Sesión 3: EnCase + Passware una poderosa unión

Passware es una herramienta de ruptura de contraseñas cuando es utilizados con EnCase las capacidades de esta herramienta aumentan y te permite realizar análisis de memoria y recuperación de contraseñas de internet y de la red, EnCase tiene la capacidad de detectar los archivos protegidos, esta unión existe en base a la regla que dice a mayor complejidad mayor tiempo ahora comenzamos y práctico con los módulos de análisis de descripción utilizando EnCasev7 lo primero es procesar la evidencia para encontrar que archivos están protegidos y de que complejidad:

Ahora exportaremos estos archivos a Passware de el menú de herramientas se selecciona Passware export y se se selecciona la carpeta de destino de los archivos se selecciona exportar y listo 

Passware cuenta con utilidades integradas de Windows OSX y office así como también truecrypt y RAR , Passware funciona tratando de remover las configuraciones contraseña con ataques de diccionario ataques de keyspace ,rainbow tables, análisis de memoria y ataques  de fuerza bruta.

Siguiendo con nuestro ejercicio práctico hacemos una jerarquía dando doble click en la columna de complejidad de protección damos click derecho a algún archivo le decimos abrir con Passware esa acción lleva nuestro archivó a Passware y listo comienza el proceso de obtención de contraseña 

Esta misma acción se utiliza para los distintos tipos de recuperación de contraseña que Passware maneja, se nos muestra que con un i7 tenemos 4 cortes y uno de esos estará ocupado en funciones de OS mientras con GPU tenemos 2688 corre i7 1.2 billones transistores mientras que con GPU GTX Titán son 7 billones de transistores. Así qué ya saben si necesitan velocidad para romper o recuperar contraseñas GPU es la opción. 

Ahora hablemos del análisis de memoria como pagefile.sys o hiberfile.sys 

Veamoslo en un caso práctico abrimos Passware y seleccionamos análisis y descripción de memoria, seleccionamos usuario de Windows y buscamos el archivo deseado en este caso un hiberfile.sys encontró una contraseña aquí cabe mencionar que nosotros tenemos que tener la capacidad de extraer de manera eficaz de extraer estos archivos de momería ya que Passware es una herramienta de análisis y no de extracción de la evidencia.

Sora estamos utilizando el hiberfile.sys para obtener contraseñas de la red 

Y aquí tenemos las contraseñas de la red que han sido almacenadas en memoria el análisis en memoria tiene muchas ventajas así que en sus casos si tienen la oportunidad de analizar estos archivos de memoria, no lo con Passware sino con sus herramientas le recomiendo que lo hagan.