Nota Importante
se debe hacer un formato de cadena de custodia por cada elemento que contenga informacion
Bienvenida y presentación general.
Todo lo que aprenderás sobre informática forense
Cómputo forense: qué es
Etapas I y II: Identificación y Preservación de Evidencia Digital
Etapas III y IV: Análisis y Presentación de Resultados
Etapa I: Identificación
Preparación de un kit para adquisición
Procedimientos de Cadena de Custodia
Identificación de fuentes de evidencia
Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado
Etapa II: Preservación
Sistemas de protección contra escritura por hardware y software
Introducción a FTK Imager
Adquisición de imágenes forenses con FTK Imager
Adquisición de imágenes forenses con EnCase
Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo
Introducción a Paladin Forensics
Adquisición de imágenes forenses con DD
FTK Imager para Linux
Adquisición de imágenes forenses de Mac. (Paladin)
Adquisición de imágenes forenses de Mac. (Target Disk Mode)
Verificación de imágenes forenses. Explicación de algoritmos Hash
Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles
Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas
Etapa III: Análisis de Evidencia Pt. 1
Sistemas de archivos Windows: FAT, NTFS
Sistemas de archivos Unix: EXT, HFS y APFS
Exportado de archivos a partir de imágenes forenses
Creación de imágenes parciales con FTK Imager
Análisis preliminar de sistemas Windows
Análisis preliminar de sistemas Unix (Linux y MacOS)
Elaboración de informe preliminar
Crear una imagen de contenido personalizado para análisis
Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada
Etapa III: Análisis de Evidencia Pt. 2
Análisis de Registro de Windows: SAM
Análisis de Registro de Windows: Software
Análisis de logs de un Sistema Windows
Análisis de listas recientes (MRU) y Shellbags
Referencia del registro de Windows
Análisis de procesos ejecutados
Análisis de bandejas de reciclaje
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa III: Análisis de Evidencia Pt. 3
Estructura de un sistema Unix
Arranque y ejecución de procesos en Linux
Análisis de archivos de autenticación
Análisis temporal del sistema
Autopsy y Sleuth Kit Suite
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa IV: Presentación.
Elaboración de un informe ejecutivo
Elaboración de un informe técnico completo
Presentación ante autoridades judiciales
Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso
Conclusiones Finales
Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
La cadena de custodia es un procedimiento documental en el cual se registra la responsabilidad y custodia de los elementos de evidencia digital, desde su adquisición o generación, hasta su disposición final.
Debemos tener en consideración estos tres puntos:
Aportes 33
Preguntas 5
Nota Importante
se debe hacer un formato de cadena de custodia por cada elemento que contenga informacion
Este tipo de procedimientos son hechos a nuestro criterio o existe algun tipo de procedimiento legal dependiendo del pais en donde nos encontremos?
todo bien, aunque seria importante mencionar el uso de guantes de latex, para la manipulación de las evidencias, a fin de evitar contaminar el debido proceso.
Procedimientos de Cadena de Custodia
.
Cadena de custodia: procedimiento donde se registra toda la custodia de la evidencia digital.
.
Puntos a tomar en cuenta
• Seguimiento documental
• ¿Quién tiene la evidencia y cuándo?
• Soporte legal para el proceso de investigación: La CoC (Chain of Custody) es un proceso estándar aceptado a nivel internacional.
La cadena de custodia es el correcto manejo, embalaje del dispositivo si es que se requiere y el llenado de información sobre un dispositivo, indicando nombre de propietario/nombre del perito (el profesional), fecha, lugar, descripción del elemento adquirido, un apartado para la autorización del manejo del dispositivo (elemento), firmas del propietario y quien recibe el dispositivo.
Siendo nuestros formatos de cadena de custodia e inventario de evidencia privados, requieren de algun tipo de registro legal para ser validos??
Formato de Cadena de Custodia
N° / Nombre de Caso: (Sí no existe una regla puede ser Caso01)
Fecha / Hora
Ubicación
Investigador (Quién realiza la revisión)
Descripción del Elemento adquirido
-> Describir el elemento eje. Si es laptop (Modelo, Marca, No. Serie y No. Inventario(si aplica))
Describir características como rayones o defectos
Notas / Comentarios
notas extra sí el equipo se recibe sin fuente de poder
Cadena de Custodia
Fecha / Hora, Lugar, Acción (si recibe o entrega)
Entrega (Firma de quien entrega (Dueño del dispositivo))
Recibe (Firma de quien recibe)
Autorización para disposición final de la evidencia
Este elemento ya no es requerido como evidencia y se autoriza el siguiente método para su disposición final:
• Entrega a:(destinatario a quien se entrega)
• Destrucción: ____________
• Donación:______________
• Otro: _________________
Nombre: Firma: Fecha:
En esta sexta clase he notado que menciona “eviendcia”. Tengo entendido que en Computo Forense, en un principio, se está trabajando con “indicios” que posteriormente toman caracter de “evidencia”. Pero no sé si al trabajar para un caso interno de alguna empresa, vaya, que no se tenga que llevar a juicio, esté bien el decir que se está trabajando con “evidencia”. ¿Alguien sabe algo al respecto?
Excelente bien explicado
Cada vez me gustan mas estas clases!!!
como descargo , encase forensic imager y ftk imager me piden datos que no tengo.???
Cadena de custodia
Es como una especie de contrato legal y orden de servicio en el que se adquiere la responsabilidad de conservar y proteger materiales de prueba
Excelente clase, muy clara.
Una cosa es quitar un disco duro de una pc, pero ya retirar y desarmar una notebook, me da un poco de miedo u.u
No veo la opción o botón de adjuntar archivo. ¿Alguien me podría indicar cómo adjuntar un archivo?
Con los equipos terminales móviles (teléfonos inteligentes), particularmente cuando su propietario es un usuario de la defensa, sucede algo particular: Generalmene su propietario lo deja a disposiciòn para la extracción de información pero pide que se le devuelva en el menor tiempo posible. ¿En estos casos es necesario realizar todo el proceso de custodia? ¿rotulado, embalaje y reisgtro de continuidad de cadena de custodia?
Verificar si la computadora enciende
son temas muy delicados, y saber con que persona tratar y de que manera tratar!
¿Imagino que 21 de octubre de 1985 es la fecha de nacimiento de Juan Pablo?
excelente la actuacion.
Excelente explicación!
El es un excelnte profesor me gusta como lo explica, lo explica de una manera muy facil.
Desde mi punto de vista es importante referir que es una Netbook que es un equipo menos potente (aunque no siempre) y más pequeña que un laptop, creo que en este punto de la cadena de custodia es importante referirlo o incluso validarlo en el sitio del fabricante.
El proceso de cadena de custodia es un proceso documental
muy interesante la cadena de custodia.
y no se puede usar un archivo de texto y asi te ahorras un par de arboles?..
Seguimiento documental
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?