La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.

Presentaciones similares


Presentación del tema: "Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb."— Transcripción de la presentación:

1 juancrui © 2014

2 http://about.me/juancrui 1981. Memoria: 1680 bytes = 1.6 Kb

3

4

5

6 El objetivo es ponérselo difícil al perito y generar dudas en la investigación Información está pero no se ve Sobresaturación Borrado seguro o sobrescritura con información falsa

7 Se localiza la técnica antiforensics y la información Solo se localiza la técnica No se localiza la técnica  no acceso a la información

8 Técnicas Antiforensics OcultaciónModificaciónEliminaciónCreación

9 Aplicaciones como Decaf Vs COFEE Manipulación de logs y/o metadatos Cifrado Splitting Files + Encryption Esteganografía Crear error en base a como se investiga

10 MAFIA Sobresaturación de información Colisión MD5 Ofuscación Generar “info”  distorsionar la escena

11 Wipeado (varias pasadas) Destrucción física Si no está, no se encuentra!

12 Slacks Alternate Data Stream Bad Blocks (Inode 1) Unallocated spaces Particiones eliminadas u ocultas Tools no detectan la “info”  no recuperación

13 No cache thumbnails VPN’s Desactivar Puntos restauración Bit Shifting Active kill disk Desactivar hibernación Cambiar atributos MAC Fake information TOR Packers truecrypt Protectme eePROM BIOS Firmware Rootkits

14 NVIDIA: nvflash

15 Flujos alternativos de datos NTFS permite guardar flujos alternativos junto al principal con solo especificar un nombre interno Fichero[:flujo[:tipo]]

16 Notas Flujo principal es :$DATA Tantos ADS como memoria disponible Política es que el usuario no use ADS ==> “ ” “:” ==> confusión ==> solución rutas absolutas Hash no varía por ADS’s Al comprimir perdemos ADS’s salvo rar MIME y Base64 ignora ADS

17 Notas Transferencias FTP, HTTP ignora los ADS Copia de NTFS a NTFS, redes Samba ADSEn ficheroEn carpeta En Partición En imagen de disco En fichero borrado

18 Utiles Lads : http://www.heysoft.de/en/software/lads.phphttp://www.heysoft.de/en/software/lads.php Streams: http://technet.microsoft.com/en-us/sysinternals/bb897440http://technet.microsoft.com/en-us/sysinternals/bb897440 Copy_ads: http://www.dmares.com/maresware/html/copy_ads.htmhttp://www.dmares.com/maresware/html/copy_ads.htm ADS Spy: http://www.bleepingcomputer.com/download/ads-spy/http://www.bleepingcomputer.com/download/ads-spy/ AlternateSreteamView: http://www.nirsoft.net/utils/alternate_data_streams.html http://www.nirsoft.net/utils/alternate_data_streams.html DIR /R

19 USB NTFS sin contenido aparente

20 Análisis más en profundidad se detectan 2 ADS en particiones G::$BadClus de tipo rar G::$ de 100Mb

21 $BadClus contiene en su interior: Si se extrae directamente se pierden los posibles ADS que contuviera Extraer con “rar x $BadClus.” Y contiene un ADS: “?”

22 ADS “$“ El símbolo detrás del $ es necesario para poder extraerlo

23 Con streams visualizamos $á, pero … El símbolo detrás del $ es necesario para poder extraerlo Ya lo tendríamos extraído ahora hay que determinar los tipos de ficheros que son

24 file2 File2 no tiene signatura conocida si probamos con tchunt por si fuera un contenedor cifrado tipo truecrypt nos da positivo … pero ¿y la clave? Signatures:

25 Documento Al abrirlo con MSWord: Se observa una frase firmada y una imagen de una tabla periódica compatible con el nombre del documento A buscar la clave (o las claves)

26 Parametrizamos fondo y texto con el mismo color NTUuODQ1

27 La imagen de la tabla periódica ¿puede tener esteanografía? NTguOTMz

28 Las propiedades del “doc” en su registro Asunto encontramos algo similar NTguNjkz

29 Las propiedades avanzadas del “doc” en su registro “Referencia” encontramos otra posible clave NjMuNTQ2

30 Analicemos el tipo del fichero: http://mark0.net/onlinetrid.aspx Estamos ante un fichero “docx” y no un “doc”. El docx no deja de ser un empaquetado

31 Si desempaquetamos el docx: Podemos observar cosas curiosas: 2 imágenes 3 temas

32 NjUuMzgw Visualizando la imagen../word/media/image2.png:

33 NjkuNzIz Y los metadatos IPTC de la imagen../word/media image2.png:

34 NzIuNjMw Y las propiedades en el registro comentario de la imagen../word/media/image1.png :

35 NzQuOTIx Lo mismo con los temas: El tema../word/theme/theme2.xml es un fichero de ¡texto!

36 El tema../word/theme/theme3.xml es un fichero “cbz” con tres imágenes y un fichero oculto sin nombre

37 NzguOTcx El fichero oculto de../word/theme/theme3.xml es un fichero “de texto”

38 También “tabla periodica.doc” tiene ADS Con algunos programas de tratamiento de ADS nos sale el símbolo “?” pero este no nos funciona

39 Otros programas ni nos muestran el nombre

40 El de Nirsoft © si que nos muestra: ☺= [ALT]+1

41 NzkuOTAx Visualizamos el contenido

42 ¿Y qué tenemos hasta ahora? ¿Paramos? Probando en el contenedor Truecrypt nos da negativo NTUuODQ1 NTguOTMz NTguNjkz NjMuNTQ2 NjUuMzgw NjkuNzIz NzIuNjMw NzQuOTIx NzguOTcx NzkuOTAx ¿Falta alguna más? ¿Hay que operar con ellas? ¿Ofuscación? ¿Alguna relación?

43 Si decodificamos de Base64 a ASCII Obtenemos: NTUuODQ155.845 NTguOTMz58.933 NTguNjkz58.693 NjMuNTQ263.546 NjUuMzgw65.380 NjkuNzIz69.723 NzIuNjMw72.630 NzQuOTIx74.921 NzguOTcx78.971 NzkuOTAx79.901

44 Debemos ponernos en el cerebro del autor

45 Los números son muy semejantes a los pesos atómicos de la tabla periódica del documento Y si los ordenamos por orden numérico veremos la relación y el siguiente de la tabla: El siguiente es el “KRYPTON” y en base64: ODMuNzk4

46 Si desciframos el contenedor Truecrypt obtendremos el secreto:

47 Una bonita reliquia de un manual de Alquimia

48 http://about.me/juancrui ¿Alguna pregunta?


Descargar ppt "Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb."

Presentaciones similares


Anuncios Google