Al momento de realizar análisis forense en equipos informáticos, los investigadores suelen realizar diversas tareas que pueden llegar a consumir mucho tiempo y esfuerzos. Sin mencionar el hecho de encontrarse técnicas anti forenses, que pueden alterar la investigación o evitar que información importante pueda ser rescatada y analizada.
Anteriormente hemos analizado los flujos alternativos de datos que pueden esconderse cuando el sistema de archivos es NTFS. Y de esta manera ocultar información de diversa índole.
El hecho es que al momento de encontrarse un sistema informático con donde es necesario realizar un análisis y existan técnicas anti forenses como los ADS, el hecho de analizar cada directorio con cada flujo alternativo de datos puede ser una tarea que le consuma mucho tiempo a un investigador o perito forense.
Por ello, he desarrollado una herramienta que permite realizar un análisis los flujos alternativos de datos de una manera mucho mas fácil, y que sin duda permite ahorra tiempo y recursos al momento de realizar una investigación de este tipo.
Ademas incorpora una sección para escribir flujos alternativos de datos, de una manera mucho mas amigable.
Imagen 1: Pantalla redacción ADS.
Imagen 2: Creación de ADS.
Para la detección e identificación de ADS, se apoya de la utilidad proporcionada por Microsoft, streams , analizando el fichero de salida proporcionado por la herramienta, para ello hay que realizar el escaneo en el directorio o directorios mediante una linea de comando.
Imagen 3: Escaneo y generación de archivo de salida.
Posterior a ello, solo habrá que importar el archivo a ADS Explorer y analizar cada uno de los ADS detectados en el sistema.
Imagen 4: Análisis de ADS mediante herramienta.
Puedes descargar la herramienta del siguiente aqui.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario