Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por gestion 2018

ANALISIS DE MEMORIA VOLATIL

Anuncio 
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
ANÁLISIS DE MEMORIA VOLÁTIL
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
INTRODUCCIÓN
Colombia es considerada un país pionero en la aplicación de la legislación referente a la
protección de datos personales, tipificación de algunos delitos informáticos y
demostración de la responsabilidad que tenemos como administradores de información
propia y de terceros. A medida que la legislación colombiana se ha ido posicionando ha
desarrollado mecanismos y herramientas que sirven para darle un nuevo giro a los
procesos de investigación y objetivos de análisis.
Dentro de estos mecanismos nos encontramos con el análisis de memoria RAM volátil, el
cual hace referencia a un conjunto de procedimientos y herramientas que permiten la
recopilación y análisis de la información almacenada de manera temporal en la memoria
RAM, lo anterior dado que su funcionalidad de almacenamiento de datos e instrucciones
se encuentra limitada a una fuente de poder.
Este análisis permite dar respuesta a incidentes y generar estudios que den como
resultado la recuperación de la información de los programas y los datos que están siendo
procesados como los fragmentos de comunicaciones; claves de cifrado; procesos;
dispositivos de almacenamiento móviles, archivos abiertos; estructuras de red, de
aplicación y del sistema operativo, para hacer frente a temas relacionados con la
seguridad informática.
El documento pretende ser una guía práctica de los pasos a seguir en el proceso de
recopilación de las evidencias planteadas, explicando en qué consiste, para qué sirve, su
funcionalidad y la metodología para llevarla a cabo entre otras.
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
CONCEPTOS
Memoria: suele referirse a una forma de almacenamiento de estado sólido, conocida
como memoria RAM (memoria de acceso aleatorio; RAM por sus siglas en inglés, de
random access memory), y otras veces se refiere a otras formas de almacenamiento
rápido, pero temporal. De forma similar, se refiere a formas de almacenamiento masivo,
como discos ópticos, y tipos de almacenamiento magnético, como discos duros y otros
tipos de almacenamiento, más lentos que las memorias RAM, pero de naturaleza más
permanente. Estas distinciones contemporáneas son de ayuda, porque son fundamentales
para la arquitectura de computadores en general.
Imagen Forense: Llamada también "Espejo" en inglés "Mirror", la cual es una copia bit a
bit de un medio electrónico de almacenamiento. En la imagen quedan grabados los
espacios que ocupan los archivos, áreas borradas incluyendo particiones escondidas.
Analisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de
información relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la
firma del archivo o hash (indica la integridad del archivo), autor, tamaño, nombre y ruta,
así como su creación, último acceso y fecha de modificación.
Volatilidad de la información: La memoria volátil se suele usar sólo en memorias
primarias. Esta requiere energía constante para mantener la información almacenada. La
memoria RAM es una memoria volátil, ya que pierde información en la falta de energía
eléctrica.
Cadena de Custodia:La identidad de personas que manejan la evidencia en el tiempo del
suceso y la última revisión del caso. Es responsabilidad de la persona que maneja la
evidencia asegurar que los artículos son registrados y contabilizados durante el tiempo en
el cual están en su poder, y que son protegidos, llevando un registro de los nombres de las
personas que manejaron la evidencia o artículos con el lapso de tiempo y fechas de
entrega y recepción.
