David Perez ISACA 14nov07 Analisis Forense v04
Transcript of David Perez ISACA 14nov07 Analisis Forense v04
14.11.2007 1
14.11.2007 2
ANÁLISIS FORENSE
David Pérez Conde
Instructor Certificado de The SANS Institute y Consultor Independiente
14.11.2007 3
• Nombre: David Pérez Conde
• Títulación:
– Ing. Sup. Telecomunicaciones, UPV
– GSE (SANS, http://www.giac.org/certifications/gse.php)
• Cargos:
– Consultor de seguridad (indep.)
– Instructor de The SANS Institute (www.sans.org)
• Blog: http://blog.radajo.com
• Mail: david.perez.conde @ gmail.com
Autor
14.11.2007 4
• Introducción
• Tipos
• Ejemplos
Contenidos
14.11.2007 5
Introducción
Fuentes: www.csi.telecinco.es, www.rsi.telecinco.es
14.11.2007 6
• Sistemas:
– copia de disco duro
– copia de memoria (RAM)
• Red:
– captura de tráfico
• Otros:
– teléfono móvil
– agenda electrónica
– tarjeta/unidad de memoria extraíble
Tipos de A. Forense
14.11.2007 7
• Evidencia:
– Fichero copia de un disco duro (Win XP): demo01.hda.dd (10 GB)
• Pistas:
– El antivirus se quejaba de “edlm2.exe”
(Trojan.Tabela.F - Symantec) a partir del 12jun06
• Conclusiones:
– Malware inicial: ldr64.dll (W32.Beagle.DV - Symantec)
– Fecha infección: 06/12/06 11:48:55AM
– Vía de infección: EXE adjunto en correo web
Ej.1: Disco duro
14.11.2007 10
• Evidencia: fichero de captura de tráfico de red
– file_deletion_full_trace.cap (815 KB)
• Pistas:
– Fichero desaparecido: file4.txt
• Conclusiones:
– Método: borrado SMB
– Fecha: 23mar07 09:45:55
– Quién: [email protected]
– Desde: 10.10.10.11, CLIENTXP1
Ej.2: Captura de red
14.11.2007 12
• http://blog.radajo.com
• http://www.sans.org
• http://www.giac.org
Referencias
14.11.2007 13
¡Gracias!