VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION FORENSE INFORMATICA 1 XIX Congreso Nacional de Estudiantes de Ingeniería de Sistemas - XIX CONEISC UNCP 2011 Virtualización de Evidencia en una Investigación Forense Informática 18 Agosto 2011 , Huancayo Perú Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE [email protected]http://www.presman.com.ar Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman
34
Embed
VIRTUALIZACION DE EVIDENCIA EN UNA ... - … CONE… · programas como si fuese una ... VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION FORENSE INFORMATICA 18 ... Presentacion Copitec
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
1
XIX Congreso Nacional de Estudiantes de Ingeniería
de Sistemas - XIX CONEISC UNCP 2011
Virtualización de Evidencia en una
Investigación Forense Informática18 Agosto 2011 , Huancayo Perú
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
LiveView : Virtualiza controladores para evitar BSOD ( GNU GPL)
FTK Imager
Mount Image PRO
VFC Virtual Forensic Computer Toolkit
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
24
VIRTUALIZACION DE HD CON FTK IMAGER
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
25
HERRAMIENTAS DE VIRTUALIZACION
VMWARE
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
26
HERRAMIENTAS DE VIRTUALIZACION
LIVE View
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
27
INVESTIGANDO MAQUINAS VIRTUALES
La difusión de VMs en entorno de producción y la utilización de las mismas para actividades informáticas que “no dejen rastro” es cada vez mas frecuente
METODOLOGIA :
Identificación del uso de VMs
Extracción del archivo de evidencia
Montaje virtual de la unidad o utilización de
Toolkit Forense con soporte de discos virtuales
Analisis de artefactos tradicionales
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
28
ESTRUCTURA DE MAQUINAS VIRTUALES
Virtual Box A
APLICACIONES VMVirtual Box
•VMware (Win/*nix –Fussion)
•Virtual PC / Virtual Server
•Virtual Box
•Parallels
•KVM
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
29
COMPONENTES DE UNA MAQUINA VIRTUAL
Veamos como ejemplo los componentes deuna maquina virtual VmWare
NombreMV.Vmx : Archivo de configuración
de la VM
NombreMV.Vmdk : Disco virtual de la VM
NombreMV.Vmdk : Logs de la VM
Vmware.log : Log de actividades
Nvram : BIOS emulado de la VM
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
30
COMPONENTES DE UNA MAQUINA VIRTUAL
NombreMV.Vswp : Archivo de intercambio de la VM
NombreMV.-s00x.Vmdk : Snapshots de la VM
NombreMV-***.Vmss : Contenido de RAM de VM suspendidas
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
31
PASOS PARA EL ANALISIS DE UNA MAQUINA VIRTUAL
1. Extracción
2. Acceso al disco virtual
The SleuthKit
Vmware Disk Utility
Encase -FTK-WinHex
3. Utilización del Toolkit , según objeto de la investigación