Diferencias

Muestra las diferencias entre dos versiones de la página.

--- master_cs:analisis_forense:restxt [2025/06/30 21:25] – thejuanvisu
+++ master_cs:analisis_forense:restxt [2025/07/01 13:33] (actual) – thejuanvisu
@@ Línea 352: / Línea 352: @@
 - Slack Space: Puden quedar restos del archivo en el slack space si un archivo nuevo no llena complemtamente el cluster.
 - Análisis de Volumne Shadow Copy (VSC): Función de NTFS que crea copias instantaneas de archivos o volúmenes incluso en uso. Permite recueprar versiones anteriores de archivos.
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+Forense en WhatsApp
+Directorios
+Whatsapp emplea varios directorios para almacenar sus datos:
+- Externo (Público): /android/media/com.whatsapp/WhatsApp, /WhatsApp, /sdcard/WhatsApp/
+  * Cualquier usuario puede acceder: el ADB puede acceder si el debugging USB está activado en el dispositivo
+- Interno (Privado). /data/data/com.whatsapp/, /data/app/com.whatsapp-2.apk
+  * Hay que ser root para acceder
+Ficheros importantes:
+- Clave de cifrado: /data/data/com.whatsapp/files -> key
+- BBDD Contactos: /data/data/com.whatsapp/databases -> wa.db (SQLite v.3)
+- BBDD chats: /data/data/com.whatsapp/databases ->msgstore.db (SQLite v.3)
+- Backups de BBDD chats (AES 256): /mnt/sdcard/Whatsapp/Databases -> msgstore.db.cryptXX, msgstore-<fecha>.cryptXX
+Chats cifrados
+La BBDD de chats está en la zona privada, mientras que los backups cifrados están en la pública, en /WhatsApp/databases/msgstore.db.cryptXX.
+Puede ser extraida con DADB pull (adb.exe pull /storage/self/primary/WhatsApp/Databases <Ruta de guardado>)
+Para descifrar las bases de datos se necesita la clave almacenada en el archivo key dentro de /data/data/com.whatsapp/files, ubicación para la que es
+necesario ser root para acceder.
+Como obtener la Key sin ser Root
+Para acceder a la Key sin ser root tan solo es necesario hacer downgrade de la APK de Whatsapp siguiendo el siguiente procedimiento:
+. Borrar la apk de whatsapp
+. Instalar una versión aintigua que sea vulnerable
+. Acceder al contenido del fichero key
+. Reinstalar la versión de WhatsApp que se tenía de base
+Forense Telegram
+Directorios
+Telegram usa varios directorios para almacenar sus datos:
+- Externo: /Android/media/org.telegram.messenger/Telegram, /Telegram, /sdcard/Telegram/, Cualquier usuario puede acceder mediante el uso de ADB
+- Interno: /data/data/org.telegram.messenger/, /data/app/org/telegram.messenger.apk, se necesita root para acceder
+Ficheros:
+- BBDD chats:
+  * /data/data/org.telegram.messenger/files -> cache4.db (SQLite v.3)
+  * /data/data/org.telegram.messenger/files/account1 -> cache4.db (SQLite v.3)
+  * /data/data/org.telegram.messenger/files/account2 -> cache4.db (SQLite v.3)
+  * /data/data/org.telegram.messenger/files/account3 -> cache4.db (SQLite v.3)
+- BBDD de rutas a ficheros cacheados: /data/data/org.telegram.messenger/files -> file_to_path.db
+- Ajustes y preferencias: /data/data/org.telegram.messenger/shared_prefs
+Chats inaccesibles
+La BBDD de chats está en una zona privada y no hay backups locales como en whatsapp
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+Autopsy
+Plataforma de analisis forense digital de dispositivos de almacenamiento con GUI extensible basada en módulos. Tiene 2 modos de funcionamiento
+- Single User: En una sola máquina con un usuario analizando las evidencias localmente, tiene un consumo de recuros alto
+- Multi User Cluster: Distribución de procesamiento forense entre varios nodos en un clúster, permitiendo colaboración y mayor capacidad de análisis
+Típos de Módulos de Autopsy:
+- Módulos de Ingesta: Se ejecutan durante el análisis para extraer, analizar y categorizar los datos forenses.
+- Módulos de Reporte: es encargan de generar los informes sobre los hallazgos obtenidos durante el análisis.
+- Módulos de visualización de contenido: Facilitan la inspección de archivos individuales dentro de la interfaz de autopsy.
+- Modulos de visualización de resultados: Permiten al analista explorar y organizar los resultados obtenidos. Se centran en la presentación de datos procesados.
+Tipos de Ingest módules:
+- Picture Analyzer: Analiza imágenes
+- GPX Analyzer: Extrae y analiza datos deg eolocalización
+- Android Analyzer: Profundiza en datos forenses de dispositivos android
+- IOS Analyzer: Analiza dispositivos IOS
+- DJI Drone analyzer: Extrae y analiza datos forenses de drones DJI
+- Embedded File Extractor: Extrae archivos incrustados dentro de otros documentos
+- PhotoRec Carver: Recupera archivos eliminados del espacio sin asignar del disco mediante técnicas de carving
+- Virtual Machine Extractor: detecta y extrae archivos de máquinas virtuales.
+- Hash Lookup: Compara archivos con BBDD de hashes conocidos para detectar archivos maliciosos o verificar integridad
+- File Type identification: Determina el tipo de archivo basado en su estructura
+- Extension Mismatch Detector: Detecta discrepancias entre la extensi´no del archivo y su formato real
+- Data Source Integrity: Verigica la integrida de los datos en la imagen forense
+- Recent Activity: Extrae la actividad reciente del Usuario
+- Keyword Search: Permite buscar palabras claves entre distintos archivos y artefactos
+- Email parser: Procesa correos electrónicos en diversos formatos
+- Plaso: procesa logs y reconstruye la cronología de eventos
+- Cyber Triage Malware Scanner: Escanea u busca malware
+- YARA analyzer: Usa reglas YARA para detectar archivos sospechosos
+- Encryption detection: Detecta la presencia de archivos cifrados
+- Interesting Files Identifier: Señala archivos relevantes basados en reglas predefinidas
+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+Volatility
+Es un framework forense de memoria RAM de código abierto. Se puede usar para el análisis y extracción de datos volátiles de sistemas en ejecución. Permite:
+- Analizar dumps de memoria
+- Identificar procesos, conexiones de red y módulos cargados
+- Detectar malware en memoria.
+Versiones de Volatility:
+- Volatility2:
+  * Descontinuado
+  * Basado en Perfiles estáticos
+  * Plugins asociados a perfiles de memoria concretos
+- Volatility3:
+  * Los perfiles de memoria funcionan de forma dinámica
+  * Los plugins se basan en el modelo de objeto
+Perfiles de Memoria y Symbol Tables
+- Perfiles de memoria (Volatility2)
+  * Permiten intempretar correctamente la estructura interna de un volcado de memoria
+  * Así se pueden identificar procesos, módulos, conexiones y otros datos del SO
+  * Puede ser válido para más de una versión de un SO.
+- Symbol Tables (Volatility 3)
+  * Se encargan de representar las estructuras de memoria del SO
+Comandos importantes de volatility2:
+- imageinfo: Permite ver datos del volcado de memoria y sugiere que perfiles podemos usar -> volatility2 -f /eivdencia.raw imageinfo
+- pslist: permite ver los procesos en ejecución -> volatility2 -f /evidencia.raw --profile=<perfil> pslist
+- netscan: Detecta las conexiones activas -> volatility2 -f /evidencia.raw --profile=<perfil> netscan
+- cmdscan: Extrae el historial de comandos -> volatility2 -f /evidencia.raw --profile=<perfil> cmdscan
+- filescan: Lista los archivos cargados en memoria -> volatility2 -f /evidencia.raw --profile=<perfil> filescan
+- dumpfiles: Permite extraer ficheros de la memoria -> volatility2 -f /evidencia.raw --profile=<perfil> dumpfiles -Q <Dirección de Memoria> -D <Destino para guardar archivo>
+- clipboard: Muestra los contenidos del portapapeles -> volatility2 -f /evidencia.raw --profile=<perfil> clipboard
+- procdump: Extrae la memoria correspondiente a un proceso -> volatility2 -f /evidencia.raw --profile=<perfil> procdump -p <ID del Proceos> -D <Destino para guardar el archivo>
+- hivelist: Lista los gives del registro cargados en memoria -> volatility2 -f /evidencia.raw --profile=<perfil> hivelist
+- hivedump: Muestra las subclaves de un hive -> volatility2 -f /evidencia.raw --profile=<perfil> hivedump -o <Direccion de memoria>
+- hashdump: Extrae los hashes de contraseñas de los usuarios -> volatility2 -f /evidencia.raw --profile=<perfil> hashdump
+Comandos importantes volatility3:
+- windows.info.Info: Muestra información sobre el volcado (Similar a imageinfo) -> volatility3 windows.info.Info
+- Windows.pslist: lista los procesos en ejecución -> volatility3 windows.pslist
+- windows.netscan: Detecta las conexiones activas -> volatility3 windows.netscan
+- windows.cmdscan: Extrae el historial de cmoandos -> volatility3 windows.cmdscan
+- windows.filescan: Lista los archivos cargados en memoria -> -> volatility3 windows.filescan
+- windows.dumpfiles: Extrae un fichero concreto de memoria o de un proceso
+  * volatility3 windows.dumpfiles --virtaddr <dirección de memoria>
+  * volatility3 windows.dumpfiles --pid <ID de proceso>
+- windows.registry.hivelist: Lista los hives de registro cargados en memoria -> volatility3 windows.registry.hivelist
+- windows.hashdump: extrae los hashes de las contraseñas de los usuarios -> volatility3 windows.hashdump
 </code>

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página