Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » master_cs » analisis_forense » restxt
master_cs:analisis_forense:restxt

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:analisis_forense:restxt [2025/07/01 12:59] thejuanvisumaster_cs:analisis_forense:restxt [2025/07/01 13:33] (actual) thejuanvisu
Línea 425: Línea 425:
  
  
 +
 +Autopsy
 +
 +Plataforma de analisis forense digital de dispositivos de almacenamiento con GUI extensible basada en módulos. Tiene 2 modos de funcionamiento
 +- Single User: En una sola máquina con un usuario analizando las evidencias localmente, tiene un consumo de recuros alto
 +- Multi User Cluster: Distribución de procesamiento forense entre varios nodos en un clúster, permitiendo colaboración y mayor capacidad de análisis
 +
 +Típos de Módulos de Autopsy:
 +- Módulos de Ingesta: Se ejecutan durante el análisis para extraer, analizar y categorizar los datos forenses.
 +- Módulos de Reporte: es encargan de generar los informes sobre los hallazgos obtenidos durante el análisis.
 +- Módulos de visualización de contenido: Facilitan la inspección de archivos individuales dentro de la interfaz de autopsy.
 +- Modulos de visualización de resultados: Permiten al analista explorar y organizar los resultados obtenidos. Se centran en la presentación de datos procesados.
 +
 +Tipos de Ingest módules:
 +- Picture Analyzer: Analiza imágenes
 +- GPX Analyzer: Extrae y analiza datos deg eolocalización
 +- Android Analyzer: Profundiza en datos forenses de dispositivos android
 +- IOS Analyzer: Analiza dispositivos IOS
 +- DJI Drone analyzer: Extrae y analiza datos forenses de drones DJI
 +- Embedded File Extractor: Extrae archivos incrustados dentro de otros documentos
 +- PhotoRec Carver: Recupera archivos eliminados del espacio sin asignar del disco mediante técnicas de carving
 +- Virtual Machine Extractor: detecta y extrae archivos de máquinas virtuales.
 +- Hash Lookup: Compara archivos con BBDD de hashes conocidos para detectar archivos maliciosos o verificar integridad
 +- File Type identification: Determina el tipo de archivo basado en su estructura
 +- Extension Mismatch Detector: Detecta discrepancias entre la extensi´no del archivo y su formato real
 +- Data Source Integrity: Verigica la integrida de los datos en la imagen forense
 +- Recent Activity: Extrae la actividad reciente del Usuario
 +- Keyword Search: Permite buscar palabras claves entre distintos archivos y artefactos
 +- Email parser: Procesa correos electrónicos en diversos formatos
 +- Plaso: procesa logs y reconstruye la cronología de eventos
 +- Cyber Triage Malware Scanner: Escanea u busca malware
 +- YARA analyzer: Usa reglas YARA para detectar archivos sospechosos
 +- Encryption detection: Detecta la presencia de archivos cifrados
 +- Interesting Files Identifier: Señala archivos relevantes basados en reglas predefinidas
 +
 + 
 +----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
 +
 +
 +
 +
 +Volatility
 +
 +Es un framework forense de memoria RAM de código abierto. Se puede usar para el análisis y extracción de datos volátiles de sistemas en ejecución. Permite:
 +- Analizar dumps de memoria
 +- Identificar procesos, conexiones de red y módulos cargados
 +- Detectar malware en memoria.
 +
 +Versiones de Volatility:
 +- Volatility2:
 +  * Descontinuado
 +  * Basado en Perfiles estáticos
 +  * Plugins asociados a perfiles de memoria concretos
 +
 +- Volatility3:
 +  * Los perfiles de memoria funcionan de forma dinámica
 +  * Los plugins se basan en el modelo de objeto
 +
 +
 +
 +Perfiles de Memoria y Symbol Tables
 +- Perfiles de memoria (Volatility2)
 +  * Permiten intempretar correctamente la estructura interna de un volcado de memoria
 +  * Así se pueden identificar procesos, módulos, conexiones y otros datos del SO
 +  * Puede ser válido para más de una versión de un SO.
 +
 +- Symbol Tables (Volatility 3)
 +  * Se encargan de representar las estructuras de memoria del SO
 +
 +
 +Comandos importantes de volatility2:
 +- imageinfo: Permite ver datos del volcado de memoria y sugiere que perfiles podemos usar -> volatility2 -f /eivdencia.raw imageinfo
 +- pslist: permite ver los procesos en ejecución -> volatility2 -f /evidencia.raw --profile=<perfil> pslist
 +- netscan: Detecta las conexiones activas -> volatility2 -f /evidencia.raw --profile=<perfil> netscan
 +- cmdscan: Extrae el historial de comandos -> volatility2 -f /evidencia.raw --profile=<perfil> cmdscan
 +- filescan: Lista los archivos cargados en memoria -> volatility2 -f /evidencia.raw --profile=<perfil> filescan
 +- dumpfiles: Permite extraer ficheros de la memoria -> volatility2 -f /evidencia.raw --profile=<perfil> dumpfiles -Q <Dirección de Memoria> -D <Destino para guardar archivo>
 +- clipboard: Muestra los contenidos del portapapeles -> volatility2 -f /evidencia.raw --profile=<perfil> clipboard
 +- procdump: Extrae la memoria correspondiente a un proceso -> volatility2 -f /evidencia.raw --profile=<perfil> procdump -p <ID del Proceos> -D <Destino para guardar el archivo>
 +- hivelist: Lista los gives del registro cargados en memoria -> volatility2 -f /evidencia.raw --profile=<perfil> hivelist
 +- hivedump: Muestra las subclaves de un hive -> volatility2 -f /evidencia.raw --profile=<perfil> hivedump -o <Direccion de memoria>
 +- hashdump: Extrae los hashes de contraseñas de los usuarios -> volatility2 -f /evidencia.raw --profile=<perfil> hashdump
 +
 +
 +Comandos importantes volatility3:
 +- windows.info.Info: Muestra información sobre el volcado (Similar a imageinfo) -> volatility3 windows.info.Info
 +- Windows.pslist: lista los procesos en ejecución -> volatility3 windows.pslist
 +- windows.netscan: Detecta las conexiones activas -> volatility3 windows.netscan
 +- windows.cmdscan: Extrae el historial de cmoandos -> volatility3 windows.cmdscan
 +- windows.filescan: Lista los archivos cargados en memoria -> -> volatility3 windows.filescan
 +- windows.dumpfiles: Extrae un fichero concreto de memoria o de un proceso
 +  * volatility3 windows.dumpfiles --virtaddr <dirección de memoria>
 +  * volatility3 windows.dumpfiles --pid <ID de proceso>
 +- windows.registry.hivelist: Lista los hives de registro cargados en memoria -> volatility3 windows.registry.hivelist
 +- windows.hashdump: extrae los hashes de las contraseñas de los usuarios -> volatility3 windows.hashdump
  
  
master_cs/analisis_forense/restxt.1751374741.txt.gz · Última modificación: 2025/07/01 12:59 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki