Belkasoft Forensic Studio Ultimate. Algunas "features" interesantes

Mensajes anteriores sobre el mismo tema:
Belkasoft Forensic Studio Ultimate. Introducción
Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
Belkasoft Forensic Studio Ultimate. Análisis completo de un sistema Win7
Belkasoft RamCapturer


Para terminar el repaso de Belkasoft Forensic Studio Ultimate / Evidence Center, voy a repasar algunas funciones que no había comentado. Por supuesto no he probado todas las posibilidades de este software porque (1) hay cientos de tipos de pruebas soportados, (2) no tenía evidencias de todos los tipos y (3) he probado los casos que me han parecido más "probables".

Por ejemplo no he probado cosas tan interesantes como:
  • "Gadu-Gadu": servicio IM popular en Polonia
  • "ICQ": ¿todavía hay gente usando ICQ?
  • "QQ": EL servicio IM de China
  • "Yandex Disk": Servicio Cloud originario de Rusia
  • "Odnoklassniki": El Tuenti ruso
  • "Karos": Juego on-line del que se pueden extraer los mensajes de chat
  • ... y así hasta más de 400 tipos de pruebas diferentes: la lista completa en su web

Búsquedas
Las búsquedas se hacen sobre los datos extraídos por la herramienta, es decir, los datos ya procesados. Por este motivo, si el software no extrae la información de un tipo concreto tampoco lo va encontrar la función de búsqueda. 


Como se puede ver en la imagen se puede buscar un texto "libre", expresión regular o "palabra de archivo" (parte de la ruta del archivo) o algunos tipos predefinidos. Lo más útil me ha parecido la capacidad de buscar direcciones IP y "nombres humanos" en todos los registros extraídos. Esto simplifica mucho la tarea porque puedes localizar las personas con las que ha contactado el sospechoso bien sea por e-mail, IM o en el chat de un juego. 

Fichero PCAP
No entiendo muy bien la necesidad de esto pero ahí está. El propio programa extrae de los ficheros PCAP las "conversaciones" entre dos "servicios". Para que esto funcione hay que tener una captura de tráfico. Si la evidencia procede de un delincuente es muy raro que él mismo haga capturas de tráfico. Por otra parte, si la captura la hacemos nosotros es lógico pensar que tenemos algún programa potente para analizar el tráfico capturado. 


E-MAIL
Cualquier e-mail capturado por Forensic Studio es reconocido y mostrado como tal. Esto aplica a mensajes en clientes de correo (el cliente Outlook para Exchange), en aplicaciones Web (gmail) o en volcados de memoria. En todos los casos, el mensaje se analiza y se muestran por separado cabeceras, adjuntos y texto. También se muestra el contenido "en crudo" por si no nos fiamos de la herramienta y queremos procesarlo "manualmente".


SKYPE
Uso "Skype" como ejemplo de lo que puede hacer Forensic Studio con las sesiones de mensajería instantánea. Básicamente, identifica los perfiles de los que quedan rastros en la evidencia, los interlocutores y los mensajes intercambiado con su fecha y su hora. Sencillo y rápido.




INFORMES
Todos los elementos analizados se pueden exportar en forma de informes. Se puede sacar en XML, CSV, HTML, etc. para su posterior proceso y su inclusión en nuestros documentos adaptados a las plantillas que utilicemos. En mi caso, no soy muy partidario de incluir enormes listados con un montón de información que nadie consulta y que no es realmente relevante.
En cualquier caso, adjunto un ejemplo de informe usando la plantilla HTML propia de Belkasoft. Por supuesto, se puede modificar el XSS original para personalizar la página HTML resultante.



Falsos positivos
Esto merece una mención especial. Como Forensic Studio es capaz de identificar más de 400 tipos diferentes de pruebas es bastante probable que identifique un montoncito de basura digital abandonada en un rincón del disco duro como algo significativo. En el ejemplo se ve cómo localizó un presunto chat de Nate (herramienta IM de SK Telecom, Corea del Sur), con texto en chino y todo.


El texto significa según Google Translator: "? agujero ? ? ? ? ? moverse lentamente ? ? Qi Jian ? ? Lan". 
Por supuesto, en estos caso lo apropiado es ignorar el asunto. A veces por el afán de demostrar todo lo que somos capaces de localizar incluimos en nuestros informes pruebas que no son totalmente sólidas (como este falso positivo). Es mejor, en caso de duda, no incluir algo de lo que no estamos 100% seguros. Si se incluye un dato falso en un informe, la parte contraria puede descubrirlo, ponerlo de relieve y anular por extensión todo el trabajo realizado.



Este post cierra la serie sobre el funcionamiento de Belkasoft Forensic Studio. Mañana colgaré un análisis personal resumiendo lo que más me ha gustado y lo que menos de esta solución.

Referencias a otros posts sobre el mismo tema:
Belkasoft Forensic Studio Ultimate. Introducción
Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
Belkasoft Forensic Studio Ultimate. Análisis completo de un sistema Win7
Belkasoft RamCapturer

</ Belkasoft Forensic Studio Ultimate. Algunas "features" interesantes>

No hay comentarios:

Publicar un comentario