2. ANALISIS FORENSE 1
ANDRÉS GONZÁLEZ SUÁREZ
1.- INSTALACIÓN DE SLEUTHKIT Y AUTOPSY.
Comenzamos con la instalación de Sleuthkit, que son un conjunto de lineas de comandos basadas en The Coroner's Toolkit.
Esta herramienta está en los repositorios.
Usamos el comando: apt-get install sleuthkit.
A continuación, hacemos la instalación de Autopsy. Este es una interfaz que nos permite utilizar Sleuthkit mediante un navegador web.
También usamos lo repositorios para instalarlo: apt-get install autopsy.
Para poder utilizar autopsy, siempre tenemos que ejecutarlo en una terminal antes de
poder abrirlo a través del navegador.
4. Página 2
Hemos descargado una serie de imágenes para analizar.
Descomprimimos estas mediante el comando tar -xvf dentro del directorio
/usr/local/imagenes (el directorio imágenes tenemos que crearlo anteriormente).
Nos aparecen unos ficheros .gz. Descomprimimos estos mediante el siguiente
comando:
5. Página 3
2.- CREACIÓN DE UN NUEVO CASO.
Accedemos a Autopsy por la interfaz y le damos a crear nuevo caso. Nos saldrá las
siguientes pantallas.
6. Página 4
3.- CREACIÓN DE NUEVOS HOSTS.
Para que los host que nosotros vamos a crear coincidan con la realidad, investigamos
un poco entre los distintos ficheros que hemos descargado.
Es muy importante tener claro el sistema de ficheros utilizado en cada partición.
Para ello utilizamos el comando file.
Montamos la partición para tener posibilidad de “curiosear” un poco.
7. Página 5
Míramos que sistema operativo es.
Y cual fue la configuración que tenía en la tarjeta de red.
8. Página 6
Volvemos a Autopsy y creamos el nuevo host siguiendo lo siguientes pasos.
9. Página 7
4.- INCLUIR LAS IMÁGENES DEL SISTEMA DE FICHEROS.
Ahora, vamos a incluir las imágenes del sistema de ficheros que vamos a utilizar (el
comprometido).
Seguimos los siguientes pasos.
10. Página 8
En “location”, ponemos el directorio donde se encuentran las imágenes, siempre especificando el nombre correcto de cada imagen.
En los detalles de la imagen, tener cuidado, y siempre poner correctamente el punto
de montaje.
11. Página 9
Nos dará un resumen y nos dirá que está correctamente creado. Hacemos lo mismo
con el resto de los ficheros.
5.- ANÁLISIS DE UNA INTRUSIÓN.
Lo primero que hemos hecho es hacer que entre una intrusión, accediendo a una web
“contaminada”.
http://honeynet.hackers.nl/challenge/
A continuación, hemos entrado en Autopsy y nos hemos ido al directorio
“/var/log/secure”. Ahí, hemos visto que se ha hecho una conexión del tipo Telnet.
12. Página 10
Ahora, nos desplazamos a “/home/drosen/.bash_history” (es un fichero oculto) y
podemos ver que se a descomprimido e instalado un programa desconocido.
6.- CREACIÓN DE LÍNEAS DE TIEMPO.
Vamos a crear una línea de tiempo, para tener una lista de sucesos relacionados con la
actividad que hemos visto anteriormente.
Le damos a la opción de “TimeLine” y, posteriormente, a “Create Data File”.
14. Página 12
Rellenando correctamente estas pantallas, nos dará el siguiente resultado.
Si accedemos a la línea de tiempo creada, vemos los eventos que han ocurrido en un
determinado momento.
15. Página 13
Si montamos la parte de sistema de ficheros que hemos observado, y hacemos un
string para observar el contenido que tiene este fichero binario.