Mòdul Professional 4: Anàlisi forense informàtic - Adquisició d'Evidències volàtils

Índex

1 Evidències volàtils (sistemes en funcionament)

Quan trobem l'equip en funcionament, primer de tot el fotografiarem (com sempre) i seguidament verificarem el si hi ha alguna sessió d'usuari iniciada (fent fotografía també). A partir d'aquí hem de valorar, com ja em esmentat prèviament, si per la tasca que tenim encomanada té prou valor recollir les dades volàtils contaminant una mica l'evidència o és millor mantenir intacte l'element de prova. En cas de dubte millor mantenir l'evidència intacte, tot i que en determinats casos on puguem sospitar que encara hi ha activitat delictiva (malware, connexions, etc) ens pot interessar recollir aquestes dades.

L'ordre de volatilitat, i per tant de recollida en cas que ens interessi, és aquest:

  1. Registres i contingut de la caché (física) i RAM.
  2. Taules d'enrutament, caché ARP, taules de processos, estadístiques del Kernel i memòria.
  3. Informació temporal del sistema.
  4. Dades de discos.
  5. Logs del sistema.
  6. Configuració física dels sistemes.
  7. Documents físics.

Tot es pot perdre, i és important recollir-ho i tenir-ho en compte, però el que es perdrà en apagar l'equip són els punts 1 i 2 (del 3 en endavant, amb un tall directe de la corrent es mantindran).

La informació volàtil que ens interessarà més és:

  • Contingut RAM.
  • Contingut SWAP.
  • Connexions de xarxa.
  • Ports oberts i aplicacions associades.
  • Usuaris actius al sistema.
  • Hora i data del sistema (i verificar si funciona per NTP).
  • Cerca de Malware i Rootkits en funcionament.

1.1 RAM

1.1.1 A GNU/Linux

Antigament còpia directe de /dev/mem i /dev/kmem però en versions actuals ja no es permet fer.

  • lime
  • fmem
  • avml

1.1.2 A MS Windows

  • dumpit.exe
  • Suite FTK
  • win64dd -d /f c:\memory.dmp
  • dd.exe if=\\. \physicalmemory of=e:\memorydump.dd bs=4096

1.2 Cache / swap

1.2.1 A GNU/Linux

Simplement utilitzant dd contra la partició de swap.

1.2.2 A MS Windows

  • arxius: swapfile.sys, pagefile.sys hiberfile.sys
  • Suite Volatility
  • Suite FTK

1.3 Informació de processos i serveis actius

Per obtenir un llistat de processos actius podem executar a Linux:

1.3.1 A GNU/Linux

  • ps -A > processos.txt
  • ls /proc > proc.txt
  • tree /proc > processos.txt
  • fd > fd.txt
  • pstree -a -l -p -u -Z -g -c> pstreealpuZ.txt

1.3.2 A Windows:

  • pslist.exe >> processos.txt
  • tasklist.exe >> processosactius.txt
  • cprocess.exe /stext processosusuari.txt
  • pslist.exe -t /accepteual > processosarbre.txt
  • listdlls.exe /accepteual > processosdll.txt
  • openports.exe -ath >> portsprocessos.txt
  • Handle.exe /accepteula >> arxiusprocessos.txt
  • PsService.exe >> serveis.txt

1.4 Informació de xarxa i connexions

1.4.1 A GNU/Linux

  • ip a > configuracioxarxa.txt
  • netstat -v -W -e -o -p -l > netstatvWeopl.txt
  • netstat -putona > netstatputona.txt
  • arp -n > arpn.txt
for i in link addr route rule neigh ntable tunnel tuntap maddr mroute mrule; do
    ip $i list > ip_${i}_l.txt;
done
# --verbose --numeric --exact --list --table
for table in filter nat mangle raw; do iptables -v -n -x -L -t ${table} > iptables_vnxL_t${table}.txt; done
for table in filter mangle raw; do ip6tables -n -t ${table} -L -v -x > ip6tables_nt_${table}.txt; done
for table in filter nat broute; do ebtables -t ${table} -L --Lmac2 --Lc > ebtables_L_Lmac_Lc_t_${table}.txt; done
  • cat /etc/hosts > hosts.txt
cat /etc/resolv.conf > dns_conf.txt
sudo killall -USR1 systemd-resolved
sudo journalctl -u systemd-resolved > ~/dns-cache.txt
  • route -n > routen.txt

1.4.2 A MS Windows

  • ipconfig /all >> configuracioxarxa.txt
  • ipconfig /displaydns >> dnsconsultades.txt
  • promiscdetect.exe >> adaptadorspromiscues.txt
  • nbtstat -s >> sessionsnetbios.txt
  • nbtstat -c >> cachenetbios.txt
  • netstat -an |findstr /i "estado listening established" >> Connexionsactives.txt
  • netstat -anob > aplicacionsportsOberts.txt
  • netstat -r >> rutes.txt
  • netstat -ano >> connexionsactives.txt
  • type c:windows\system32\drive\etc\hosts >> hosts.txt
  • net file >> transferencia-fitxers-sobre-netbios.xtx
  • arp -a >> cache-arp.txt
  • Route printurlprotocolview.exe get-netfirewallrule -all
  • get-netfirewallrule -policystore configurableservicestore -all/stext xarxaprotocols.txt

1.5 Informació sobre usuaris

1.5.1 A GNU/Linux

  • smbstatus –shares > smbstatusshares.txt
  • showmount -e <ip> > shormounte.txt
  • cat /etc/passwd > passwd.txt
  • last > last.txt
  • lastlog > lastlog.txt
  • w > w.txt
  • who > who.txt

1.5.2 A MS Windows

  • net use >> recursoscompartits.txt
  • nbtstat -n >> usuaris:recursoscompartits.txt
  • net USERS >> usuarislocalsremots.txt
  • net sessions >> usuarisremotsip.txt
  • logonsessions.exe /accepteula >> sessionsactives.txt
  • psloggedon.exe /accepteula >> usuarisinicisesxio.txt
  • psGetid.exe >> usuarissid.txt

1.6 Altre informació del sistema

1.6.1 A GNU/Linux

  • timedatectl > timedatectl.txt
  • uptime -p > uptimep.txt
  • cat bashhistory > bashhistory.txt
  • systemctl status -l > systemctlstatusl.txt
loginctl list-sessions > loginctl_list-sessions.txt
for s in $(loginctl list-sessions --no-legend | awk '{print $1}'); do
    loginctl show-session ${s} > loginctl_show-session_${s}.txt;
done
for u in $(loginctl list-users --no-legend | awk '{print $1}'); do
    loginctl show-user ${u} > loginctl_show-user_${u}.txt;
done
dmesg > dmesg.txt
cat /proc/mounts > proc_mounts.txt
# or use the all-namespace-encompassing version
for p in $(md5sum /proc/mounts /proc/*/mounts | sort | uniq -d -w 32 | awk '{print $2}'); do
    cat $p > ${p////_};
done
cat /proc/mdstat > proc_mdstat.txt
lspci > lspci.txt
uname -a > uname_a.txt
uptime > uptime.txt
  • cat /proc/mounts | tee procmounts.txt
  • cat /proc/modules | tee procmodules.txt
  • ls /sys/modules |tee sysmodules.txt

1.6.2 A MS Windows

  • uptime.exe >> tempsfuncionant.txt
  • pclip.exe >> contingutportapapers.txt
  • insideClipboard.exe /stext "Informacioportapapers.txt"
  • doskey /history >> historicCMD.txt
  • sc query >> serveisexecutantse.txt

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-17 ds. 10:43