Cómputo forense: qué es - Platzi

Curso de Informática Forense

Curso de Informática Forense

Bienvenida y presentación general.

Todo lo que aprenderás sobre informática forense

Cómputo forense: qué es

Etapas I y II: Identificación y Preservación de Evidencia Digital

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

Preparación de un kit para adquisición

Procedimientos de Cadena de Custodia

Identificación de fuentes de evidencia

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

Sistemas de protección contra escritura por hardware y software

Introducción a FTK Imager

Adquisición de imágenes forenses con FTK Imager

Adquisición de imágenes forenses con EnCase

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

Introducción a Paladin Forensics

Adquisición de imágenes forenses con DD

FTK Imager para Linux

Adquisición de imágenes forenses de Mac. (Paladin)

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

Verificación de imágenes forenses. Explicación de algoritmos Hash

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

Sistemas de archivos Windows: FAT, NTFS

Sistemas de archivos Unix: EXT, HFS y APFS

Exportado de archivos a partir de imágenes forenses

Creación de imágenes parciales con FTK Imager

Análisis preliminar de sistemas Windows

Análisis preliminar de sistemas Unix (Linux y MacOS)

Elaboración de informe preliminar

Crear una imagen de contenido personalizado para análisis

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Registro de Windows: SAM

Análisis de Registro de Windows: Software

Análisis de logs de un Sistema Windows

Análisis de listas recientes (MRU) y Shellbags

Referencia del registro de Windows

Análisis de procesos ejecutados

Análisis de bandejas de reciclaje

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

Estructura de un sistema Unix

Arranque y ejecución de procesos en Linux

Análisis de archivos de autenticación

Análisis temporal del sistema

Autopsy y Sleuth Kit Suite

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

Elaboración de un informe ejecutivo

Elaboración de un informe técnico completo

Presentación ante autoridades judiciales

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Resources

Transcript

What is computer forensics?

Computer forensics is a branch of forensic science, focused on the application of scientific methods in a legal context to investigate computer incidents. The importance of computer forensics lies in its ability to present proceedings and evidence in courts or tribunals, being essential to ensure the clarity and comprehensibility of evidence before any authority.

Where does the word "forensics" come from?

The word "forensic" has its roots in the Latin "Foren CIS", which means "in front of the Forum", referring to the trials in ancient Rome. Evidence in these trials had to be clear and easy for everyone to understand, a practice that is still reflected in today's forensic procedures.

What are the key questions in a forensic investigation?

Every investigation must answer six fundamental questions:

What happened?
Where did it happen?
How did it happen?
Who was involved?
When did it happen?
Why did it happen?

These questions guide the analysis process and are crucial for clear and concise reporting to clients or legal authorities.

How does the exchange principle apply?

The exchange principle, erroneously attributed to Edmund Poster, holds that whenever two objects come into contact, they transfer part of their material to each other. In computer forensics, this concept applies to the transfer of data when devices interact, such as when connecting a computer to a network or a USB device to a computer.

How is computer forensics defined?

Computer forensics is defined as the use of proven scientific methods and techniques to identify, preserve, validate, analyze, interpret and present digital evidence. It involves digitally stored data and focuses on reconstructing legal events or preventing illegal activities by anticipating actions that could violate the law.

What are the stages of computer forensics?

Computer forensics is developed in four main stages:

Identification: Recognizing digital evidence and sources of information useful for the investigation.
Preservation: Storing and protecting digital evidence in a secure manner, following rigorous procedures to avoid evidence contamination.
Analysis: Examine the evidence to discover relevant information and build a clear picture of the events investigated.
Presentation: Communicate the results obtained through a clear and understandable report to clients, lawyers or other interested parties, ensuring that they are legally valid.

What is digital evidence?

Digital evidence is any set of digitally stored data containing information relevant to a legal or criminal process. This data can come from various sources such as computers, cell phones, hard drives, USB sticks, network devices, among others.

Each of these activities is fundamental to a rigorous and reliable forensic computing process that can withstand scrutiny in legal environments.

Contributions 45

Questions 8

Sort by:

Want to see more contributions, questions and answers from the community?

c3tuxpo2018

RESUMEN

El computo Forense es apenas una de muchas otras ciencias forenses que existen
Forense del latin forensis Frente al Foro
Evidencia del latin evidentia visible facil de ver para cualquiera

Ciencia Forense
La aplicación del método científico para establecer respuestas respecto a ciertos hechos en un contexto legal

6 preguntas del proceso investigativo
Que ?
Donde?
Como?
Quien?
Cuando?
Por que?

