Incident Response, Security and Forensics"

.

domingo, 5 de diciembre de 2010

Tips & Tricks (I)

Hola lectores,

Muchos me preguntais sobre temas de extracción de datos y trucos que utilizo.

Hace dias me paso lo mismo en un análisis forense y la verdad no me acordaba de un paso en concreto y tuve que poner imaginación para recordarlo, así que he decidido ponerlo en el blog, con objeto de recordarmelo a mi mismo y compartirlo con todos. (dedicado a FRAN de la GDT)

Son pequeños trucos que utilizo de vez en cuando.

Creación de una línea de tiempo con las TCTUtils

Utilidades escritas por Brian Carrier:
jBcat: Muestra el contenido de un bloque de disco a la salida estándar.
  • blockcalc: Mapas entre las imágenes con dd y sus diferencias
  • fls: Muestra entradas de ficheros y directorios que han sido borrados. Usando fls con la opción-d hace una lista de los nombres de todos los archivos borrados en la imagen.
  • find_file: Determina qué archivo tiene asignado un inodo de una imagen.
  • find_inode: Determina que inodo ha asignado un bloque de una imagen.
  • istat : Muestra información sobre un inodo.
  • mac_merge: Combina la salida de 'fls-m' con la salida de mactime TCT para crear una línea de tiempo grandes.
C:\forensics\TSK\fls –m ‘C:/’ –f ntfs –r \\.\Z: > c:\casos_forenses\empresa\timelines\ficheros

Perl C:\forensics\TSK\mactime.pl –d –b c:\casos_forenses\empresa\timelines\ficheros\lineadetiempo.csv

Búsqueda de palabras importantes

C:\casos_forenses\empresa\ripped>strings *.txt | grep –i
C:\casos_forenses\empresa\ripped>strings *.csv | grep –i

Por fechas

fichero.csv | grep -i "Dec 3 2010" | grep "..b,r"

Buscar HIVES en el NTUSER.dat con regtime


La utilidad regtime.pl procesará las marcas de tiempo en cada clave de una sección del Registro

C:\>Perl C:\forensics\SIFT\bin\regtime.pl –m HKLM/system –r -d -m C:\casos_forenses\empresa\hives\system >> fichero.csv

Otra forma con rip de las ya comentadas RegRipper

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\SAM –f SAM > sam_ripped.txt

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\system –f System>system_ripped.txt

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\ntuser.dat –f ntuser> ntuser.ripped.txt

Mostrar carpetas ocultas

Registry Keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)

Para MAC

Puedemos utilizar la función Analyze MacForensicsLab con el siguiente archivo: ~ / Library / Preferences / com.apple.finder.plist Dentro de ese archivo que se encuentra "FXConnectToLastURL". Esta entrada muestra los servidores de archivos relacionados con los datos del sospechoso. y la entrada "CFURLAliasData" tendrá los nombres de los servidores de archivo de acceso, imágenes de disco montadas muestra el último conjunto de carpetas que se accedió.

That's all, folks!!"
 

3 comentarios:

¡Qué bueno! Me gusta hacer lo mismo en mi blog. Explico cosas para que no se me olviden y así tener una auto-wiki de consulta rápida; y, ya de paso, abierta y reutilizable.
Tu blog es uno de los pocos que sigo habitualmente a través de GReader. Interesantísimo todo lo que escribes. Gracias por compartirlo.

Que buen tuto pedro queria saber donde podria bajar imagenes con malware y poder montarlas para poder empezar a probar estas herramientas y para cuando algo con ImmunityDebugger.
Muchas Gracias . Sigue Asi.
Saludos

Actualmente el nombre de ese kit para analisis forense se llama TKS "The Sleuth Kit". El kit "TCT" The Coroner's Toolkit dejó de estar soportado hace tiempo, TKS le ha cogido el testigo. Solo aclararlo

Un saludo