Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Procedimientos de Cadena de Custodia

6/49
Recursos

La cadena de custodia es un procedimiento documental en el cual se registra la responsabilidad y custodia de los elementos de evidencia digital, desde su adquisición o generación, hasta su disposición final.

Debemos tener en consideración estos tres puntos:

  • Seguimiento documental: Usando un formato más o menos estándar, se hace seguimiento a la evidencia.
  • ¿Quién tiene la evidencia y cuándo?: El proceso y la documentación ayudan a saber quién es el responsable de la evidencia en cada momento.
  • Soporte legal para el proceso de investigación: La CoC (Chain of Custody) es un proceso estándar aceptado a nivel internacional.

Aportes 33

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Nota Importante
se debe hacer un formato de cadena de custodia por cada elemento que contenga informacion

Este tipo de procedimientos son hechos a nuestro criterio o existe algun tipo de procedimiento legal dependiendo del pais en donde nos encontremos?

todo bien, aunque seria importante mencionar el uso de guantes de latex, para la manipulación de las evidencias, a fin de evitar contaminar el debido proceso.

Procedimientos de Cadena de Custodia
.
Cadena de custodia: procedimiento donde se registra toda la custodia de la evidencia digital.
.
Puntos a tomar en cuenta
Seguimiento documental
¿Quién tiene la evidencia y cuándo?
Soporte legal para el proceso de investigación: La CoC (Chain of Custody) es un proceso estándar aceptado a nivel internacional.

La cadena de custodia es el correcto manejo, embalaje del dispositivo si es que se requiere y el llenado de información sobre un dispositivo, indicando nombre de propietario/nombre del perito (el profesional), fecha, lugar, descripción del elemento adquirido, un apartado para la autorización del manejo del dispositivo (elemento), firmas del propietario y quien recibe el dispositivo.

Siendo nuestros formatos de cadena de custodia e inventario de evidencia privados, requieren de algun tipo de registro legal para ser validos??

Formato de Cadena de Custodia


  • N° / Nombre de Caso: (Sí no existe una regla puede ser Caso01)

  • Fecha / Hora

  • Ubicación

  • Investigador (Quién realiza la revisión)

  • Descripción del Elemento adquirido
    -> Describir el elemento eje. Si es laptop (Modelo, Marca, No. Serie y No. Inventario(si aplica))
    Describir características como rayones o defectos

  • Notas / Comentarios
    notas extra sí el equipo se recibe sin fuente de poder

    Cadena de Custodia

  • Fecha / Hora, Lugar, Acción (si recibe o entrega)

  • Entrega (Firma de quien entrega (Dueño del dispositivo))

  • Recibe (Firma de quien recibe)

    Autorización para disposición final de la evidencia
    Este elemento ya no es requerido como evidencia y se autoriza el siguiente método para su disposición final:
    • Entrega a:(destinatario a quien se entrega)
    • Destrucción: ____________
    • Donación:______________
    • Otro: _________________
    Nombre: Firma: Fecha:

En esta sexta clase he notado que menciona “eviendcia”. Tengo entendido que en Computo Forense, en un principio, se está trabajando con “indicios” que posteriormente toman caracter de “evidencia”. Pero no sé si al trabajar para un caso interno de alguna empresa, vaya, que no se tenga que llevar a juicio, esté bien el decir que se está trabajando con “evidencia”. ¿Alguien sabe algo al respecto?

Excelente bien explicado

Cada vez me gustan mas estas clases!!!

como descargo , encase forensic imager y ftk imager me piden datos que no tengo.???

Veo que ahi se hizo la entrega de solamente el hardware, me queda la duda sobre temas de credenciales , SO, software..etc.

Cadena de custodia

  1. Seguimiento documental.
    2.Proceso de documentación.
  2. Soporte legal.

Es como una especie de contrato legal y orden de servicio en el que se adquiere la responsabilidad de conservar y proteger materiales de prueba

Excelente clase, muy clara.

Una cosa es quitar un disco duro de una pc, pero ya retirar y desarmar una notebook, me da un poco de miedo u.u

Gracias

No veo la opción o botón de adjuntar archivo. ¿Alguien me podría indicar cómo adjuntar un archivo?

Con los equipos terminales móviles (teléfonos inteligentes), particularmente cuando su propietario es un usuario de la defensa, sucede algo particular: Generalmene su propietario lo deja a disposiciòn para la extracción de información pero pide que se le devuelva en el menor tiempo posible. ¿En estos casos es necesario realizar todo el proceso de custodia? ¿rotulado, embalaje y reisgtro de continuidad de cadena de custodia?

Verificar si la computadora enciende

son temas muy delicados, y saber con que persona tratar y de que manera tratar!

¿Imagino que 21 de octubre de 1985 es la fecha de nacimiento de Juan Pablo?

excelente la actuacion.

Excelente explicación!

El es un excelnte profesor me gusta como lo explica, lo explica de una manera muy facil.

Desde mi punto de vista es importante referir que es una Netbook que es un equipo menos potente (aunque no siempre) y más pequeña que un laptop, creo que en este punto de la cadena de custodia es importante referirlo o incluso validarlo en el sitio del fabricante.

El proceso de cadena de custodia es un proceso documental

muy interesante la cadena de custodia.

y no se puede usar un archivo de texto y asi te ahorras un par de arboles?..

Seguimiento documental