Creación de un caso y creación de un índice con #OSForensics en #Windows

Hola secuaces:

Ya he comentado en alguna ocasión que, personalmente, opino que cada SO y cada utilidad desarrollada para ese SO, tiene una función, unas ventajas y unos inconvenientes. En lo referente a Suites Forenses, cada una trabaja de una forma distinta, dependiendo también de en qué plataforma se use.

Hoy le toca el turno a Windows, con OSForensics. Hemos terminado con el ‘ABC’ de la adquisición de evidencias, (al menos para mí).

¿Y ahora? ¿Empezamos directamente con el análisis de dichas evidencias? Podríamos. Pero, bajo mi punto de vista, antes de introducirnos en un análisis de lleno, es necesario realizar un paso previo. Y este paso es la creación de un caso y la generación de los ‘Index’.

La creación del caso nos ayudará a organizar y agregar evidencias. A agrupar y organizar los resultados del análisis. A identificar, a añadir y eliminar reportes, ficheros, adjuntos, tanto internos como externos… Nos sirve para generar, posteriormente, un reporte donde se identifica cada elemento incluido en el caso.

Esto se traduce en organización, que lo considero algo clave a la hora de realizar un análisis forense.

Y la generación del índice, ¿Para qué sirve? Cuando creamos uno o varios índices, lo que estamos haciendo es extraer todas las cadenas de texto del interior de los ficheros que se encuentran en la evidencia a analizar. Esto nos servirá para realizar búsquedas más rápidas y más eficaces.

Si sabemos lo que buscamos, por ejemplo una palabra, y hemos indexado las cadenas de texto de las evidencias, con una simple búsqueda de texto podremos obtener todos los ficheros que tienen en su interior esa palabra. Y si no sabemos lo que buscamos también nos servirá, porque es cuestión de tiempo tener algo que buscar.

Vamos a verlo un poco en detalle.

Primeramente vamos a crear un caso y veremos qué nos ofrece esta suite.

Para ello, nos dirigimos a ‘Manage Case’ y clicamos en ‘New Case’

Se nos abrirá otra ventana

Donde deberemos ingresar, el nombre del caso, el nombre del investigador, la organización, los detalles de contacto, la zona horaria, (es vital tener en cuenta la zona horaria, el uso horario del sistema, porque un segundo de diferencia nos puede dar un resultado u otro), el tipo de adquisición, (que será, como norma general, proveniente de otra máquina), la localización del directorio y marcaremos la casilla de verificación de ‘Log case activity’, (veremos para qué sirve).

Una vez completados los datos, que se pueden editar, clicaremos en OK.

Ahora veremos que en el menú de ‘Manage Case’, tenemos un caso agregado, con el nombre, la fecha de creación, las rutas de directorio…

Después de esto, dentro de ese menú de ‘Manage Case’, debemos agregar la evidencia, (si no hay evidencia no hay ni análisis, ni caso).

Para ello, clicamos en ‘Add Device’

Se nos abrirá una nueva ventana, donde debemos elegir el tipo de evidencia que queremos agregar al caso. En este ejemplo tenemos un fichero de imagen, (Image File).

Si se trata de una imagen de disco duro, completa, nos avisará de que tenemos varias particiones y nos dará opción a elegir qué montar.

En este ejemplo montaremos la partición 1 y clicaremos en OK.

Volvemos a la ventana anterior, esta vez para asignarle un nombre y marcar la opción de ‘Make this the case default device’. Clicaremos de nuevo en OK.

Y volvemos a la ventana principal de ‘Manage Case’.

Con esto, ya tenemos generado el caso.

Procedamos a generar el índice. Para ello, nos dirigimos a ‘Create Index’.

Si seleccionamos todos los tipos de archivos predefinidos…

Elegimos en ‘Whole Drive’ el fichero de imagen del disco duro e ‘Index both files and unallocated clusters’…

Veremos todas las extensiones que son admitidas y de las que se podrían extraer cadenas de texto.

