Métodos de Codificación para Propósitos Antiforenses

  • Posted on: 18 February 2019
  • By: ReYDeS

la codificación significa el contenido de un archivo es cambiando de alguna manera, la cual puede ser fácilmente revertida. Muchas veces se utiliza un simple mecanismo de codificación de nombre “ROT13”. (ROT significa Rotación y 13 significa los caracteres son rotados 13 veces). Si alguien ejecutase ROT13, el algoritmo tomará cada carácter proporcionado, y lo reemplazará con un carácter 13 valores delante de este. Por ejemplo, una letra “A” será reemplazada con la letra “N”. (La letra “B” inicia la cuenta como elemento 1). Sin embargo, si se debiera realizar una búsqueda a través de datos codificados, la búsqueda no encontraría datos relevantes, pues la expresión de búsqueda no decodificará ROT13, a menos se lo indique explícitamente.

Detectar Codificación

Para detectar la utilización de algún tipo de codificación , como ROT13, se necesitaría confiar en la firma de un archivo, si la extensión original se mantiene en el nombre del archivo. Sin embargo, ROT13 y algoritmos similares no dejan una firma estándar, y no existe una herramienta simple para detectar automáticamente su presencia. Esto no significa, sin embargo, detectar la codificación no pueda ser realizada. Si un análisis estático se realiza a los datos con un decodificador ROT13, y los datos se comparan con un lenguaje, la distribución debe mostrar ser uniforme por 13 lugares. ROT13 es especialmente popular para ocultar datos contenidos en llaves del registro de Windows.

Es factible encontrar en un archivo símbolos como “\”, “;”, o cualquier otro carácter no alfabético, un decodificador ROT 13 puede ayudar a resolver esto. ROT13 girará y reemplazará únicamente caracteres; espacios, slash, comas; y cualquier otro símbolo no alfabético permanece tal y como está en el archivo después de la codificación. Aunque esto no ayudará en la decodificación automática de los datos mientras se busca a través del disco, una vez se encuentren tales datos, se puede buscarlos subsecuentemente.

Muchas personas quienes intentan ocultar datos no utilizan ROT13; este comúnmente es utilizado para otros propósitos. Sin embargo, Microsoft tiene un cariño de hace muchísimos años por ROT13, de tal manera nunca se debe asumir no se utilizará un decodificador ROT13.

Fuentes:

https://en.wikipedia.org/wiki/ROT13
https://www.rot13.com/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1