TFTP (Trivial File Transfer Protocol) o por su traducción al idioma español, protocolo trivial para transferencia de archivos, es un protocolo basado en UDP, el cual frecuentemente está restringido en las reglas de filtros en los firewalls. En los sistemas operativos Windows 7, Windows Server 2008 en adelante, la herramienta necesita ser explícitamente añadida durante la instalación. Por estas razones, TFTP no es el protocolo ideal para la transferencia en la mayoría de situaciones.

BingDiggity es la principal herramienta de Bing Hacking utilizando el API de Búsquedas en Bing para identificar vulnerabilidades e información sensible expuesta, relacionada a una organización mediante el motor de búsqueda Bing de Microsoft. Esta utilidad también proporciona funcionalidad de reconocimiento, la cual permite enumerar URLs, hosts, dominios y mapeos de hosts virtuales a IPs, etc. para las empresas objetivo.

Una de las herramientas más populares para crear líneas de tiempo (Cronologías) es “mactime”, una aplicación de The Sleuth Kit desarrollada y mantenida por Brian Carrier.

Existen dos comandos principales para generar líneas de tiempo desde un sistema de archivos:

La adquisición desde un dispositivo de almacenamiento es un proceso el cual permite copiar exactamente una unidad física objeto de un análisis. Con los sistemas Linux, esta operación es posible utilizando una de las siguientes herramientas; dd, ddrescue, dcfldd, dhash.

DD

El Hash de un bloque de datos; por ejemplo un archivo; es una secuencia de caracteres alfanuméricos de longitud fija calculado por una función matemática.

Esta función matemática es mono direccional; es decir no es posible reconstruir el bloque originario desde una cadena Hash.

Cualquier alteración de los datos, así sea mínimo, resultará en un Hash completamente diferente.

Con los sistemas Linux se puede utilizar alguna de las siguientes aplicaciones para generar una cadena Hash; md5sum, sha1sum, md5, sha1 y sha256 deep, además de “dhash”.

El montar una imagen forense adquirida en formato .EWF puede ser realizada con la aplicación “ewfmount”. Este programa es capaz de virtualmente convertir archivos EWF hacia el formato en bruto, permitiendo al dispositivo ser montado como si fuese una imagen adquirida en formato dd.

Si se tiene un disco dividido en los siguientes archivos cfreds_2015_data_leakage_pc.E01, cfreds_2015_data_leakage_pc.E02, cfreds_2015_data_leakage_pc.E03, y cfreds_2015_data_leakage_pc.E04.

En el caso donde un archivo de imagen dd o raw (por lo tanto un flujo de bit o imagen bit a bit desde un disco) está dividido en varios archivos, es necesario preparar un archivo el cual se montará utilizando el comando “mount”.

Si se tiene un imagen constituida por SCHARDT.001, SCHARDT.002, SCHARDT.003, SCHARDT.004, SCHARDT.005, SCHARDT.006, SCHARDT.007 y SCHARDT.008. No se puede aplicar directamente los comandos forenses pertinentes, porque en este caso no se tienen un único archivo sobre el cual ejecutar el comando “mount”.

Para montar un archivo de imagen como solo lectura (conteniendo el volcado de un disco completo, no de una sola partición) se puede utilizar el siguiente comando.

$ sudo mount -t tipo -o ro,loop,offset=$((512*inicio_particion)) opciones archivo_imagen.dd punto_montaje

Las “opciones” y la sintaxis del comando “mount” son conocidas.

Para montar un sistema de archivos en modo de solo lectura simplemente se debe tipear el siguiente comando:

$ sudo mount -t [tipo] -o [opciones] Fuente Punto_Montaje

Donde:

El comando mount permite conectarse hacia un sistema de archivos presente sobre un dispositivo o sobre un archivo almacenado sobre el disco hacia un directorio del sistema.

En el área Forense cuando se requiere montar un dispositivo como un disco duro, USB stick, CD / DVD / CD-ROM, disco flexible, etc., se utilizará, como fuente, el dispositivo por si mismo identificándolo. En este caso: