Cuando deseamos realizar una análisis de un ordenador necesitamos herramientas que puedan ejecutarse desde cualquier dispositivo, una de ellas es Wintaylor que es parte de la distribución CAINE (Computer Aided INvestigative Environment).
Podemos utilizar Wintaylor por separado sin tener que instalar CAINE, para ello descargamos:
Una vez lo tenemos descargado lo descomprimimos y podemos ejecutarlo desde el disco duro o desde una memoria flash o un pendrive.
A continuación veremos un conjunto de botones, cada uno de ellos pertenece a una herramienta, en este tutorial se describirá cada herramienta y como utilizarla.
1. System Info – Información del sistema
Esta herramienta System Information X, permite inspeccionar la configuración del ordenador, recolectara información sobre los componentes de hardware y software, además podremos generar informes.
Cuando iniciamos la aplicación, nos aparecen dos opciones, la primera es que la herramienta busque en logs de eventos y en directorios y la otra opción es que busque o lea un archivo log que indicaremos. Para este tutorial seleccionaremos la primera opción.
Una vez que el equipo ha sido analizado a fondo, se obtiene una amplia lista con todos sus componentes, junto con su modelo, fabricante o detalles relevantes.
Cada ítem podemos explorar los datos como por ejemplo:
- El procesador, nombre comercial, la arquitectura, número de núcleos, la frecuencia.
- Podemos obtener información sobre la memoria RAM, placa base, monitor, tarjeta de vídeo, impresoras, tarjeta de sonido, dispositivos USB o adaptadores de red.
- También podemos exportar un informe en XML para su uso posterior. Dentro de la opción File > Summary Report, tendremos la opción de ver todos los perfiles que tengamos creados para varios ordenadores.
2. WinAudit – Auditoría de ordenadores
Esta herramienta que vimos en el tutorial Auditoría de ordenadores con WinAudit, es una aplicación muy útil, que muestra una amplia información sobre el sistema operativo, periféricos, y los registros de error de la BIOS. WinAudit es una pequeña herramienta para conocer a fondo el sistema tanto hardware y software, registro y eventos del sistema operativo, la seguridad, los usuarios.
Por ejemplo en el ítem Privilegios de Usuarios, podremos ver que permisos tiene un usuario, cuando se logueo por última vez y cuantas veces se logueo en total.
3. DriveManager – Gestionar dispositivos de almacenamiento
Esta herramienta permite gestionar la administración de dispositivos de almacenamiento. Drive Manager es una herramienta gratuita y portátil de gestión de disco que se utiliza para ver información sobre los discos duros, dispositivos extraíbles como CD/DVD, Memorias flash e incluso a sus lectores de tarjetas y unidades disponibles por red.
Puede mostrar y ocultar o bloquear y desbloquear unidades, herramientas de acceso como la comprobación de disco, crear letras de unidad de sustitución para los archivos y carpetas, unidades de búsqueda, la velocidad del disco.
Drive Manager muestra el tamaño del disco, el espacio utilizado, y tanto el espacio disponible y el porcentaje de espacio libre, con renovación automática cada 10 segundos, así como de serie del volumen, identificación del producto.
4. TestDisk – Recuperación de datos
Esta herramienta es la que vimos en el tutorial Recuperar disco duro con herramientas TestDisk y Rstudio. TestDisk es multiplataforma y se utiliza para la recuperación de datos perdidos en discos en particiones y discos de arranque, disco duro usb o memoria flash y tarjetas de memoria. TestDisk soporta particiones en formato ext2/ext3/ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.
5. FTK Imager – Herramientas de captura de imagenes de disco
La herramienta Forensic Toolkit (FTK Imager) es un conjunto de herramientas que permite gestionar y capturar imágenes de disco duro, dispositivos de almacenamiento externos y memoria RAM con fines de investigación.