Principio de Intercambio de Locard
Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto

Computo Forense
Es el uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar,documentar y presentar evidencia digital obtenidas partir de fuentes de información digital, con el propósito de facilitar la reconstrucción de hechos en una investigación, o ayudar a anticipar o prevenir acciones en contra de la ley

Evidencia Digital
Cualquier conjunto de datos almacenados de manera digital y que contengan información que pueda soportar o refutar una hipótesis de incidente o acción criminal

Etapa 1 Identificación
Etapa 2 Preservación
Etapa 3 Análisis
Etapa 4 Presentación

Valeria Calcina Cisneros

¿Qué es computo forense?
.
Computo forense: es el uso de métodos y técnicas científicas probadas, con el fin de validar y presentar la evidencia digital, con el propósito de facilitar la reconstrucción de hechos en una investigación.

Ciencia forense: nos ayuda a establecer respuestas respecto a ciertos hechos en un contexto legal

Intercambio de Locard: si dos objetos entran en contacto transfieren parte del material que los incorpora.

Evidencia digital: son todos los datos almacenados de manera digital.
.
Etapas del cómputo forense
• Primera etapa “Identificación”: reconocer nuestras fuentes de evidencia.
• Segunda etapa “Preservación”: conservar guardar la evidencia de manera segura.
• Tercera etapa “Análisis”: analizar nuestra información obtenida.
• Cuarta etapa “Presentación”: mostrar resultados que sean validos
.
Preguntas en un interrogatorio
• ¿Que?
• ¿Como?
• ¿Cuándo?
• ¿Donde?
• ¿Quien?
• ¿Por qué?

Pablo Amador Hernández Román

Hay cuatro etapas de la informática forense:

Identificación
Preservación
Análisis
Presentación

Raúl Sánchez Rentería

RESUMEN
TODOS NUESTROS PROCEDIMIENTOS SON SUSCEPTIBLES A SER ENTREGADOS A UNA CORTE Y REQUIERES EVIDENCIA FACIL DE ENTENDER

Forense del latin forensis frente al foro
Evidencia del latin evidentia visible facil de ver para cualquiera

Ciencia Forense
La aplicación del método científico para establecer respuestas respecto a ciertos hechos en un contexto legal
6 preguntas
- Que ?
- Donde?
- Como?
- Quien?
- Cuando?
- Por que?
Computo Forense
Es el uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar, documentar y presentar evidencia digital obtenidas partir de fuentes de información digital, con el propósito de facilitar la reconstrucción de hechos en una investigación, o ayudar a anticipar o prevenir acciones en contra de la ley
Evidencia Digital
Cualquier conjunto de datos almacenados de manera digital y que contengan información que pueda soportar o refutar una hipótesis de incidente o acción criminal
Etapas
- Identificación
- Preservación
- Análisis
- Presentación

Alan Mena

Preguntas del Proceso Investigativo

¿Qué?
¿Dónde?
¿Cómo?
¿Quién?
¿Cuándo?
¿Por qué?

Cynthia Flores Castañeda

Etapas:
A grandes rasgos en la Etapa De Identificación, vamos a identificar, reconocer cuál es la evidencia, cuáles son nuestras fuentes de evidencia, a partir de qué dispositivos podemos tomar información que vaya a ser útil para la investigación.
En la Etapa De Preservación vamos a conservar, a almacenar, a guardar esa evidencia de manera segura, con unos procedimientos muy específicos. Esta es una etapa particularmente delicada porque muchos procedimientos y muchos casos tienden a fallar en esta etapa porque la gente no es suficientemente cuidadosa. Entonces vamos a aprender a cómo ser realmente suficientemente cuidadosos para que eso no nos pase a nosotros.
Y después vamos a estar hablando de la Etapa De Análisis, que es la etapa en la que hacemos nuestro análisis o nuestra investigación como tal, revisamos la información que ya tenemos preservada y demás, para finalmente terminar con la Etapa De Presentación, donde vamos a mostrar nuestros resultados a nuestro cliente o a nuestros abogados, o a la persona que necesitemos mostrarle con un lenguaje adecuado, con un informe adecuado, y de la manera correcta para que ellos… para que los resultados, por supuesto, sean válidos en un proceso legal.

Jorge Luis Sánchez Solís

Cómputo Forense: qué es

Es parte de las Ciencias Forenses.

FORENSE del latín forensis: "delantte del foro"
EVIDENCIA del latín evidentia: “visible”

Seis preguntas del proceso investigativo

¿Qué?
¿Dónde?
¿Cuándo?
¿Cómo?
¿Quién?
¿Por qué?

El Cómputo Forense

Es el uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar documentar y presentar evidencia digital obtenida a partir de fuentes de información digital, con el propósito de facilitar la recontrucción de hechos en una investigación legal, o ayudar a anticipar o prevenir acciones en contra de la ley.

Evidencia Digital

Es cualquier conjunto de datos almacenados de manera digital y que contengan información que pueda soportar o refutar una hipótesis de un incidente o acción criminal.

