PowerShell es una plataforma de automatización y lenguaje de scripting para Windows y Windows Server, el cual permite simplificar la gestión de los sistemas. A diferencia de otras shells basadas en texto, PowerShell se beneficia del poder del Framework .NET, proporcionado objetos enriquecidos y un conjunto masivo de funcionalidades incorporadas para tomar control de los entornos Windows.

PowerShell viene instalado por defecto en versiones de Windows 7, 8 en adelante. Este motor de scripting puede ser aprovechado para descargar archivos hacia la máquina comprometida.

VBScript es un lenguaje activo de scripting desarrollado por Microsoft. Diseñado como un lenguaje ligero con un intérprete veloz, para usarse en una amplia variedad de entornos Microsoft VBScript utiliza “Component Object Model” para acceder hacia elementos del entorno dentro del cual está ejecutándose; por ejemplo; FileSystemObject(FSO) se utiliza para crear, leer, actualizar y borrar archivos.

Los sistemas operativos Windows contienen por defecto un cliente FTP, el cual puede también ser utilizado para la transferencia de archivos hacia un sistema comprometido. El cliente FTP es un programa interactivo el cual requiere ingresar entradas. Se requiere por lo tanto intentar resolver este inconveniente, antes de intentar utilizar FTP como un protocolo para la transferencia de archivos.

TFTP (Trivial File Transfer Protocol) o por su traducción al idioma español, protocolo trivial para transferencia de archivos, es un protocolo basado en UDP, el cual frecuentemente está restringido en las reglas de filtros en los firewalls. En los sistemas operativos Windows 7, Windows Server 2008 en adelante, la herramienta necesita ser explícitamente añadida durante la instalación. Por estas razones, TFTP no es el protocolo ideal para la transferencia en la mayoría de situaciones.

BingDiggity es la principal herramienta de Bing Hacking utilizando el API de Búsquedas en Bing para identificar vulnerabilidades e información sensible expuesta, relacionada a una organización mediante el motor de búsqueda Bing de Microsoft. Esta utilidad también proporciona funcionalidad de reconocimiento, la cual permite enumerar URLs, hosts, dominios y mapeos de hosts virtuales a IPs, etc. para las empresas objetivo.

Una de las herramientas más populares para crear líneas de tiempo (Cronologías) es “mactime”, una aplicación de The Sleuth Kit desarrollada y mantenida por Brian Carrier.

Existen dos comandos principales para generar líneas de tiempo desde un sistema de archivos:

La adquisición desde un dispositivo de almacenamiento es un proceso el cual permite copiar exactamente una unidad física objeto de un análisis. Con los sistemas Linux, esta operación es posible utilizando una de las siguientes herramientas; dd, ddrescue, dcfldd, dhash.

DD

El Hash de un bloque de datos; por ejemplo un archivo; es una secuencia de caracteres alfanuméricos de longitud fija calculado por una función matemática.

Esta función matemática es mono direccional; es decir no es posible reconstruir el bloque originario desde una cadena Hash.

Cualquier alteración de los datos, así sea mínimo, resultará en un Hash completamente diferente.

Con los sistemas Linux se puede utilizar alguna de las siguientes aplicaciones para generar una cadena Hash; md5sum, sha1sum, md5, sha1 y sha256 deep, además de “dhash”.

El montar una imagen forense adquirida en formato .EWF puede ser realizada con la aplicación “ewfmount”. Este programa es capaz de virtualmente convertir archivos EWF hacia el formato en bruto, permitiendo al dispositivo ser montado como si fuese una imagen adquirida en formato dd.

Si se tiene un disco dividido en los siguientes archivos cfreds_2015_data_leakage_pc.E01, cfreds_2015_data_leakage_pc.E02, cfreds_2015_data_leakage_pc.E03, y cfreds_2015_data_leakage_pc.E04.

En el caso donde un archivo de imagen dd o raw (por lo tanto un flujo de bit o imagen bit a bit desde un disco) está dividido en varios archivos, es necesario preparar un archivo el cual se montará utilizando el comando “mount”.

Si se tiene un imagen constituida por SCHARDT.001, SCHARDT.002, SCHARDT.003, SCHARDT.004, SCHARDT.005, SCHARDT.006, SCHARDT.007 y SCHARDT.008. No se puede aplicar directamente los comandos forenses pertinentes, porque en este caso no se tienen un único archivo sobre el cual ejecutar el comando “mount”.