Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Adquisición de imágenes forenses con DD

15/49
Recursos

Aportes 19

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Mi resumen

el comando dd (data dump) en Linux originalmente se usa para copiar archivos en crudo (raw data) y su sintaxis es muy sencilla
dd if=/dev/sdb of=/ruta/destino/archivodestino

if= input file
of= output file

esta opción es muy simple y no cumple todas las necesidades de una imagen forense , para ello se utiliza el comando
dc3dd con la siguiente sintaxis

dc3dd if=/dev/sdb hofs=/ruta/destino/archivodestino ofsz=300MB hash=md5 hash=sha1 verb=on log=/ruta/destino/archivolog.txt

if = input file
h = hash
of = output file
s = split
ofsz= tamaño de los bloques en los que queremos dividir la imagen
verb= barra de progreso

El archivo txt del log tiene todos los datos que requerimos como los resultados de los hash fecha de creación, tamaño etc

Gracias por leer cualquier corrección,aporte se agradecen de ante mano

Años trabajando con Linux y no conocía el comando dc3dd

Es importante mencionar que tanto el MD5 como el SHA1, tienen problemas de colisión, por lo que ahora es mas recomendable utilizar el SHA256, ya que en un caso pueden desestimar la prueba por la colisión de hash

El **md5sum **está diseñado para verificar la integridad de los datos mediante MD5 (algoritmo 5 de resumen de mensajes). MD5 es un hash criptográfico de 128 bits y, si se usa correctamente, se puede usar para verificar la autenticidad e integridad de los archivos.

El DD lo había usado mucho pero nunca el dc3dd y eso que llevo 22 años con Linux.

Imagen forense usando el comando dd en su versión dc3dd

gracias

Desde hace algunas versiones a dd se le puede pasar el parametro status=progress para ver el progreso en tiempo real

Interesamye, no conocia el comando dc3dd

Gracias

dc3dd if=/dev/sdb hofs=/media/STORAGE/EVIDENCIA/IMAGEN02.001

ofsz=300MB para decirle al programador en cuanto en cuanto se va a partir la imagen

Vaya dato…
Gracias por los distintos recursos 😃

En IOS no se pueden generar imágenes Forenses?

Muy buena clase.

El reporte de dc3dd genera un reporte con la opcion log

sudo su elevamos permisos para pode trabajar en linux

md5sum para calcular el hash de la imagen en el directorio /media/STORAGE/EVIDENCIA/iMAGEN01.001

DD es un camando se puede utilizar hacer copias de images de disco