Análisis forense dinámico con Live View

Hola,

Me gustaría aprovechar este breve inciso en las vacaciones veraniegas para hablar de Live View. Esta herramienta es una de mis predilectas, y quizás sea una de esas muchas aplicaciones de alta calidad que por su especialización pasan desapercibidas para el grueso de los usuarios, si bien dentro del mundo del análisis forense es una herramienta utilizada de modo intensivo, habida cuenta de sus virtudes y su carácter gratuito.

Especialmente orientada para trabajar desde una estación Windows y ofreciendo el mejor soporte para el análisis de sistemas también Windows (el soporte de Linux es parcial, y yo no os lo aconsejo) Live View permite al investigador forense estudiar las imágenes forenses que se hayan recogido para realizar una investigación de la misma desde un punto de vista dinámico, es decir, ejecutando dicha imagen.

Mediante Live View es posible crear una máquina virtual VMware a partir de una imagen forense, lo que posibilita al investigador obtener un punto de vista dinámico de la ejecución del sistema que se quiere analizar tal y como hemos comentado. Tradicionalmente casi todas las herramientas forenses son estáticas: se monta la imagen, se buscan cadenas, se correlacionan los eventos y se observa la relación de los mismos, extrayendo las conclusiones pertinentes. El punto de vista dinámico nos permite observar el sistema en ejecución, lo cual puede ser especialmente interesante si planeamos hacer operaciones como el estudio de los procesos en ejecución, un volcado de memoria, contaminación de los componentes del sistema, lanzar aplicaciones, capturar el tráfico de red, etc.

Live View no daña la imagen original, respetando así la validez de las evidencias. Otra enorme ventaja es que, dado que se generan imágenes VMware, es factible gestionar snapshots de las mismas para ir realizando cambios y reviritiéndolos rápidamente si fuera necesario. Live View permite montar y analizar imágenes crudas (dd) tanto de discos completos como de particiones, así como discos físicos (unidos a la máquina mediante USB o Firewire). Los sistemas soportados son Windows 2008, Vista, 2003, XP, 2000, NT, Me, 98 y existe soporte parcial para Linux.

Live View es software libre según GPL y puede ser descargado sin coste desde http://sourceforge.net/project/showfiles.php?group_id=175252

Un saludo,

Un pensamiento en “Análisis forense dinámico con Live View

  1. He tenido algunos problemas con LiveView 0.7b para montar imágenes completas de discos con winServer 2003 en partición de booteo (C:) y unidad lógica D:… no lo reconoce.
    Si hago la imagen solo de la partición de booteo no me da problemas, pero cuando es de todo el disco, parece que no puede interpretar bien la tabla…
    Alguna sugerencia ?

Comentarios cerrados.