domingo, 30 de mayo de 2010

Adquisición de evidencias

Ya hemos hablado aquí de WinFE, una distribución live de Windows Vista orientada principalmente al campo del computer forensics. Vamos a sacarle partido en estas líneas y desarrollar la forma de utilizarla para la adquisición de evidencias, clonado del sistema objetivo de análisis o imaging, que queda como más mejor.

No estoy diciendo que sea mejor utilizar WinFE en lugar de los clásicos live-CD de Linux, ni es mi intención iniciar una de esas batallas que al final no conducen a nada; cada cual utilice aquello con lo que se sienta más comodo, pero al menos que conozca las alternativas.

Pero dado que no soy analista forense y por lo tanto no tengo la necesidad de este tipo de proceso, ¿como es que empezó todo esto?

Leer más...

jueves, 13 de mayo de 2010

Resultados del Honeynet Forensic Challenge 2010/3

Hoy se han publicado los resultados y podemos descargar tanto una solución de ejemplo como los informes enviados por los finalistas:

  1. Mario Pascucci (Italy)
  2. Tyler Hudak (USA)
  3. Carl Pulley (UK)
En primer lugar felicitar a los ganadores. Por otra parte no estoy del todo descontento con mi puntuación personal ya que he conseguido el puesto 13 de entre 22 informes enviados y la satisfacción de haber encontrado las soluciones adecuadas. Pero como habitualmente, me ha vuelto a faltar soltura con el inglés, así que tendré que ponerme en serio con ello.

Leer más...

lunes, 10 de mayo de 2010

Otro análisis más (y van 4) - Parte III

En la entrada anterior conseguimos extraer varios ficheros PDF desde el espacio de memoria del proceso AcroRd32. Uno de los documentos estaba cifrado y el otro contenía código javascript configurado para lanzarse de forma automática al abrir el fichero; y todo esto lo descubrimos gracias a Didier Stevens y su herramienta pdfid.

Para que resulte más fácil seguir el relato, al final del mismo he adjuntado un fichero zip con password 'infected' que contiene todos y cada uno de los ficheros analizados. Ya os aviso que dichos archivos son peligrosos así que vosotros vereis lo que haceis.

Leer más...

martes, 4 de mayo de 2010

Otro análisis más (y van 4) - Parte II

Continuando con el análisis de la imagen proporcionada como base para el Honeynet Forensic Challenge 2010/3, que iniciamos en la entrada anterior, comenzamos el segundo round.

Leer más...