RT Generic
T1 Development of an extensible forensic analysis framework: application to user-side cloud scenarios
A1 Rodríguez Canseco, Jorge
AB Computer forensic procedures are among the most important methods for nowadays crimeinvestigations, since IT devices are increasingly more and more present in our society andlife as main tools for productivity enhancement and social communication.This improvement in relevance for such procedures is however increasing the efforts in bypassingsuch methods in an more sophisticated manner. IT forensic analysts must face thecomplexity of new techniques used by criminals in order to hide their activities and avoidthe evidence recovery as much as possible . Some of those include, but are not limited to:Covered communication channels and information leakage.Obfuscation and information hiding regarding the operations of a malicious agent.Operation in volatile media such as RAM and similar procedures with a relativelysmall digital fingerprint in the system.Current forensic tools highly depend on the analyst awareness of aforementioned covertchannels and evidences existence in order to retrieve them by means of a proactive searchmethodology. This project documents the creation of Monocle, an open-source extensibleframework for automated forensic analysis. Monocle provides automation over the forensicprocedure by means of user-created plugins, reducing the complexity of evidence retrieval intarget's machine hard disk and memory. The software makes use of external tools such asthe Volatility Framework in order to provide extended functionality to the executed plugins.To show the applicability of the proposal Monocle is applied to two user-side cloud storagescenarios – iCloud and Box. This application is further used in order to study such scenariosand their usefulness when targeting cloud storage systems from a forensic point of view.
AB Los procedimientos de cómputo forense se encuentran entre los más importantes para las investigacionescriminales de hoy en día, puesto que los dispositivos electrónicos se encuentrancada vez más presentes en nuestra sociedad, ya sea como medio para mejorar la productividadpersonal o como conectores sociales.Este incremento de relevancia en dichos procedimientos ha provocado no obstante que losesfuerzos por contrarrestarlos se vuelvan más sofisticados. Los analistas forenses debenenfrentarse a la complejidad de las nuevas técnicas empleadas por los criminales para ocultarsus actividades y dificultar la recuperación de pruebas en la medida de lo posible. Algunasde estas técnicas incluyen, pero no están limitadas a:Canales de comunicación encubierta y fugas de información por métodos no convencionales.Ofuscación y ocultación de información relacionada con las actividades maliciosas delagente criminal.Operaciones realizadas en memoria RAM y procedimientos de similar naturaleza, loscuales dejan muy poca huella digital en el sistema.Las herramientas forenses actuales dependen en gran medida de la capacidad del analista paratener en cuenta estos métodos de ocultación, además de conocer la localización y formatode las pruebas potenciales a encontrar, a fin de ser capaz de recuperarlas por medio deuna herramienta forense. Este proyecto documenta la creación de Monocle, un frameworkextensible y de código abierto para la automatización de análisis forense. Monocle dotalos procedimientos forenses de automatización gracias a plugins creados y definidos por elusuario, lo que reduce la complejidad a la hora de recuperar información tanto del discocomo de la memoria del sistema analizado. Monocle hace uso de herramientas externastales como Volatility Framework a fin de otorgar funcionalidad extendida a los plugins enejecución. Para demostrar la aplicabilidad de la propuesta, Monocle ha sido evaluado endos escenarios de análisis forense en cloud desde el lado del cliente, iCloud y Box. Estaevaluación permitirá además el estudio de estos escenarios y la aplicabilidad del análisisdesde el lado del cliente a la hora de analizar entornos de cloud storage.
YR 2015
FD 2015-06-22
LK https://hdl.handle.net/10016/23313
UL https://hdl.handle.net/10016/23313
LA eng
DS e-Archivo
RD 30 jun. 2024