LABORATORIO 2.

FULL LIVE RESPONSE

Contenido
LABORATORIO 2. FULL LIVE RESPONSE .............................................................................................1
Objetivos ............................................................................................................................................2
Recursos a Utilizar ..............................................................................................................................2
Lecturas Previas .................................................................................................................................2
Configuración .....................................................................................................................................2
Marco Teórico ....................................................................................................................................3
Memoria RAM ................................................................................................................................3
Imagen Forense ..............................................................................................................................3
Escenario............................................................................................................................................4
Entregables de laboratorio ................................................................................................................4
Archivos de evidencia .....................................................................................................................4
Informe Técnico Forense ................................................................................................................5
Procedimiento ....................................................................................................................................5
Registro de Windows .....................................................................................................................5
Exportar registro de Windows ....................................................................................................5
Analizar registro de Windows.....................................................................................................7
Memoria RAM ................................................................................................................................9
Volcado de Memoria RAM .........................................................................................................9
Herramientas de análisis del archivo de memoria RAM ...........................................................10
Levantamiento de Imagen Forense (Dispositivo Externo o Interno) ............................................17
Live Response Automation ...........................................................................................................21
LiveResponse Cedarpelta .........................................................................................................21
Objetivos
• Identificar y utilizar herramientas dadas para sistemas operativos Windows
• Identificar las posibles evidencias volátiles, como no volátiles dentro de un ambiente de
sistema operativo Windows.
• Utilizar herramientas forenses especializadas para el levantamiento de evidencia.
• Realizar el proceso de levantamiento de copia forense sobre dispositivos de
almacenamiento
• Analizar y almacenar los resultados del levantamiento.

Recursos a Utilizar
Dentro del laboratorio se hará necesario la utilización de las siguientes herramientas y elementos:
• Software de análisis forense
• Máquina objeto de análisis.
• Dispositivo de almacenamiento externo USB (se recomienda no superior a 8GB)
• LiveResponse Cedarpelta
• FTK Imager
• Volatility Workbench
• Mandiant RedLine
• Regback 1.5
• Regviewer

Lecturas Previas
• Marco Teórico
• UNIX / LINUX Forensics Analysis – Chris Progue – Capítulos 3, 6 y 7.
• Windows Forensics Analysis – Harlan Carvey – Capitulo 1 [pag 1 – 62].
• FTK Imager User Guide– [En Línea]
o https://ad-pdf.s3.amazonaws.com/ImagerUsersGuide.pdf
• FTK User Guide – [En línea]
o https://ad-pdf.s3.amazonaws.com/ftk/ftk%205.5/FTK_UG.pdf
• CAINE Manual and Policies
o http://www.caine-live.net/page8/page8.html

Configuración
Hardware
A continuación se listará la configuración de hardware recomendada. Si usted posee mejor
configuración, se recomienda el incremento de dichos valores:
Máquina De Análisis Forense
• SO: Windows/Linux
• RAM: 1024+
Máquina Víctima
• SO: Windows XP o superior
• RAM: 1024+
• Es un equipo virtualizado en Oracle VirtualBox.
Marco Teórico
Memoria RAM
La memoria de acceso aleatorio (Random Access Memory, RAM) se utiliza como memoria de trabajo
de computadoras para el sistema operativo, los programas y la mayor parte del software. En la RAM
se cargan todas las instrucciones que ejecuta la unidad central de procesamiento (procesador) y
otras unidades del computador. Se denominan «de acceso aleatorio» porque se puede leer o
escribir en una posición de memoria con un tiempo de espera igual para cualquier posición, no
siendo necesario seguir un orden para acceder (acceso secuencial) a la información de la manera
más rápida posible. Durante el encendido de la computadora, la rutina POST verifica que los
módulos de RAM estén conectados de manera correcta. En el caso que no existan o no se detecten
los módulos, la mayoría de las tarjetas madres emiten una serie de sonidos que indican la ausencia
de memoria principal. Terminado ese proceso, la memoria BIOS puede realizar un test básico sobre
la memoria RAM indicando fallos mayores en la misma.

Imagen Forense
Cuando un equipo electrónico es identificado como sospechoso y contener posiblemente evidencia
electrónica, es imperativo seguir un estricto conjunto de procedimientos para garantizar una
extracción (admisible) de cualquier evidencia que pueda existir en el equipo sujeto. La primera cosa
a recordar es la "regla de oro de la evidencia digital" -Nunca, de ninguna manera, modificar el medio
original, si es posible-. Por lo tanto, antes de que ocurra cualquier análisis de datos, por lo general
tiene sentido crear una copia exacta, flujo de bits de los medios de almacenamiento original que
existe en el equipo sujeto. Una imagen forense, se refiere a veces una imagen ghost1 del medio de
almacenamiento. Estas imágenes espejo o imagen fantasma no siempre generan una
imagen forense cierto. Lo mismo es cierto para la clonación de un disco duro. Una imagen forense
puede incluir una o varias unidades de disco duro, medios de almacenamiento externo, CD (s),
unidad (s) Zip o DVD (s), además de muchos otros tipos de medios de almacenamiento que existen
en la actualidad. Es necesario que cuando hablamos de una imagen forense hacemos referencia a
una copia bit a bit de todos los sectores del dispositivo de almacenamiento. La creación de una
imagen forense es un proceso muy detallado. Si usted no tiene los adecuados conocimientos de un
profesional capacitado, puede comprometer seriamente sus posibilidades de obtener pruebas
admisibles como resultado de sus esfuerzos de descubrimiento. Además, para evitar acusaciones
de adulteración de pruebas o expoliación, es una práctica recomendada que las imágenes sean
realizadas por una tercera parte objetiva. Protocolos sugeridos para el levantamiento de una imagen
forense se pueden encontrar dentro de las pautas estandarizadas por las instituciones y
organizaciones como el Departamento de Justicia (DOJ) y el Instituto Nacional de Estándares y
Tecnología (NIST). Como buen comienzo es siempre necesario asegurarse de que la integridad de
todas las pruebas se mantiene, se establece la cadena de custodia, y todos los valores de hash
pertinentes están documentados. Una vez que se completa la imagen, cualquier buena herramienta
debe generar una huella digital de los medios de comunicación adquiridas, también conocido como
un hash. Un proceso de generación de hash implica el examen de todos los 0s y 1s de que existen
en los sectores examinados. La alteración de un solo 0 a 1 hará que el valor hash resultante sea
diferente. Tanto la copia original y de las pruebas se analizan para generar una fuente y destino
hash. Suponiendo que ambos coincidan, podemos estar seguros de la autenticidad de la unidad de
disco duro copiado.

Imagen Ghost: Una imagen del sistema, llamada también imagen Ghost o Ghost a causa de un
programa bastante conocido, es una copia de respaldo de todo el contenido de una partición (incluso
de un conjunto de particiones). Ninguna distinción es hecha en el contenido. Se puede decir que una
imagen del sistema es una "copia fiel" de la partición en un instante t (siendo t la hora del respaldo).

El estándar de la industria para la imagen actualmente recomienda el uso del algoritmo MD5. El
creador del MD5, Ronald L. Rivest del MIT, describe el algoritmo de la siguiente manera: [El
algoritmo MD5] toma como entrada un mensaje de longitud arbitraria y produce como salida una
"huella digital" de 128 bits o "compendio del mensaje" de la entrada. . . El algoritmo MD5 está
destinado a aplicaciones de firma digital, donde un archivo de gran tamaño debe ser "comprimido"
de una manera segura antes de ser cifrado con una clave privada (secreta) bajo un sistema de cifrado
de clave pública como RSA.

La afirmación anterior simplemente dice que el MD5 es un excelente método para verificar la
integridad de los datos. Un valor MD5 obtenida a partir de la imagen del disco duro debe coincidir
con el valor del disco duro original. Incluso la más pequeña modificación en un disco duro, por
ejemplo, la adición de una coma a un documento de MS Word sería enormemente cambiar el valor
hash MD5 resultante.

Si bien puede parecer plausible para utilizar el personal de TI interno para mostrar una imagen de
un disco duro sospechoso, tener en cuenta las posibles consecuencias. La contratación de expertos
en informática forense de terceros asegurará un manejo seguro de las pruebas. Un experto
cualificado seguirá estándares de la industria para evitar la expoliación y ayudará a refutar la
acusación de sabotaje por parte de un miembro del personal interno que conozca la persona clave
(s) conectada a la caja. Un experto de terceros también establecerá una cadena de custodia que
garantice otra capa de protección a la evidencia.

Escenario
A usted como investigador forense lo han llamado para realizar el levantamiento de información
de un equipo Windows XP, que se cree que ha sido infectado con un malware y por el cuál se cree
que atacantes remotos han iniciado la extracción de información confidencial de la compañía.

Entregables de laboratorio
Archivos de evidencia
Debe entregar los archivos de imagen obtenidos y los documentos de texto con la salida de cada
uno de los comandos realizados en el equipo y de los resultados exportados con las herramientas
adicionales.

Al finalizar la recolección completa de todas las evidencias, debe tomar cada uno de los archivos
creados y les debe realizar el cálculo del hash con un algoritmo de SHA-256 y MD5. Se debe entregar
otro archivo al final en donde se relacionen el nombre de los archivos y sus respectivos valores de
hash.
NOTA: si no se realiza la entrega del archivo de evidencias con sus hashes, el desarrollo
del laboratorio no será válido

Informe Técnico Forense

A usted como investigador forense no se le puede olvidar que debe realizar un informe en donde
se detalle cada una de las acciones realizadas (paso a paso) en los equipos a fin de conservar las
características de la evidencia vistas en clase.

Para realizar la entrega del informe se debe anexar un archivo de texto con el valor del hash del
informe con un algoritmo de SHA-256 y MD5.

NOTA: si no se realiza la entrega del archivo del informe técnico forense con su hash, el
desarrollo del laboratorio no será válido

Procedimiento
Sobre la máquina de Windows a analizar, realice un levantamiento de evidencia volátil y no volátil.
Tenga en cuenta que los datos y acciones que realice sobre la maquina serán reflejados en resultado
de la ejecución de los comandos.

Registro de Windows
Exportar registro de Windows
Para hacer una copia de seguridad del Registro se hace uso de la herramienta RegBak 1.5 del
fabricante Acelogix Software (http://www.acelogix.com/download/#downrb).

Se ejecuta el programa y se da en la opción de “New Backup”

En la siguiente ventana se especifica la ruta en donde se quiere exportar los archivos, y en donde se
puede indicar una descripción del Backup. Para iniciar el Backup se da click en el botón de “Start”

En la siguiente ventana se muestra el proceso de ejecución del Backup, una vez finalizado se debe
dar click en el botón de “close”

Si todo esta correcto en la ruta especificada se encuentran los archivos de registro de la máquina
Analizar registro de Windows

Para realizar el análisis del registro de Windows se debe realizar la carga del archivo en la
herramienta RegViewer

Al ejecutar el programa se tiene esta interfaz

En el menú file, cargamos en archivo mediante la opción “open registry files”

Elegimos el archivo creado en el paso anterior desde el mismo campo de selección

Se despliega el listado de llaves de registro

OBJETIVO: Analizar el contenido del archivo F05aF07_4bd45adbfc9023bb233feaa767af591e.rar y
trate de determinar algún contenido anómalo que haya podido afectar el equipo de donde se
obtuvo esta copia del registro

Nota:

1- Recuerde realizar la documentación de todos los pasos que ejecutó para el análisis.

Memoria RAM
Volcado de Memoria RAM
Al igual que los medios de almacenamiento como lo son discos duros, memorias USB,
DVD/CD/Bluray y otros, la memoria RAM es un dispositivo de almacenamiento de información la
cual tiende a ser volátil pero muy útil en casos de investigación. Dicha información hará referencia
a la información que es accedida por programas durante su ejecución. Para realizar una copia
(termino técnico utilizado es el volcamiento de memoria) ejecute el programa FTK Imager ubicado
en el escritorio de la máquina.

Ubique en la parte superior izquierda de la ventana la opción File, posterior hacer click sobre la
opción Capture Memory. Luego, seleccione la ruta y el nombre del archivo en el que almacenara el
volcado de memoria.

Para efectos del laboratorio se recomienda que lo guarde como memdump.img. Seleccione la
opción de Capture Memory. El tamaño de dicho archivo será directamente proporcional al tamaño
de memoria RAM que posea la máquina. De ser requerido y como buena práctica, es recomendable
seleccionar la parte de levantamiento del archivo de paginación.
Por último, es necesario que procese la información respectiva a la integridad del archivo para que
sea tomada como evidencia.

Herramientas de análisis del archivo de memoria RAM

Volatility Framework
Para poder analizar la información del volcado de la memoria RAM en un archivo es necesario hacer
uso de la herramienta Volatility Workbench. Se ejecuta la herramienta y se despliega la siguiente
ventana

Sobre la ventana se debe hacer clic cobre el botón “Browse Image” y allí se debe realizar la búsqueda
del archivo de imagen que se obtuvo en procedimiento anterior
Una vez seleccionado el archivo se debe elegir el sistema operativo desde el cual se obtuvo la
imagen, luego de ello se debe realizar clic en el botón de “Refresh Process List”.

El proceso se inicia y se debe esperar a que finalice la tarea

Al finalizar la tarea va a obtener el listado de todos los procesos encontrados en el equipo al

momento de obtener la captura de la imagen
En el menú de command seleccionar las diferentes opciones que se listan y verificar la información
que entrega

Nota: Generar informe de las opciones que obtuvieron una salida exitosa

Sobre la lista de comandos, busque y seleccione la opción Windows.procdump. en el campo dump

folder name se debe indicar el nombre del archivo con que se desea exportar un ejecutable como
parte de la evidencia. En el siguiente campo llamado Process ID se debe seleccionar el proceso
correspondiente al ejecutable que se desea exportar. Luego de ello hacer clic en el botón de “Run”
En la ruta en donde se encuentra el ejecutable del Volatility Framework se debe encontrar un folder
con el nombre y en su interior el archivo exportado

En un explorador de Internet ir a www.virustotal.com

En esta página web realizar la carga del archivo que se obtuvo de la memoria RAM y verificar los
resultados obtenidos.
Mandiant RedLine
Otra herramienta que permite el análisis de la memoria RAM en un entrono gráfico es la
herramienta de RedLine, producidad y mantenida por Mandiant. Sobre esta herramienta se obtiene
información similar a la herramienta anterior. Los pasos son los siguientes:

En un equipo de análisis forense se debe realiza la instalación de la herramienta con privilegios de

administrador. Una vez instalada la aplicación ejecute la aplicación.Nota: no olvide ejecutarla con
privilegios de administrador.

En la nueva ventana de la aplicación se debe seleccionar la opción de Abrir de un archivo de

imagen de memoria RAM.
En la siguiente ventana se debe seleccionar la ruta del archivo

En la siguiente ventana se debe indicar el nombre de la investigación y la ruta de trabajo en donde

se dejara registro de la actividad de análisis.
Se debe esperar a que se cree todo el ambiente de análisis por parte de la herramienta

En la nueva ventana que se desplega, se debe seleccionar la opción de una fuente externa

Se despliegua la ventana de análisis de la herramienta, ahora usted debe dirigirse a cada uno de los
elementos que componen la herramienta y determinar que tipo de información se obtiene en cada
una de las opciones o verificar para que nos sirve en una investigación forense.
Levantamiento de Imagen Forense (Dispositivo Externo o Interno)
Es posible llegar a realizar una copia forense bit a bit de diferentes dispositivos de almacenamientos
y de diferentes maneras según la finalidad que se quiera obtener. Para ello nos dirigimos a la parte
superior de la ventana dándole click a la opción File. Seleccionamos la opción Create Disk Image.

Se desplegará un menú con diferentes opciones que a continuación explicaremos:

• Physicial Drive: Hace referencia a un contenedor físico de almacenamiento. Este puede ser
una USB o un disco externo.
 • Logical Drive: Hace referencia a una partición o volumen en específico. Es posible que
solamente se quiera llegar a realizar una copia forense referente a una partición únicamente
de un medio de almacenamiento físico.
• Image File: Hace referencia a realizar una copia a partir de una imagen forense.
Generalmente esto ya es una copia previa bit a bit.
• Contents of a Folder: Exclusivamente hace referencia a un folder en específico. Solamente
realizará la copia basada en las direcciones de memoria en donde se encuentre el folder a
copiar.
• Ferrico Device: Hace referencia a medios de almacenamiento ópticos. Es posible tener esta
opción debido a que existen medios de almacenamiento ópticos (CD/DVD/BlueRay) que son
re escribibles.

En caso de nuestra práctica, tenemos un dispositivo externo por lo que la opción a escoger es
Physical Drive. Podrá escoger la unidad que quiera llegar a trabajar. Si llega a desconocer las
unidades listadas, guíese por el tamaño que presentan.

Luego es necesario configurar el tipo de archivo resultante del proceso. Para ello seleccione la
opción Add la cual presentará los diferentes formatos (Raw (dd), SMART, E01). Seleccione la opción
Raw(dd) y prosiga.
Ingrese la información correspondiente a la evidencia según el caso.

Para terminar, ingrese la ruta de ubicación donde se almacenará la imagen con el nombre (el
nombre no debe incluir el formato de archivo). Se recomienda no llegar a fragmentar en archivos
más pequeños la evidencia, por lo que será necesario configurar la opción Image Fragment Size en
0, pero si el medio de almacenamiento es grande, configure el tamaño en MB en los cuales desea
particionarlo. De igual manera la parte de compresión.
Finalmente, para llegar a realizar una verificación completa del proceso, seleccione las opciones de
Verify images after they are created, Precalculate Progress Statistics y Create directorylistings of all
files in the image after they are created. Usted podrá ver el progreso y el tiempo estimado varía
según el tamaño del medio de almacenamiento.

Si el procedimiento no tuvo ningún inconveniente, se generará una ventana con un resumen de la

información de la imagen. De igual manera se genera automáticamente un archivo TXT que contiene
dicha información.
Live Response Automation
Con la ejecución del siguiente procedimiento, se espera realizar el levantamiento de información de
manera automática de los elementos necesarios para una investigación forense.

LiveResponse Cedarpelta
Realice la descompresión del archivo LiveResponseCollection-Cedarpelta.zip en la ruta de trabajo.

En el interior de la carpeta se encontrará una serie de carpetas para la ejecución del levantamiento
de información según el sistema operativo, para este caso del laboratorio, haremos uso de la
carpeta de Windows.

En el interior de la carpeta, ejecuta el archivo exe que se encuentra en el interior. Nota: Recuerde
ejecutar la herramienta con privilegios de administrador del equipo.
En la nueva ventana que se despliega, se debe seleccionar el tipo de levantamiento de información
que se desea realizar

1. Secure complete: realiza un levantamiento de la información del equipo que incluye la salida
de comandos para la información volátil, una imagen de la memoria RAM y una imagen del
disco duro
2. Memory Dump: Esta opción la información volátil por medio de comandos y una imagen de
la memoria RAM
3. Triage: realiza un levantamiento de la información volátil por medio de comandos del
sistema operativo y extracción de logs.

Para el caso del laboratorio, se realizará la selección de la opción de Triage, y luego se da clic en el
botón de “Run…”.

Se abre una nueva ventana de la consola de comandos, es necesario esperar a que termine el
procedimiento
Al finalizar el procedimiento, le indica que presione una tecla

En la carpeta de ejecución de la herramienta se crea una carpeta con todos los elementos extraídos
Verifique la carpeta llamada LiveResponseData

Analice la información obtenida y resalte los archivos