin Generar informes que son fcilmente entendidos por los abogados, los Oficiales de Informacin (CIOs) u otros investigadores.
Caractersticas SOLUCIN FORENSE INTEGRAL DE COMPUTADORAS Permite obtener imgenes, procesar un amplio rango de tipos de datos, desde imgenes forenses hasta archivos de correos electrnicos, anlisis del registro, conduccin de una investigacin, desencriptado de archivos, romper passwords, as como construir un reporte al utilizar una sola solucin. Recuperacin de passwords desde ms de 100 aplicaciones una, de estas es: o Kit de herramientas de recuperacin de la contrasea (PRTK) Permite la gestin de contraseas. Analiza los archivos y sus contraseas con un archivo de informe opcional. Recupera contraseas de todo tipo, independientemente de la longitud de contrasea. Analiza varios archivos al mismo tiempo. Recupera las contraseas multilinges. Evita el uso no autorizado con un cdigo de seguridad personal. PRTK puede recuperar contraseas de ms de 100 aplicaciones diferentes
Biblioteca KFF de hash con 45 millones de hashes. Anlisis avanzado y automatizado sin necesidad del scripting. FUNCIONA CON BASES DE DATOS, POR LO QUE NO PIERDE EL TRABAJO AVANZADO CUANDO LA COMPUTADORA TIENE UN CRASH O DEJA DE RESPONDER FTK funciona con bases de datos, que evita experimentar el crashing asociado con las herramientas que funcionan con la memoria. Los componentes de FTK estn divididos en compartimientos, por ejemplo, si el GUI deja de responder o tiene un crash, los procesadores continan analizando datos. PROCESAMIENTO SIN IGUAL La diferencia de FTK frente a otras soluciones de informtica forense, es procesar datos inmediatamente, por lo que no se pierde tiempo al esperar que se ejecuten las bsquedas durante la fase de anlisis. Este producto se dise para ofrecer el procesamiento forense ms rpido, preciso y consistente, con procesamiento distribuido y un verdadero apoyo de plataformas multi-thread y multi-core. Cada copia de FTK incluye un total de 4 procesadores 1 en la computadora del examinador y 3 distribuidos. El Procesamiento con asistente garantiza que ningn dato sea omitido. o Con funciones de Cancelacin/Pausa/Continuar o Estatus de procesamiento en tiempo real o Regulador de velocidad de los recursos del CPU o Notificacin por E-mail al finalizar el procesamiento Refinado previo y posterior al procesamiento Dispositivo de Carving avanzado que le permite especificar criterios de bsqueda como tamao de archivo, tipo de datos y tamao de pixel, para reducir la cantidad de datos irrelevantes extrados, mientras que se incrementa la minuciosidad general del anlisis.
UNA EMPRESA CON UN SOLO NODO Es necesario instalar un agente persistente o disolvente en una sola computadora para habilitar el anlisis remoto y las capacidades de respuesta a incidentes de AD Enterprise. Proveer, adquirir y analizar datos del disco duro, de aparatos perifricos y datos voltiles de memoria en sistemas operativos de Apple, UNIX y Linux. Se puede desinstalar el agente en cualquier momento y conectarlo a otra computadora para realizar un anlisis de mltiples computadoras. Despliegue sencillo del agente con asistente. Montaje remoto y seguro del aparato, utilizando el agente Pico.
ANLISIS AVANZADO DE MEMORIA VOLTIL Analiza los sistemas operativos de Windows (32- y 64-bit), Apple, UNIX y Linux. Anlisis integral de datos voltiles. Anlisis de RAM Esttica, desde una imagen o frente a un sistema vivo. Enumeracin de todos los procesos en ejecucin, incluyendo aquellos ocultos por rootkits y despliegue DLL asociados, conexiones y controladores de redes en su contexto. Interrumpir un proceso y los DLL asociados para realizar un anlisis posterior con herramientas adicionales. La bsqueda en la secuencia de la memoria permite identificar accesos en la memoria y mapear automticamente sus asociaciones con cualquier proceso, DLL o una pieza de espacio sin asignar y eliminar el artculo que corresponda. En la actualidad, FTK 4 ofrece el anlisis de rbol VAD, exponiendo los artefactos registrados en la memoria, analizando sus componentes y desplegando la informacin utilizada desde la memoria.
BSQUEDA MS RPIDA E INTEGRAL DE BINARIOS E NDICES FTK procesa y clasifica los datos al instante con la finalidad de realizar la bsqueda y el anlisis ms rpido que los otros productos. Al aprovechar el poderoso dispositivo dtSearch, as como el dispositivo completo de expresiones regulares, FTK produce resultados veloces y acertados. Novedades en FTK 4: La capacidad de anlisis de expresiones regulares en la investigacin de ndices, le permite buscar combinaciones avanzadas de caracteres en los datos indexados. CAPACIDAD DE ANLISIS DE TODO EL SISTEMA DE ARCHIVOS, TIPOS DE ARCHIVOS Y CORREO ELECTRNICO Capacidad de anlisis de ms de 700 imgenes, archivos y tipos de archivos. Notes NSF, Outlook PST/OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, etc.), Netscape, AOL and RFC 833 Procesa y analiza DMG (comprimidos y descomprimidos), Ext4, exFAT, VxFS (Veritas File System), Microsoft VHD (Microsoft Virtual Hard Disk), Blackberry IPD archivos de respaldo, Android YAFFS / YAFFS 2 y muchos ms. Ideal para crear y procesar imgenes en Formato Forense Avanzado -Advanced Forensic Format (AFF).
AMPLIA CAPACIDAD DE ANLISIS DE ENCRIPTADOS Desencripta automticamente (con credenciales apropiadas) Credant, SafeBoot, Utimaco, SafeGuard Enterprise y Easy, EFS, PGP, GuardianEdge, Pointsec y S/MIME. FTK es la nica solucin de informtica forense que puede identificar PDFs encriptados. ACCESORIO DE DETECCIN DE IMGENES EXPLCITAS (EID) Esta tecnologa de deteccin de imgenes no solo reconoce tonos de piel, sino que ha sido programado con una biblioteca de ms de 30,000 imgenes que permiten identificar, automticamente, potenciales imgenes pornogrficas.
FTK Imager FTK Imager de AccessData es una herramienta para realizar rplicas y visualizacin previa de datos, la cual permite una evaluacin rpida de evidencia electrnica para determinar si se garantiza un anlisis posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager tambin puede crear copias perfectas (imgenes forenses) de datos de computadora sin realizar cambios en la evidencia original. Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager para crear la imagen forense desde un disco duro u otro dispositivo electrnico. Esto asegura que el sistema operativo no alterar la unidad fuente original cuando se le adjunte a la computadora. Para prevenir la manipulacin accidental o intencional de la evidencia original, FTK Imager realizar una imagen duplicado bit a bit del medio. La imagen forense es idntica en cualquier forma al original, incluyendo espacio de holgura o residual y espacio sin asignar o espacio libre de la unidad. Esto permite almacenar el medio original en un lugar seguro de dao mientras se procede con la investigacin utilizando la imagen forense. FTK Imager versin 3.1.4.
Despus de realizar la descarga del instalador desde el sitio web oficial de AccessData y proceder con la instalacin del programa, se apertura FTK Imager.
Hacer clic en la opcin File -> Create Disk Image o Archivo -> Crear Imagen de Disco.
Se presentar una nueva ventana donde se requiere definir la fuente. Para propsito de la esta prctica se crear una imagen forense de toda una unidad USB o Memory Stick, por lo tanto se selecciona la opcin Physical Drive o Unidad Fsica. Luego hacer clic en el botn Siguiente.
En una nueva ventana se muestra un men desplegable, en el cual se selecciona la Unidad Fuente correspondiente, para luego hacer clic en el botn Finish o Finalizar.
La siguiente ventana permite definir un Destino para la Imagen. Para esto es necesario hacer clic en el botn Add...
En esta ventana se define el tipo de la imagen de destino a crear. Para el caso de la prctica ser una imagen Raw o en bruto, es decir tal y como sera creada utilizando una herramienta como dd o dcfldd. Revisar la publicacin de ttulo Crear la Imagen Forense desde una Unidad utilizando dd.
La siguiente ventana solicita ingresar informacin sobre el tem de evidencia. Al completar la informacin hacer clic en el botn Siguiente.
Se requiere definir la carpeta donde se almacenar la imagen forense. La cual es seleccionada haciendo clic en el botn Browse o Navegar. A continuacin se requiere nombrar la imagen forense (UnidadUSBKR). Y opcionalmente definir si la imagen resultante ser dividida en varias partes o sino no ser fragmentada. Para el caso de la presente prctica no ser divida, por lo tanto se define el valor 0 en el campo Image Fragment Size (MB) o Tamao del Fragmento de la Imagen.
Al Hacer clic en el botn Finish. Se mostrar un resumen de las opciones seleccionadas.
El proceso de creacin de la imagen forense desde la unidad USB o Memory Stick iniciar al hacer clic en el botn Start o Iniciar.
Finalizada la creacin de la imagen forense, inicia la verificacin de la imagen creada.
Al finalizar todo este procedimiento se presentan algunos resultados finales. Los resultados muestran el nmero de sectores copiados. La generacin de un Hash MD5 y un Hash SHA-1. Anotar la coincidencia entre el campo Computed Hash o Hash Calculado, es decir el hash obtenido desde la unidad USB o Memory Stick, y el campo Report Hash o Hash Reportado, el cual se genera desde la imagen forense creada de nombre unidadUSBKR.001. Anotar tambin que no se han detectado sectores Malos.
En el mismo directorio o unidad donde se ha creado la imagen forense, se encontrar un archivo de texto con el mismo nombre de la imagen forense creada (UnidadUSBKR.txt), en el cual reside toda la informacin detallada del proceso realizado.