Data carvers en retos forenses, en la comunidad DragonJAR hemos realizado varios retos forenses, hemos tenido mucha participación y han gustado mucho. Los participantes que han entregado sus soluciones han seguido distintas vías de investigación para obtener los resultados finales.
Está claro que, hay cosas comunes como hacer el MD5, la copia de la imagen etc…
Pero una de las cosas que nos pueden ir muy bien y que, en casi ninguna solución se había hecho es pasar un data carver. Esto nos servirá para tener todos los datos que se puedan extraer realizando esta técnica antes de empezar el caso.
Data carvers en retos forenses y la selección al azar de un reto
He cogido un reto forense al azar, y el escogido a sido el primer reto forense que se hizo aquí en la Comunidad DragonJAR.
Descomprimimos el archivo RAR y tendremos los componentes de una máquina virtual, en concreto una imagen vmware.
Lo primero que vamos ha hacer es lanzar bulk sobre el fichero .vmem que corresponde a la memoria RAM.
Como veis, directamente desde el fichero vmem, sin ni siquiera arrancar la máquina ya podemos extraer cositas de la memoria.
Esto es lo que hemos podido obtener del fichero RAM, por ejemplo direcciones IP
Si queremos analizar cosas del disco, podemos lanzar Bulk Extractor encima del fichero VMDK.
Si miramos los resultados que hemos extraído con el carver, podemos ver que del disco no hemos podido obtener direcciones IP, por ejemplo.
Si hacemos un diffing de los dominios por ejemplo, también veremos diferencias de resultados.
Data carvers en retos forenses, aunque un reto forense, consta de muchas mas fases, procedimientos y actuaciones, podemos ver que con un carver sobre las evidencias que nos han dado, puede resultar muy útil para tener un punto de partida desde el cual poder sacar unas primeras conclusiones para saber mas o menos que ha pasado.
