Análisis forense de sistemas Microsoft Windows con Live View

Hola,

Os dejo una notita para hablar de una herramienta de análisis forense bastante curiosa y útil. Se trata de Live View.

live view

Esta herramienta, basada en Java, es capaz de crear una máquina virtual VMware fuera de un disco físico, lo que permite que obtener una vista de usuario sobre el sistema sin tener ningún tipo de colateral en el mismo más allá de accesos de lectura. Los cambios se transmiten a un fichero, y es posible revertir los cambios siempre que queramos, devolviendo el sistema a su estado original. Podemos arrancar imágenes de disco completas, imágenes de particiones, discos físicos conectados vía USB o Firewire e incluso imágenes en otros formatos (lo que requerirá ls presencia del software de gestión de dichas imágenes)

live view

Live View está especialmente pensado para Sistemas Windows (2003, XP, 2000, NT, Me, 98), aunque tiene capacidad de análisis sobre Linux (limitada). Es un desarrollo del Software Engineering Institute del CERT, que han tenido la deferencia de licenciarlo bajo GPL.

Live View rompe con el paradigma tradicional, en el que se extrae una imagen del disco a investigar para ser posteriormente analizada sin que tengamos relación alguna con la máquina original. Estos modelos, aunque son precisos y válidos, pueden ser muy costosos en los supuestos que haya ruptura de continuidad a la hora de extraer la imagen, evento que puede (y suele) requerir la desconexión del sistema, causando impactos por la indisponibilidad de los servicios que preste la máquina a analizar.

Lo tenéis disponible en http://liveview.sourceforge.net/

Saludos, y buen fin de semana :)

Un pensamiento en “Análisis forense de sistemas Microsoft Windows con Live View

Comentarios cerrados.