Bienvenida y presentaci贸n general.

1

Todo lo que aprender谩s sobre inform谩tica forense

2

C贸mputo forense: qu茅 es

3

Etapas I y II: Identificaci贸n y Preservaci贸n de Evidencia Digital

4

Etapas III y IV: An谩lisis y Presentaci贸n de Resultados

Etapa I: Identificaci贸n

5

Preparaci贸n de un kit para adquisici贸n

6

Procedimientos de Cadena de Custodia

7

Identificaci贸n de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservaci贸n

9

Sistemas de protecci贸n contra escritura por hardware y software

10

Introducci贸n a FTK Imager

11

Adquisici贸n de im谩genes forenses con FTK Imager

12

Adquisici贸n de im谩genes forenses con EnCase

13

Adquisici贸n de im谩genes l贸gicas, memoria vol谩til y sistemas operativos en vivo

14

Introducci贸n a Paladin Forensics

15

Adquisici贸n de im谩genes forenses con DD

16

FTK Imager para Linux

17

Adquisici贸n de im谩genes forenses de Mac. (Paladin)

18

Adquisici贸n de im谩genes forenses de Mac. (Target Disk Mode)

19

Verificaci贸n de im谩genes forenses. Explicaci贸n de algoritmos Hash

20

Adquirir im谩genes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificaci贸n con algoritmos HASH de las diferentes im谩genes forenses generadas

Etapa III: An谩lisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de im谩genes forenses

25

Creaci贸n de im谩genes parciales con FTK Imager

26

An谩lisis preliminar de sistemas Windows

27

An谩lisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboraci贸n de informe preliminar

29

Crear una imagen de contenido personalizado para an谩lisis

30

Elaborar un informe de an谩lisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: An谩lisis de Evidencia Pt. 2

31

An谩lisis de Registro de Windows: SAM

32

An谩lisis de Registro de Windows: Software

33

An谩lisis de logs de un Sistema Windows

34

An谩lisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

An谩lisis de procesos ejecutados

37

An谩lisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa III: An谩lisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecuci贸n de procesos en Linux

41

An谩lisis de archivos de autenticaci贸n

42

An谩lisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa IV: Presentaci贸n.

45

Elaboraci贸n de un informe ejecutivo

46

Elaboraci贸n de un informe t茅cnico completo

47

Presentaci贸n ante autoridades judiciales

48

Consolidar los resultados en dos informes: t茅cnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Procedimientos de Cadena de Custodia

6/49
Recursos
Transcripci贸n

La cadena de custodia es un procedimiento documental en el cual se registra la responsabilidad y custodia de los elementos de evidencia digital, desde su adquisici贸n o generaci贸n, hasta su disposici贸n final.

Debemos tener en consideraci贸n estos tres puntos:

  • Seguimiento documental: Usando un formato m谩s o menos est谩ndar, se hace seguimiento a la evidencia.
  • 驴Qui茅n tiene la evidencia y cu谩ndo?: El proceso y la documentaci贸n ayudan a saber qui茅n es el responsable de la evidencia en cada momento.
  • Soporte legal para el proceso de investigaci贸n: La CoC (Chain of Custody) es un proceso est谩ndar aceptado a nivel internacional.

Aportes 26

Preguntas 4

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Nota Importante
se debe hacer un formato de cadena de custodia por cada elemento que contenga informacion

Este tipo de procedimientos son hechos a nuestro criterio o existe algun tipo de procedimiento legal dependiendo del pais en donde nos encontremos?

Imagen Cadena de Custodia
.

.
Puedes encontrar mas diapositivas referentes a este curso en le siguiente enlace 馃槈
https://docs.google.com/presentation/d/1mA6SSCSKNExUsse0qTxz3FUfH_v5KkIfyqjb0CoSwLE/edit#slide=id.p42

todo bien, aunque seria importante mencionar el uso de guantes de latex, para la manipulaci贸n de las evidencias, a fin de evitar contaminar el debido proceso.

Procedimientos de Cadena de Custodia
.
Cadena de custodia: procedimiento donde se registra toda la custodia de la evidencia digital.
.
Puntos a tomar en cuenta
Seguimiento documental
驴Qui茅n tiene la evidencia y cu谩ndo?
Soporte legal para el proceso de investigaci贸n: La CoC (Chain of Custody) es un proceso est谩ndar aceptado a nivel internacional.

como descargo , encase forensic imager y ftk imager me piden datos que no tengo.???

En esta sexta clase he notado que menciona 鈥渆viendcia鈥. Tengo entendido que en Computo Forense, en un principio, se est谩 trabajando con 鈥渋ndicios鈥 que posteriormente toman caracter de 鈥渆videncia鈥. Pero no s茅 si al trabajar para un caso interno de alguna empresa, vaya, que no se tenga que llevar a juicio, est茅 bien el decir que se est谩 trabajando con 鈥渆videncia鈥. 驴Alguien sabe algo al respecto?

La cadena de custodia es el correcto manejo, embalaje del dispositivo si es que se requiere y el llenado de informaci贸n sobre un dispositivo, indicando nombre de propietario/nombre del perito (el profesional), fecha, lugar, descripci贸n del elemento adquirido, un apartado para la autorizaci贸n del manejo del dispositivo (elemento), firmas del propietario y quien recibe el dispositivo.

Formato de Cadena de Custodia


  • N掳 / Nombre de Caso: (S铆 no existe una regla puede ser Caso01)

  • Fecha / Hora

  • Ubicaci贸n

  • Investigador (Qui茅n realiza la revisi贸n)

  • Descripci贸n del Elemento adquirido
    -> Describir el elemento eje. Si es laptop (Modelo, Marca, No. Serie y No. Inventario(si aplica))
    Describir caracter铆sticas como rayones o defectos

  • Notas / Comentarios
    notas extra s铆 el equipo se recibe sin fuente de poder

    Cadena de Custodia

  • Fecha / Hora, Lugar, Acci贸n (si recibe o entrega)

  • Entrega (Firma de quien entrega (Due帽o del dispositivo))

  • Recibe (Firma de quien recibe)

    Autorizaci贸n para disposici贸n final de la evidencia
    Este elemento ya no es requerido como evidencia y se autoriza el siguiente m茅todo para su disposici贸n final:
    鈥 Entrega a:(destinatario a quien se entrega)
    鈥 Destrucci贸n: ____________
    鈥 Donaci贸n:______________
    鈥 Otro: _________________
    Nombre: Firma: Fecha:

Excelente bien explicado

Es como una especie de contrato legal y orden de servicio en el que se adquiere la responsabilidad de conservar y proteger materiales de prueba

Cada vez me gustan mas estas clases!!!

Excelente clase, muy clara.

Una cosa es quitar un disco duro de una pc, pero ya retirar y desarmar una notebook, me da un poco de miedo u.u

Siendo nuestros formatos de cadena de custodia e inventario de evidencia privados, requieren de algun tipo de registro legal para ser validos??

驴Imagino que 21 de octubre de 1985 es la fecha de nacimiento de Juan Pablo?

excelente la actuacion.

Excelente explicaci贸n!

El es un excelnte profesor me gusta como lo explica, lo explica de una manera muy facil.

Cadena de custodia

  1. Seguimiento documental.
    2.Proceso de documentaci贸n.
  2. Soporte legal.

Desde mi punto de vista es importante referir que es una Netbook que es un equipo menos potente (aunque no siempre) y m谩s peque帽a que un laptop, creo que en este punto de la cadena de custodia es importante referirlo o incluso validarlo en el sitio del fabricante.

El proceso de cadena de custodia es un proceso documental

muy interesante la cadena de custodia.

y no se puede usar un archivo de texto y asi te ahorras un par de arboles?..

Seguimiento documental