OsForensics v6 review - potente herramienta de informática forense para Windows

OsForensics, una potente herramienta de informática forense para Windows

La suite OsForensics es una pieza clave en investigaciones forenses digitales (digital forensics, como se conoce en inglés), un todo en uno que permite localizar pistas, mirar en el interior de archivos y sus cabeceras y, finalmente, organizar e indexar todos los datos hallados para un tratamiento posterior y su presentación.

Podemos definir la informática forense como:

La ciencia o informática forense puede definirse como el proceso de recolección, preservación, análisis e información de pruebas legalmente admisibles ante un tribunal o ante un tercero que las solicite.

La herramienta que te presento hoy te permite investigar cualquier clase de información contenida en un soporte informático, tanto visible como oculta, para adquirir la evidencia necesaria a presentar en un caso ante un jurado, o simplemente para conocer aspectos ocultos de tu ordenador, como contraseñas, metadatos e información oculta en archivos (por ejemplo mediante esteganografía), entre muchos otros.

Análisis de la suite OsForensics

Desarrollado por Passmark -una empresa conocida por productos como PerformanceTest9 y otros muchos relacionados con benchmarking- lo cierto es que OsForensics va actualmente por su versión 6, así que es una herramienta con un largo recorrido en el sector del análisis forense.

Hablamos de un conjunto de herramientas forenses muy completo. Esta suite nos permite completar todos los puntos de un caso forense desde la A a la Z.

slide_recentactivity
Análisis de actividad reciente que incluye una linea temporal de acontecimientos

Es decir, desde la creación de un caso y un índice de información hasta la obtención de todo tipo de evidencias a incorporar al mismo y la generación de un informe final en HTML, que presentará los hallazgos.

Funcionamiento

OsForensics trabaja la información en 3 fases.

1. Descubrimiento

La herramienta realiza búsquedas de gran rapidez en toda la superficie del disco o dispositivo elegido, creando además un índice de información. Es capaz de extraer contraseñas, descifrar archivos y recuperar elementos borrados de diferentes sistemas de archivos: Windows, Mac y Linux.

2. Identificación

Las evidencias y actividades halladas son comparadas mediante su valor hash contra una base de datos. Además, se analizan todos los archivos y permite crear una linea de tiempo (timeline) de toda la actividad del usuario, para presentarla en orden cronológico.

3. Administración

Finalmente, la suite nos permite organizar todas nuestras evidencias en un guión ordenado, incorporando los datos del examinador forense, presentando los hechos acontecidos y adjuntando datos de otras herramientas forenses si es necesario.

Algunas novedades en OsForensics v6

  • Mejora x3 en velocidad de indexado, añadiendo soporte multi-hilo, disco RAM y bypass de pre-escaneo
  • Soporte para OCR en Windows 10
  • Informes cifrados en PDF
  • Salto desde el Visor de disco en bruto al registro MFT
  • Función de quick hashing
  • Soporte para EFS o Encrypted File System
  • Incorpora la última versión de Volatility Workbench con soporte para Mac y Linux
  • Recuperación de claves de Bitlocker
  • Función de auto-descubrimiento mejorada
  • Extracción de vídeos en formato MP4 desde webs como Youtube

Módulos incluidos en esta suite forense digital

Al abrir el programa en seguida veremos que nos ofrece una cantidad ingente de herramientas para obtener información, abarcando desde contraseñas de sistema/navegadores hasta recuperación de emails, información oculta o adquisición de memoria RAM, entre otros.

OsForensics v6 review

A continuación veremos algunos de ejemplos de módulos que podemos explotar con buenos resultados.

Auto-adquisición de pruebas

La opción Auto Triage de OsForensics v6 nos permite acelerar bastante el proceso de captura de evidencias (es algo así como un modo semi-automático) por lo que podemos definir datos básicos del caso y proceder directamente al volcado de información.

Osforensics auto-triage

Bastará con definir las áreas a buscar y las rutas de análisis / presentación de evidencias. Tras pulsar Start Scan la herramienta lo hará todo automáticamente.

Esta opción recopila importante información contextual (información de sistema) e incluso nos presenta los datos en un informe final.

Actividades recientes

Hablamos de una potente característica que nos permite obtener de un “plumazo” toda la información de tareas, eventos, descargas y otras actividades recientes acaecidas en el sistema.

Esta función es ideal para crear un contexto más amplio y establecer relaciones entre pruebas de diferente tipo.

Aparecerán toda suerte de archivos abiertos recientemente, jumplists, comandos ejecutados, programas instalados, favoritos de navegadores, descargas de archivos, cookies, unidades de disco montadas, búsquedas de Windows Search, archivos prefetch y un largo etcétera.

Información del sistema

Si hay algo que nos debe preocupar antes de entrar en la fase de recopilación de evidencias, es la tarea de identificación inequívoca del sistema afectado.

Información de sistema - Osforensics v6

Para ello, OSForensics nos permite mediante diferentes listas obtener datos muy concretos sobre el equipo, por ejemplo mediante la lista información básica de sistema:

  • Nombre del equipo
  • Sistema operativo
  • Información de CPU, memoria, gráficos, USB, puertos o impresoras conectadas
  • Información de red (adaptadores, asignaciones de IP, resolución de nombres)
  • Información sobre unidades ópticas y físicas de almacenamiento
  • Información sobre volúmenes / particiones de disco

Inspección de disco en bruto

El módulo Raw Disk Viewer permite acceso sin restricciones a todos los sectores del disco, posibilitando un análisis en profundidad de todos sus datos.

Este módulo es capaz de leer más allá de directorios o sistemas de archivos, ya que accede al nivel más bajo posible.

Osforensics v6 análisis de disco

Gracias a esta funcionalidad podemos analizar información sospechosa que pudiera estar oculta en sectores sin asignar del disco (raw) que no son normalmente accesibles con mecanismos habituales del sistema operativo: clústeres marcados como libres o slack space restante en archivos.

raw-disk-viewer Osforensics

Tras seleccionar la partición/disco o la imagen de dico que queremos analizar, podremos realizar técnicas de Data Carving como búsqueda de cadenas de texto/hexadecimal, marcado de offsets de disco y decodificación de estructuras de disco invisibles.

Análisis forense de memoria

Este módulo diseñado especificamente para analizar memoria volátil del sistema nos ofrece la opción de capturar en modo Live (usada por el sistema encendido o “vivo”) así como analizar un volcado de memoria previamente capturado.

Adquisición de memoria RAM con OsForensics v6

OsForensics v6 por supuesto nos permite realizar un volcado de memoria, así como trabajar con volcados ya creados mediante otras herramientas como Volatility o mecanismos como dd.

Recuperación de contraseñas

Podemos obtener contraseñas de diversas fuentes como navegadores, sistemas operativos (Windows login) e intentar atacar los hashes de estas mediante Rainbow tables. También permite el descifrado de documentos de ofimática.

La obtención de las mismas se puede hacer desde el sistema en vivo así como desde el análisis estático de archivos en las diferentes unidades de disco.

Obtener contraseñas con OsForensics

Contraseñas recuperables

  • Outlook, Windows Live mail
  • Contraseñas de WiFi
  • Contraseñas de autologon para Windows
  • Claves de producto para Windows 7, 8 y 10
  • Claves de producto para Microsoft Office y Visual Studio
  • Puertos (paralelo y serie)
  • Adaptadores de red
  • Unidades de disco físicas y ópticas
  • Claves de cifrado de Bitlocker

Estos son solo algunos de los módulos que he decidido mostraros hoy, pero lo cierto es que hay muchos más.

Merece la pena destacar el $UsnJrnl Viewer, que nos ofrece los datos almacenados por sistemas de archivos NTFS para mantener un registro de cambios en el volúmen. También permite un análisis eficiente de bases de datos SQLite y ESE (Windows Search / Microsoft Exchange)

Creación de versión portable

Merece la pena destacar que podemos contar con una versión portable de OsForensics para llevar con nosotros en un pendrive o unidad externa. NOTA: esta opción no está soportada en la versión de evaluación de OsForensics v6.

Instalar OsForensics en USB (1).png

Además podemos hacer que la unidad sea auto-booteable mediante WinPE. Solo tenemos que confirmar la clave de licencia adquirida y seguir los pasos indicados.

RelacionadoComo crear un disco booteable compatible con cualquier sistema

Datos del programa

  • Idioma: inglés
  • Precio: 995 $
  • Versión gratuita: Si. Puedes usar el programa durante 30 días con limitación en algunas funcionalidades.

descargar OsForensics

Conclusiones

En pocas palabras, ¿recomiendo el programa? Rotundamente . Permite obtener toda clase de información, gestionar casos desde cero, garantizar la integridad / custodia de la información y es relativamente fácil de usar.

¿Pagar su valor? Está claro que no estamos ante un programa del que un usuario común pueda obtener todo su potencial. Su precio está justificado por lo que ofrece, aunque la versión pagada del programa está destinada a investigadores y administradores de sistemas / especialistas en ciberseguridad de medianas y grandes empresas.

Recomiendo ver los vídeo-tutoriales ofrecidos por Passmark para que la curva de aprendizaje sea menor.

Anuncios

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.