Forence Informatica
Páginas: 25 (6023 palabras)
Publicado: 30 de mayo de 2012
Análisis Forense de Sistemas
Vte. Javier García Mayén
neofito(at)gmail(dot)com
Índice de contenido
1. Instalación de las herramientas......................................................................5 1.1. Instalación de Sleuthkit...........................................................................5 1.2. Instalación deAutopsy.............................................................................6 1.3. Iniciando y probando el programa...........................................................8 2. Abriendo nuestro primer caso......................................................................11 2.1. Primeros pasos con Sleuthkit y Autopsy Browser..................................11 3. Análisis de unaintrusión...............................................................................19 3.1. Análisis del log de snort.........................................................................20 3.2. Análisis de las imágenes del sistema.....................................................21 3.3. Análisis de las herramientas del intruso................................................25 3.4. Final yresumen......................................................................................26 3.5. Disclaimer..............................................................................................27 3.6. Enlaces de interés..................................................................................27 Apéndice: Kit de herramientas.........................................................................29
Análisis Forense de SistemasSeptiembre de 2006
1. Instalación de las herramientas
1.1. Instalación de Sleuthkit
En primer lugar instalaremos The Sleuth Kit, una serie de herramientas de linea de comandos basadas en el original The Coroner's Toolkit. Para ello descargaremos el código fuente de la ultima versión, que en el momento de escribir estas líneas es la 2.0.6 liberada el 19 de septiembre de 2006:http://heanet.dl.sourceforge.net/sourceforge/sleuthkit/sleuthkit-2.06.tar.gz A continuación nos desplazaremos al directorio elegido para la instalación y desempaquetaremos allí el contenido del tarball:
cd /usr/local tar xvzf ~/sleuthkit2.06.tar.gz Nos hacemos root y realizamos el proceso de instalación desplazándonos para ello al directorio recién obtenido. Antes crearemos un enlace simbólico de forma que siempreapunte al directorio con las fuentes del sleuthkit:
su cd /usr/local ln s sleuthkit2.06/ sleuthkit cd sleuthkit make
Es posible que el proceso de instalación muestre algún error, lo que será indicativo de que nuestro sistema no dispone de alguna de las dependencias necesarias. Por ejemplo en mi caso, una Debian GNU/Linux Etch (testing), las librerías que deberemos instalar serán lassiguientes: libssl-dev zlib1g-dev La compilación realizada en el paso anterior creará los directorios bin para almacenar los binarios y man para las páginas del manual de UNIX.
5
Análisis Forense de Sistemas
Septiembre de 2006
Si queremos que tanto las páginas del manual como los binarios estén disponibles desde cualquier ubicación en la que nos encontremos deberemos añadir losdirectorios anteriores a las variables de entorno PATH y MANPATH:
vi /etc/environment LANG="es_ES.UTF8" PATH=/usr/local/sleuthkit/bin:$PATH MANPATH=/usr/local/sleuthkit/man:$MANPATH
Y cargar las variables de entorno modificadas en la sesión actual mediante el siguiente comando:
source /etc/environment
1.2. Instalación de Autopsy
Pasaremos ahora a la instalación de Autopsy, un frontend quepermite utilizar sleuthkit mediante una navegador web. Para ello descargaremos el código fuente de la ultima versión, que en el momento de escribir estas líneas es la 2.0.8, liberada el 1 de Septiembre de 2006: http://ovh.dl.sourceforge.net/sourceforge/autopsy/autopsy-2.08.tar.gz Nos desplazaremos al directorio elegido para la compilación e instalación y desempaquetaremos allí el contenido del...
Vte. Javier García Mayén
neofito(at)gmail(dot)com
Índice de contenido
1. Instalación de las herramientas......................................................................5 1.1. Instalación de Sleuthkit...........................................................................5 1.2. Instalación deAutopsy.............................................................................6 1.3. Iniciando y probando el programa...........................................................8 2. Abriendo nuestro primer caso......................................................................11 2.1. Primeros pasos con Sleuthkit y Autopsy Browser..................................11 3. Análisis de unaintrusión...............................................................................19 3.1. Análisis del log de snort.........................................................................20 3.2. Análisis de las imágenes del sistema.....................................................21 3.3. Análisis de las herramientas del intruso................................................25 3.4. Final yresumen......................................................................................26 3.5. Disclaimer..............................................................................................27 3.6. Enlaces de interés..................................................................................27 Apéndice: Kit de herramientas.........................................................................29
Análisis Forense de SistemasSeptiembre de 2006
1. Instalación de las herramientas
1.1. Instalación de Sleuthkit
En primer lugar instalaremos The Sleuth Kit, una serie de herramientas de linea de comandos basadas en el original The Coroner's Toolkit. Para ello descargaremos el código fuente de la ultima versión, que en el momento de escribir estas líneas es la 2.0.6 liberada el 19 de septiembre de 2006:http://heanet.dl.sourceforge.net/sourceforge/sleuthkit/sleuthkit-2.06.tar.gz A continuación nos desplazaremos al directorio elegido para la instalación y desempaquetaremos allí el contenido del tarball:
cd /usr/local tar xvzf ~/sleuthkit2.06.tar.gz Nos hacemos root y realizamos el proceso de instalación desplazándonos para ello al directorio recién obtenido. Antes crearemos un enlace simbólico de forma que siempreapunte al directorio con las fuentes del sleuthkit:
su cd /usr/local ln s sleuthkit2.06/ sleuthkit cd sleuthkit make
Es posible que el proceso de instalación muestre algún error, lo que será indicativo de que nuestro sistema no dispone de alguna de las dependencias necesarias. Por ejemplo en mi caso, una Debian GNU/Linux Etch (testing), las librerías que deberemos instalar serán lassiguientes: libssl-dev zlib1g-dev La compilación realizada en el paso anterior creará los directorios bin para almacenar los binarios y man para las páginas del manual de UNIX.
5
Análisis Forense de Sistemas
Septiembre de 2006
Si queremos que tanto las páginas del manual como los binarios estén disponibles desde cualquier ubicación en la que nos encontremos deberemos añadir losdirectorios anteriores a las variables de entorno PATH y MANPATH:
vi /etc/environment LANG="es_ES.UTF8" PATH=/usr/local/sleuthkit/bin:$PATH MANPATH=/usr/local/sleuthkit/man:$MANPATH
Y cargar las variables de entorno modificadas en la sesión actual mediante el siguiente comando:
source /etc/environment
1.2. Instalación de Autopsy
Pasaremos ahora a la instalación de Autopsy, un frontend quepermite utilizar sleuthkit mediante una navegador web. Para ello descargaremos el código fuente de la ultima versión, que en el momento de escribir estas líneas es la 2.0.8, liberada el 1 de Septiembre de 2006: http://ovh.dl.sourceforge.net/sourceforge/autopsy/autopsy-2.08.tar.gz Nos desplazaremos al directorio elegido para la compilación e instalación y desempaquetaremos allí el contenido del...
Leer documento completo
Regístrate para leer el documento completo.