lunes, 1 de diciembre de 2014

Identificando y montando en Linux, particiones NTFS que Windows no puede ver

Existen varias ocasiones en que no podemos ver el contenido de un disco, esto me ha pasado varias veces e inclusive a bu5t3r5 y a mi nos paso una vez cuando realizamos una adquisición forense y realizamos la imagen correspondiente.

¿Cuando he notado el problema?


Principalmente lo he notado al usar duplicadores forenses en hardware. (TD2 y Dossier), y herramientas forenses como EnCase o FTK no son capaces de ver la información.

¿Por que sucede?



MI TEORIA ES: Este problema se sucita por que el duplicador forense (Hablando de lo que vi con Tableau TD2) antes de realizar la imagen forense, FORMATEA el disco destino y al hacer esto deja el disco en este modo:
MBR -> GPT -> EFI -> NTFS
Y lo que uno esperaria ver seria MBR -> NTFS (Y AÚN ASI NO DEBERIA SER PROBLEMA). Y a veces no es este el caso...
Bien, sea cual sea el caso si al ingresar un dispositivo de almacenamiento masivo les aparece este mensaje:


viernes, 14 de noviembre de 2014

1er Bu5tQuiz

Saludos Bug Busters! este es el primer Bu5tQuiz que hacemos así que esperamos que les guste y que aprendan que finalmente es el objetivo de todo esto, aquí les dejo las instrucciones, el premio y..... Las preguntas..... Happy Busting! 

Instrucciones: 
El quiz consta de 6 preguntas 2 de dificultad básica 2 intermedia y 1 avanzado y 1 experto  las respuestas a las preguntas se envían a  el primer correo que llegue con las 6 respuestas correctas gana! si llegan 2 al mismo tiempo (dificil pero puede pasar) se tomara como ganador a quien haya dado respuestas mas puntuales.   El ganador recibira un codigo  e instrucciones para descargar su premio.

El premio:
Copia Digital de:
El Hobbit: La Desolación de Smaug 
Lo ven es un premio sencillo.... pero geeky... denos chance apenas vamos empezando y no hay mucho presupuesto xD



Las preguntas:

jueves, 16 de octubre de 2014

Usando RegRipper para obtener información del registro SAM

En el principio de este blog hablamos acerca de que aprenderíamos a utilizar herramientas libres, EnCase es muchas cosas menos libre, aunque debo confesarlo soy un asiduo (y certificado) usuario de EnCase.

Sin embargo y fieles a lo que queremos inculcar entre la comunidad de DFIR en México, es el uso de herramientas libres veamos como analizar el archivo SAM con RegRipper para los que no lo hayan utilizado RegRipper es una herramienta sumamente poderosa creada por Harlan Carvey y escrita en perl para poder analizar de forma profunda el registro de windows, conforme escribamos más posts acerca de IR iremos utilizando mas esta herramienta.

Hoy utilizaremos un módulo llamado samparse.pl o sam esto nos va a permitir ver mucha información de la que tratamos en el post pasado.

Para poder analizar mi llave registro comenzare por montar mi imagen E01 en SIFT , se que este no es un post en donde estamos aprendiendo a montar imágenes (lo trataremos después) pero nos sirve de repaso  y  les mostrare con que opciones acostumbro a montar mis imágenes, antes que nada y como recordatorio, tengan en mente que no podemos montar directamente un archivo de imagen E01 por lo que primero tenemos que convertir de formato E01 a raw, se preguntaran porque sigo utilizando E01 y no Raw para montarlo de forma directa, como mencione utilizo mucho EnCase ya que en muchas de las empresas de IP es un estándar, aparte de otras razones que ya discutiremos en otro post (donde abordaremos los diferentes tipos de archivos de imágenes que existen).

Para convertir mi imagen  utilizare el siguiente comando:

jueves, 9 de octubre de 2014

Analisis profundo del registro SAM

Saludos BugBu5t3r5 

En este post hablaremos un poco acerca del registro de Windows, estoy seguro que muchos de ustedes ya conocerán mucha de esta información sin embargo alguno de nuestros lectores puede aprender algo, comencemos por definir que es el registro; el registro de Windows es una base de datos jerárquica  en la que se almacenan los ajustes de configuración y opciones de Windows  este registro es utilizado por el kernel, los controladores de dispositivos,los servicios, el SAM, la interfaz del usuario y las aplicaciones de terceros.

