Curso de Informática Forense
Curso de Informática Forense

Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

You don't have access to this class

Keep learning! Join and start boosting your career

If you already have an account,

Aprovecha el precio especial y haz tu profesión a prueba de IA

Antes: $249

Currency
$209
Suscríbete

Termina en:

0 Días
8 Hrs
37 Min
55 Seg
Curso de Informática Forense

Curso de Informática Forense

Juan Pablo Caro

Juan Pablo Caro

Exportado de archivos a partir de imágenes forenses

24/49
Resources

How to work with forensic imaging and GTK Imaging?

Working with forensic images requires a clear understanding of the proper tools and techniques to extract, analyze and export critical information without compromising data integrity. Below, we will explore the use of GTK Imaging for these tasks and highlight some important aspects to keep in mind.

What is GTK Imaging?

GTK Imaging is an interface that allows you to manage forensic images effectively. Although it is not a complete forensic suite, it offers numerous useful tools for previewing and exporting information to and from other tools.

How to add evidence in GTK Imaging?

Adding evidence is simple. Use the icon with the green plus symbol to load evidence directly from image files instead of physical or logical devices. This allows you to work with previously created images.

# Example code for adding an image:# Assuming GTK Imaging provides an interface for commands:add_evidence --input "/path/of/the/image".

What are the properties of images in GTK Imaging?

When loading an image, you can see its fundamental properties, such as:

  • Image path.
  • Type of evidence.
  • Sector size.
  • Image format.

This information helps you understand the context of each image and ensure proper handling.

How are forensic images compressed?

The compression format directly influences the size and handling of the forensic image. A secure erasure process (writing zeros throughout the volume) facilitates compression by reducing redundancy, making images take up less space without losing critical data.

What additional information can we obtain from the images?

Exploring files using the hexadecimal format reveals relevant hidden information, such as JPG file headers. This information is crucial for identifying and recovering files, even if their index has been deleted.

# Example of hexadecimal header of a JPG file:FF D8 FF E0 ...

Why is it crucial to export files correctly?

Exporting images for analysis in other tools is essential when specific software is required. Use export functions to choose destination folders and generate hash value files (HAS), ensuring data integrity during the transfer process.

Tips for secure data export

  1. Use hash values: When exporting, calculate and save file hash values. This allows you to verify that they have not been altered during external analysis.

  2. Create customized data sets: This is especially useful when working in a team, allowing you to share relevant information without exceeding the file size.

Knowing and using GTK Imaging features properly gives you a significant advantage in handling forensic images. Continue to practice and familiarize yourself with these tools to become an increasingly skilled professional in the digital forensics domain.

Contributions 7

Questions 5

Sort by:

Want to see more contributions, questions and answers from the community?

Edgar Meza Jiménez

Edgar Meza Jiménez

5 years ago

Solo me gustaría añadir información acerca del borrado seguro, el profesor comentó que un borrado seguro es cuando sobre escribes ceros en los sectores del disco, sin embargo, existen muchos algoritmos de borrado que utilizan un valor diferente al cero por ejemplo, DoD o US Army que escriben valores en hexadecimal de manera aleatoria

juan CORSI

juan CORSI

3 years ago

Evita que nadie recupere los datos borrados del disco duro con Alternate File Shredder

m4nolete

m4nolete

3 years ago

shred -n 63 -uvz archivo.txt

Jean Carlos Nuñez Hernandez

Jean Carlos Nuñez Hernandez

5 years ago

Es vitar exprotar arcchivos con los valores hash generados, por seguridad de la evidencia

Rodolfo Peña

Rodolfo Peña

2 years ago

Qué es una Imagen Forense Informática

Se trata de una copia exacta realizada desde un dispositivo de almacenamiento. Es una copia bit a bit que se basa en el duplicado en un medio diferente.

Oscar Jaramillo

Oscar Jaramillo

4 years ago

Genial

Junior Aguilera

Junior Aguilera

5 years ago

Gracias