RAW:= Imagen en crudo (Copia bits a bits, Menos usado)
Smart:= Formato ya no utilizado
E01:= Herramienta comercial para imagen forense (Mayor soporte,recomendado)
AFF:= Soportado solamente por acces data
Bienvenida y presentación general.
Todo lo que aprenderás sobre informática forense
Cómputo forense: qué es
Etapas I y II: Identificación y Preservación de Evidencia Digital
Etapas III y IV: Análisis y Presentación de Resultados
Etapa I: Identificación
Preparación de un kit para adquisición
Procedimientos de Cadena de Custodia
Identificación de fuentes de evidencia
Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado
Etapa II: Preservación
Sistemas de protección contra escritura por hardware y software
Introducción a FTK Imager
Adquisición de imágenes forenses con FTK Imager
Adquisición de imágenes forenses con EnCase
Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo
Introducción a Paladin Forensics
Adquisición de imágenes forenses con DD
FTK Imager para Linux
Adquisición de imágenes forenses de Mac. (Paladin)
Adquisición de imágenes forenses de Mac. (Target Disk Mode)
Verificación de imágenes forenses. Explicación de algoritmos Hash
Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles
Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas
Etapa III: Análisis de Evidencia Pt. 1
Sistemas de archivos Windows: FAT, NTFS
Sistemas de archivos Unix: EXT, HFS y APFS
Exportado de archivos a partir de imágenes forenses
Creación de imágenes parciales con FTK Imager
Análisis preliminar de sistemas Windows
Análisis preliminar de sistemas Unix (Linux y MacOS)
Elaboración de informe preliminar
Crear una imagen de contenido personalizado para análisis
Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada
Etapa III: Análisis de Evidencia Pt. 2
Análisis de Registro de Windows: SAM
Análisis de Registro de Windows: Software
Análisis de logs de un Sistema Windows
Análisis de listas recientes (MRU) y Shellbags
Referencia del registro de Windows
Análisis de procesos ejecutados
Análisis de bandejas de reciclaje
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa III: Análisis de Evidencia Pt. 3
Estructura de un sistema Unix
Arranque y ejecución de procesos en Linux
Análisis de archivos de autenticación
Análisis temporal del sistema
Autopsy y Sleuth Kit Suite
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa IV: Presentación.
Elaboración de un informe ejecutivo
Elaboración de un informe técnico completo
Presentación ante autoridades judiciales
Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso
Conclusiones Finales
Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Juan Pablo Caro
En esta clase veremos las mejores prácticas para adquirir imágenes forenses con FTK Imager. Recuerda seguir todos y cada uno de los pasos que se muestran para que no genere ningún error.
Luego de que los sigas debes esperar hasta que la imagen del disco esté lista, al final tendremos varios archivos entre los cuales se encontrará un archivo de texto con el reporte de FTK Imager.
Aportes 17
Preguntas 4
RAW:= Imagen en crudo (Copia bits a bits, Menos usado)
Smart:= Formato ya no utilizado
E01:= Herramienta comercial para imagen forense (Mayor soporte,recomendado)
AFF:= Soportado solamente por acces data
Algunos de los formatos de imágenes forenses más comunes son:
EnCase (Extensión .E01)
DD (Extensión .001 o .dd)
AccessData Custom Content Image (Extensión .AD1)
https://dban.org una herramienta que permite eliminar la información del disco duro.
Una vez presentado en el caso la imagen o la copia del disco duro? que sigue después con ese archivo? no creo que se pueda borrar. Así que a lo largo de la carrera entiendo que constantemente se va acumulando gigas y gigas de imagenes. no?
hacer la imagen forense y trabajar siempre sobre ella y el disco original guardarlo en una caja fuerte o en algun lugar seguro. hay que hacer la imagen forense si o si pues los discos duros HDD pueden tener sectores dañados o directamente fallar por hardware
Que gran clase!!!
fantástico
Siempre tener un disco de mayor capacida al que va a copiar, es decir, si vas copiar un disco de 1 tera debes tener un disco de mas de un 1 tera
E01 es un formato de la herramienta engage
AFF es un formato que esta solo soportado por la herramientas de access data
Las capacidades de discos grandes,como pueden ser 16giga, son engorrozas de manipular, asi que lo que se hace es partirlo mas o menos de 1giga a 1.5giga
Calcular el valor hash para la images debe de coincidir con el valor hash del disco duro
La copia forense se tarda mucho, ya que es una copia completa del dispositivo y esto demora
en todo caso…en estos procesos se debe usar un ordenador con gran potencia…no?
Cual es la imagen de prueba que utiliza el profesor en la memoria usb?
Yo cree una particion de mi disco duro, y al hacer la imagen empezo a hacer la imagen del disco duro completo
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?