prev
next
out of 15

FTK

Embed Size (px)

Citation preview

  • Forensic Toolkit (FTK)

    Informtica Forense electiva III

    Caicedo Miguel

    Garca Katherine

    Usca Edison

  • Contenido Introduccin ........................................................................................................................................ 3

    Forensic Toolkit (FTK) .......................................................................................................................... 3

    Cerberus .......................................................................................................................................... 4

    Visualizacin .................................................................................................................................... 4

    Caractersticas ................................................................................................................................. 4

    SOLUCIN FORENSE INTEGRAL DE COMPUTADORAS .................................................................. 4

    FUNCIONA CON BASES DE DATOS, POR LO QUE NO PIERDE EL TRABAJO AVANZADO CUANDO

    LA COMPUTADORA TIENE UN CRASH O DEJA DE RESPONDER .................................................... 5

    PROCESAMIENTO SIN IGUAL ........................................................................................................ 5

    UNA EMPRESA CON UN SOLO NODO ........................................................................................... 6

    ANLISIS AVANZADO DE MEMORIA VOLTIL .............................................................................. 6

    BSQUEDA MS RPIDA E INTEGRAL DE BINARIOS E NDICES .................................................... 7

    CAPACIDAD DE ANLISIS DE TODO EL SISTEMA DE ARCHIVOS, TIPOS DE ARCHIVOS Y CORREO

    ELECTRNICO .............................................................................................................................. 7

    ACCESORIO DE DETECCIN DE IMGENES EXPLCITAS (EID) ........................................................ 8

    FTK Imager ........................................................................................................................................... 8

    Bibliografa .................................................................................................................................... 15

  • Introduccin

    Al buscar un dato especfico en una hoja de clculo o en un correo electrnico, se genera gran

    cantidad de informacin crucial para una empresa al momento de un juicio, donde se puede

    identificar si los datos han sido alterados, cuando, por quin y en qu circunstancias. En la

    actualidad, las empresas generan enormes cantidades de datos y muchos juicios han sido

    resueltos basndose en el resultado de estos anlisis.

    Lo que se busca es navegar por los sistemas de informacin en la bsqueda de evidencias, tales

    como: supresin o alteracin de informacin, violaciones de poltica o accesos no autorizados.

    Los procedimientos que suelen realizarse en un anlisis de datos, son:

    1. Clonacin de Discos Duros: Se crea una rplica exacta del disco duro que contiene la

    informacin a investigar. La bsqueda se realizar en mensajes de correo electrnico,

    documentos, archivos de hojas de clculo, descargas web y otros datos electrnicos. La

    informacin obtenida, ya sea que haya sido borrada, encriptada o fragmentada; puede tener un

    enorme valor en un proceso de investigacin.

    2. Bsqueda en datos electrnicos: En una investigacin compleja donde se procesan cantidades

    masivas de mensajes de correo electrnico o documentos, nuestras herramientas tecnolgicas

    tienen la capacidad de filtrar duplicaciones de datos o incluir palabras clave para minimizar el

    tiempo de bsqueda y as recuperar la informacin relevante en la investigacin.

    3. Reporte de resultados: Al finalizar el anlisis de la informacin se procede entonces a la

    generacin de los reportes con los resultados obtenidos. Nuestros informes son detallados y con

    visualizacin en formato nativo, HTML, PDF, XML, RTF y ms con enlaces a las pruebas originales.

    FORENSIC TOOLKIT (FTK) Reconocido alrededor del Mundo como el Estndar en Software de Informtica Forense, es una

    plataforma de investigaciones digitales aprobada por tribunales, que est diseada para ser veloz,

    analtica y contar con escalabilidad de clase empresarial. Conocido por su interfaz intuitiva, el

    anlisis de correo electrnico, las vistas personalizadas de datos y su estabilidad.

    FTK establece el marco para una expansin sin problemas, por lo que su solucin de informtica

    forense puede crecer de acuerdo a las necesidades de su organizacin.

    Adicionalmente, AccessData ofrece nuevos mdulos de expansin, entregando el primer software

    de esta industria con capacidad de anlisis y con visualizacin de ltima generacin. Estos mdulos

    se integran con FTK para crear la plataforma de informtica forense ms completa en el mercado.

  • Cerberus Cerberus es una tecnologa de clasificacin de malware que est disponible como accesorio para FTK 4. El primer paso hacia la ingeniera inversa automatizada. Califica las amenazas y hace un anlisis de desmontaje para determinar tanto el comportamiento como la intencin de binarios sospechosos.

    Visualizacin Vista de datos en varios formatos, incluyendo lneas de tiempo, grficas de clster, grficas

    circulares y ms.

    Esto nos permite: Determinar rpidamente las relaciones en los datos Encuentra piezas claves de informacin Generar informes que son fcilmente entendidos por los abogados, los Oficiales de

    Informacin (CIOs) u otros investigadores.

    Caractersticas

    SOLUCIN FORENSE INTEGRAL DE COMPUTADORAS

    Permite obtener imgenes, procesar un amplio rango de tipos de datos, desde imgenes forenses

    hasta archivos de correos electrnicos, anlisis del registro, conduccin de una investigacin,

    desencriptado de archivos, romper passwords, as como construir un reporte al utilizar una sola

    solucin.

    Recuperacin de passwords desde ms de 100 aplicaciones una, de estas es:

    o Kit de herramientas de recuperacin de la contrasea (PRTK) Permite la gestin de contraseas.

    Analiza los archivos y sus contraseas con un archivo de informe opcional.

    Recupera contraseas de todo tipo, independientemente de la longitud de contrasea.

  • Analiza varios archivos al mismo tiempo.

    Recupera las contraseas multilinges.

    Evita el uso no autorizado con un cdigo de seguridad personal.

    PRTK puede recuperar contraseas de ms de 100 aplicaciones diferentes

    Biblioteca KFF de hash con 45 millones de hashes.

    Anlisis avanzado y automatizado sin necesidad del scripting.

    FUNCIONA CON BASES DE DATOS, POR LO QUE NO PIERDE EL TRABAJO AVANZADO

    CUANDO LA COMPUTADORA TIENE UN CRASH O DEJA DE RESPONDER

    FTK funciona con bases de datos, que evita experimentar el crashing asociado con las

    herramientas que funcionan con la memoria. Los componentes de FTK estn divididos en

    compartimientos, por ejemplo, si el GUI deja de responder o tiene un crash, los procesadores

    continan analizando datos.

    PROCESAMIENTO SIN IGUAL

    La diferencia de FTK frente a otras soluciones de informtica forense, es procesar datos inmediatamente, por lo que no se pierde tiempo al esperar que se ejecuten las bsquedas durante la fase de anlisis. Este producto se dise para ofrecer el procesamiento forense ms rpido, preciso y consistente, con procesamiento distribuido y un verdadero apoyo de plataformas multi-thread y multi-core. Cada copia de FTK incluye un total de 4 procesadores 1 en la computadora del examinador y 3 distribuidos.

    El Procesamiento con asistente garantiza que ningn dato sea omitido.

    o Con funciones de Cancelacin/Pausa/Continuar

    o Estatus de procesamiento en tiempo real

    o Regulador de velocidad de los recursos del CPU

    o Notificacin por E-mail al finalizar el procesamiento

    Refinado previo y posterior al procesamiento

    Dispositivo de Carving avanzado que le permite especificar criterios de bsqueda como tamao

    de archivo, tipo de datos y tamao de pixel, para reducir la cantidad de datos irrelevantes

    extrados, mientras que se incrementa la minuciosidad general del anlisis.

  • UNA EMPRESA CON UN SOLO NODO

    Es necesario instalar un agente persistente o disolvente en una sola computadora para habilitar el anlisis remoto y las capacidades de respuesta a incidentes de AD Enterprise. Proveer, adquirir y analizar datos del disco duro, de aparatos perifricos y datos voltiles de memoria en sistemas operativos de Apple, UNIX y Linux. Se puede desinstalar el agente en cualquier momento y conectarlo a otra computadora para realizar un anlisis de mltiples computadoras.

    Despliegue sencillo del agente con asistente.

    Montaje remoto y seguro del aparato, utilizando el agente Pico.

    ANLISIS AVANZADO DE MEMORIA VOLTIL

    Analiza los sistemas operativos de Windows (32- y 64-bit), Apple, UNIX y Linux.

    Anlisis integral de datos voltiles.

    Anlisis de RAM Esttica, desde una imagen o frente a un sistema vivo.

    Enumeracin de todos los procesos en ejecucin, incluyendo aquellos ocultos por rootkits y

    despliegue DLL asociados, conexiones y controladores de redes en su contexto.

    Interrumpir un proceso y los DLL asociados para realizar un anlisis posterior con herramientas

    adicionales.

    La bsqueda en la secuencia de la memoria permite identificar accesos en la memoria y mapear

    automticamente sus asociaciones con cualquier proceso, DLL o una pieza de espacio sin asignar

    y eliminar el artculo que corresponda.

    En la actualidad, FTK 4 ofrece el anlisis de rbol VAD, exponiendo los artefactos registrados en

    la memoria, analizando sus componentes y desplegando la informacin utilizada desde la

    memoria.

  • BSQUEDA MS RPIDA E INTEGRAL DE BINARIOS E NDICES

    FTK procesa y clasifica los datos al instante con la finalidad de realizar la bsqueda y el anlisis ms rpido que los otros productos. Al aprovechar el poderoso dispositivo dtSearch, as como el dispositivo completo de expresiones regulares, FTK produce resultados veloces y acertados.

    Novedades en FTK 4: La capacidad de anlisis de expresiones regulares en la investigacin

    de ndices, le permite buscar combinaciones avanzadas de caracteres en los datos

    indexados.

    CAPACIDAD DE ANLISIS DE TODO EL SISTEMA DE ARCHIVOS, TIPOS DE ARCHIVOS Y

    CORREO ELECTRNICO

    Capacidad de anlisis de ms de 700 imgenes, archivos y tipos de archivos.

    Notes NSF, Outlook PST/OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft

    Internet Mail, Earthlink, Thunderbird, Quickmail, etc.), Netscape, AOL and RFC 833

    Procesa y analiza DMG (comprimidos y descomprimidos), Ext4, exFAT, VxFS (Veritas File

    System), Microsoft VHD (Microsoft Virtual Hard Disk), Blackberry IPD archivos de respaldo,

    Android YAFFS / YAFFS 2 y muchos ms.

    Ideal para crear y procesar imgenes en Formato Forense Avanzado -Advanced Forensic Format

    (AFF).

  • AMPLIA CAPACIDAD DE ANLISIS DE ENCRIPTADOS

    Desencripta automticamente (con credenciales apropiadas) Credant, SafeBoot, Utimaco,

    SafeGuard Enterprise y Easy, EFS, PGP, GuardianEdge, Pointsec y S/MIME.

    FTK es la nica solucin de informtica forense que puede identificar PDFs encriptados.

    ACCESORIO DE DETECCIN DE IMGENES EXPLCITAS (EID)

    Esta tecnologa de deteccin de imgenes no solo reconoce tonos de piel, sino que ha sido

    programado con una biblioteca de ms de 30,000 imgenes que permiten identificar,

    automticamente, potenciales imgenes pornogrficas.

    FTK Imager FTK Imager de AccessData es una herramienta para realizar rplicas y visualizacin previa de datos, la

    cual permite una evaluacin rpida de evidencia electrnica para determinar si se garantiza un anlisis

    posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager tambin puede

    crear copias perfectas (imgenes forenses) de datos de computadora sin realizar cambios en la

    evidencia original.

    Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager para crear la

    imagen forense desde un disco duro u otro dispositivo electrnico. Esto asegura que el sistema

    operativo no alterar la unidad fuente original cuando se le adjunte a la computadora.

    Para prevenir la manipulacin accidental o intencional de la evidencia original, FTK Imager realizar una

    imagen duplicado bit a bit del medio. La imagen forense es idntica en cualquier forma al original,

    incluyendo espacio de holgura o residual y espacio sin asignar o espacio libre de la unidad. Esto permite

    almacenar el medio original en un lugar seguro de dao mientras se procede con la investigacin

    utilizando la imagen forense.

    FTK Imager versin 3.1.4.

  • Despus de realizar la descarga del instalador desde el sitio web oficial de AccessData y proceder con la

    instalacin del programa, se apertura FTK Imager.

    Hacer clic en la opcin File -> Create Disk Image o Archivo -> Crear Imagen de Disco.

  • Se presentar una nueva ventana donde se requiere definir la fuente. Para propsito de la esta

    prctica se crear una imagen forense de toda una unidad USB o Memory Stick, por lo tanto se

    selecciona la opcin Physical Drive o Unidad Fsica. Luego hacer clic en el botn Siguiente.

    En una nueva ventana se muestra un men desplegable, en el cual se selecciona la Unidad Fuente

    correspondiente, para luego hacer clic en el botn Finish o Finalizar.

  • La siguiente ventana permite definir un Destino para la Imagen. Para esto es necesario hacer clic

    en el botn Add...

    En esta ventana se define el tipo de la imagen de destino a crear. Para el caso de la prctica ser

    una imagen Raw o en bruto, es decir tal y como sera creada utilizando una herramienta como

    dd o dcfldd. Revisar la publicacin de ttulo Crear la Imagen Forense desde una Unidad

    utilizando dd.

  • La siguiente ventana solicita ingresar informacin sobre el tem de evidencia. Al completar la

    informacin hacer clic en el botn Siguiente.

    Se requiere definir la carpeta donde se almacenar la imagen forense. La cual es seleccionada

    haciendo clic en el botn Browse o Navegar. A continuacin se requiere nombrar la imagen

    forense (UnidadUSBKR). Y opcionalmente definir si la imagen resultante ser dividida en varias

    partes o sino no ser fragmentada. Para el caso de la presente prctica no ser divida, por lo tanto

    se define el valor 0 en el campo Image Fragment Size (MB) o Tamao del Fragmento de la

    Imagen.

  • Al Hacer clic en el botn Finish. Se mostrar un resumen de las opciones seleccionadas.

    El proceso de creacin de la imagen forense desde la unidad USB o Memory Stick iniciar al hacer

    clic en el botn Start o Iniciar.

  • Finalizada la creacin de la imagen forense, inicia la verificacin de la imagen creada.

    Al finalizar todo este procedimiento se presentan algunos resultados finales. Los resultados

    muestran el nmero de sectores copiados. La generacin de un Hash MD5 y un Hash SHA-1.

    Anotar la coincidencia entre el campo Computed Hash o Hash Calculado, es decir el hash

    obtenido desde la unidad USB o Memory Stick, y el campo Report Hash o Hash Reportado, el

    cual se genera desde la imagen forense creada de nombre unidadUSBKR.001. Anotar tambin

    que no se han detectado sectores Malos.

  • En el mismo directorio o unidad donde se ha creado la imagen forense, se encontrar un archivo

    de texto con el mismo nombre de la imagen forense creada (UnidadUSBKR.txt), en el cual reside

    toda la informacin detallada del proceso realizado.

    Bibliografa

    http://www.accessdata.com/es/productos/soluciones-forenses/ftk


Nadstavba forenzního nástroje FTK Forensic Toolkit

Nadstavba forenzního nástroje FTK Forensic Toolkit

Documents
FTK Imager 2.6.1

FTK Imager 2.6.1

Documents
Visualization of FTK & Tiny Triplet Finder

Visualization of FTK & Tiny Triplet Finder

Documents
Zomercongres Kring van Pensioenspecialisten...• 04 2010 Brief naar 2e Kamer evaluatie FTK • 05 2012 Hoofdlijnennota herziening FTK • 07 2013 Voorontwerp FTK in consultatie •

Zomercongres Kring van Pensioenspecialisten...• 04 2010 Brief naar 2e Kamer evaluatie FTK • 05 2012 Hoofdlijnennota herziening FTK • 07 2013 Voorontwerp FTK in consultatie •

Documents
Rapportagekader pensioenfondsen FTK Taxonomie, versie 2.1

Rapportagekader pensioenfondsen FTK Taxonomie, versie 2.1

Documents
FM (FTK) -

FM (FTK) -

Documents
Lkmm pra td ftk its 2012

Lkmm pra td ftk its 2012

Documents
FTK Mekanikal(Loji) 20142015

FTK Mekanikal(Loji) 20142015

Documents
Progress on H/Abb -> 4b’s channel for the FTK physics case ~ 4jets Trigger w/ and w/o FTK ~

Progress on H/Abb -> 4b’s channel for the FTK physics case ~ 4jets Trigger w/ and w/o FTK ~

Documents
Ftk Wres Presentation Apr 2011 Agk

Ftk Wres Presentation Apr 2011 Agk

Documents
FTK Studies: H hh bbbb FTK Physics Case Meeting 11/03/05 Erik Brubaker University of Chicago

FTK Studies: H hh bbbb FTK Physics Case Meeting 11/03/05 Erik Brubaker University of Chicago

Documents
^TG=;TM- +Bm fTK

^TG=;TM- +Bm fTK

Documents
Progress on FTK Studies FTK Physics Case Meeting 07/20/05 Erik Brubaker University of Chicago

Progress on FTK Studies FTK Physics Case Meeting 07/20/05 Erik Brubaker University of Chicago

Documents
Reporte Ftk

Reporte Ftk

Documents
FTK Imager 2.6.1

FTK Imager 2.6.1

Documents
FTK 1.81.6: Deleted Files: Windows 7

FTK 1.81.6: Deleted Files: Windows 7

Documents
Instrucción FTK Pruebas Interruptores

Instrucción FTK Pruebas Interruptores

Documents
Progress on H/Abb -> 4b’s channel for the FTK physics case ~ 4jets trigger w/ and w/o FTK ~ Kohei Yorita Young-Kee Kim University of Chicago @ the FTK

Progress on H/Abb -> 4b’s channel for the FTK physics case ~ 4jets trigger w/ and w/o FTK ~ Kohei Yorita Young-Kee Kim University of Chicago @ the FTK

Documents
Peto prez ftk

Peto prez ftk

Education
VIPIX, pSuperB, (SuperB) Atlas/FTK

VIPIX, pSuperB, (SuperB) Atlas/FTK

Documents
Senarai Tugas Jawatankuasa FTK

Senarai Tugas Jawatankuasa FTK

Documents
Struktur & Deskripsi Kurikulum FTK

Struktur & Deskripsi Kurikulum FTK

Documents
Flotek Industries (FTK) Memo - University of Virginia · Flotek Industries (FTK) Memo Company(Description(Flotek'Industries'[FTK]'is'a'diversified'global'supplier'of'drilling'and'production'related'products'and'services

Flotek Industries (FTK) Memo - University of Virginia · Flotek Industries (FTK) Memo Company(Description(Flotek'Industries'[FTK]'is'a'diversified'global'supplier'of'drilling'and'production'related'products'and'services

Documents
01 Ftk Chemical Biotech

01 Ftk Chemical Biotech

Documents
SECHE-LINGE FTK 111

SECHE-LINGE FTK 111

Documents
Configuring Distributed Processing With FTK 4

Configuring Distributed Processing With FTK 4

Documents
FAKULTAS TARBIYAH DAN KEGURUAN (FTK) UNIVERSITAS …

FAKULTAS TARBIYAH DAN KEGURUAN (FTK) UNIVERSITAS …

Documents
FTK Heizungsfilter Low

FTK Heizungsfilter Low

Documents
FTK Ultrafast tracking electronics for the ATLAS trigger at the … · 2011. 12. 12. · FTK global tracking current level-2 per jet • FTK completes global tracking in 25 sec at

FTK Ultrafast tracking electronics for the ATLAS trigger at the … · 2011. 12. 12. · FTK global tracking current level-2 per jet • FTK completes global tracking in 25 sec at

Documents
Laporan Pelayaran IPTEK FTK

Laporan Pelayaran IPTEK FTK

Documents