index.dat - es un archivo que muchas veces se olvida revisar, IE almacena acceso local de los archivos . También es importante recordar analizar la memoria ya que la mayoría de los artefactos de internet se guardan en memoria antes de ir al index.dat y muchos artefactos nunca llegan al disco y se quedan en memoria, si no realizamos una imagen de la memoria es posible que estamos perdiendo información importante. Hay herramientas como EnCase portable o FTK imager que realizan esa recolección de memoria, pero y si no tenemos ninguna de estas herramientas? Podemos utilizar windump que es una excelente herramienta y puede realizar un dump de la memoria RAM, una vez que hemos hecho la imagen de RAM en donde la almacenamos? La almacenaríamos en un disco duro debido a que en una memoria flash el sistema de archivos FAT32 nos impediría escribir cualquier archivo mayor a cuatro 4GB. Otra razón es la velocidad un USB. Es muy rápido para leer pero muy lento para escribir.
Ahora tenemos que entender que cada investigación tiene 7 pasos
Preparación - aprender skills técnicos y practicar con las herramientas que tenemos para conocer sus limitaciones, de ahí la regla de todo examinador tenga más de una opción en cuanto a las herramientas.
Recolección
Documentación
Hacer la imagen
Analizar
Reportar
Al momento de recuperar nuestra memoria es importante revisar sí tenemos volúmenes cifrados, en caso de encontrar con un volumen cifrado es importante hacer j a imagen lógica, claro que física es mejor , pero si tenemos una imagen física eso nos dejaría fuera de la información, en cambio con una imagen lógica pasaríamos a través del driver de cifrado y veríamos la información.
Las acciones cuando realizamos un análisis forense debemos entender el orden de volatibilidad, por lo tanto en nuestras investigaciones lo primera que haríamos sería recuperarla RAM. IEF nos permite adquirir la memoria. Así cómo también nos permite realizar imágenes de discos , recuerde que cuando realizamos una imagen en vivo el hash de nuestra imagen nunca va a coincidir con el original esto solo aplica para imágenes en vivo, en este caso el proceso de hashing unicamente sirve para asegurar la integridad de nuestra imagen.
IEF nos permite buscar por los artefactos de internet dando soporte a todos los navegadores, cloud storage, programas de chat, correo basé web entre otros. Y buscar en áreas como pagefile.sys, $LogFile, $MFT y el espacio no participando del disco, aquí quiero mencionar que hay una diferencia muy marcada entre espacio no asignado y espacio no particionado, este último no cuenta con un sistema de archivos sin embargo eso no significa que ahí no existió antes una partición con información y esa es información que el usuario no puede ni siquiera tocar debido a que la falta de sistema de archivos. Aún sin ejecutar la la herramienta de IEF parece una herramientas sumamente fuerte y eficaz capaz de hacer un parsing de 255 artefactos de internet incluidos skype, Facebook, Twitter, dropbox, xbox, gmail, hotmail entre muchos otros.
En magnetforensics.com/ceic2013/appcentral pueden encontrar enscripts compatibles con EnCase
En magnetforensics.com/ceic2013
ResponderEliminaro en EnCase AppCentral
https://store.encase.com/appcentral/Pages/default.aspx