OsForensics, una potente herramienta de informática forense para Windows

La suite OsForensics es una pieza clave en investigaciones forenses digitales ( digital forensics en inglés), un todo en uno que permite localizar pistas, mirar en el interior de archivos y sus cabeceras y, finalmente, organizar y registrar todos los datos hallados para un tratamiento posterior y su presentación.

 

Podemos definir la informática forense como el “proceso de recolección, preservación, análisis e información de pruebas legalmente admisibles ante un tribunal o ante un tercero que las solicite.”

La herramienta que vamos a ver a continuación permite investigar cualquier clase de información contenida en un soporte informático, tanto visible como oculta, para adquirir la evidencia necesaria a presentar en un caso ante un jurado,o simplemente para conocer aspectos ocultos de tu ordenador, como contraseñas, información oculta en archivos, entre muchos otros.

Análisis de la suite OsForensics

Hablamos de un conjunto de herramientas forenses muy completo. Esta suite nos permite completar todos los puntos de un caso forense desde la A a la Z.

Es decir, desde la creación de un caso y un índice de información hasta la obtención de todo tipo de evidencias a incorporar al mismo y la generación de un informe final en HTML, que presentará los hallazgos.

 

Funcionamiento

OsForensics trabaja la información en 3 fases.

1. Descubrimiento

La herramienta realiza búsquedas de gran rapidez en toda la superficie del disco o dispositivo elegido, creando además un índice de información. Es capaz de extraer contraseñas, descifrar archivos y recuperar elementos borrados de diferentes sistemas de archivos: Windows, Mac y Linux.

2. Identificación

Las evidencias y actividades halladas son comparadas mediante su valor hash contra una base de datos. Además, se analizan todos los archivos y permite crear una linea de tiempo (timeline) de toda la actividad del usuario, para presentarla en orden cronológico.

3. Administración

Finalmente, la suite nos permite organizar todas nuestras evidencias en un guión ordenado, incorporando los datos del examinador forense, presentando los hechos acontecidos y adjuntando datos de otras herramientas forenses si es necesario.

Módulos incluidos en esta suite forense digital

Al abrir el programa en seguida veremos que nos ofrece una cantidad ingente de herramientas para obtener información, abarcando desde contraseñas de sistema/navegadores hasta recuperación de emails, información oculta o adquisición de memoria RAM, entre otros.

A continuación mostraremos algunos de los módulos, pero lo cierto es que hay muchos más.

A continuación veremos algunos de ejemplos de módulos que podemos explotar con buenos resultados.

Auto-adquisición de pruebas.

La opción Auto Triage de OsForensics v6 nos permite acelerar bastante el proceso de captura de evidencias (es algo así como un modo semi-automático) por lo que podemos definir datos básicos del caso y proceder directamente al volcado de información.

Bastará con definir las áreas a buscar y las rutas de análisis / presentación de evidencias. Tras pulsar Start Scan la herramienta lo hará todo automáticamente.

Esta opción recopila importante información contextual (información de sistema) e incluso nos presenta los datos en un informe final.

Actividades recientes

Hablamos de una potente característica que nos permite obtener de un “plumazo” toda la información de tareas, eventos, descargas y otras actividades recientes acaecidas en el sistema.

Esta función es ideal para crear un contexto más amplio y establecer relaciones entre pruebas de diferente tipo.

“Aparecerán toda suerte de archivos abiertos recientemente, jumplists, comandos ejecutados, programas instalados, favoritos de navegadores, descargas de archivos, cookies, unidades de disco montadas, búsquedas de Windows Search, archivos prefetch y un largo etcétera.”

Información del sistema

Si hay algo que nos debe preocupar antes de entrar en la fase de recopilación de evidencias, es la tarea de identificación inequívoca del sistema afectado.

Para ello, OSForensics nos permite mediante diferentes listas obtener datos muy concretos sobre el equipo, por ejemplo mediante la lista información básica de sistema:

  • Nombre del equipo
  • Sistema operativo
  • Información de CPU, memoria, gráficos, USB, puertos o impresoras conectadas
  • Información de red (adaptadores, asignaciones de IP, resolución de nombres)
  • Información sobre unidades ópticas y físicas de almacenamiento
  • Información sobre volúmenes / particiones de disco

Inspección de disco en bruto

El módulo Raw Disk Viewer permite acceso sin restricciones a todos los sectores del disco, posibilitando un análisis en profundidad de todos sus datos.

“Este módulo es capaz de leer más allá de directorios o sistemas de archivos, ya que accede al nivel más bajo posible.”

Gracias a esta funcionalidad podemos analizar información sospechosa que pudiera estar oculta en sectores sin asignar del disco (raw) que no son normalmente accesibles con mecanismos habituales del sistema operativo: clústeres marcados como libres o slack space restante en archivos.

Tras seleccionar la partición/disco o la imagen de disco que queremos analizar, podremos realizar técnicas de Data Carving como búsqueda de cadenas de texto/hexadecimal, marcado de offsets de disco y decodificación de estructuras de disco invisibles.

Análisis forense de memoria

Este módulo diseñado específicamente para analizar memoria volátil del sistema nos ofrece la opción de capturar en modo Live (usada por el sistema encendido o “vivo”) así como analizar un volcado de memoria previamente capturado.

OsForensics v6 por supuesto nos permite realizar un volcado de memoria, así como trabajar con volcados ya creados mediante otras herramientas como Volatility o mecanismos como dd.

Recuperación de contraseñas

Podemos obtener contraseñas de diversas fuentes como navegadores, sistemas operativos (Windows login) e intentar atacar los hashes de estas mediante Rainbow tables. También permite el descifrado de documentos de ofimática.

“La obtención de las mismas se puede hacer desde el sistema en vivo así como desde el análisis estático de archivos en las diferentes unidades de disco”.

Contraseñas recuperables

  • Outlook, Windows Live mail
  • Contraseñas de WiFi
  • Contraseñas de autologon para Windows
  • Claves de producto para Windows 7, 8 y 10
  • Claves de producto para Microsoft Office y Visual Studio
  • Puertos (paralelo y serie)
  • Adaptadores de red
  • Unidades de disco físicas y ópticas
  • Claves de cifrado de Bitlocker

Conclusión

El programa permite obtener toda clase de información, gestionar casos desde cero, garantizar la integridad / custodia de la información y es relativamente fácil de usar.

No estamos ante un programa del que un usuario común pueda obtener todo su potencial. Su precio está justificado por lo que ofrece, aunque la versión pagada del programa está destinada a investigadores y administradores de sistemas / especialistas en ciberseguridad de medianas y grandes empresas.

Fuente: https://protegermipc.net

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *