UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

 
FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES
 
MAESTRÍA EN SEGURIDAD INFORMÁTICA

CURSO:

INFORMATICA FORENSE

OSFORENSICS

FACILITADOR:
MGST. ITSMAOSGAMA ALVENDAS

INTEGRANTES:

JOSÉ LEZCANO 4-789-1381

JOEL GONZÁLEZ C. 4-818-1444
EYNER L. PIMENTEL A. 4-777-2464

 2023
 Que es OSForensics
OSForensics, desarrollado por PassMark
Software®, es un software forense
informático rico en funciones, robusto y
versátil utilizado por profesionales de
informática forense y eDiscovery en
todo el mundo. La versión más reciente
es más potente, rápida y está repleta de
más funciones que nunca, agregando
nueva tecnología líder en la industria,
como Cloud Imaging, Al Scanning y más.
 Requisitos del sistema
Hardware mínimo:2 GB de RAM Hardware rentable de rango medio sugerido Estación de trabajo de gama alta:
para la máquina de laboratorio:

• Cualquier CPU x86 (por ejemplo, Intel Core i3) • 32 GB de RAM DDR4 o DDR5 • Soluciones listas para usar: servidor en torre
• Win7 o superior • CPU x64 de 86 bits lanzada en los últimos 3 PowerEdge T440 o HPE ML350 Gen11
• Cualquier disco duro con 2 GB de espacio libre años con 6+ núcleos (por ejemplo, Intel i5- • 64GB+ ECC DDR5 RAM
• Cualquier tarjeta de vídeo 12600K) • CPU Xeon con 10+ núcleos (Gen11 o
• Win11 posterior)
• Arranque de 2TB y unidad de datos. SSD M2 • Win11
NVME (por ejemplo, Samsung 980 PRO M.2 • Arranque de 4TB y unidad de datos. SSD M2
PCI-E Gen4 2TB) NVME (por ejemplo, Samsung 980 PRO M.2
• Almacenamiento "en frío" opcional (por PCI-E Gen4 4TB)
ejemplo, Seagate Ironwolf 10TB HDD) • 4 x 8TB SATA SSD de almacenamiento. (por
• Tarjeta de vídeo (por ejemplo, nVidia 3060) ejemplo, Samsung 870 QVO 2.5in SATA SSD
• Fuente de alimentación Gold clase 650W. 8TB)
• Duplicación de datos RAID 0 opcional en
almacenamiento SSD
• Tarjeta de vídeo: nVidia 4080 (si se prevé el
descifrado de contraseñas, de lo contrario
clase 3060)
• Fuente de alimentación Gold clase 850W+.
 ventajas
• Económico
• Fácil de aprender y usar
• Mantenimiento sin complicaciones
• Portátil y de arranque (versión USB
incluida)
• Gestión de casos 360°
• Soporta sistemas de archivos Windows,
Mac, Linux y Android
• ¡OSF puede ahorrar a la mayoría de los
usuarios horas, si no días, en sus
investigaciones!
 Desventajas
• Su versión profesional es de uso
exclusivamente comercial
• Su versión gratuita posee limitaciones
 Funcionamiento
OsForensics trabaja la información
en 3 fases.
• Descubrimiento
•  Identificación
•  Administración
  Descubrimiento
La herramienta realiza búsquedas de
gran rapidez en toda la superficie del
disco o dispositivo elegido, creando
además un índice de información. Es
capaz de extraer contraseñas, descifrar
archivos y recuperar elementos
borrados de diferentes sistemas de
archivos: Windows, Mac y Linux.
Encuentra archivos
más rápido
Proporciona una de las formas
más rápidas y eficaces de
localizar archivos en un equipo
con Windows. Puede buscar por
nombre de archivo, tamaño,
fechas de creación, modificación
y otros criterios.
 Buscar dentro de
los archivos
Incluye una de las formas más
rápidas y potentes de buscar dentro
del contenido de todos los archivos
en un disco duro, impulsado por el
aclamado motor de búsqueda Zoom.
Con potentes capacidades de
búsqueda preindexada que ofrecen
búsqueda de texto completo de
cientos de formatos de archivo
Buscar correos
electrónicos
La primera etapa para poder buscar
correos electrónicos es crear un
índice de los archivos en cuestión.
Esto puede llevar algún tiempo, pero
es lo que permite repetidas
búsquedas rápidas más adelante.
OSForensics™ le permite realizar
búsquedas de texto completo dentro
de archivos de correo electrónico
utilizado por muchos programas de
correo electrónico populares como
Microsoft Outlook, Mozilla
Thunderbird, Outlook Express y más.
Recuperar archivos
borrados
Permite recuperar y buscar archivos
eliminados, incluso después de que se
hayan eliminado de la Papelera de
reciclaje. Esto le permite revisar los
archivos que el usuario puede haber
intentado destruir.
Cada archivo eliminado encontrado se
muestra con un indicador de calidad
correspondiente entre 0-100. Un valor
hacia 100 significa que el archivo
eliminado está en gran parte intacto,
con solo unos pocos clústeres de datos
faltantes.
Descubrir la actividad
del usuario
Escanea su sistema en busca de
evidencia de actividad reciente,
como sitios web accedidos,
unidades USB, redes inalámbricas,
descargas recientes, inicios de
sesión de sitios web y contraseñas
de sitios web. Esto es
especialmente útil para identificar
tendencias y patrones del usuario, y
cualquier material o cuenta a la que
se haya accedido recientemente.
Recopilar información
del sistema
El módulo Información del sistema muestra
información detallada sobre los componentes
principales del sistema, incluidos, entre otros:
• CPU, placa base y memoria
• BIOS
• Tarjeta de video/dispositivos de
visualización
• Controladores y dispositivos USB
• Puertos (serie/paralelo)
• Adaptadores de red
• Unidades físicas y ópticas
• Detección de Bitlocker
• Recuperar claves de BitLocker
• Scripts de Python
Recuperación y descifrado de contraseñas

Con OSForensics puede recuperar

contraseñas de navegador de Chrome,
Edge, IE, Firefox y Opera. Esto se
puede hacer en la máquina en vivo o
desde una imagen de un disco duro.
Los datos recuperados incluyen la URL
del sitio web (generalmente HTTPS), el
nombre de usuario de inicio de sesión,
la contraseña del sitio, el navegador
utilizado para acceder al sitio y el
nombre de usuario de la ventana. 
Áreas de disco ocultas - HPA/DCO

Puede descubrir y exponer las

áreas ocultas HPA y DCO de un
disco duro, que se pueden utilizar
con fines maliciosos, incluyendo
Ocultar datos ilegales. El área
protegida del host (HPA) y la
superposición de configuración de
dispositivos (DCO) son
características para ocultar sectores
de un disco duro de ser accesible
para el usuario final.
 Instantáneas
de volumen
Incluye soporte integrado para
acceder a instantáneas de
volumen. Las instantáneas
proporcionan una visión del
volumen en un punto en el
tiempo en el pasado. Esto
permitirá descubrir cambios en
los archivos e incluso ver
posibles archivos eliminados.
  Identificación
Las evidencias y actividades halladas
son comparadas mediante su valor hash
contra una base de datos. Además, se
analizan todos los archivos y permite
crear una línea de tiempo (timeline) de
toda la actividad del usuario, para
presentarla en orden cronológico.
Verificar y hacer
coincidir archivos

Hace uso de varios algoritmos de hash

avanzados para crear una huella digital
única que se puede usar para identificar
un archivo.
Utilice OSForensics para confirmar que los
archivos no se han dañado o manipulado
comparando valores hash, o identificar si
un archivo desconocido pertenece a un
conjunto conocido de archivos.
Buscar archivos con
nombre incorrecto

Puede identificar archivos cuyo

contenido no coincide con su
extensión de archivo. Puede
descubrir el intento de un
usuario de ocultar fotos,
documentos u otras pruebas
(también conocidas como
"datos oscuros") mediante la
búsqueda de archivos sin
coincidencia.
Firmas de unidades
de disco
Le permite crear una firma forense
de una unidad de disco duro,
conservando información sobre las
estructuras de archivos y
directorios presentes en el sistema
en el momento de la creación de la
firma. Identifique los cambios en
directorios y archivos comparando
firmas creadas en diferentes
momentos.
Visor de archivos
incluye un visor de archivos incorporado
para analizar el contenido de los
archivos, archivos eliminados, secciones
de memoria y sectores sin procesar. El
visor consta de varios modos que
ayudan específicamente con el análisis
de datos forenses.
Visor de memoria

Permite al usuario realizar análisis

forenses de memoria en un
sistema en vivo o un volcado de
memoria estática. Hay 2 tipos de
análisis de memoria que se
pueden realizar:
• Análisis en vivo
• Análisis estático
 Visor del Registro
Incluye un visor de registro
integrado para analizar el contenido
de los archivos de subárbol del
registro de Windows. Se puede abrir
desde la pestaña Inicio en
OSForensics o se abrirá y navegará
automáticamente a la clave
seleccionada al elegir la opción
"Abrir archivo de registro" de un
escaneo de actividad reciente.
Navegador del
sistema de archivos
Proporciona un explorador de
sistemas de archivos similar a un
explorador de todos los dispositivos
que se han agregado a la carcasa. A
diferencia del Explorador de Windows,
el Explorador del sistema de archivos
puede mostrar información forense
adicional específica, así como permitir
que el análisis se realice utilizando las
herramientas integradas de
OSForensics.
Visor de discos
sin formato
Permite al usuario ver y analizar
los sectores sin procesar de
todos los discos físicos y
particiones (incluidas las
imágenes montadas) conectados
al sistema. Este módulo
proporciona la capacidad de
realizar una inspección más
profunda de una unidad,
mirando más allá de los datos
almacenados en los archivos y
directorios del sistema de
archivos.
Navegador de base
de datos SQLite
Incluye un visor de base de datos
SQLite para bases de datos
almacenadas en el formato de
archivo SQLite. El formato de
base de datos SQLite es utilizado
por varias plataformas, como
iPhone, Firefox y Chrome.
 Visor de registro
de eventos

Ahora incluye el Visor de registro de

eventos, que permite a los usuarios
ver y examinar registros de eventos
creados por Windows Vista y más
allá. Admite registros de eventos
con la extensión de archivo .evtx
ubicada en el directorio
%System32%\winevt\Logs.
Administración
Finalmente, la suite nos permite
organizar todas nuestras evidencias en
un guión ordenado, incorporando los
datos del examinador forense,
presentando los hechos acontecidos y
adjuntando datos de otras herramientas
forenses si es necesario.
 Gestione su
investigación
Ayuda a organizar toda la
evidencia que ha descubierto en
un único archivo de caso
cíptográficamente seguro. Agregue
evidencia y resultados a su archivo
de caso para análisis futuros y
tenga la confianza de que su
archivo de caso no ha sido
manipulado.
 Generar
informes
permite exportar su archivo
de caso como un informe
accesible y personalizable que
muestra todas las pruebas
asociadas con el caso.
Entregue un resumen legible
de los hallazgos forenses a los
clientes o agentes de la ley en
cualquier momento de su
investigación.
Administrar los
dispositivos de
almacenamiento
ayuda a administrar sus discos
físicos, particiones, volúmenes y
archivos de imagen dentro de un
caso. Una vez que el dispositivo se
agrega a la carcasa, se puede
acceder a través de toda la
funcionalidad de OSForensics a
través de un alias definido por el
usuario (similar a una letra de
unidad en Windows).
Imágenes de
unidades
La funcionalidad de
imágenes de unidad
OSForensics™ permite al
investigador crear y
restaurar archivos de
imagen de unidad, que
son copias bit a bit de una
partición, disco físico o
volumen.
Reconstruir
RAID
puede reconstruir una sola imagen
RAID a partir de un conjunto de
imágenes de disco físico
pertenecientes a una matriz RAID.
Ser capaz de obtener imágenes
adecuadas de los sistemas con
configuraciones RAID para el análisis
forense a veces es un desafío,
debido al hecho de que no es
posible tener acceso a los
parámetros RAID (como el nivel
RAID y el tamaño de banda) que se
utilizaron.
 Portabilidad

Se puede instalar y ejecutar

completamente desde una
unidad flash USB portátil. No
hay necesidad de instalar
software de descubrimiento
digital en una máquina
específica simplemente
podemos llevar nuestra
investigación en el bolsillo.
Registro seguro de casos
La funcionalidad de registro seguro de OSForensics™
permite al investigador mantener una pista de
auditoría de las actividades exactas llevadas a cabo
durante el curso de la investigación para varios
propósitos, incluidos los siguientes:

• Resumen de una investigación completada

• Auditar las actividades de una investigación para
determinar si se siguieron los procedimientos y
protocolos adecuados
• Formación y evaluación de investigadores en
formación