14.2.15

Análisis forense en sistemas Mac OS X. Tools!

Existen tres herramientas gratuitas ideales para análisis forense de sistemas Mac OS X que son: Disk Arbritrator, OS X Auditor y Mac memoryze.


Disk Arbitrator es una utilidad diseñada para ayudar a realizar los procedimientos forenses correctos durante la exploración de un dispositivo de disco.  Cuando está activada, bloquea el montado de sistemas de archivos para evitar el montado como lectura y escritura y la violación de la integridad de las pruebas. Es importante señalar que no es un bloqueador de software de escritura, no cambia el estado de los dispositivos conectados, ni afecta a los dispositivos recién conectados.

Más información y descarga de Disk Arbitrator:
https://github.com/aburgh/Disk-Arbitrator

OS X Auditor es una herramienta de análisis forense para Mac OS X. Esta herramienta analiza el sistema o una copia del mismo, buscando las siguientes partes:

Las extensiones del kernel.
Los agentes del sistema y demonios.
Agentes de terceros y demonios.
Elementos de inicio del sistema.
Agentes de los usuarios.
Archivos descargados de los usuarios.
Las aplicaciones instaladas.

Extrae las siguientes invidencias forenses relativas a los usuarios de la maquina:

Los archivos en cuarentena.
El historial de Safari: descargas, sitios mas visitados, ultima sesión y bases de datos HTML5.
El localstore de los usuarios de Firefox: cookies, descargas, historial de formularios, permisos, lugares y inicios de sesión.
El historial de  Chrome: cookies, datos de inicio de sesión, los mejores sitios, datos de la web, bases de datos y el almacenamiento local de HTML5.
Las cuentas sociales y correo electrónico.
Los puntos de acceso WiFi del sistema, auditando donde ha sido conectada tratando de geolocalizarlos.
También busca palabras clave sospechosas en los propios “.plist”.

Se puede verificar la reputación de cada archivo en busca de malware, utilizando los servicios: Team Cymru's MHR, VirusTotal, Malware.lu y su propia base de datos local. Puede agregar en una zipball todos los registros de los siguientes directorios: “/var/log (-> /private/var/log)”,  “/Library/logs” y “nombreusuario~/Library/logs”.

Finalmente, los resultados pueden ser presentados como: un archivo de registro sencillo txt, un archivo de registro HTML o enviado a un servidor Syslog.

Más información y descarga de OS X Auditor:
https://github.com/jipegit/OSXAuditor

Memoryze para Mac es un software forense que ayuda al estudio de evidencias en memoria RAM de sistemas Mac OS X. Memoryze puede adquirir y analizar imágenes de la memoria. El análisis se puede realizar en imágenes de la memoria fuera de línea o en sistemas vivos.

Más información y descarga de Memoryze:
http://www.mandiant.com/resources/download/mac-memoryze

No hay comentarios:

Publicar un comentario