Ciberseguridade

¿en qúe consiste?                                                                     Test de penetración

Análise forense dixital                                                 Análise forense Windows 10

guía de toma de evidencias en entornos windows - INCIBE

adquisición de RAM en windows                              adquirir memoria de máquina virtual VirtualBox

adquisición en ficheiros de hibernación                                       análise forense de fotografías dixitais

análise forense en entornos virtuais

búsqueda selectiva de tipos de arquivos                                          corrupción de datos nun disco duro

crear imaxe forense dun móbil Android          resumo

cómo aportar os correos electrónicos como proba xudicial de forma correcta

ThinkDFIR

exame forense de capturas de rede                                                        cómo comprobar copia clonada

extracción de datos forenses do rexistro                            como abrir unha imaxe de disco en windows

contrasinal documentos MS Office             creación e análise básica dunha imaxe forense en windows

The Art of Defacement                                                                                   un forense levado a xuicio

metodoloxía                                                método Guttman              exemplos metadatos

obter información dun chip-flash usando flash-dumping                    OSINT email

principios durante a recolección de evidencias                                    probas e evidencias telemáticas

proba pericial informática

recuperación de arquivos borrados                                                       repositorio ENISA

recolección de información

cómo descubrir USB conectados


Cadea de custodia

5 consellos para non invalidar a evidencia dixital

cadea de custodia da evidencia dixital                                               firmas hash e cadeas de custodia

formulario - exemplo                                                            manual de manexo de evidencias dixitais


Exemplos

extracción de memoria RAM en linux

cómo recuperar conversacións borradas de whatsapp

cómo realizar unha análise forense con Autopsy                                      análise de Android.Bmaster

Ferramentas

Débese traballar con réplicas exactas (imaxes) dos discos duros e en modo de só lectura

listado de ferramentas                                Distribucións          lista de ferramentas                 utilidades

Automatizando a extracción de evidencia forense en Windows

Ferramentas LINUX para análise forense                                                              Imaxes para practicar

recursos gratuítos para profesionais


websec                                                                            empresa recuperación de datos



KITS

Autopsy e Sleuth Kit

CAINE é unha distribución con ferramentas para a análise forense.     Novedades versión 6

DEFT       DEFT Zero         manual

DFF                        FTK Forensic Toolkit                                                                         Debian 9

Androl4b - máquina virtual para análise forense de APPs en Android

---

Documentos maliciosos - utilidades para a súa análise

DropBox - forense ao cliente (windows)

Encrypted Disk Detector: amosa tipo de cifrados atopado

Facebook - informes de publicidade

FAW: navegador forense para a recollida de páxinas web

Ghiro - Análise forense de imaxes

GRR - Análise forense - Google

hashcat - recuperador avanzado de contrasinais

Helix é unha distribución con ferramentas para a análise forense - guía

HIBR2BIN utilidade para o tratamento de arquivos de hibernación

LaZagne - recupera contrasinais windows

OSForensics é un conxunto de utilidades.

RecuperaBit: análise de discos. Permite reconstruir e recuperar estructuras, ficheiros do sistema de arquivos (NTFS)

Redline: análise procesos e servicios en RAM - FireEye

script que recupera rexistros eliminados de bases de datos SQLite

Tom's AD Object Recovery buscar e restaurar obxectos do Directorio Activo

Twitter               analiza conta e seguidores         busca seguidores falsos

Xplico: análise de datos de rede

ver fotos utilizadas anteriormente:       Google Reverse Image Search                Tineye


exercicios forense de malware

instaladores Firefox

---

Clonezilla  ou OSFClone permiten o clonado

Foca serve para atopar Metadatos e información oculta en documentos de Microsoft Office, OpenOffice e documentos PDF/PS/EPS.
Foca Open Source

MDD encárgase de xerar unha imaxe forense da memoria física do sistema e almacenala como un arquivo binario (raw)

Sysinternals Suite é unha suite de ferramentas que aporta recursos técnicos e utilidades para diagnosticar, xestionar, supervisar e solucinar problemas nun entorno Microsoft Windows.


BitLocker     cómo activalo en Windows 10               pode ser enganado    

TrueCrypt pechou


Historial de navegación
Google Chrome:
                         C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Local Storage.
Mozilla Firefox:  %HOMEPATH%\AppData\Roaming\Mozilla\Firefox\Profiles\<carpeta de perfil>.
Internet Explorer: %HOMEPATH%\AppData\Local\Microsoft\Windows\History.


Google History

Galleta para cookies de IE       ChromeCookiesView             MZCookiesView  

ipconfig /displaydns permite ver caché DNS

esta web sabe o que descargache por Torrent

RAM

Belkasoft RAM capturer permite extraer contido da memoria volátil.

