Minilab : Practicando con el kriptdoc

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Minilab : Practicando con el kriptdoc

Notapor bad_robot » Jue Ene 29, 2009 1:24 am

bueno si este minilab tambien es ilegal por utilizar un herramienta que no hize lo pueden borrar :D

Teoria:

El kripdoc es una herramienta liberada por al gente de kriptopolis para realizar busquedas de metadatos sobre archivos de microsoft word , yo soy de las personas que les gusta probar todo lo que ve asi que lo probe y estos fueron los resultados.
Este aporte es muy pequen'o y nada novedoso asi que me perdonan si no hay nada de interezante en el pero me parecio bueno compartirlo para las personas que empiezan en este ambito.

Practica:


1. descargamos el paquete

http://img232.imageshack.us/img232/4240 ... etedf1.png

2.descomprimimos el paquete

http://img105.imageshack.us/img105/2198 ... moslr1.png

3. cambiamos permisos

http://img187.imageshack.us/img187/6113 ... sosde0.png

4.lo ejecutamos
http://img291.imageshack.us/img291/6718 ... mosff3.png

5.seleccionamos documento(source) mas direccion y nombre del resultado o archivo de salida(destino)

http://img113.imageshack.us/img113/3751 ... toszq5.png

en nuestro caso de estudio seleccionamos:

source : laboratorio de extraccion de metadatos.doc

NOTA: este archivo fue creado bajo word 2007 y con extension docx , el programa no reconoce ese tipo de extension pero si la cambiamos manual mente la reconoce y actua de igual manera en el analisis

destino: le decimos que nos guarde el resultado como lab.txt en la misma carpeta

6. miramos resultados dentro del txt
http://img240.imageshack.us/img240/7295 ... adotv9.png

nos dice que miremos el archivo root/laboratorio , el cual equivale a nuestro archivo word

7.observamos que cambio de icono el documento que utilizamos para el estudio , y al parecer se convierto en directorio :O

http://img520.imageshack.us/img520/8431 ... ionin0.png

8.entramos al directorio

http://img213.imageshack.us/img213/3170 ... on2wp9.png

9.a simple vista podemos apreciar dos directorios importantes:

word: la contenedora de nuestro archivo word original , el cual se llama document.xml

http://img242.imageshack.us/img242/6196 ... on3iu9.png

docprops: contiene la informacion que andamos buscando, esta carpeta tiene 2 subcarpetas y cada una contiene diferentes datos:

http://img299.imageshack.us/img299/1456 ... on4ak7.png

app: donde se encuentra el nombre del programa(obvio) que creo el documento

http://img297.imageshack.us/img297/8992 ... on5bt0.png

NOTA: no estoy totalmente convencido si este programa es capaz de sacar la version de creacion , al parecer no pudo pero puede ser por ser creado con la version del office 2007 recordemos que solo es "compatible" con el oficce 2003

core: Aqui encontramos el nombre se usuario que creo el documento y la fecha exacta mas hora de la creacion del mismo

http://img258.imageshack.us/img258/4713 ... on6dq7.png

CONCLUSION:

Bueno al parecer podemos encontrar datos muy importantes con respecto a una investigacion porque podemos determinar que usuario lo creo y fuera de eso el an'o, fecha y hora; estos datos pueden llegar a ser definitivos para una investigacion dentro de una misma organizacion investigando la maquina sospechosa y comparando usuarios y fechas

saludos y espero les haya gustado este laboratorio(mini) aunque poco productivo
Última edición por bad_robot el Vie Ene 30, 2009 7:15 am, editado 2 veces en total
bad_robot
:-)
:-)
 
Mensajes: 43
Registrado: Sab Ene 17, 2009 3:38 am

Notapor Yorkshire » Jue Ene 29, 2009 10:09 am

No van los enlaces a las imágenes.


Y sí, bad_robot, reproducir literalmente trozos de artículos de, por ejemplo, revistas con (c), es violar losderechos de autor. No te quepa la menor duda.
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor bad_robot » Jue Ene 29, 2009 8:21 pm

Arreglados los links :D , espero les guste el pequen;o aporte , proximamente lo estare comparando con otro prog o mejor dicho script para recogida de metadatos
Imagen
bad_robot
:-)
:-)
 
Mensajes: 43
Registrado: Sab Ene 17, 2009 3:38 am

Notapor Zorrogris » Mié Nov 04, 2009 3:16 pm

Buenismo, gracias!
Zorrogris
:-)
:-)
 
Mensajes: 2
Registrado: Mié Nov 04, 2009 3:06 pm

Notapor Ariel Liguori » Mié Nov 04, 2009 7:13 pm

bad_robot... sigues copiando las cosas??? este chico no aprende mas :P, me copiaste de todo en tu blog y no me nombraste mal mal mal, jajajaja.
Ariel Liguori
:-)
:-)
 
Mensajes: 17
Registrado: Mar Dic 30, 2008 6:27 pm
Ubicación: Argentina - Bs As

Notapor neofito » Mié Nov 04, 2009 9:35 pm

Hombre, el señor Ariel de sechack. Todo un placer tenerte por aqui.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Ariel Liguori » Mié Nov 04, 2009 11:08 pm

neofito escribió:Hombre, el señor Ariel de sechack. Todo un placer tenerte por aqui.

Saludos

no seas exagerado, tu eres neo de neosysforensics :P
Ariel Liguori
:-)
:-)
 
Mensajes: 17
Registrado: Mar Dic 30, 2008 6:27 pm
Ubicación: Argentina - Bs As

Notapor NewLog » Jue Nov 05, 2009 10:18 am

Pues a falta de saber si está copiado o no, diré: gracias por la información.

Para extracción de metadatos también tenéis a la FOCA, de el lado del mal.
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: Minilab : Practicando con el kriptdoc

Notapor bad_robot » Mié Feb 24, 2010 5:06 pm

Hola ariel este mini lap lo hize completamente no se a que se refiere de copia de blog porfavor le pido que deje link del blog para comparar vale?.

Saludos a todos 8)
Imagen
bad_robot
:-)
:-)
 
Mensajes: 43
Registrado: Sab Ene 17, 2009 3:38 am

Re: Minilab : Practicando con el kriptdoc

Notapor Sor_Zitroën » Mié Feb 24, 2010 7:11 pm

Qué manía con hize...
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: Minilab : Practicando con el kriptdoc

Notapor Arakiss » Jue Feb 25, 2010 6:17 pm

Si,la verdad es que cuesta un poco entenderte chico...
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron