En este video tutorial, cubrimos el análisis de disco y la análisis forense mediante Autopsy. Extrajimos artefactos forenses sobre el sistema operativo y sus usos. Esto fue parte de Análisis de disco y autopsia.
Obtenga notas de informática forense
El curso completo y práctico de pruebas de penetración de aplicaciones web
What is a Disk Image?
A disk image file is a file that contains a bit-by-bit copy of a disk drive. A bit-by-bit copy saves all the data in a disk image file, including the metadata, in a single file. Thus, while performing forensics, one can make several copies of the physical evidence, i.e., the disk, and use them for investigation. This helps in two ways. 1) The original evidence is not contaminated while performing forensics, and 2) The disk image file can be copied to another disk and analyzed without using specialized hardware.
Disk Forensics Methodology
When performing an investigation on a disk, all we need is to parse the MFT to understand what exactly happened on the disk at the time of the attack: which files were modified, created, hidden, etc. The main advantage of directly parsing the MFT over simply mounting the partition using regular tools (mount on Linux) is to be able to inspect every corner of the sectors allocated to the system. We can thus retrieve deleted files, detect hidden data (Alternate Data Streams), check the MFT’s integrity, inspect bad sectors, get slack space, etc.
Disk Forensics with Autopsy
Antes de sumergirse en la autopsia y analizar los datos, hay que realizar algunos pasos; como identificar la fuente de datos y qué acciones de autopsia realizar con la fuente de datos. Basic&workflow:
- Cree/abra el caso para la fuente de datos que investigará
- Seleccione la fuente de datos que desea analizar
- Configure los módulos de ingesta para extraer artefactos específicos de la fuente de datos
- Revisar los artefactos extraídos por los módulos de ingesta.
- Crear el informe
We start by creating a new case or opening an already saved case. You can do that easily by following the wizard that pops-up once you open the program.
Respuestas de la habitación
¿Cuál es el nombre de la cuenta de la computadora?
Enumere todas las cuentas de usuario. (orden alfabetico)
¿Quién fue el último usuario en iniciar sesión en la computadora?
¿Cuál era la dirección IP de la computadora?
¿Cuál era la dirección MAC de la computadora? (XX-XX-XX-XX-XX-XX)
Nombra las tarjetas de red en esta computadora.
¿Cómo se llama la herramienta de monitoreo de red?
Un usuario marcó una ubicación de Google Maps. ¿Cuáles son las coordenadas del lugar?
Un usuario tiene su nombre completo impreso en el fondo de pantalla de su escritorio. ¿Cuál es el nombre completo del usuario?
Un usuario tenía un archivo en su escritorio. Tenía una bandera pero la cambió usando PowerShell. ¿Cuál fue la primera bandera?
El mismo usuario encontró un exploit para escalar privilegios en la computadora. ¿Cuál fue el mensaje para el propietario del dispositivo?
Se encontraron en el sistema 2 herramientas de hackeo enfocadas en contraseñas. ¿Cuáles son los nombres de estas herramientas? (orden alfabetico)
Hay un archivo YARA en la computadora. Inspeccione el archivo. ¿Cuál es el nombre del autor?
Uno de los usuarios quería explotar un controlador de dominio con un exploit basado en MS-NRPC. ¿Cuál es el nombre del archivo que encontraste? (incluye los espacios en tu respuesta)