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
FASES EN EL PROCEDIMIENTO DE ANÁLISIS:
Preservación: Esta fase es muy importante porque es el punto de partida para el proceso
de análisis. Es aquí donde debemos procurar garantizar que el procedimiento o
metodología que vayamos a aplicar sea el más adecuado para evitar la manipulación
indebida o que se pierdan las evidencias que deben ser recopiladas para su posterior
análisis. En muchas ocasiones al desconocer elementos sencillos pero vitales en este
proceso puede provocar que se pierda información relevante y que pudiera haber
resultado decisiva al momento de solucionar el incidente o demostrar que es una
evidencia que debe ser tenida en cuenta como material probatorio en un caso. De
acuerdo a un artículo en internet en la página de incibe.es dejan muy en claro que
aspectos críticos como que no se apaguen los equipos para poder preservar la
información volátil o la correcta rotulación de los elementos a analizar se realizan deben
ser vitales cuando nos encontramos en esta etapa. En un país como Colombia la
preservación de la información cobra mucha importancia por los posibles casos de
corrupción que puedan presentarse si estamos hablando que es material para demostrar
la culpabilidad o participación de algún delito, es por eso que las personas que tienen a
cargo este proceso sea una persona íntegra, que cuente con el conocimiento requerido
para que pueda llevar a cabo su trabajo de la manera profesional con el fin de evitar
desviaciones o manipulación indebida de la información. Continuando con las
recomendaciones del caso se debe mantener un registro continuo de todas las
operaciones que se vayan realizando sobre el material que estemos revisando, se debe
tener muy claro que debemos procurar siempre conservar la validez jurídica de las
evidencias que se recopilen. Una recomendación es que si los materiales deben ser
transportados, este se debe realizar con sumo cuidado y si contamos con los recursos por
medio de un maletín forense, en ese sentido evitando que la información sea alterada o
que se vea expuesta a temperaturas extremas y campos electromagnéticos.
Adquisición: Esta es la fase donde está el grueso del análisis, porque es aquí donde se
explicará con el mayor detalle los hallazgos que se convertirán en evidencias. Es
importante que se tenga presente que una evidencia puede ser definida como cualquier
prueba que pueda ser utilizada en un proceso legal.
Características de las evidencias, desde un punto de vista legal:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
● Admisible: Debe tener valor legal.
● Auténtica: Debe ser verídica y no haber sufrido manipulación alguna. Para ello,
deben haberse sacado los correspondientes hashes con el fin de asegurar la
integridad.
● Completa: Debe representar la prueba desde un punto de vista objetivo y técnico,
sin valoraciones personales, ni prejuicios.
● Creíble: Debe ser comprensible.
● Confiable: Las técnicas utilizadas para la obtención de la evidencia no deben
generar ninguna duda sobre su veracidad y autenticidad. Las evidencias pueden
ser físicas o digitales.
Análisis: Cuando nos encontramos analizando la información obtenida producto de las
fases anteriores, se debe tener siempre en mente cuál es el caso o incidente al que
pretendo dar respuesta. Para el caso que nos compete sobre el análisis de la información
de una memoria volátil es importante que a la hora de realizar un análisis forense
tengamos claro el caso que queremos evaluar y la metodología de análisis a desarrollar, la
recomendación se hace porque en esta etapa encontraremos que hay evidencias de
conexión, procesos en ejecución, etc. La pérdida de este tipo de información puede
suponer que el análisis forense no se complete satisfactoriamente o dificultar en gran
medida el proceso.
Dependiendo del caso puede resultar muy útil analizar en profundidad diferentes
aspectos como hora y fecha del sistema, este es muy relevante porque te da puntos de
partida y son material probatorio al momento de un hallazgo. Además que de contar con
una línea temporal te permitirá desarrollar de una manera ordenada y clara este proceso.
Realizar un volcado de la información que se encuentra en la memoria del equipo sujeto a
análisis. Una buena práctica después de haber realizado el anterior proceso es sacar el
hash a los archivos y la evidencia obtenida, esto con el fin de que la información sea
confiable y dar elementos suficientes al momento de demostrar ante unas autoridades
que la información es la correcta y que no ha sufrido ningún tipo de cambio
posteriormente. Es mucha la información que podemos revisar producto del volcado de la
información, aquí listamos algunas que pueden ser útiles:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
●
●
●
●
Usuarios que han iniciado sesión y listado de cuentas de usuario
Servicios y procesos en ejecución
Información de red, (estado de conexiones activas, puertos)
La caché del sistema de nombres del dominio en donde se puede visualizar dicha
asociación con respecto a los dominios a los que se ha accedido desde el equipo.
