Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

18/49
Recursos

Aportes 9

Preguntas 3

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

Me parece que el enlace correcto para descargar el FTK Imager para Mac es el siguiente:

https://accessdata.com/product-download/mac-os-10.5-and-10.6x-version-3.1.1

En lugar de el que aparece en la sección de Archivos y Enlaces, el cual es:

https://accessdata.com/product-download/ftk-imager-version-4.2.0

MI resumen
Es posible arrancar un equipo Mac con la función Tarjet Disk Mode y con esta convertir el Mac en una especie de disco duro externo para ser fácilmente copiado en una imagen forense con la ayuda de otro equipo Mac y una USB que tenga el programa ejecutable ftk imager para Mac

Basta con al iniciar el equipo que queremos copiar arrancar presionando la tecla T y el equipo permitirá arrancar en modo Tarjet Disk Mode, en la pantalla aparecera el simbolo de carga de bateria y el simbolo del puerto por donde se puede comunicar (thunderball, firewire, usbc )

  • De ahí procedemos a conectar el Mac convertido en disco duro externo en el Mac que usaremos para generar la imagen

  • cuando se lo conecta tener cuidado de no activar el volumen dando la contraseña para montaje pues perjudicaría la imagen al escribir datos en ella

  • En la terminal del Mac se loguea como administrador o root del Mac, y se eleva privilegios con sudo (como en Linux) se ejecuta el siguiente comando para ver los dispositivos conectados

  • <h1>disk util list</h1>

una vez identificado el dispositivo se ubica en la memoria usb que contiene el ejecutable ftk imager para Mac y se lo ejecuta con las ordenes idénticas a como se hace cuando se genera la imagen en Linux por consola

-El punto de montaje en Mac de los dispositivos es Volumes
la siguiente es la transcripción del ejemplo del profe

  • ./ftkimager /dev/disk2 /Volumes/STORAGE/Image_TDM --e01 --frag 1500MB --compress 6 --case-number Platzi_01 --evidence-number Platzi_01_07 --examiner Juan\Pablo\Caro --verify

Gracias por leer cualquier corrección o aporte serán bienvenidos

Muuy Buen Curso!

Muy bien

En ves de usar otra mac, no se puede usar cualquier otra PC para tener los comandos y hacer todo en ves de mac?

muy bueno

ftkImager en mac - es línea de comandos - es un ejecutable desde un usb

Interesante…

Gracias