Memorize permite extraer contido da memoria volátil.

MDD volcado da RAM                      mdd -o ramWin7.img

Volatility é usada para analizar a memoria RAM de Windows, sendo posible extraer a tabla de conexións, entradas ARP, arquivos abertos, módulos cargados, procesos existentes e máis información.    interface gráfico           Workbench -   interface gráfico               vídeo

1.- información da captura de RAM
        info. básica:  volatility ident -f ramWin7.img
       volatility imageinfo -f ramWin7.img

2.- Direccións de memoria dos rexistros do sistema (redireccionándoas a un arquivo de texto)

         volatility hivelist -f ramWin7.img --profile=Win7SP1x86 > dirmem.txt

O resultado será algo similar a isto: (cada equipo terá sempre uns valores distintos)

Virtual            Physical           Name
---------- ---------- ----
0x8ff23740 0x676c0123 \SystemRoot\System32\Config\SOFTWARE
0x87c1a008 0x069ac005 \REGISTRY\MACHINE\SYSTEM
0x93acb9f0 0x542dc4e4 \SystemRoot\System32\Config\DEFAULT
0x82546008 0x136de130 \SystemRoot\System32\Config\SAM
0x9555c1d0 0x1bb407f0 \??\C:\Users\CeMIT\ntuser.dat
0x9555f9d0 0x07e424c0 \??\C:\Users\Cuntis\AppData\Local\M1cr0s0ft\W1nd0ws\UsrClass.dat
0x9bb25208 0x12d69007 \SystemRoot\System32\Config\SECURITY
0x9cac19d0 0x11b234d0 \??\C:\W1nd0ws\ServiceProfiles\LocalService\NTUSER.DAT
0x9dbc1906 0x0b7b1010 \??\C:\W1nd0ws\ServiceProfiles\NetworkService\NTUSER.DAT


3.- Hashes de contas usuarias  (Debemos quedarnos cos valores Virtuais de SYSTEM e SAM, obtidos no punto 2 . Ditos valores serán exclusivos de cada máquina, polo que deberán escollerse sempre os obtidos no punto 2 de cada captura ). 

       volatility hashdump -f ramWin7.img -y 0x87c1a008 -s 0x82546008 --profile=Win7SP1x86 > hashes.txt
              Crearase un ficheiro de texto cos nomes e hashes das contas usuarias do equipo, dando como resultado algo similar a isto:

Administrador:500:aad3b435b51404eeaad3b435b51404ee:b9f917853e3dbf6e6831ecce60725930:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:fc525c9683e8fe067095ba2ddc97889:::

         (Se queremos obter o contrasinal asociado a unha conta do equipo copiamos o hash do ficheiro resultante a partires dos 2 puntos. No exemplo anterior é a parte destacada a cor amarela.

               desencriptar hashes NTLM     ou en crackstation

O contrasinal do Administrador deste exemplo será:    passw0rd


4.- Procesos activos
           volatility pslist -f ramwin7.img --profile=Win7SP1x86

5.- Historial IE       volatility -f ramwin7.img iehistory

.- Conexións TCP activas        volatility -f ramwin7.img --profile=Win7SP1x86 connections
         
.- Portos abertos e conexións      volatility -f ramwin7.img --profile=Win7SP1x86 netscan

.- conexións pechadas no momento do volcado da memoria
                         volatility -f ramwin7.img connscan2

Redline: detecta actividade maliciosa na análise de RAM

Rekall Forensics - similar a Volatily, pero con axentes remotos. Framework avanzado para equipos DFIR (Digital Forensics and Incident Response)


Recuperar arquivos

Recuperar arquivos borrados - OSI

Recuva serve para recuperar datos eliminados.                         Foremost

Data Recovery                    DiskDigger

Linux             OSx

yaru - recuperar claves do rexistro de windows

Eraser permite borrado seguro                           cómo borrar definitivamente

¿cómo recuperar mensaxes de WhatsApp?


Recuperar caché webs antigas

Archive              Google                 

Recuperar estados de WhatsApp

dende o xestor de arquivos  Os meus arquivos / axustes    Mostrar arquivos ocultos

cartafol onde garda

WhatsApp / Media / .Statuses


Sinatura dixital

HashMyFiles           HashCalc      hfind               Multihasher


Móbiles


UFED 4PC        oxigen forensics        extracción física chipsets      extracción iOS 

UFED phisical analizer                                                              extracción rápida e segura - UFED

Análise forense en dispositivos móbiles

análise de log en WhatsApp

¿cómo extraer datos?

clasificación e estudio de ferramentas

filtrado o firmware de Cellebrite

imaxes físicas Samsung


Infografías

DFIR Memory Forensics

análise Windows

Ligazóns

LIFe