● Tráfico de red
● Dispositivos USB conectados
● Listado de redes WIFI a las que se ha conectado un equipo
Es fundamental que todo el proceso sea realizado desde un punto de vista objetivo, no se
puede descartar elementos que pueden aparentar ser obvios, siempre visualizar el caso
de estudio.
Documentación: Este es un proceso fundamental en el proceso del análisis forense es el
de la documentación por lo que se debe realizar dicha fase de una manera muy metódica
y detallada. Se pueden realizar algunas acciones como la de fotografiar las pruebas,
cadena de custodia, documentar todos los pasos realizados durante el proceso, realización
de una bitácora con fechas y horas de cada acción realizada sobre las evidencias, formatos
con la identificación de la evidencia capturada. Es claro que la información debe ser
entendible para todos los públicos interesados, por tal razón se recomienda realizar dos
tipos de informes, uno considerado ejecutivo y otro técnico
Presentación: La presentación de la información debe ser comprensible, es por eso que
algunos expertos en la materia recomiendan que se prepare una presentación
pedagógica, explicar de manera clara el proceso, detallar los puntos de tal forma que sea
fácilmente comprensible por el auditorio, no se recomienda hacer afirmaciones que no
estén sustentadas ni hacer juicios de valor.
CARACTERÍSTICAS EN EL ANÁLISIS
En el proceso de análisis es importante identificar los siguientes principios:
Verificable: Está busca que sea comprobable la veracidad de las conclusiones extraídas a
partir de la realización del análisis.
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Reproducible: Tener siempre disponible en todo momento las pruebas realizadas durante
el proceso.
Documentado: todo el proceso debe estar correctamente documentado y debe realizarse
de manera comprensible y detallada, de acuerdo a las pautas aprendidas en la cadena de
custodia..
Independiente: Uno de los objetivos es que las conclusiones deben ser las mismas, sin
importar la persona que esté realizando el proceso y de la metodología que utilizó.
CADENA DE CUSTODIA
Cuando hablamos de realizar un análisis forense, no podemos dejar de tener claridad
sobre la cadena de custodia.
La cadena de custodia debe estar claramente documentada, algunas preguntas que
permitirán detallar este proceso son:
●
●
●
●
Dónde, cuándo y quién descubrió y recolectó la evidencia.
Dónde, cuándo y quién manejó la evidencia.
Quién ha custodiado la evidencia, cuánto tiempo y cómo la ha almacenado.
Si la evidencia cambió de custodio se debe indicar cuándo y cómo se realizó el
intercambio.
(tomado de la metodología RFC 3227 - Directrices para la recopilación de evidencias y su
almacenamiento )
LA METODOLOGÍA
Como bien sabemos, existen diferentes tipos de metodologías para la atención de este
tipo de situaciones, todas por lo general tienen algo en común, como por ejemplo sus
fases. En la presente guía se han aplicado algunos conceptos de la metodología para la
recopilación de evidencias y su almacenamiento RFC 3227. Esta metodología ha permitido
clarificar y evidenciar los aspectos que se deben tener en cuenta al momento de atender
un incidente. Cabe resaltar de la metodología sus recomendaciones sobre las acciones que
se deben evitar, aquí listamos algunas:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
● No apagar el ordenador hasta que se haya recopilado toda la información.
● No confiar en la información proporcionada por los programas del sistema ya que
pueden haberse visto comprometidos. Se debe recopilar la información mediante
programas desde un medio protegido como se explicará más adelante.
● No ejecutar programas que modifiquen la fecha y hora de acceso de todos los
ficheros del sistema.
Se debe recordar que los forense que atenderán este tipo de incidentes deberán evitar
realizar algunas de esas acciones con el fin de no invalidar el proceso de recolección y
análisis de la información, ya que debe preservarse su integridad con el fin de que los
resultados obtenidos puedan ser utilizados como material probatorio en una instancia
judicial.
CASO DE EJEMPLO
Usuario Pepito Pérez se comunica al centro de inteligencia y forense, solicitando ayuda
para revisar su computadora debido a que lo encontró encendido y con un usuario nuevo
llamado “Admin2” para el acceso al sistema operativo. Luego de la llamada del usuario, se
le indica que el computador no sea manipulado por ninguna otra persona, y que se
mantenga encendido mientras llega el equipo forense.
IDENTIFICACIÓN DE EVIDENCIA
Se realiza un registro fotográfico de los equipos involucrados en el incidente informático.
En este caso, se trata de una computadora de escritorio con los siguientes componentes
externos:
●
●
●
●
●
Torre
Monitor
Teclado
Mouse
Impresora
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
1. PRESERVACIÓN DE EVIDENCIA
Se procede a realizar una imagen de la memoria RAM en un dispositivo de
almacenamiento externo USB, usando la herramienta FTK Imager versión 3.4.0
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Para evitar alterar los datos contenidos en los componentes de almacenamiento de la
computadora involucrada, se usa un dispositivo para bloqueo de escritura
A la imagen de la memoria se le obtienen los hash en codigo MD5, SHA1, CRC32, SHA-256,
SHA-512 usando la herramienta “hashmyfiles”, y se procede a extraer y conservar el
dispositivo USB que contiene la imagen con la evidencia Digital.
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
==================================================
Filename
: memdump.mem
MD5
: 1a59f58dbc3b23e9ab751ae4da97c2f9
SHA1
: d90688dcacb06191878d64346cbdea9e1a07a7f7
CRC32
: a50aab08
SHA-256
:
ed159657f0cc8f745265a92f016b9bc874e54d5f38ecba6dc2139fe7a2b21ce9
SHA-512
:
9b7838f3863b60f4847fc2595ecb3c4ea66e0c5db48e9efe8ef8dc365a29207cf693eaab7b0e
dc481ac02ba5db16fb763bce721e633e9864cda0fcd8feff3065
Full Path
: H:\Evidencia RAM\memdump.mem
Modified Time : 01/12/2015 22:47:21
Created Time : 01/12/2015 22:44:53
File Size
: 771.686.400
File Version :
Product Version :
Identical
:
Extension
: mem
File Attributes : A
==================================================
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Luego de recolectar la evidencia, se procede a diligenciar el formato de recolección de
información:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
2. ANÁLISIS DE EVIDENCIA
Para el análisis de la evidencia se emplea el Framework Volatility 2.4, contenido en Kali
Linux.
Se inicia el O.S Kali Linux en modo usuario root y se ejecuta por medio de consola el
siguiente comando: volatility imageinfo (Ruta de la Imagen), este comando nos permite
conocer la información acerca de la imagen a analizar como fecha de creación, tio de
sistema operativo, etc., como se puede observar en la siguiente imagen:
Al ejecutar el comando tenemos:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Ahora procedemos a analizar el perfil y los procesos de la sesión, para ello ejecutamos el
comando:
volatility
--profile=WinXPSP3x86
sessions
-f
/root/Desktop/Evidencia\
RAM/memdump.mem
Al ejecutar el sistema nos muestra los procesos que hubo en la sesión como se observa en
la siguiente imagen:
En la imagen anterior se podrá observar que se ejecutaron procesos de:
- Inicio de red inalámbrica (AirNCFG.exe) (este servicio se trató de ejecutar debido a
que el equipo no tenía conexión alámbrica para internet).
- Adaptador USB para conexiones inalámbrica (WZCSLDR2): este servicio se inicia
siempre y cuando se conecte un adaptador USB el cual permite conexión
inalámbrica para redes WIFI.
- Conexión de Impresora (lxdnmsdmon.exe): este proceso se inicia cuando en el
sistema se tiene instalada una impresora como la que se encontró en el lugar de
los hechos.
Luego se analiza las líneas ejecutadas por comando MS-DOS, para ello se ejecuta el
comando:
volatility cmdline -f /root/Desktop/Evidencia\ RAM/memdump.mem
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Esto nos permite conocer las líneas de comando utilizados por medio de consola, como se
puede ver en la siguiente imagen:
En la imagen anterior podemos observar que se ejecutó el proceso CSRSS.EXE nombre con
el cual algunos malware se camuflan mediante dicho nombre como por ejemplo el gusano
W32.Netsky.AB.