El registro contiene dos elementos básicos: 
  1. Claves
  2. Valores
Las claves son similares a carpetas: ademas de lo valores cada clave puede contener sub claves que pueden contener otras sub claves, en si dentro de estas claves y valores encontraremos configuraciones y opciones del sistema operativo y que el usuario ha realizado sobre el mismo. 

Dependiendo de la versión de sistema operativo que utilicemos las carpetas del sistema se almacenaran en distintas rutas de acceso sin embargo para Windows 2000, XP, Server 2003, Vista, Windows 7 y Windows 8, cuatro de los cinco ficheros que mas nos interesan en una investigación se encuentran en la soguiente ubicacion %SystemRoot%\System32\Config\:  en las siguientes sub llaves:


  • SAM - HKEY LOCAL MACHINE\SAM
  • SECURITY - HKEY LOCAL MACHINE\SECURITY
  • SOFTWARE- HKEY LOCAL MACHINE\SOFTWARE
  • SYSTEM- HKEY LOCAL MACHINE\SYSTEM


    Es muy importante saber en donde están almacenados estos registros y que contienen, forensic explorer, y EnCase te dan información importante del registro de forma automática, pero también esta Regripper e inclusive el registro puede ser visto por medio de regedit y otras mas...Sin embargo en la parte del registro de Windows así como en la mayoría de los procesos que nuestras herramientas de análisis nos entregan de forma automática es imperante saber de donde fue obtenida esa información, en que formato, de que forma, he estado en casos en que se le ha preguntado al examinador de donde vino esa información que esta presentando como evidencia y su respuesta es " ejecute un proceso en mi herramienta de análisis y eso fue lo que salio" es por eso que trataremos de ahondar un poco mas en cada una de estas subclaves del registros para entender que evidencia podemos encontrar y en que formato se encuentran, esto lo estaré presentando en la V7 de EnCase sin embargo las ubicaciones y formatos son los mismos sin importar la herramienta de su elección.

    A continuación se muestra la información según es presentada en EnCase:

    miércoles, 1 de octubre de 2014

    Herramientas de volcado de memoria

    Saludos BugBu5t3r5

    Hace un par de días Hecky y yo platicábamos acerca del futuro del cómputo forense, los dos llegamos a la conclusión de que debido a tecnologías como SSD y las capacidades de los discos la forma tradicional de hacer cómputo forense ha cambiado, el futuro de las metodologías, procesos y herramientas  pronto giraran en torno al análisis de los componentes volátiles, sé que este punto es discutible y muchos examinadores tienen sus dudas en cuanto a la adquisición y análisis de memoria, se preguntan si será admisible en la corte o cuestionan el impacto que muchas herramientas tienen sobre la integridad de la evidencia.

    Sin embargo estoy convencido que el análisis de memoria volátil es una de las áreas en donde podemos encontrar más elementos de evidencia. Es por eso que decidí hacer de mi primer post una lista de las herramientas que están disponibles para poder obtener memoria, ojala que al leer este post si aún tienes dudas de si debes tomar la memoria en tus casos, pierdas el miedo y lo hagas!

    Empecemos por establecer cuáles son los PLUS de obtener la memoria volátil:


    lunes, 29 de septiembre de 2014

    Let's bust some bugs

    ¡Bienvenidos bugbusters!

    Este es un blog en español de DFIR (Digital Forensic Incident Response), en el cual mostraremos diversas técnicas de computo forense y respuesta a incidentes tanto con software licenciado, pero sobre todo con herramientas libres, mostraremos ejemplos reales de:


    • Como manejar un incidente
    • Analizar malware
    • Analizar una intrusión
    • Recuperar Información
    • Recuperar artefactos
    • y muchas otras cosas


    Hecky y yo (Bu5t3r5) hemos trabajo juntos desde hace varios años y tenemos mucha confianza de que este blog va a ser de gran utilidad para todos ustedes, a Hecky la leyenda lo precede pero a mi me irán conociendo poco a poco aunque deben saber que tengo basta experiencia en cómputo forense en México y Estados Unidos eh participado como expositor en la UNAM en la IBERO, CEIC,y otros, no se todo pero vamos aprendiendo.

    P.D. Nuestro blog no solo es en español, sino que cien por ciento orgullo MEXICANO. =)

    Saludos, bienvenidos y let's bust some bugs!!