Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Identificación de fuentes de evidencia

7/49
Recursos
Transcripción

En esta clase veremos quién es el primer respondiente, cómo debe estar preparado y qué alcance tiene.

Hay dos tipos de adquisición:

  • Adquisición estática: Sistemas que están apagados o que no se modifican o alteran al apagarse.
  • Adquisición en vivo: Sistemas que no pueden apagarse, o que al apagarse pierden información relevante.

Inventario de Evidencia:

  • Número identificador
  • Custodio
  • Tipo de dispositivo
  • Marca
  • Modelo
  • Número de serie
  • Número de inventario
  • Capacidad de almacenamiento
  • Notas

Aportes 21

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Pregunta:
Que pasa si al momento de hacer el inventario de evidencia no encuentro el número de serie del equipo ya sea porque se borro o por la antiguedad de la compu se despego la etiqueta , puedo encender el equipo para sacarlo via ventana de comando o en ese caso cual seria el procedimiento?

Imagen Inventario de Evidencia
.

.
Puedes encontrar mas diapositivas referentes a este curso en el siguiente enlace 😉
https://docs.google.com/presentation/d/1mA6SSCSKNExUsse0qTxz3FUfH_v5KkIfyqjb0CoSwLE/edit#slide=id.p50

En los sistemas en vivo es importante el tema de la temporalidad de cuando se recoge la evidencia, estuve en un caso donde la policia recien tomo las evidencias Un año y medio despues de un servidor.

Profe pregunta
En el ámbito privado el primer respondiente es el usuario dueño del equipo de computo afectado?? o es el administrador de sistemas de la empresa??

Y en el ámbito Publico es la policía de delitos informáticos? o el administrador de sistemas de la entidad publica?

Algun enlace para ver donde se pueden comprar los blocqueadores?

buenas tardes profesor una pregunta ,apenas estoy comenzando en esta área y mi duda es que salarios maneja méxico y si es muy solicitado estos servicios?
Gracias.

Bueno Juan Pablo el ejemplo del servidor de correo, como que no es muy practico por que por mas que necesiten el servidor, este ya esta en listas negras si esta enviando phishing o spam, así que igual la mayoría de los correos no están llegando a destino, se va a tener que apagar en algún momento o incluso talvez según como haya sido implementado, traer una imagen de backup previa al incidente desde una lun o definitivamente apagar reinstalar y volver recuperar desde backup en la mayoría de los casos maquina física, así que aun así ese caso podría ser ara adquisición estática, yo lo vería desde el punto de vista de indicio de robo de información de una base de datos puede ser de todas las mailbox del servidor de correo, dónde talvez haya habido un trafico equivalente al total de las mismas desde el servidor de correo a la estación de trabajo de la fotografía y que ese usuario no es un usuario administrativo del servidor, ahí si estaría bien una adquisición en vivo por que el servidor esta bien, solo que pudo haber estado comprometida la información en el mismo.

excelente capacitación

Nota: Debemos diseñar una autorización que permita acceder al material fuente de propiedad del empleado para revisarlo en eventos de robo de información— se podrá?

muy buena diferenciacion entre adquisicion estatica vs en vivo

Se deben de dejar copias de los inventarios.?

Custodio = Titular

Hay dos tipos de adquisicion de datos: Estaticos y en Vivo

Adquisicion estaticos es cuando el equipo esta apagado

Adquisicion en vivo, es cuando el equipo esta encendido

Des de adquirir los datos se documenta un inventario de evidencia

Y Como hace uno para hacer backup de un servidor si este esta activo?

Adquisición estática y dinámica

Recomendación de primer respondiente