La nueva versión de AccessData FTK 4 … la historia (por Sandro Suffert)

Quisiera compartir con ustedes este post que Sandro Suffert (@suffert), un buen amigo brasileño publicó en su blog.

Realmente me llamó la atención por la excelente narrativa de la historia de una de las herramientas más usadas para el análisis forense. Yo he tenido la oportunidad de trabajar con esta herramienta por más de 10 años, recuerdo las primeras versiones como si fuera ayer!

También soy el Instructor de esta herramienta para los cursos de certificación por el fabricante AccessData en el idioma español, por lo que como se imaginarán, conozco esta herramienta, como algunas otras, en todo lo que pueden ofrecer!

No me queda mas que agradecerle a Sandro por su aceptación para poder traducir esto para ustedes. Sandro! Parabens! E obrigado cara!

Les comparto directamente la información traducida al español, adjunto algunos comentarios en color rojo de mi autoría.

 


 

Tuve la oportunidad de comenzar las pruebas de la versión 4.0 del AccessData FTK (Forensic Toolkit) el pasado 16 de febrero (gracias a Corey Johnson y Marcos Ferrari <– Ex-MaTTico ) y desde entonces estuve esperando tener tiempo para presentar un resumen y capturas de pantalla de las innovaciones que la herramienta ha estado mostrando en sus últimas versiones.

Antes de discutir algunas de las noticias y los puntos fuertes de la solución, tengo una breve historia de la herramienta en los últimos años:

  • FTK 1.X) La versión más antigua de la solución ya ha tenido algunas diferencias interesantes, como la categorización / Overview que se logra al clasificar los archivos basados ​​en su firma; el proceso de indexación eficiente (usando dtSearch), y la capacidad de analizar más mensajes de correo electrónico. La parte de correo electrónico, fue el primer programa en permitir análisis de correo sin tener que exportarlo para ver el contenido de los archivos PST!

 

  • FTK 2.xy 3.x), esta versión incluye características tales como Base de Datos en Oracle (2.x) para la creación de los casos (en comparación con el procesamiento en la memoria), procesamiento distribuido en varias máquinas (1 + 3), la posibilidad de calcular Fuzzy Hashing, el reconocimiento y la indexación de texto en imágenes (OCR), detección automática de imágenes pornográficas (EID), hacer imágenes de disco y los datos de memoria volátil de forma remota – sólo para Windows, el uso de Base de datos en Postgres (3.x) así como metacarving. Realmente FTK2 y FTK3 brindaron un cambio sustancial, ya que si se te cerraba el programa, tenías todavía toda la información en las bases de datos. El poder etiquetar archivos independientes, montar imágenes en la estación forense para poder analizarlas, poder quitar imágenes forenses, la aplicación de filtros para poder ver la información que se requiere analizar y muchas otras cosas más nos sorprendieron con esta versión.


  • FTK 4.x) Análisis de memoria incluyendo el VAD TREE , y el posible uso de agentes «forensic enterprise» para la adquisición de datos en una máquina conectada (Mac, Linux o Windows), a continuación mostramos algunos de estos nuevos features: Realmente hay cosas muy interesantes en esta nueva versión.

Algunas capturas de pantalla del FTK4 en funcionamiento:

1) Manejo de casos se realiza de forma transparente en una base de datos postgres:

2) Pestañas de navegación y visualización de FTK4 con facilidad y poder de uso:

3) Case Overview proporciona múliples maneras de visualizar los datos presentes en las imágenes forenses añadidas al caso:

4) Categorias de archivos agrupadas pos tipo (headers):

5) Análisis de datos volátiles y de memoria incluyendo procesos, dll’s, sockets, archivos abiertos, parámetros, etc.

6) Opción de «Exportar información de archivos tipo *.LNK» (hat tip to David Cohen) que posibilita la generación de una plantilla de con información valiosas sobre las actividades del usuario en el sistema operativo Windows, incluyendo la apertura de archivos en memorias de USB y discos duros externos:

7) La opción anterior también facilita la extración de información relacionada con los accesos de carpetas compartidas:

8 ) El nuevo módulo de Cerberus para el análisis estático de binarios, calcula una clasificación de riesgo basada en el uso de las comunicaciones de redes, persistencia, criptografía, ofuscación, API’s y funciones usadas por el binario – muy últil para casos de malware:

9) El nuevo módulo de visualización es extremadamente flexible, permitiendo la generación de gráficos basados en la información presente en el caso, como estadísticas de archivos seleccionados:

10) El módulo también permite otros tipos de visualización, como el envío y recepción de emails:

11) Procesamiento Distribuído – para casos grandes y para analizar más rápido, es posible habilitar el procesamiento distribuído hasta en 4 máquinas (el FTK estará corriendo en una de ellas y el «Distributed Processing Engine» en otras tres) – esto puede significar un aumento importante de performance.

12) Agentes Enterprise para Windows, MacOS y Linux – el FTK4 puede hacer la adquisición remota de imágenes (físicas o lógicas) y también la obtención de datos volátiles y/o el dump de la memoria RAM de máquinas de los sistemas operativos Windows, Linux y MacOS.

13) Para finalizar, podemos verificar el poder de la herramienta viendo el menu de Análisis Adicional:
São dignas de nota especial as seguintes funcionalidades adicionais:

a. Detección de Imágenes Pornográficas (EID) – con varios algoritmos con diferentes niveles de precisión (y velocidades)

b.El reconocimiento óptico de caracteres (OCR) en archivos de imagen *.pdf – con dos algoritmos disponibles.

c. Fuzzy Hashing – muy útil para identificar las pequeñas alteraciones hechas en documentos y otros archivos.

d. El poder de customización del carving (recuperación a partir de clusters no asignados) de archivos y la funcionalidad de meta carving (búsqueda por archivos huérganos en la tabla de FAT y el índice $MFT de NTFS)

e. La capacidad de generación de reportes del registro de Windows basados en templates pre-configurados.