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
En lo anterior se evidencia que se modificó la última fecha de actualización para el
registro binario UEME_CTLCUACount:ctor.
Ahora se procede a analizar los procesos o hilos que interactuaron con el portapapeles:
Para ello se utiliza el comando wndscan:
Como se puede observar en la imagen anterior existen CERO sesiones y no hay
interacciones desde el portapapeles (false).
Luego se procede a verificar en el perfil de la imagen si se inició alguna consola desde el
usuario activo, para ello se utiliza el comando consoles:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
En la imagen anterior podemos observar que hubo interacción desde consola, debido a
que está activo el proceso cmd.exe que es el que ejecuta el modo consola en Windows y
de igual manera después de 50 líneas de comando realizan salida del modo MS-DOS.
Luego se procede si habia algun trabajo activo de algun link, se utiliza el comando joblinks:
Debido a que el equipo en el momento de la recoleccion de la evidencia no tenia conexión
a internet, el analisis nos muestra que no se tenia ninguna conexión activa por medio de
links:
Luego se procede analizar el puerto 608 del proceso CSRSS.exe para conocer si hubo algún
cambio en las cuentas de usuario:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Finalmente se procede a validar que usuarios están creados y su respectivo orden, para
ello se analiza con el comando hivelist que nos permite ver las secciones del registro y
ruta completa en la memoria.
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
Luego procedemos a analizar la ruta hexadecimal (física) del archivo SAM el cual guarda
los registro de usuario y su respectiva contraseña; para ello utilizamos el comando
hashdump:
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
INFORMATICA FORENSE
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2015
CONCLUSIONES
Qué hizo el atacante una vez dentro del sistema.
El atacante encontró el equipo encendido y con la sesión abierta. Posteriormente crea una
nueva cuenta en el sistema operativo usando la consola MS-DOS.
La cuenta creada tiene privilegios de Administrador, y la usó para instalar el troyano
“csrss” en el sistema para mantener una "puerta trasera" que permite controlar el quipo
desde internet a través de un proxy.
Recomendaciones al propietario del equipo afectado.
Con base a los hechos se recomienda al administrador realizar lo siguiente
-
Dar formato a su disco duro y actualizar a un sistema operativo moderno y
mantener activas las actualizaciones automáticas.
BIBLIOGRAFÍA
http://tools.kali.org/forensics/volatility
https://code.google.com/p/volatility/
Especialización en Seguridad Informática
Wilmar Fabian Artunduaga Vivas
Juan Pablo Martínez Pulido
Rubén Darío Varón
Universidad Autónoma de Occidente
Cali, Valle del Cauca.
Informática Forense
Taller 1
Documentos relacionados
Contrario a cierta noción común, la palabra “forense” no guarda
Contrario a cierta noción común, la palabra “forense” no guarda
EL MEDICO FORNSE COMO PERITO DELA ADMINISTRACIÓN DE
EL MEDICO FORNSE COMO PERITO DELA ADMINISTRACIÓN DE
SERVICIOS POR ATENCIÓN DIRECTA El CAPRODEM presta los
SERVICIOS POR ATENCIÓN DIRECTA El CAPRODEM presta los
Protocolo para el informe pericial sobre estimación de edad en
Protocolo para el informe pericial sobre estimación de edad en
carta razones
carta razones
Roles como contador forense II - Areas de ejercicio para el
Roles como contador forense II - Areas de ejercicio para el
declaración jurada hijos mayores (21 años)
declaración jurada hijos mayores (21 años)
Trabajo 3
Trabajo 3
PENDIENTE DE JUICIO
PENDIENTE DE JUICIO
Clínica Forense del Instituto de Medicina Legal
Clínica Forense del Instituto de Medicina Legal
Descargar
Anuncio
Anuncio