Sunday, April 13, 2008

Initial Steps in Computer Forensics

Few weeks back, I followed SecurityFocus mailings and response to one of my colleagues emails concerning "Computer Forensics" investigation. Here it is what I defined him initally for copying the HDD to preserve the master record of an evidence. In computer forensics, it is a first step to aquire/save the evidence from any modifications made either by investigator itself or any other entity. The best way of dealing with such cases is:

1. Power Down the system (if applicable for removable storage media)
2. Remove any portable storage media and look if you can remove HDD as well.
3. Record necessary BIOS information.
4. Make an image of the storage media.
- dd (Under Linux Platform)
- EnCase (For Win32)
- SMART from ASRData
5. Verify the integrity of Data collected using MD5 Checksum tool.

Just be sure about the proper documents and legal procedures to be followed under any investigation you are on. By following the steps, you are assuring the Chain of Custody for the required evidence without any modifications noted.

Some useful Metadata Analyzer tools can help in finding hidden "meta data" inside number of types of documents(PDF, DOC, XLS etc)

-PuriFile (http://www.purifile.com)
-Inforenz Forager (http://www.inforenz.com/software/index.html)
-Metadata Analysis and cleanup (http://www.payneconsulting.com)
-wwWare (http://wvware.sourceforge.net)

I will be posting the analog of Forensics Analysis Tools same as what I did for "Penetration Testing Framework" very soon, so keep your eyes on it.



Semanas atras, siguiendo la lista de SecurityFocus y en respuesta a un email de un colega concerniente a investigación de “Computacion Forense”. Aquí es lo que el define inicialmente como copiar el disco duro para conservar el registro inicial de una evidencia. En la computación forense, el primer paso es adquirir (hacer una copia) y guardar la evidencia (el hdd original) para evitar cualquiera modificación que pudiera hacer después el investigador. La mejor manera de hace esto es:

1. Apagar el sistema (Si aplica remover los dispositivos extraíbles)
2. Remueve cualquier dispositivo extraíble y mira si puedes remover el disco duro también
3. Registra la información necesaria del BIOS.
4. Realiza una imagen de los dispositivos.
- dd (Linux)
- EnCase (Win32)
- SMART de ASRData
5. Verifica la integridad de la data usando una herramienta de chequeo MD5.

Para estar seguro de la documentación adecuada y procedimientos legales que sigas bajo una investigación te necesitas asegurar la cadena de custodia y tomar nota de cualquiera modificación que se realice.

Algunas herramientas analizadoras de Metadata pueden ayudarte a buscar “meta data” escondida dentro de varios tipos de documentos (PDF, DOC, XLS etc)

-PuriFile (http://www.purifile.com)
-Inforenz Forager (http://www.inforenz.com/software/index.html)
-Metadata Analysis and cleanup (http://www.payneconsulting.com)
-wwWare (http://wvware.sourceforge.net)

Estaremos posteando la analogía del análisis forense muy pronto, está pendiente…

Traducido por: Rafael, Alfredo, Ali (www.ethical-hacker.net)