Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a [email protected], si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

Análisis ¿forense? de Información en archivos PST

Hola a todos de nuevo!!!

Espero que este post cumpla las condiciones en esta categoría jejeje :D

Les quiero compartir una experiencia de trabajo, que me parece muy interesante para todos ustedes.

Hace poco me solicitaron realizar un análisis forense, cosa que me alegro mucho... ;) .. la propuesta decía:

  • requiero un análisis forense de correo electrónico institucional.

En el momento en que leí la propuesta me anime demasiado, ya que nunca había hecho un análisis de ese tipo, pero al momento de dialogar con el cliente, me di cuenta de que solo querían investigación acerca de mensajes o palabras tipo "difamación"... en otras palabras, buscar correos electrónicos con mensajes "malos".

Pero bueno aun así no me desanime demasiado jejejeje, acepte, por que al fin de cuentas, en una investigación o análisis forense, eso es lo que haces "buscar evidencia" (en mi opinión personal pues)....

El correo que utilizan esta con el hosting de Microsoft Office 365, Ya todos estarán pensando que bueno seria muy fácil, abrir el correo y clic en buscar jejeje así mismo pensaba yo....pero al final no fue así... ya les diré porque razón...

Como todos conocemos, en cualquier servicio de correo sea gratuito o de pago siempre se cuenta con el campo o la opción de búsqueda, la cual nos facilita encontrar algún correo electrónico, sin embargo, para los gratuitos cuando un mensaje es eliminado, y eliminado de la papelera, realmente es eliminado, no tienes forma de recuperarlo, pero a diferencia de los pagos, tienes la posibilidad de recuperar mas del 90% de los mensajes eliminados aun de papelera....

Como mencione anteriormente, utilizan el servicio de office 365, cosa que por lo general siempre se utiliza el programa de escritorio Microsoft Outlook, y así fue, en todos los computadores utilizan este software; hasta ahora todo parecía muy fácil, era abrir el Outlook del usuario implicado y simplemente buscar...

Pero vaya sorpresa, y creo que la mayoría sabíamos el porque jejejeje, el programita ese Outlook te permite buscar haciendo filtros avanzados, pero realmente esa búsqueda no es tan buena, al realizar la búsqueda no te clasifica la información, simplemente te muestra todo lo que contiene el filtro realizado.. pero bueno esto no implica que no sirva la búsqueda... el detalle va cuando tienes varios usuarios de correo y no puedes buscar directamente en sus equipos... toca.... exportar el archivo "PST" ya sea el que se encuentra local en el equipo y si no lo tiene, toca descargarlo del servidor con el usuario administrador... y simplemente importarlos al programita ese Outlook.... :) posteriormente hacer la búsqueda, pero repito, como no clasifica la información, bueno si la clasifica pero no muy a detalle cuando se trata de varias cuentas en el Outlook, en la búsqueda avanzada no te permite buscar en todos los archivos "PST" solo cuenta por cuenta...y seria muy dispendioso buscar correo por correo a ver que tipo de información se encuentra con Outlook (correos, calendario, notas, conversaciones, etc.)

Investigando en la Internet, me encontré con un super programita free y de pago jejeje, que realiza todo lo que necesitaba con tan solo unos clics jejeje "kernelpstviewer" este software te permite importar los archivos ".PST" y realizar búsquedas por diferentes filtros permitiéndote ver, leer los mensajes en su versión FREE y su versión paga te permite otras funciones ademas de exportar y guardar los elementos encontrados.

Veamos como funciona el software:

Para obtener el software, basta con solo descargarlo desde el sitio web nucleustechnologies

Finalmente luego de instalarlo o ejecutarlo mas bien, simplemente agregamos los archivos PST que tengamos:

Luego de agregar los archivos PST, el software nos permite realizar filtros por tres opciones: desde (from), para (to), asunto (subject), adicionalmente te permite elegir un rango de fechas.

Como se observa en la anterior imagen en la parte inferior (lo que se encuentra ofuscado) apareceran todos los elementos de outlook (correo, calendario, contactos, reuniones, etc.), al darle simplemente doble clic en cualquier elemento este nos mostrará una ventana con la información mas detallada.

Hasta ahora todo ha salido muy bien, este software nos permite filtrar correos electrónicos mediante palabras y fechas claves, nos lo organiza por cada usuario o archivo PST, y simplemente al final del análisis es: seleccionar o escoger los correos o elementos de outlook que se vean comprometidos con la información que estamos buscando.

IMPORTANTE: LOS ARCHIVOS PST CONTIENEN TODA LA INFORMACIÓN DEL CORREO ELECTRÓNICO HAYA SIDO ELIMINADO O NO.

Y así de simple y fácil este programita nos permite realizar una búsqueda y análisis mas exhaustivo a los archivos de correos electrónico con extensión .PST.

sin embargo, aun así, el análisis quedaría muy corto, muy simple, no basta con encontrar la información, debemos ser un poco mas gerenciales jejeje, me preguntaba, y bueno? que mas debo hacer?, en este caso para darle mas forma y datos al informe, se me ocurrió tratar de tabular la cantidad de correos enviados por X persona hacia Y persona, para así, lograr definir quien es la persona que mas correos envía o con quienes mas se contacta dentro y fuera de la organización...

Para ello me encontré con otro software muy bueno de Nirsoft, llamado OutlookStatView.

Este poderoso software gratuito te permite tabular toda la informacion realacionada con los correos, te indica que cantidad de correos enviados y recibidos ha tenido cada usuario o archivo PST, es decir, te permite visualizar cuantos correos entrantes y/o salientes ha tenido el usuario [email protected] con el usaurio [email protected], ademas te filtra por dominio.

Interesante y fascinante!!

simplemente basta con ejecutar el archivo .exe, y este automáticamente nos lee el archivo PST que se encuentre integrado al Outlook, es decir, nos toca agregar loas archivos PST de nuestra investigación al aplicativo Outlook.

Finalmente los datos encontrados por el software los podemos exportar a un archivo .CSV y manejar la información con excel o algún otro programa que nos permita organizar mejor la información.

Con lo anterior, hemos podido realizar un análisis a profundidad de los correos electrónicos de los archivos PST de Outlook, identificando los elementos de outlook como mensajes, calendarios, contactos, reuniones, etc., involucrados en el incidente, ademas de ello hemos podido identificar la cantidad de veces que un usuario se ha comunicado con otro, tabulando la cantidad de mensajes entrantes y salientes entre ambas cuentas, así mismo se identifica la o las personas que interactuan mas de acuerdo con la información filtrada y a que dominios se comunica.

Y bueno, eso sería todo, como ven es muy sencillo, ya cuenta es la experticia de cada uno para realizar una búsqueda, análisis y/o investigación mas detalla y avanzada.

Espero haya sido de su agrado, y que hayan aprendido un poco esta ves.

Cualquier comentario, opinión y mejora del post con gusto sera bien recibida.

Comentarios

  • gracias por compartir este caso @zasske, seguro ayudará para las personas que tengan que enfrentarse a situaciones parecidas.

Accede o Regístrate para comentar.