Se me ha asignado una tarea de mi escuela, en la que se me ha dado una imagen virtual de un sistema comprometido. Lo primero que debo hacer es configurar un entorno en el que podamos montar la imagen. Necesito elegir un sistema operativo, y me preguntaba: ¿Qué debería elegir y por qué? Si alguien pudiera darme alguna sugerencia a la que deba prestar atención, ¡sería muy apreciado! Gracias
Iría por Kali Linux .
Esta distribución de Linux está hecha para análisis y análisis de seguridad. Contiene una gran cantidad de herramientas de análisis, justo en el menú principal.
En general, usaría un sistema operativo de código abierto para el trabajo relacionado con la seguridad, porque con el código abierto existe un escrutinio público de que sus propias herramientas no están comprometidas.
El kit / estación de trabajo SANS Sift ( enlace ) es muy bueno si desea obtener más información sobre el análisis forense. , ya que comprende cosas como la autopsia y otras herramientas de código abierto que se utilizan comúnmente. Poco extra: enlace esta página ayuda MUCHO cuando te estás acostumbrando a las cosas.
Cuando estaba en la universidad usé Backtrack Linux MUCHO. Tiene muchas herramientas forenses (y forenses en vivo) preinstaladas y está diseñada para ser utilizada para estos fines (aunque probablemente sea la más famosa por infeliz piratear y espiar a presuntos volcadores de vacas, etc.)
Depende de la herramienta que elijas. Las herramientas forenses como Autopsy pueden ejecutarse en varios sistemas operativos diferentes. Pueden analizar el sistema de archivos de la imagen que le han dado y mostrarle el contenido de los archivos. Si dicha herramienta está escrita en Java, puede ejecutarla en Windows, Mac o Linux.
En el trabajo forense, no necesariamente está intentando "ejecutar" el software desde la imagen. A menudo, simplemente está mirando los archivos que recopila del sistema y uniendo lo que sucedió en función del contenido de los archivos, los atributos del sistema de archivos, como la última vez que se accedió, el ID del creador, etc. OS y ejecute programas que accedieron a esos archivos, su propia actividad de investigación probablemente ocultará las pistas que desea descubrir.
Pero a veces no tienes mucha opción. Si descubre un archivo llamado foo.docx, un simple editor de texto le mostrará muy poco y probablemente necesitará usar Word para verlo. Eso crea otro problema: ¿qué sucede si el archivo que está intentando examinar contiene un virus? Abrirlo en Word en su computadora podría exponerle exactamente a los mismos problemas que la imagen de computadora víctima que está viendo. En ese caso, debe aprender a utilizar una máquina virtual como recinto de seguridad.
Si te sientes cómodo con Linux, considera usar Caine o Deft.
Ambos son distroes destinados para uso forense, lo que significa que, de forma predeterminada, no hacen nada que pueda modificar los datos, como el montaje automático de sistemas de archivos o la activación de intercambios.
También contienen muchas herramientas útiles para el trabajo.
Lea otras preguntas en las etiquetas operating-systems forensics system-compromise