Computacion Forense
Enunciado:
Una empresa se encuentra sumamente preocupada porque el servidor CRM empezó a registrar
comportamientos anormales. Para verificarla ocurrencia de un presunto delito informático, los
contrataron a ustedes señores analistas forenses y les entregaron la imagen que se encuentra en
el directorioroot@forensicstation:/forensics/imagenes/CRM.
Su misión es determinar si efectivamente ocurrió una intrusión y detallar exactamente qué fue lo
que paso.
Entorno del Análisis
Para realizar el análisis se ha utilizado una MáquinaVirtual con Ubuntu versión 14.04.1 LTS se saca
con el comando “cat /etc/issue”. La imagen esta en el directorio
root@forensicstation:/forensics/imagenes/CRM.
Para comenzar descomprimimos la imagenque en esta ruta esta así:
#gunzip windows2003.img.gz
Sacamos el Hash MD5 para garantizar la integridad de la imagen
#md5sum windows2003.img
Creamos un directorio “discopruebas” y procedemos amontar las imágenes con el comando
mount:
Esto con el fin de realizar una revisión de los archivos que contiene la imagen para corroborar la
estructura de directorios corresponde al servidor delCRM.
#mount –ro,loop windows2003.img /discopruebas
Al montar la imagen se tiene un vistazo del contenido de la imagen así:
# cd discopruebas
#ls -al
Se puede corroborar que la estructura dedirectorios corresponde a un Sistema Operativo
Windows.
Gráficamente esta es la información de la imagen que se monto en la carpeta discopruebas
El archivo boot.ini contiene la información dearranque del Sistema Operativo:
La carpeta Documents and Settings tiene estos perfiles creados:
Se saca el strings de la evidencia, para hacer búsquedas más precisas sobre esta.
# strings –a –t dwindows2003.img > evidencia.str
Comenzamos a conocer la asignación de archivos:
# fls –r –m C:/ windows 2003.img > w2003.fls ( recorremos asignación de archivos y busca en
todos los metadatos...
Regístrate para leer el documento completo.