FTK Imager es compatible con el almacenamiento de imágenes de disco en formato de archivo de en formato dd. Esta herramienta es la que vimos en en tutorial Analizar imagen de disco con FTK Imager.
6. PC ON/OFF – Registro de Encendido y apagado del ordenador
Esta herramienta nos permite conocer que días se encendió un ordenador, cuando se apagó y cuantas horas estuvo en funcionamiento, esto sirve para determinar en qué momento el ordenador estaba encendido, apagado o en modo de espera. Esto puede servidor para monitorizar que no se utilice un ordenador en horarios indebidos en caso de una empresa o cuando se da acceso a técnicos o administradores externos.
También puede realizarse esta verificación para un ordenador de la red y tiene una versión gratis que permite ver 3 semanas la versión de pago no tiene límites.
7. WHOIS – Información de dominios
WhoisThisDomain es una herramienta de búsqueda de registro de dominios nos permite obtener información sobre un dominio registrado.
Se conecta automáticamente al servidor de base de datos WHOIS y mediante el nombre de dominio, recupera los datos del registro WHOIS del dominio. Es compatible tanto con los dominios genéricos y los dominios de código de país. Podemos crear un listado de dominios para chequear todos juntos y tenerlos actualizados.
8. LANSCAN – Herramienta de escaneo de redes
La aplicación se denomina PortScan y se utiliza como escáner de red que puede comprobar rápidamente un rango de IP y la información sobre los ordenadores en esa red. Es muy útil si deseamos comprobar la información de los equipos de la red. Es muy simple pero hay que conocer de redes para poder determinar que información estamos viendo.
El escaneo de la red es realiza asignado el rango de IP, por ejemplo 192.168.0.0 hasta 192.168.0.255 y la aplicación buscara todos los ordenadores en esa red. PortScan analiza todos los puertos disponibles y muestra detalles como la dirección MAC, nombre de host, puertos abiertos y los servidores HTTP para cada máquina conectada.
Además, también se puede hacer ping a una dirección IP o un nombre de host. También en la versión mas reciente incorpora una herramienta de prueba de velocidad de red para determinar la descarga y velocidad de subida de la conexión a la red. Podemos utilizar PortScan para obtener información sobre los servicios HTTP, FTP, SMTP y SMB.
La aplicación es portable por lo que podemos descargarla en forma independiente y más actualizada con mas opciones.
9. HexEdit – Editor hexadecimal y captura de memoria RAM
Esta herramienta es un editor hexadecimal, que permite ver lo que ocurre en la memoria RAM y en la BIOS en vivo, es decir con el ordenador encendido y trabajando, además sirve para capturar imágenes de memoria y discos.
Cuando iniciamos el programa desde el menú Archivo, podemos elegir un dispositivo de almacenamiento o un bloque de memoria RAM o BIOS.
Una vez que hayamos seleccionado desde donde obtendremos los datos, HEXEDIT, nos mostrara el contenido que podremos explorar. Si tenemos los conocimientos suficientes podremos editar información directamente en la memoria.
10. PhotoRec – Recuperación de datos de dispositivos e imágenes de disco
PhotoRec es una herramienta multiplataforma de recuperación de datos y archivo de discos duros, memorias flash USB, y cámaras digitales.
Recupera diversos formatos de imágenes, y archivos de audio, formatos de documentos Ofiice y muchos formatos de archivo incluyendo ZIP.
PhotoRec no intenta escribir en los medios dañados el usuario está a punto de recuperarse. Los archivos recuperados en cambio se escriben en un directorio seleccionado por el usuario desde el que se ejecuta PhotoRec. Se puede utilizar para la recuperación de datos cuando se realizan análisis forense inclusive en imágenes de disco o de memoriaRAM. PhotoRec es un complemento perfecto para TestDisk.
En el tutorial Analizar imagen de disco con FTK Imager, mostré como utilizar PhotoREc con una imagen dd de una memoria flash. También puedes ver un buen articulo que nos ofrece programas gratuitos para recuperar archivos eliminados, donde se menciona a PhotoRec.
11. RAM Dump – Captura de memoria RAM en Windwos
Esta sección contiene un conjunto de herramientas para capturar la memoria RAM. Las herramientas son Winen y mdd, son software de línea de comandos que nos permitirán desde una memoria USB capturar la RAM sin tener privilegios de administrador.
El comando es muy simple por ejemplo para mdd indicamos:
l aopcion -oY un nombre de archivo donde guardar la imagen:
mdd -o dump.dd
En este caso en 53 segundos pudimos hacer una imagen de un Windows 7 con 2 GB de RAM.
12. Recuva – Herramienta de recuperación de datos
Recuva es una herramienta de recuperación de archivos, también podemos encontrarla en el artículo Programas gratuitos para recuperar archivos eliminados.
Esta herramienta puede recuperar archivos que han sido borrados desde el ordenador, de un disco duro, una unidad USB, un reproductor de MP3 o incluso una tarjeta de memoria de una cámara de fotos.
Recuva posee un asistente de recuperación para especificar qué tipo de archivo buscar y de esa forma hacer más rápida la recuperación. Para ello iniciamos el asistente y luego debemos seleccionar que tipo de archivo que desea recuperar como documentos, fotos, vídeos, correos electrónicos, entre otras opciones.
13. USB Write Protector – Proteger dispositivos de almacenamiento USB
Permite la protección para los dispositivos USB para controlar la escritura de datos y transferencias, esta herramienta evitara por ejemplo, que borremos o escribamos un pendrive por accidente. USB WriteProtector permite bloquear como desbloquear la protección contra escritura. Además, puede ejecutarse desde su interfaz o bien desde línea de comandos.
Debemos tener en cuenta que cuando tengamos activada la opcion USB Write ON u OFF, cuando conectemos cualquier pendrive USB, este adoptara automáticamente la opción seleccionada.
14. USB Devices - Lista de dispositivos usb
USBDeview es una herramienta que muestra todos los dispositivos USB que actualmente conectados al equipo, así como todos los dispositivos USB que utilizó anteriormente. Para cada dispositivo USB, se muestra la información muy detallada sobre el nombre del dispositivo, la descripción, tipo de dispositivo, número de serie, la fecha y hora que se añadió ese dispositivo y otra información de sistema, fabricante y proveedor.
También permite gestionar y desinstalar los dispositivos USB que se utilizaron anteriormente o dejarlos como histórico, también admite la opción de activar y desactivar alguno de los dispositivos USB. Además se puede utilizar para administrar USB en red en un ordenador remoto, siempre y cuando se tengan los permisos de administrador de sistema y de red.
15. Windows File Analyzer - Análisis y Decodificación de archivos ocultos
Esta herramienta analiza y decodifica algunos archivos para el análisis forense. El archivo Thumbs.db es un archivo creado por Windows cuando se utiliza la vista en miniatura. Es un archivo oculto no vistos por los usuarios. Esto permite obtener esos datos por más que la imagen haya sido borrada, en este archivo quedan almacenados datos de previsualización de la imagen.
También los enlaces y accesos directos de archivos manipulados son una fuente de información ya que crean un registro histórico.
Luego tenemos otra sección denominada More Tools o Más Herramientas que dispone de múltiples aplicaciones para ejecutar en modo portable, algunas de ellas son:
- SkypeLogView: para ver conversaciones guardadas de Skype
- SniffPass: Para espiar clave en una determinada IP a la que tengamos acceso
- MyLastSearch: Para determinar cuáles fueron las ultimas búsquedas y desde que navegador
- Windows Registry Recovery: Recupera y le información del registro de Windows
También disponemos de las herramientas de sistema de Windows para utilizar desde la línea de comandos como netstat, systeminfo, ipconfig y muchas más.
Para concluir os dejamos un par de enlaces a tutoriales relacionados con auditorías:
Gracias Solvetic!!!