Pero si seguimos de esta forma, con todas las extensiones seleccionadas, y estamos trabajando con la versión gratuita de esta suite forense…

Nos avisará de que sólo puede escanear 10.000 ficheros.

No me preocupa. De acuerdo, es una limitación. Pero no me preocupa porque podemos generar varios índices, con varios tipos de archivos conocidos o varias extensiones. Para este ejemplo, voy a usar los ficheros de imagen.

Tras especificarle qué tipos de ficheros queremos indexar, podemos ver las extensiones de ficheros de imagen con las que va a trabajar.

Procedemos a generación del índice…

Y cuando termine, nos dirá datos como, por ejemplo, número de ficheros indexados, errores, alertas, palabras únicas extraídas, hora de comienzo y de final, …

Además de esos datos, nos crea un log que podemos consultar.

En este log, podemos ver los errores que se han creado.

Las alertas que se han creado.

Un sumario donde podemos ver en detalle cómo ha trabajo esta indexación, viendo, por ejemplo, el número de ficheros escaneados por tipo de extensión.

Además de eso, nos agregará este índice al caso, para poder acceder a él de forma fácil y rápida.

¿Recordáis que hemos marcado, en la creación del caso, la opción de ‘Case Activity Log’? Pues esta opción es muy interesante porque, de esta forma, podemos consultar en detalle qué se ha hecho con este caso. Cuándo se ha creado, cuándo se ha abierto, qué se ha generado, qué se ha adjuntado, …

Además, lo podemos ver de diferentes formas como, por ejemplo, en una vista detallada.

Y podemos elegir qué queremos ver y qué no. Puede parecer una tontería pero, cuando se trabaja en un análisis forense, según se va a avanzando en el mismo, se genera muchísima información que tiene que ser filtrada.

De acuerdo. Hemos creado un caso y hemos generado un índice de forma correcta, (bajo mi punto de vista).

¿Y ahora? Pues ahora vamos a proceder a buscar en ese índice para ver cómo funciona.

Nos dirigimos a ‘Search Index’.

Si clicamos en ‘Advanced’, se nos desplegará una ventana donde podremos especificar algunos datos, como un rango de fecha.

Si cliclamos en ‘more’ podemos hacer uso de más de un índice para una misma búsqueda.

Podemos decirle que nos ordene los resultados de diferentes formas.

También resulta muy interesante una opción que tiene, si clicamos en ‘Use Word List File’, para usar ficheros de texto con palabras que queramos buscar, a modo de diccionario. Por defecto trae algunos, pero podemos crear cuantos deseemos.

Para este ejemplo voy a usar el índice que he generado, con un tipo de ficheros de imagen, para buscar todos los ficheros que contengan una palabra.

Tras clicar en ‘Search’ hemos obtenido algunos resultados.

Si seleccionamos y abrimos alguno de ellos, (con la tecla enter para verlo con el visor interno de la suite)…

Podemos ver su contenido en formato hexadecimal

Tenemos la opción de extraer el texto del fichero, ‘Extract Strings’, y de realizar búsquedas dentro de ese campo.

Podemos seleccionar la búsqueda que hagamos que nos llevará a su valor en hexadecimal.

Podemos, por ejemplo, buscar por extensión.

Que nos devuelve unos resultados.

Si abrimos el fichero con el visor interno, (tecla enter), de imagen en este caso, se nos mostrará la imagen.

Nos podemos desplazar por las pestañas disponibles para ver, por ejemplo, la información del fichero.

O los metadatos disponibles.

Si nos dirigimos a la pestaña ‘History’, de ‘Search Index’, podremos ver las búsquedas que hemos realizado con anterioridad, con el número de resultados y la fecha, y podremos realizarlas de nuevo.

No me negareis que no resulta interesante esto que hemos visto, ¿no?

Además, tenemos una pestaña que es muy curiosa, cuanto menos, y que se llama ‘Timeline’. Pero de ello hablaremos en otra ocasión.

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_