Investigar o solucionar problemas de sistemas informáticos con OSForensics [Windows]

Anuncio

Ya sea que el FBI esté cavando en una computadora propiedad de un pirata informático, una compañía que realiza una auditoría interna de la computadora o un administrador de red que intenta averiguar por qué un virus se originó en una PC en particular: la conclusión es que un análisis forense completo de la PC requiere un software que pueda profundizar y hacer el trabajo Correcto.

Según mis propias experiencias, es raro que pueda encontrar software gratuito que haga un buen trabajo con esto. La mayoría de las agencias policiales de todo el mundo compran software costoso para su unidad de informática forense.

Sin embargo, hay son herramientas gratuitas de reparación y solución de problemas informáticos, como el aplicaciones de recuperación de datos 3 notables herramientas de recuperación de archivos Lee mas Guy cubrió y Net Tools 2008, una herramienta de administración que Karl cubrió. Una herramienta gratuita más que es tan poderosa y capaz como muchos paquetes de software forenses informáticos pagos se conoce como OSForensics.

Realizar un análisis forense

La mejor manera de analizar y solucionar problemas de un sistema informático de arriba a abajo es de manera lenta y metódica. Lo mejor de OSForensics es que es como un maletín virtual donde puedes almacenar todo el trabajo que estás haciendo. Si tiene varias computadoras en las que está trabajando, puede configurar este software en su PC de trabajo y luego asignar el disco duro de la PC remota para su análisis. El software le permitirá almacenar un "estuche" para cada computadora en la que esté trabajando.

Como puede ver en la imagen de arriba, todas las herramientas están alineadas en la barra de menú izquierda. Todo lo que tiene que hacer es avanzar por ellos si no está realmente seguro de por dónde empezar. Si tiene un objetivo más enfocado en mente, salte al área de la PC que desea investigar más de cerca. Una de las mejores herramientas para cualquier personal de soporte que busque identificar un virus o un archivo troyano es "conjuntos de hash.”

Esta área le permite analizar aplicaciones específicas que defina, no solo archivos. Cada aplicación tiene un conjunto de archivos que puede revisar cuando hace doble clic en la aplicación. El visor de conjunto de hash muestra que todos tienen cálculos para cada archivo.

La siguiente herramienta disponible es la capacidad de crear una "firma". Esto es útil a largo plazo estudio, cuando se sospecha que ciertas actividades se llevan a cabo en un lugar específico del computadora.

Puede crear una firma que tomará una instantánea de los archivos y directorios. Entonces puedes usar el "comparar firma"Herramienta para verificar si los cambios se realizaron unas semanas o un mes más adelante. El software también viene con una utilidad de búsqueda de archivos, donde puede filtrar los resultados por imágenes, documentos de oficina o archivos comprimidos.

Aún mejor, puede utilizar el único y muy útil "Búsqueda de archivos no coincidentes"Herramienta para examinar directorios sospechosos e identificar cualquier archivo que el propietario de la PC haya cambiado de nombre simplemente para ocultar la verdadera identidad del archivo. Por ejemplo, cambiar el nombre de un archivo de imagen con una extensión "txt" o un documento clasificado con una extensión ".jpg".

Volviendo al uso del enfoque hash para el análisis de archivos, el "Verificar / crear hash"Utilidad le permite comparar un valor hash conocido para un archivo (cuál es el valor tiene debería be), y el valor hash calculado para el archivo en esta computadora.

Otra área en la que este software realmente se destaca en el análisis forense es la capacidad de examinar miles de archivos muy rápidamente para identificar palabras clave de texto específicas. El primer paso para acelerar el proceso es crear un índice para cualquier directorio en la computadora. Cuando termine, informará la cantidad de palabras únicas que se encuentran en todos los archivos.

Cuando termine, solo use el "Índice de búsqueda"Para explorar archivos, imágenes y correos electrónicos para rastrear cualquier ocurrencia o contenido específico que esté buscando.

Otra herramienta forense informática que la mayoría de los usuarios de Windows reconocerán es la "Actividad reciente"Herramienta. Si bien se ve similar a la "Documentos recientes", Esta utilidad realmente profundiza un poco más, buscando registros MRU, registros USB, cookies, descargas y más. Es posible que el propietario ya haya intentado limpiar la PC, pero muchas personas no entienden todos los lugares donde se registra la actividad, por lo que esta herramienta puede encontrar cualquier rastro restante de esa actividad.

Otra característica muy interesante es el "Búsqueda de archivos eliminados"Herramienta que le permite examinar los registros para cualquier indicación de archivos cuestionables recientemente eliminados. Noté que esta característica en particular no es infalible. Intentará identificar elementos traza de cualquier archivo eliminado, pero no siempre es exitoso.

Finalmente, cuando esté realmente desesperado por encontrar alguna pizca de evidencia restante de un delito, es posible que deba tomar el "visor de memoria" para un paseo. Esta aplicación forense de la computadora muestra todas las direcciones de la memoria y la cantidad de información almacenada. Puede volcar el contenido de la memoria en un archivo CSV para buscar pistas o una pistola humeante.

Como puede ver, OSForensics es un software bastante poderoso para cualquiera que tenga desafortunada tarea de tener que investigar el sistema informático de alguien acusado de hacer algo mal. A veces, una investigación forense adecuada y exhaustiva de la computadora puede generar pruebas convincentes que pueden hacer o deshacer un caso.

¿Alguna vez has usado OSForensics? ¿Qué piensas? ¿Conoces otras aplicaciones similares que sean tan buenas o mejores? Comparte tus pensamientos en la sección de comentarios a continuación.

Credito de imagen: Peter Hostermann