Etapas del Cómputo Forense

Etapa I: Identificación
- Identificar cual es la evidencia, reconocer a partir de qúe dispositico tomar información util para la inventigación.
Etapa II: Preservación
- Se almancena la evidencia de manera segura de acuerdo a los procedimientos.
Etapa III: Análisis
- Se da investigación como tal.
Etapa IV: Presentación:
- Se muestran los resultados al cliente o a la autoridad encargada del proceso legal.

Kevin Vega

Navegaba por platzi y vi este curso, pero ahora me interesa 😄

Salvador Garcia Montiel

Hay cuatro etapas de la informática forense:

Identificación
Preservación
Análisis
Presentación

Carlos Nassif Trejo Garcia

Computo forense:
Es una ciencia forense
- Forense: Latin, forensis: Delante del foro, frente al foro
- Evidencia: Latin, evidentia: Visible, fácil de ver para cualquiera

- Ser susceptible para ser presentado ante una autoridad
- Debe poderse explicar fácilmente

Richard Saferstein: Criminalistics An introduction to Forensic Science

¿Qué es?
Aplicación del método científico para establecer respuestas respecto a ciertos hechos en un contexto legal

6 preguntas:
- Que
- Como
- Cuando
- Donde
- Quien
- Por que

Principio de intercambio de Locard
Siempre que 2 objetos entran en contacto, transfieren parte del material al otro

Computo forense
Uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar, documentar, y presentar evidencia digital obtenida a partir de fuentes de información digital, con el propósito de facilitar de la reconstrucción de hechos en una investigación legal, o ayudar a anticipar o prevenir acciones en contra de la ley

Evidencia digital
Conjunto de datos almacenados de manera digital y que contengan información que pueda soportar o refutar una hipotesis de un incidente o acción criminal

Etapas
- Identificación
○ Evidencia
○ Dispositivos
- Preservación
○ Guardarla de manera segura
- Análisis
○ Revisarla
- Presentación
Mostrar resultados

Jose Aaron Chavez Soto

Saludos Profesor Juan Pablo, tengo una duda:

El Cómputo Forense puede practicarse sin considerar a la Criminalística ? o es importante considerarla en todas y cada una de las etapas del Cómputo Forense ?

GTBche

Alex Chambillla Rodriguez

SI NO SALIO PRIMERAMENTE ESTUDIO DERECHO ASI QUE ESTA RAMA O ESPECIALIDAD FORENSE ME PARENCE MUY INTERESANTE.

Jose Gisbert Castillo

buena pintaza tiene el curso

aurelio-r-rodriguez-crespo

Bien explicado…

AlvaroRT

Excelente introducción.

Jairo Andrés Rodríguez Sánchez

Entre por curiosidad , pero se ve muy bueno el curso

FREDY LEONARDO ROJAS HERNANDEZ

Excelente presentación

Gustavo Willyn Sánchez Rodríguez

Existen formatos a seguir para presentar los informes forenses después de una investigación?

Jose Luis Quintero Sanchez

Animo! Futuro Security Sentinel!

Joseph Michael Ciriaco Bermúdez

6 preguntas del proceso investigativo:
que?
como?
cuando?
donde?
quien?
por que?

Luis Alberto Anaya lentino

cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

MARIA TERESA PANIAGUA RIVERA

Gracias

Alejandro Gutiérrez González

Ennfwcto la evidencia debe almacenarse de forma segura: cadena de custodia.
Interesante todo el curso y apenas empezamos.

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Ixcoatl Francisco Pérez

Yerson Steven Rojas Barragan

Aun que es una area muy facinante de aprender, digo que los elementos que se utilizar son a veces muy muy caros

Paul Vazquez Cervantes

nice

Oscar Jaramillo

Excelente presentacion del curso

DANIEL TENOCH SANCHEZ GARCIA

Ciencia Forense

“Forense” del latín forensis: “delante del foro” / “frente al foro”.

“Evidencia” del latín evidentia: “visible”, “fácil de ver para cualquiera”.

Pedro Vinicio Quishpe Chicaiza

Excelente contenido, transmite seguridad del tema principal…

Cristian Rodrigo Salva Marcial

Excelente bien explicados los conceptos!

Pablo Amador Hernández Román

También se le conoce como informática forense.

toguxd

Buen profesor Juan Pablo, Hice con él, el curso de pentesting, aprendí muchisimo.

Marta Megias Chavez

Me encanta la claridad de la explicación de este profesor. Gracias Juan Pablo Caro. Es difícil perder la atención en tus explicaciones.

Andrés Álvarez

Buena Intro

Kevin Jeremy Salazar Jimenez

excelente!

raulopez

Excelente explicación.

AlexMT

Forense - Presentado ate una autoridad.
Evidencias - Sencillas y fácil de explicar.

Jean Carlos Nuñez Hernandez

Siempre hay que probar y saber como funciona nuestras herramientas

Junior Aguilera

que? como? Cuando? Donde? Quien? Por que?

Huaccaycahacc Cajamarca

mediante todos estos temas se puede llevar a una investigación de tesis???