Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Adquisición de imágenes forenses con FTK Imager

11/49
Recursos

En esta clase veremos las mejores prácticas para adquirir imágenes forenses con FTK Imager. Recuerda seguir todos y cada uno de los pasos que se muestran para que no genere ningún error.

Luego de que los sigas debes esperar hasta que la imagen del disco esté lista, al final tendremos varios archivos entre los cuales se encontrará un archivo de texto con el reporte de FTK Imager.

Aportes 16

Preguntas 3

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

MI resumen

FTK imager de la empresa Acces Data es una herramienta gratuita que podemos bajar directamente desde aqui después de llenar un formulario basico obligatorio
esta versión es para Windows
lo primero es crear la imagen del disco para lo cual debemos escoger la fuente de la evidencia

  • Disco Físico: Cualquier dispositivo de almacenamiento físico

  • Disco Lógico: Partición o sección de un disco

  • Archivo de imagen : Imágenes forenses

  • Contenido de un folder (carpeta): Parte lógica

  • Dispositivo Fernico: para partir la imagen para almacenar en CD/DVD

una vez determinada la fuente se debe escoger elm formato de salida de la imagen, dentro de las cuales tenemos

  • Raw: dd (Data Dump) sin compresión poco usado

  • SMART: en desuso

  • E01: Encase de las primeras herramientas comerciales de informática forense y es muy popular soportada por varias aplicaciones formato propio

  • AFF: solo soportado por las herramientas de Acces Data

Al etiquetar las imágenes procurar mantener el orden y coherencia para no confundir

Seleccionar el tamaño de los bloques y un tipo de compresión recomendado 6 por cuanto una imagen muy compresa genera esfuerzo innecesario

al terminar se recomienda seleccionar pre calcular para tener una idea del tiempo que tomara la imagen

a si mismo se debe seleccionar la opción de verificación después de la creación el cual genera una función Hash

la función Hash calcula un valor numérico que funciona como huella digital del disco origen y después se calcula para la imagen al compararlos deben ser iguales

el resultado es una serie de archivos consecutivos de acuerdo al tamaño de la imagen y la compresión con la extensión seleccionada y un archivo de texto con la información de la imagen creada con los resultados de la verificación la función Hash en MD5 y SHA1

cualquier corrección, aporte o aclaración sera bien venida Gracias por leer.

RAW:= Imagen en crudo (Copia bits a bits, Menos usado)
Smart:= Formato ya no utilizado
E01:= Herramienta comercial para imagen forense (Mayor soporte,recomendado)
AFF:= Soportado solamente por acces data

Algunos de los formatos de imágenes forenses más comunes son:

EnCase (Extensión .E01)
DD (Extensión .001 o .dd)
AccessData Custom Content Image (Extensión .AD1)

Una vez presentado en el caso la imagen o la copia del disco duro? que sigue después con ese archivo? no creo que se pueda borrar. Así que a lo largo de la carrera entiendo que constantemente se va acumulando gigas y gigas de imagenes. no?

https://dban.org una herramienta que permite eliminar la información del disco duro.

hacer la imagen forense y trabajar siempre sobre ella y el disco original guardarlo en una caja fuerte o en algun lugar seguro. hay que hacer la imagen forense si o si pues los discos duros HDD pueden tener sectores dañados o directamente fallar por hardware

fantástico

Siempre tener un disco de mayor capacida al que va a copiar, es decir, si vas copiar un disco de 1 tera debes tener un disco de mas de un 1 tera

E01 es un formato de la herramienta engage

AFF es un formato que esta solo soportado por la herramientas de access data

Las capacidades de discos grandes,como pueden ser 16giga, son engorrozas de manipular, asi que lo que se hace es partirlo mas o menos de 1giga a 1.5giga

Calcular el valor hash para la images debe de coincidir con el valor hash del disco duro

La copia forense se tarda mucho, ya que es una copia completa del dispositivo y esto demora

en todo caso…en estos procesos se debe usar un ordenador con gran potencia…no?

Cual es la imagen de prueba que utiliza el profesor en la memoria usb?

Yo cree una particion de mi disco duro, y al hacer la imagen empezo a hacer la imagen del disco duro completo