Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

21/49

Lectura

La última clase de este módulo estuvo dedicada a los algoritmos hash y por qué los podemos usar para verificar que la información de nuestra imagen forense no ha sido alterada durante el proceso. Este recurso vas a tener que usarlo muchas veces durante tus procesos de investigación, por lo que es bueno que te familiarices con los resultados de las funciones hash.

...

Regístrate o inicia sesión para leer el resto del contenido.

Aportes 18

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Respecto a las preguntas que se hacen respecto a los valores de los HASH MD5 y SHA1:

1. ¿Qué conjuntos de caracteres aparecen?
Aparecen caracteres alfanuméricos que van del ‘0’ al ‘9’ y de la ‘a’ a la ‘f’, o sea usa los mismos caracteres que el sistema numérico hexadecimal.

2.¿Qué longitud tienen las cadenas de caracteres resultantes?
Los valores de los HASH MD5 tienen una longitud de 33 caracteres.
Los valores de los HASH SHA1 tienen una longitud de 41 caracteres.

3. ¿Qué interpretas a partir de estas respuestas?
Mi interpretación es que los valores HASH son cadenas de caracteres de longitud fija, independientemente de los datos (en este caso de las imágenes), es decir; indistintamente si la imagen forense es de tamaño de 300GB o de 100MB las longitudes de las funciones HASH MD5 y SHA1 serán siempre de la misma longitud y además sus valores no se repiten (excepto en los casos donde haya colisiones).

Aquí están los resultados de mis verificaciones:

Primera imagen:

Segunda imagen:

Tercera imagen:

He verificado la imagen y me arroja un match con el hash de la imagen que cree anteriormente

Al comprobar los algoritmos MD5 y Sha1 pude observar que no cambiaban de la evidencia que verifique, lo que si se puede notar es que el algoritmo MD5 tiene 32 caracteres y el SHA1 es de 40 caracteres

Nadie por aquí! jaja

Alguien sabe como se cargan las imágenes en este modulo, ya probé de varias formas y no me deja cargar las imágenes desde mi computadora

Yo utilize el ftk image lite y una extensión de windows para el mismo fin calcular hashes.

Para este ejercicio se carga la imagen de la memoria en FTK imager y el resultado es el siguiente:
¿Qué conjuntos de caracteres aparecen?
Aparecen caracteres numéricos y letras intercaladas.
¿qué longitud tienen las cadenas de caracteres resultantes?
MD5:504d986bf63b86ec670d3974afd068c3
SHA1: f1e9779eeb84ae02bc70023756391a5065a64cb5
¿qué interpretas a partir de estas respuestas?
Que la cadena de caracteres es de lo longitud más amplia en SHA1 que en MD5, por lo tanto se genera mas rápido la primera (MD5) pero es menos segura que la segunda (SHA1).

¿Qué conjuntos de caracteres aparecen? Caracteres alfanuméricos (del 0 al 9 y de la A a la F) que hacen parte del sistema hexadecimal. ¿Qué longitud tienen las cadenas de caracteres resultantes? La longitud de la cadena de caracteres para el algoritmo MD5 es de 32, que corresponde a 128 bits. Ejemplo tomado del ejercicio: MD5 checksum: ee5209599c154b14a46f244a8ecd1b9f La longitud de la cadena de caracteres para el algoritmo SHA1 es de 40, que corresponde a 160 bits. Ejemplo tomado del ejercicio: SHA1 checksum: 2b3785f9aa891684af75787a53153fb8dc75809c ¿Qué interpretas a partir de estas respuestas? Que las cadenas de caracteres para cada tipo de algoritmo son fijas, independiente del tamaño del archivo y que sus valores son únicos e irrepetibles, excepto que se presenten colisiones (que dos archivos distintos tengan un mismo valor hash, lo que es muy poco probable).
Cordial saludo, Para realizar la práctica se tomó un pendrive de 8GB de capacidad, y se utilizó FTK imager para Windows. Las imágenes realizadas fueron los siguientes: Physical: se generaron HASH coincidentes entre el origen y el destino. Lógica: Se tomó una de las particiones del disco y se realizó la imagen en un disco externo. Memoria RAM: se dieron los parámetros y se ejecutó en su totalidad. El anterior ejercicio permitió conocer las imágenes como una forma de garantizar la inalteración de la fuente para realizar análisis forense. Como dificultad la disponibilidad de algunas herramientas para práctica como Encase. Es preciso mencionar que este ejercicio se hizo en conjunto con mi compañero de trabajo Ángel Pérez.![](https://docs.google.com/document/d/1kpK0Fy-YFnCamyiCu43-5Ff5CizIa2b-/edit?usp=drive_link\&ouid=105500232598879937838\&rtpof=true\&sd=true)![]()


A. Caracteres pertenecientes al sistema hexadecimal.
B. El MD5 tiene 32 caracteres y el SHA1 tiene 40 caracteres.
C. Misma longitud con valores que no se repiten, corresponden a 128 y 60 bits.

el proceso de MD5 y SHA1 con checksum verify result: MATCH en ambas imágenes de una memoria USB de 8 GB la longitudes de las cadenas 40 caracteres

Proceso completado!..

MD5 y SHA1 con checksum verify result: MATCH en ambas imÁgenes que cree, de una memoria USB de 32GB y de un disco duro de 500GB

Bien

El tema es pesado toca poco a poco

Listo Verificad,sin complicaciones!