OsForensics, una potente herramienta de informática forense para Windows
La suite OsForensics es una pieza clave en investigaciones forenses digitales (digital forensics, como se conoce en inglés), un todo en uno que permite localizar pistas, mirar en el interior de archivos y sus cabeceras y, finalmente, organizar e indexar todos los datos hallados para un tratamiento posterior y su presentación.
Podemos definir la informática forense como:
La ciencia o informática forense puede definirse como el proceso de recolección, preservación, análisis e información de pruebas legalmente admisibles ante un tribunal o ante un tercero que las solicite.
La herramienta que te presento hoy te permite investigar cualquier clase de información contenida en un soporte informático, tanto visible como oculta, para adquirir la evidencia necesaria a presentar en un caso ante un jurado, o simplemente para conocer aspectos ocultos de tu ordenador, como contraseñas, metadatos e información oculta en archivos (por ejemplo mediante esteganografía), entre muchos otros.
Análisis de la suite OsForensics
Desarrollado por Passmark -una empresa conocida por productos como PerformanceTest9 y otros muchos relacionados con benchmarking- lo cierto es que OsForensics va actualmente por su versión 6, así que es una herramienta con un largo recorrido en el sector del análisis forense.
Hablamos de un conjunto de herramientas forenses muy completo. Esta suite nos permite completar todos los puntos de un caso forense desde la A a la Z.
Es decir, desde la creación de un caso y un índice de información hasta la obtención de todo tipo de evidencias a incorporar al mismo y la generación de un informe final en HTML, que presentará los hallazgos.
Funcionamiento
OsForensics trabaja la información en 3 fases.
1. Descubrimiento
La herramienta realiza búsquedas de gran rapidez en toda la superficie del disco o dispositivo elegido, creando además un índice de información. Es capaz de extraer contraseñas, descifrar archivos y recuperar elementos borrados de diferentes sistemas de archivos: Windows, Mac y Linux.
2. Identificación
Las evidencias y actividades halladas son comparadas mediante su valor hash contra una base de datos. Además, se analizan todos los archivos y permite crear una linea de tiempo (timeline) de toda la actividad del usuario, para presentarla en orden cronológico.
3. Administración
Finalmente, la suite nos permite organizar todas nuestras evidencias en un guión ordenado, incorporando los datos del examinador forense, presentando los hechos acontecidos y adjuntando datos de otras herramientas forenses si es necesario.
Algunas novedades en OsForensics v6
- Mejora x3 en velocidad de indexado, añadiendo soporte multi-hilo, disco RAM y bypass de pre-escaneo
- Soporte para OCR en Windows 10
- Informes cifrados en PDF
- Salto desde el Visor de disco en bruto al registro MFT
- Función de quick hashing
- Soporte para EFS o Encrypted File System
- Incorpora la última versión de Volatility Workbench con soporte para Mac y Linux
- Recuperación de claves de Bitlocker
- Función de auto-descubrimiento mejorada
- Extracción de vídeos en formato MP4 desde webs como Youtube
Módulos incluidos en esta suite forense digital
Al abrir el programa en seguida veremos que nos ofrece una cantidad ingente de herramientas para obtener información, abarcando desde contraseñas de sistema/navegadores hasta recuperación de emails, información oculta o adquisición de memoria RAM, entre otros.
A continuación veremos algunos de ejemplos de módulos que podemos explotar con buenos resultados.
Auto-adquisición de pruebas
La opción Auto Triage de OsForensics v6 nos permite acelerar bastante el proceso de captura de evidencias (es algo así como un modo semi-automático) por lo que podemos definir datos básicos del caso y proceder directamente al volcado de información.
Bastará con definir las áreas a buscar y las rutas de análisis / presentación de evidencias. Tras pulsar Start Scan la herramienta lo hará todo automáticamente.
Esta opción recopila importante información contextual (información de sistema) e incluso nos presenta los datos en un informe final.
Actividades recientes
Hablamos de una potente característica que nos permite obtener de un «plumazo» toda la información de tareas, eventos, descargas y otras actividades recientes acaecidas en el sistema.
Esta función es ideal para crear un contexto más amplio y establecer relaciones entre pruebas de diferente tipo.
Aparecerán toda suerte de archivos abiertos recientemente, jumplists, comandos ejecutados, programas instalados, favoritos de navegadores, descargas de archivos, cookies, unidades de disco montadas, búsquedas de Windows Search, archivos prefetch y un largo etcétera.
Información del sistema
Si hay algo que nos debe preocupar antes de entrar en la fase de recopilación de evidencias, es la tarea de identificación inequívoca del sistema afectado.
Para ello, OSForensics nos permite mediante diferentes listas obtener datos muy concretos sobre el equipo, por ejemplo mediante la lista información básica de sistema:
- Nombre del equipo
- Sistema operativo
- Información de CPU, memoria, gráficos, USB, puertos o impresoras conectadas
- Información de red (adaptadores, asignaciones de IP, resolución de nombres)
- Información sobre unidades ópticas y físicas de almacenamiento
- Información sobre volúmenes / particiones de disco
Inspección de disco en bruto
El módulo Raw Disk Viewer permite acceso sin restricciones a todos los sectores del disco, posibilitando un análisis en profundidad de todos sus datos.
Este módulo es capaz de leer más allá de directorios o sistemas de archivos, ya que accede al nivel más bajo posible.
Gracias a esta funcionalidad podemos analizar información sospechosa que pudiera estar oculta en sectores sin asignar del disco (raw) que no son normalmente accesibles con mecanismos habituales del sistema operativo: clústeres marcados como libres o slack space restante en archivos.
Tras seleccionar la partición/disco o la imagen de dico que queremos analizar, podremos realizar técnicas de Data Carving como búsqueda de cadenas de texto/hexadecimal, marcado de offsets de disco y decodificación de estructuras de disco invisibles.
Análisis forense de memoria
Este módulo diseñado especificamente para analizar memoria volátil del sistema nos ofrece la opción de capturar en modo Live (usada por el sistema encendido o «vivo») así como analizar un volcado de memoria previamente capturado.
OsForensics v6 por supuesto nos permite realizar un volcado de memoria, así como trabajar con volcados ya creados mediante otras herramientas como Volatility o mecanismos como dd.
Recuperación de contraseñas
Podemos obtener contraseñas de diversas fuentes como navegadores, sistemas operativos (Windows login) e intentar atacar los hashes de estas mediante Rainbow tables. También permite el descifrado de documentos de ofimática.
La obtención de las mismas se puede hacer desde el sistema en vivo así como desde el análisis estático de archivos en las diferentes unidades de disco.
Contraseñas recuperables
- Outlook, Windows Live mail
- Contraseñas de WiFi
- Contraseñas de autologon para Windows
- Claves de producto para Windows 7, 8 y 10
- Claves de producto para Microsoft Office y Visual Studio
- Puertos (paralelo y serie)
- Adaptadores de red
- Unidades de disco físicas y ópticas
- Claves de cifrado de Bitlocker
Estos son solo algunos de los módulos que he decidido mostraros hoy, pero lo cierto es que hay muchos más.
Merece la pena destacar el $UsnJrnl Viewer, que nos ofrece los datos almacenados por sistemas de archivos NTFS para mantener un registro de cambios en el volúmen. También permite un análisis eficiente de bases de datos SQLite y ESE (Windows Search / Microsoft Exchange)
Creación de versión portable
Merece la pena destacar que podemos contar con una versión portable de OsForensics para llevar con nosotros en un pendrive o unidad externa. NOTA: esta opción no está soportada en la versión de evaluación de OsForensics v6.
Además podemos hacer que la unidad sea auto-booteable mediante WinPE. Solo tenemos que confirmar la clave de licencia adquirida y seguir los pasos indicados.
Relacionado – Como crear un disco booteable compatible con cualquier sistema
Datos del programa
- Idioma: inglés
- Precio: 995 $
- Versión gratuita: Si. Puedes usar el programa durante 30 días con limitación en algunas funcionalidades.
Conclusiones
En pocas palabras, ¿recomiendo el programa? Rotundamente sí. Permite obtener toda clase de información, gestionar casos desde cero, garantizar la integridad / custodia de la información y es relativamente fácil de usar.
¿Pagar su valor? Está claro que no estamos ante un programa del que un usuario común pueda obtener todo su potencial. Su precio está justificado por lo que ofrece, aunque la versión pagada del programa está destinada a investigadores y administradores de sistemas / especialistas en ciberseguridad de medianas y grandes empresas.
Recomiendo ver los vídeo-tutoriales ofrecidos por Passmark para que la curva de aprendizaje sea menor.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
hola me interesa la version paga como seria estoy interesado
Hola, en la web oficial que cito en el artículo es donde debes comprarlo. De todas formas si quieres dime qué tipo de licencia es (sector privado, empresa o licencia con fines académicos) y el nivel de soporte qué quieres contratar (opcional) así como los módulos extra, e intento conseguirte un precio competitivo por él. Saludos.
Buenos noches favor contactarme por temas de adquisición de software
Hola Gelsen, por favor escríbeme a través del formulario ubicado aquí: https://protegermipc.net/acerca-de/ o bien escríbeme un correo a info@protegermipc.net. Saludos.
Alguna informaciòn de herramientas para la adquisición de memoria RAM??
OSforensics es perfectamente capaz, aunque también he hablado anteriormente de la herramienta de Belkasoft en mi web. Saludos.