Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Etapas III y IV: Análisis y Presentación de Resultados

4/49
Recursos
Transcripción

Continuaremos con las dos últimas etapas, las cuales son:

  • Etapa 3- Análisis: Es el procesamiento de información relacionada con el objetivo de la investigación, con el fin de determinar hechos asociados con un evento.
    Haremos: Análisis Preliminar, Análisis de Sistemas Windows y/o Análisis de Sistemas Unix.
    Puntos claves a tener en cuenta:
    Sistemas de Archivos: ¿Qué son?, ¿cuáles usamos comúnmente?, ¿cómo funcionan?
    Creación de imágenes parciales: Clasificación de datos para análisis.
    Exportado de archivos: Separación de información.
    Análisis preliminar de Sistemas Operativos: Windows y Unix
    – Los resultados del Análisis Preliminar serán: información filtrada para análisis y reporte preliminar de análisis.
    Puntos claves a tener en cuenta para sistemas operativos:
    Análisis de usuarios de sistema: ¿Qué usuarios han estado activos en el sistema?
    Análisis de logs y procesos ejecutados: Reconstrucción de la actividad del Sistema Operativo.
    Recuperación de archivos borrados: Reconstrucción y procesos de data carving.
    Artefactos específicos de Sistema: Diferencias entre Windows y Unix.
    – Los resultados del Análisis General serán: resultados generales de la investigación y posibles fuentes adicionales de consulta.

  • Etapa 4 - Presentación: Entregaremos resultados, con un lenguaje adecuado, en forma de reportes a las partes interesadas o autoridades que los requieran.
    Puntos claves a tener en cuenta:
    Organización de la información: ¿Qué debemos incluir y qué no?, ¿cómo presentar los resultados y qué decir?
    Creación de un informe técnico: ¿Qué detalles debemos incluir?
    Creación de un informe ejecutivo: ¿Qué lenguaje debemos utilizar?, ¿cómo resumir nuestros hallazgos?
    Presentación ante autoridades: Consejos y recomendaciones
    – Los resultados de la Presentación serán: informe técnico e informe ejecutivo.

Aportes 15

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Con un Live cd de Ubuntu es posible arrancar un sistema y examinarlo sin que el Windows registre el analisis pues el sistema gnu/Linux Corre en memoria y con la herramienta dd podemos crear una imagen bit a bit “clon” del disco duro para luego montar esa imagen y examinarla en una maquina virtual como kvm o Virtualbox sin afectar el disco duro original

Esto lo utilizo mucho para convertir sistemas reales montados por terceros en discos duros virtuales para Maquinas virtuales fácilmente exportables y clonables

ahora que lo explica el profesor veo que podemos usar este método para obtener una imagen para investigación sin alterar el disco duro “la evidencia física”

Tercera Etapa del cómputo forense
.
Tercera etapa “Análisis”: procesamiento y análisis de fuentes de información relacionada un evento.
.
Puntos clave a tener en cuenta tercera etapa
Sistemas de archivos
Creación de imágenes parciales
Exportado de archivos
Análisis preliminar de Sistemas Operativos
.
Resultados de la tercera etapa
Como resultado obtendrás, resultados generales de la investigación y posibles fuentes adicionales de consulta.

Cuarta Etapa del cómputo forense
.
Cuarta etapa “Presentación”: presentaremos resultados con un lenguaje adecuado y legible para los demás.
.
Puntos clave a tener en cuenta cuarta etapa
Organización de la información
Creación de un informe técnico
Creación de un informe ejecutivo
Presentación ante autoridades
.
Resultados de la cuarta parte
Como resultado obtendremos, un informe técnico e informe ejecutivo.

mucha expectativa de este curso , cada vez se pone mejor.

Análisis—Procesamiento de información relacionado con el objetivo en la investigación —fin–hechos asociados con eventos.

Muy bien estructurado el curso.

Gracias

Muy buena tematica

Buena temática del curso y el orden que lleva es el apropiado.

Las herramientas de análisis forense digital son todas relativamente nuevas. A medida que los dispositivos se volvieron más complejos y vinculados con más información, el análisis en vivo se volvió inmanejable e improductivo. Posteriormente, el freeware y las tecnologías especializadas aparecieron como hardware y software para extorsionar, localizar o filtrar datos en un dispositivo sin modificarlo ni destruirlo.

Claro, me recuerda la frase de sherlok, la hipotesis se adapata a la evidencia, no la evidencia se adapta a la hipotesis.

La objetivida de la investigacion con el fin de determinar los hechos