16 julio 2012

Revisión de OSForensics 1.1.1002

OSForensics de PassMark es una aplicación que incluye un conjunto de utilidades para hacer análisis forenses. Se distribuye como versión gratuita o comercial (499$). La primera tiene algunas limitaciones, como el número de casos (3) que puede gestionar o el número de ficheros (200.000), que puede indexar, además de no estar permitido su uso para fines comerciales.

Pantalla principal
Las características más interesantes son:

1.- Búsqueda de avanzada de ficheros en base atributos, fecha de creación o modificación y tamaños, que son mostrados en un listado o en imágenes en miniatura. También permite hacer una línea de tiempo, que más bien es una gráfica de barras por fechas a la que no veo demasiada utilidad.

Configuración de búsqueda avanzada de ficheros
2.- Creación y búsqueda en un índice, para optimizar la búsqueda de cadenas de texto en el disco duro analizado. Es una buena aproximación pero es realmente lento.

Creación de un índice
3.- Actividad reciente, consultando MRU, USB conectados, conexiones Wifi y páginas vistas, pese que a que conceptualmente sería lo ideal en general existen tantos datos que resulta prácticamente imposible trabajar con la información adquirida. La línea de tiempo "gráfico de barras", tampoco sirve de nada en este caso.

Actividad reciente
4.- Ficheros eliminados, que son consultados de la tabla $MFT,  permite técnicas de carving, pero no deja seleccionar por extensión o crear nuevos tipos de fichero en base a cabeceras, por lo que se queda algo corto.

Recuperación de ficheros
5.- Búsqueda de ficheros sin extensión o con cabeceras que no corresponden a la extensión, que en algún caso en concreto puede ser útil y en la gran mayoría y en las pruebas que he hecho, genera demasiados falsos positivos.

6.- Visor de memoria con el que hacer volcados de un proceso en concreto, en caso de que la herramienta sea ejecutada en un sistema arrancado. No soporta el análisis de memoria sobre un fichero volcada con otra aplicación.

7.- Visor raw de un disco/imagen y navegador de archivos, que permiten la búsqueda manual de cadenas y añadir marcadores, o por el contrario con "File System Browser", es posible recorrer la estructura de directorios de una imagen o una partición.

Opciones del visor raw de un disco/imagen

8.- Obtención de contraseñas del navegador, hashes ntlm/lm, búsqueda en una unidad y uso de tablas rainbow. También se queda algo pobre en comparación a otras utilidades de este estilo, como el clásico Cain&Abel.

9.- Información del sistema, ya sea usando las propias herramientas de Windows (net, at, getmac, ipconfig, route, sc...) o sus propias funcionas, obtiene los típicos datos de hardware y servicios, procesos, puertos, rutas, etcétera. 

10.- Verificación y creación de los hashes más conocidos para una imagen de un disco, unidad o texto.

11.- Permite el uso de base de datos NSRL de hashes para verificar la integridad de un sistema, aunque la versión gratuita no permite importar de un tercero.

12.- Creación de firmas de un directorio que posteriormente puede ser comparado para verificar su integridad.

13.- Reinicio de unidad para propósito forense, que elimina los datos que contenga de forma segura y verifica que no contiene errores.

14.- Creación de imagen forense, no permite especificar demasiadas opciones: que hacer en caso de error o si se crearán en varios directorios a la vez, hashes en el vuelo o el formato de la imagen.

Creación de imagen

15.- Montaje de imágenes de disco en unidades para su análisis. 

Opciones para el montaje de imágenes

16.- Copia de directorios "forense", es decir manteniendo sus atributos y fechas como en el original.

17.- Instalación en un pendrive para su uso de forma portable.

Las conclusión después de jugar un buen rato con ella y trastear cada una de las opciones es que la aplicación es demasiado sencilla en algunos aspectos pero suficientemente útil como para usarla en otros. Para adquirir conocimientos y hacer pruebas desde luego es práctica. En cambio, si es para uso profesional y esto requiere desembolsar 500$, me parece un precio excesivo para una aplicación que aún le falta un poco más de recorrido.

3 comments :

1Gb de Informacion dijo...

Me parece muy interesante la entrada. Tengo que releerla con mas calma.
Gracias!!

Angelucho dijo...

Muy interesante herramienta forense, buen manual, buen foro, GRANDE la gente de aqui

@erjaimer dijo...

habrá que echarle el vistazo.
buen aporte
un saludo