UNIVERSIDAD DE JAÉN Escuela Politécnica Superior de Jaén Proyecto Fin de Carrera n a é c a i J t á e H ERRAMIENTA DE APOYO d m r PARA EL ANÁLISIS FORENSE o r i r o DE COMPUTADORAS e f p n u S I a n c e i n c a é Alumno: José Arquillo Cruz t í i r l o e Tutor: Prof. D. Manuel José Lucena López P i n Dpto: Informática a l e e u g c Septiembre, 2007 s n E I 1 2 Herramienta de apoyo para el análisis forense de computadoras D. Manuel José Lucena López, del Departamento de Informática de la Universidad de Jaén, INFORMA Que la memoria titulada “Herramienta de apoyo para el análisis forense de computadoras” ha sido realizada por Dª. José Arquillo Cruz bajo mi dirección y se presenta como memoria del Proyecto Fin de Carrera relizado para optar al grado de Ingeniera en Informática. Jaén, 14 de septiembre de 2006 Vº Bº Fdo: Manuel José Lucena López José Arquillo Cruz 3 4 Herramienta de apoyo para el análisis forense de computadoras INDICE DE CONTENIDOS Agradecimientos ______________________________________________________ 9 PARTEI: INVESTIGACIÓN ___________________________________________ 10 1 INTRODUCCIÓN ______________________________________________________11 1.1 Contexto___________________________________________________________________11 1.2 Un poco de historia __________________________________________________________12 1.3 Objetivo y Metodología_______________________________________________________15 1.4 Motivación del alumno _______________________________________________________16 2 APLICANDO LA CIENCIA FORENSE A LAS COMPUTADORAS____________17 2.1 Modelo de Casey (2000) ______________________________________________________17 2.2 Modelo publicado por el U.S. Dep. of Justice (2001) ________________________________18 2.3 Modelo de Lee (2001)________________________________________________________18 2.5 Modelo de Reith, Carr y Gunsch (2002) __________________________________________20 2.6 Modelo integrado de Brian Carrier y Eugene Spafford (2003) _________________________21 2.7 Modelo mejorado propuesto por Venansius Baryamureeba y Florence Tushabe (2004)______23 2.8 Modelo extendido de Séamus Ó Ciardhuáin (2004) _________________________________25 3 MODELO DE CASEY (2004)_____________________________________________30 3.1 Autorización y Preparación____________________________________________________33 3.2 Documentación _____________________________________________________________35 3.3 Identificación_______________________________________________________________37 3.3.1 Identificación de Hardware ________________________________________________37 3.3.2 Identificación del software_________________________________________________58 3.4 Adquisición ________________________________________________________________61 3.4.1 Adquisición del hardware__________________________________________________61 3.4.2 Adquisición del software__________________________________________________62 3.5 Examen y Análisis___________________________________________________________67 3.5.1 Filtrado/Reducción de los datos para análisis __________________________________67 3.5.2 Búsqueda y recopilación de información______________________________________67 3.5.4 Técnicas de extracción de información _______________________________________77 3.5.5 Reconstrucción_________________________________________________________104 3.5.6 Publicación de conclusiones_______________________________________________109 4. ASPECTOS LEGALES ________________________________________________113 4.1 Legislación internacional_____________________________________________________114 4.2 Legislación nacional (España) ______________________________________________116 5 HERRAMIENTAS_____________________________________________________119 5.1 Evolución de las Herramientas de Investigación___________________________________120 5.2 ANÁLISIS DE DISCOS _____________________________________________________122 5.2.1 LINReS, de NII Consulting Pvt. Ltd.________________________________________122 5.2.2 SMART, by ASR Data___________________________________________________123 5.2.3 Macintosh Forensic Software, de BlackBag Technologies, Inc. ___________________124 5.2.4 MacForensicLab, de Subrosasoft___________________________________________125 5.2.5 BringBack de Tech Assist, Inc. ____________________________________________126 5.2.6 EnCase, by Guidance Software ____________________________________________127 5.2.7 FBI, by Nuix Pty Ltd____________________________________________________129 5.2.8 Forensic Toolkit (FTK), de AccessData______________________________________132 5.2.9 ILook Investigator,______________________________________________________133 5.2.10 Safeback de NTI & Armor Forensics_______________________________________136 5.2.11 X-Ways Forensics, de X-Ways AG________________________________________136 5.2.12 Prodiscover, de Techpathways____________________________________________138 José Arquillo Cruz 5 5.2.13 AFFLIB _____________________________________________________________139 5.2.14 Autopsy _____________________________________________________________139 5.2.15 FOREMOST _________________________________________________________142 5.2.16 FTimes______________________________________________________________144 5.2.17 Gfzip________________________________________________________________145 5.2.18 Gpart________________________________________________________________145 5.2.19 Magic Rescue_________________________________________________________146 5.2.20 PyFlag ______________________________________________________________146 5.2.21 Scalpel ______________________________________________________________148 5.2.22 Scrounge-Ntfs ________________________________________________________148 5.2.23 The Sleuth Kit ________________________________________________________149 5.2.24 The Coroner's Toolkit (TCT)_____________________________________________150 5.2.25 Zeitline______________________________________________________________151 5.3 EXTRACCIÓN DE META-DATOS____________________________________________153 5.3.1 Antiword _____________________________________________________________153 5.3.2 Catdoc y XLS2CSV_____________________________________________________153 5.3.3 Jhead_________________________________________________________________154 5.3.4 VINETTO ____________________________________________________________155 5.3.5 Word2x_______________________________________________________________157 5.3.6 WvWare______________________________________________________________157 5.3.7 XPDF________________________________________________________________158 5.3.8 Metadata Assistant______________________________________________________159 5.4 ANÁLISIS DE FICHEROS___________________________________________________160 5.4.1 File__________________________________________________________________160 5.4.2 Ldd__________________________________________________________________160 5.4.3 Ltrace________________________________________________________________160 5.4.4 Strace________________________________________________________________160 5.4.5 Strings _______________________________________________________________161 5.4.6 Galleta _______________________________________________________________161 5.4.7 Pasco ________________________________________________________________162 5.4.8 Rifiuti________________________________________________________________163 5.4.9 Yim2text______________________________________________________________163 5.5 ANÁLISIS DE INTERNET___________________________________________________164 5.5.1 Chkrootkit ____________________________________________________________164 5.5.2 Cryptcat ______________________________________________________________164 5.5.3 Netcat________________________________________________________________165 5.5.4 NetIntercept___________________________________________________________165 5.5.5 Rkhunter______________________________________________________________165 5.5.6 Sguil_________________________________________________________________166 5.5.7 Snort_________________________________________________________________166 5.5.8 Tcpdump _____________________________________________________________167 5.5.9 Tcpextract_____________________________________________________________168 5.5.10 Tcpflow _____________________________________________________________169 5.5.11 TrueWitness__________________________________________________________170 5.5.12 Etherpeek____________________________________________________________170 5.6 RECUPERACIÓN DE DATOS _______________________________________________171 5.6.1 BringBack ____________________________________________________________171 5.6.2 ByteBack Data Recovery Investigative Suite v4.0______________________________171 5.6.3 RAID Reconstructor_____________________________________________________173 5.6.4 Salvation Data _________________________________________________________174 5.7 RECUPERACIÓN DE PARTICIONES _________________________________________174 5.7.1 Partition Table Doctor ___________________________________________________174 5.7.2 Parted________________________________________________________________175 5.7.3 Active Partition Recovery ________________________________________________175 5.7.4 Testdisk ______________________________________________________________176 5.8 ADQUISICIÓN DE IMAGENES______________________________________________178 5.8.1 ewfacquire ____________________________________________________________178 5.8.2 Adepto (Grab) _________________________________________________________178 5.8.3 aimage _______________________________________________________________179 5.8.4 dcfldd________________________________________________________________179 6 Herramienta de apoyo para el análisis forense de computadoras 5.8.5 dd___________________________________________________________________180 5.8.6 EnCase LinEn _________________________________________________________181 5.8.7 GNU ddrescue _________________________________________________________181 5.8.8 dd_rescue_____________________________________________________________182 5.8.9 iLook IXimager ________________________________________________________183 5.8.10 MacQuisition Boot CD/DVD_____________________________________________183 5.8.11 rdd _________________________________________________________________183 5.8.12 sdd _________________________________________________________________184 5.8.13 Otros________________________________________________________________184 5.9 OTRAS HERRAMIENTAS __________________________________________________186 5.9.1 QEMU _______________________________________________________________186 5.9.2 VMware______________________________________________________________187 5.9.3 biew _________________________________________________________________189 5.9.4 hexdump______________________________________________________________189 5.9.5 Hex Workshop, de BreakPoint Software, Inc._________________________________190 5.9.6 khexedit ______________________________________________________________190 5.9.7 WinHex ______________________________________________________________190 5.10 ANTI-FORENSES_________________________________________________________191 5.10.1 Declasfy_____________________________________________________________192 5.10.2 Diskzapper___________________________________________________________193 5.10.3 Bcwipe______________________________________________________________193 5.10.4 Srm_________________________________________________________________194 5.10.5 Darik's Boot and Nuke (DBAN) __________________________________________194 5.10.6 DataEraser de OnTrack _________________________________________________195 5.10.7 shred________________________________________________________________196 5.10.8 Lenovo SDD__________________________________________________________196 5.10.9 Timestomp___________________________________________________________196 5.10.10 Evidence Eliminator___________________________________________________197 5.10.11 Tracks Eraser Pro_____________________________________________________198 5.10.12 Slacker_____________________________________________________________198 5.10.13 Hiderman ___________________________________________________________198 5.10.14 Cloak ______________________________________________________________199 5.10.15 Runefs _____________________________________________________________199 Parte II: IMPLEMENTACIÓN ________________________________________ 200 ANÁLISIS______________________________________________________________201 Análisis de requerimientos_______________________________________________________201 Casos de Uso_________________________________________________________________202 Descripción de los casos de uso___________________________________________________205 DISEÑO _______________________________________________________________213 Justificación de las herramientas elegidas: __________________________________________213 Diagrama de Clases____________________________________________________________214 PRUEBAS______________________________________________________________216 Creación del CD-Live __________________________________________________________216 Script1____________________________________________________________________217 Script2____________________________________________________________________218 Script3____________________________________________________________________220 Pruebas con imágenes __________________________________________________________223 Disquette de arranque MS-DOS:________________________________________________223 Disquette perteneciente al reto nº 26 del poyecto HoneyNet __________________________225 Imagen bootable de Linux_____________________________________________________232 Imagen partida del “I Reto Rediris de Análisis Forense”_____________________________234 Mp3 de 256 MB ____________________________________________________________251 Movil Motorola_____________________________________________________________252 Manual de usuario_____________________________________________________________255 CONCLUSIONES___________________________________________________ 270 Aspectos a mejorar ______________________________________________________271 José Arquillo Cruz 7 Resumen _______________________________________________________________272 Bibliografía ________________________________________________________ 274 ANEXOS __________________________________________________________ 278 A) HARDWARE PARA ANÁLISIS FORENSE DE COMPUTADORAS _________279 Copiadoras duplicadoras ________________________________________________________279 PCs Previewers: Equipos de investigación en caliente no intrusivos_______________________279 Bloqueadores de escritura (Write Blockers) _________________________________________280 Estaciones de trabajo forenses____________________________________________________281 Análisis de Red _______________________________________________________________282 8 Herramienta de apoyo para el análisis forense de computadoras Agradecimientos A mis padres por aguantarme y apoyarme en todo momento. A mi tutor del proyecto, Manuel José Lucena, por orientarme y animarme en los momentos decisivos, así como por aportarme sus enormes conocimientos sobre sistemas operativos y seguridad informática. A todos los profesores a los que he sacado de quicio, en especial a Luís Martínez, por ayudarme con el apartado del análisis y diseño de la aplicación y a Arturo Montejo por mostrarme el proceso de creación de un CD-Live. Y por último, a mi compañera de clase y amiga Eli, sin cuya ayuda nada de esto hubiera sido posible. José Arquillo Cruz 9 PARTEI: INVESTIGACIÓN 10 Herramienta de apoyo para el análisis forense de computadoras