Publicada l'edició gratuïta del manual «Windows 8 Forensic Guide» que tracta sobre els aspectes relacionats amb la nova interfície d'usuari, les carpetes locals i itinerants, les aplicacions Metro, registre del sistema, etc… relatiu a la Consumer preview del Wndows 8.
Windows 8 Forensic Guide
L'índex és:
- Windows 8 User Interface
- Windows Artifacts
- Local Folder
- Metro Apps
- IE10 Websites Visited
- Journal Notes
- Desktop Tools
- Metro App Web Cache
- Metro App Cookies
- Cache
- Cookies
- Microsoft Folder
- Digital Certificates
- What’s New
- User’s Contacts
- App Settings
- Windows Registry
- NTUSER.DAT
- SAM
- SYSTEM
- USB STORAGE DEVICES
- SOFTWARE
- Final Thoughts
RadioGraPhy és una eina per a l'anàlisi forense de sistemes Windows, pensada per extreure el màxim d'informació disponible:
- Claus de registre relacionades amb el procés d'arrencada de l'equip i d'inici de sessió
- Claus de registre amb la configuració de l'Internet Explorer
- Comptes d'usuari i les seves propietats
- Fitxers d'inici
- Serveis del sistema
- Contingut del fitxer hosts
- Controladors de dispositius carregats
- Unitats de disc compartides
- Finestres ocultes
- Processos de sistema en execució
- Informació de xarxa (connexions obertes, ports que escolten…).
Funciona amb una interfície gràfica:
Interfície gràfica de RadioGraPhy
i també des de la línia d'ordres.
L'article «Acquisition and Analysis of Volatile Memory from Android Devices» explica una tècnica, aplicable al sistema Android però també, per extensió a Linux, per a la recuperació del contingut de la memòria RAM.
Seguint amb els articles que aquests darrers dies tracten sobre les possibilitats de recuperar informació a les unitats SSD, «Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?»
Here we show that it is imprudent and potentially reckless to rely on existing evidence collection processes and procedures, and we demonstrate that conventional assumptions about the behaviour of storage media are no longer valid. In particular, we demonstrate that modern storage devices can operate under their own volition in the absence of computer instructions. Such operations are highly destructive of traditionally recoverable data. This can contaminate evidence; can obfuscate and make validation of digital evidence reports difficult; can complicate the process of live and dead analysis recovery; and can complicate and frustrate the post recovery forensic analysis.
Our experimental findings demonstrate tat solid-state drives (SSDs) have the capacity to destroy evidence catastrophically under their own volition, in the absence of specific instructions to do so from a computer.
Això va una mica en contradicció amb l'estudi que vaig citar ara fa uns dies… diuen que les unitats SSD plantegen un problema alhora de realitzar una anàlisi forense donada les funcionalitats que inclouen moltes unitats de reorganitzar internament la informació:
As a result, most SSDs have firmware that automatically carries out “self healing” or “garbage collection” procedures that can permanently erase or alter files that have been marked for deletion. The process often begins as soon as three minutes after the drive is powered on and happens with no warning. The user need not initiate any commands, and the drive emits no lights or makes any sounds to indicate the purging is taking place.
Oxygen Forensic Suite 2010 és una aplicació, comercial –el preu oscil·la pels 1000 dòlars– per a la realització d'anàlisis forenses de telèfons mòbils. Segons s'indica, permet l'extracció de totes les dades emmagatzemades a la memòria del dispositiu, inclosa la targeta SIM. Entre les dades que identifica hi ha:
- Relació de trucades (rebudes, realitzades i perdudes)
- Comptadors d'utilització de GPRS
- Esdeveniments del calendari
- Missatges curts
- Missatges multimèdia MMS
- Contingut multimèdia (fotos, vídeos, melodies)
- Enregistraments de veu
- Missatges esborrats –sempre que no s'hagin sobreescrit
L'eina funciona preservant l'evidència original, la qual cosa permet la utilització de les dades obtingudes com a prova judicial.
Dóna suport a més de 500 tipus de telèfon mòbil, inclosos els BlackBerry, Nokia, Motorola, Sony Ericsson, Samsung, dispositius basats en Windows Mobile, Android i iPhone.
Malgrat ser una aplicació comercial, durant aquest mes de febrer es pot demanar una llicència gratuïta d'ús, amb un any d'actualitzacions, de l'edició estàndard.
"What Really Sank The Titanic: New Forensic Discoveries"
Feia molt de temps que no tenia la sorpresa de rebre un regal de la meva Wishlist d'Amazon… així que ahir, en obrir el paquet després de recollir-lo a l'oficina de Correus, la sorpresa va ser majúscula.
Es tracta del llibre "What Really Sank The Titanic: New Forensic Discoveries", que tracta sobre la investigació realitzada per descobrir les causes que van originar el naufragi del Titànic després de xocar amb un iceberg. El llibre el vaig descobrir després de veure un documental al programa del Canal 33 "Cronos".
El llibre analitza les raons per les quals el Titànic, l'artefacte mòbil més gran construït per la humanitat fins a la data, es va enfonsar l'abril del 1912 (l'any vinent, farà un segle) i deixant més de 1.500 morts, entre passatgers i tripulació dues hores després de topar amb un iceberg. L'enfonsament del Titànic s'ha convertit en un dels episodis més famosos i tràgics de tots els temps.
Ara bé, l'estudi que presenta aquest llibre indica que la seva fi va ser el resultat de molt més que la col·lisió entre el transatlàntic i un iceberg. La causa va ser una combinació desgraciada d'errors de càlcul tècnics, fallades humanes i una mala sort extraordinària.
El documental el vaig trobar d'allò més sorprenent… i cercant més informació, vaig trobar el llibre. El vaig afegir a la wishlist i ara em trobo que algú (no m'ha facilitat la seva identitat) me l'ha regalat. Gràcies a l'anònim donador!
