viernes, 26 de septiembre de 2008

Locard’s Exchange Principle

"In the early 20th century, Dr. Edmond Locard’s work in the area of forensic science and crime scene reconstruction became known as Locard’s Exchange Principle. This principle states, in essence, that when two objects come into contact, material is exchanged or transferred between them.
... the crime scene investigators refer to possible transfer.This usually occurs after a car hits something or when an investigator examines a body and locates material that seems out of place ...
...This same principle applies to the digital realm. For example, when two computers communicate via a network, information is exchanged between them...When a peripheral such as removable storage device (a thumb drive, an iPod, or the like) is attached to a Windows computer system, information about the device will remain resident on the computer... These changes might be transient (process memory, network connections) or permanent (log files, Registry entries)." (Windows Forensic Analysis DVD Toolkit; Harlan Carvey; Syngress Publishing Inc.; Burlington - United States of America 2007; Pag. 4)

Aplicación del Principio de Intercambio Locard
En el mismo libro se da un ejemplo sobre este Principio que traduciendo lo enunciado en elibro de Carvey es "Cuando dos objetos entran en contacto, es intercambiado o transferido material entre ellos", el ejemplo es "Locard and Netcat", a continuación presentamos otro ejemplo, esta vez de los dispositivos de almacenamiento, cuando concectamos uno a una PC con Windows XP, el Registro de Windows se modifica y queda registrado la marca, fecha, número de serie y otros datos del dispositivo en el Registry de Windows. Pongamos de ejemplo que estamos en un caso de "Perform Live Response", cuando el equipo PC tiene Windows XP, está encendido y no nos interesa según el alcance del trabajo realizar ninguna copia imagen del disco duro, unicamente nos interesa conocer qué dispositivos se concectaron a la PC por ejemplo para poder "Determinar si se conectó un MP3 SanDisk" (Posible fuga de información). Utilizaremos el programa usbHistory (Descargar), descargarlo y seguir los siguientes pasos:

* Descomprimir el archivo a una carpeta en la raiz de la unidad c: Por ejemplo carpeta usbHistory

* Abrir la linea de comandos: Inicio; Ejecutar;escribir cmd; Enter

* Salir de los directorios hasta llegar a la raiz: cd..

* Ingresar al directorio de la aplicación: Para el ejemplo, cd usbhistory; Enter

* Ejecutar el programa: usbHistory.exe; Enter

Mostrará los dispositivos de almacenamiento que se hayan conectado via USB, incluye los discos duros (internos) que se conectan a un equipo mediante un rack y conector USB. Los resultados serán similares a la siguiente imagen:


Una variante al ejecutar el programa usbHistory es volcar esta información en un archivo de texto con el siguiente comando:
usbhistory > PC1.txt

No hay comentarios:

web stats