Ya hemos hablado aquí de WinFE, una distribución live de Windows Vista orientada principalmente al campo del computer forensics. Vamos a sacarle partido en estas líneas y desarrollar la forma de utilizarla para la adquisición de evidencias, clonado del sistema objetivo de análisis o imaging, que queda como más mejor.
No estoy diciendo que sea mejor utilizar WinFE en lugar de los clásicos live-CD de Linux, ni es mi intención iniciar una de esas batallas que al final no conducen a nada; cada cual utilice aquello con lo que se sienta más comodo, pero al menos que conozca las alternativas.
Pero dado que no soy analista forense y por lo tanto no tengo la necesidad de este tipo de proceso, ¿como es que empezó todo esto?
domingo, 30 de mayo de 2010
Adquisición de evidencias
jueves, 13 de mayo de 2010
Resultados del Honeynet Forensic Challenge 2010/3
Hoy se han publicado los resultados y podemos descargar tanto una solución de ejemplo como los informes enviados por los finalistas:
Leer más...
lunes, 10 de mayo de 2010
Otro análisis más (y van 4) - Parte III
En la entrada anterior conseguimos extraer varios ficheros PDF desde el espacio de memoria del proceso AcroRd32. Uno de los documentos estaba cifrado y el otro contenía código javascript configurado para lanzarse de forma automática al abrir el fichero; y todo esto lo descubrimos gracias a Didier Stevens y su herramienta pdfid.
Para que resulte más fácil seguir el relato, al final del mismo he adjuntado un fichero zip con password 'infected' que contiene todos y cada uno de los ficheros analizados. Ya os aviso que dichos archivos son peligrosos así que vosotros vereis lo que haceis.
martes, 4 de mayo de 2010
Otro análisis más (y van 4) - Parte II
Continuando con el análisis de la imagen proporcionada como base para el Honeynet Forensic Challenge 2010/3, que iniciamos en la entrada anterior, comenzamos el segundo round.