Integrando #OSForensics con #WinPE - (#WinBuilder)

Publicada en Publicada en Análisis forense

Hola secuaces:

Tiempo hace que no hemos tocado OSForensics. ¿Habéis sido curiosos? Va siendo hora de volver con esta suite forense.

Antes de continuar, me gustaría dejar claro que soy de los que piensan que cada Sistema Operativo, que cada herramienta de Análisis Forense, tiene su función, con sus ventajas e incovenientes.

Dicho esto, comenzamos.

Ya comenté que OSForensics tiene una opción para ser integrada con WinPE, (Windows Portable Environment), usando para ello WinBuilder. Pues hoy voy a mostraros cómo.

En su día, la integré con WinFE, (Windows Forensic Environment), usando también WinBuilder, pero no quiero complicar mucho la cosa.

Lo primero que tenemos que hacer es instalar Windows AIK, (Windows Automated Installation Kit), o Windows ADK, (Windows Assessment and Deployment Kit). Así pues, lo descargamos y lo instalamos.

001

Hecho esto, ahora abrimos nuesta aplicación OSForensics y nos dirigimos a ‘Install to USB’. Por supuesto, se debe haber conectado antes algún medio de almacenamiento extraíble.

002

Nos aparecerá la siguiente ventana, donde debemos elegir ‘Make self booting USB drive (with WinPE)', el directorio donde se alojarán los ficheros para proceder después con WinPE y marcar la casilla correspondiente al tipo de instalación, (Licencia). Una vez que hemos hecho esto, clicamos en ‘Install’.

003

Cuando haya terminado de copiar los ficheros, debemos dirigirnos al ejecutable de ‘WinPEBuilder’, que se encuentra dentro del directorio que hemos elegido antes.

004

Se nos presentará la pantalla principal de WinPE Builder.

005

En esta primera pantalla se nos presenta la aplicación, en la pestaña ‘Getting Started’. ¿Qué es Windows PE?.

Clicamos en ‘Next’.

006

Ahora se nos presenta la pestaña ‘WinPE / Packages’, donde debemos elegir el tipo de arquitectura del Sistema Operativo, la versión de WinPE, la ruta de instalación de AIK o de ADK, (vereis que cada una de estas dos aplicaciones se corresponde a una versión o a otra, con un directorio de instalación distinto). Hay que dejar marcados los paquetes ‘WinPE-HTA’, ‘WinPE-Scripting’ y ‘WinPE-WMI’, (que suelen estar por defecto).

Clicamos en ‘Next’.

007

Ahora nos encontramos en la pestaña ‘Program / Files’. Aquí debemos elegir de la lista desplegable el elemento ‘PassMark OSForensics’ y seleccionar el directorio donde se encuentra instalada la aplicación, (suele ser en C:\Program Files\OSForensics).

Clicamos en ‘Next’.

008

Nos encontramos en la pestaña ‘Startup Script’, donde marcaremos la opción ‘startnet.cmd’, y no tocaremos nada más.

Clicamos en ‘Next’.

009

Por fin, la última pestaña, ‘Create’. En esta pestaña debemos elegir el directorio temporal sobre el que trabajará la aplicación. Aquí también debemos elegir si queremos hacer la instalación de OSForensic autoarrancable desde un USB o si queremos crear una imagen .iso.

010

Yo he elegido crearlo directamente en una memoria USB.

Marcamos la casilla de ‘Configuration is correct’ y clicamos en ‘Create’.

Ahora se nos levantará una consola de CMD

011

Donde veremos todo el proceso de creación. Si has elegido crear la imagen .iso de OSForensic, el fichero se te creará en el directorio de trabajo temporal.

Una vez que ha terminado, se nos presenta esta pantallita que dicta: ‘Complete!’

012

Ahora, tan solo tenemos que insertar el pendrive en el sistema para iniciarlo desde él, como si de otro Sistema Windows se tratara.

013

Y por último, una vez que cargue, se nos presentará directamente esta pantalla.

014

Que es la aplicación de OSForensics.

Venga. Vale. De acuerdo. No es un Sistema Operativo ‘chulo’, ni una distribución Linux dedicada. Puede que ni si quiera sea agradable a la vista. Pero os garantizo, (bajo mi humilde punto de vista), que con esto es muy, muy complicado cometer errores.

Lo veremos en la siguiente entrada al realizar la clonación bit a bit de un disco.

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_

Un comentario en “Integrando #OSForensics con #WinPE - (#WinBuilder)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *