Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Análisis preliminar de sistemas Unix (Linux y MacOS)

27/49
Recursos

Archivos de configuración:

  • Funcionan a nivel de aplicación.
  • Varían según la distribución.
  • No son archivos estándar.

Aportes 12

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

MI resumen
DEsde 1994 se creo la norma FSH la cual sirvio como forma de estandarizar la estructura de directorios de cualquier Linux/ unix que quisieran aderirse voluntariamente
La estructura es la siguiente
**/ ** Directorio Raiz tambien llamado root contiene toda la jerarquia

/boot Directorio donde se aloja el arranque del sistema operativo

/home Directorio donde se aloja toda la información de los usuarios del sistema

**/etc ** Directorio que contiene todos los archivos de configuracion de los distintos servicios activos en el sistema

**/bin ** Directorio donde estan las aplicaciones binarias tanto para usuarios como para superusuario

/var Directorio donde se alojan los archivos variables como logs del sistema, temporales, bases de datos

**/root ** Directorio exclusivo para uso del superusuario del sistema

/usr Directorio donde se aloja utilidades y aplicaciones disponibles para todos los usuarios

/dev Directorio don de se aloja todos los archivos que se relacionan al hardware del sistema

Recuerden:

  • En Linux todo es un archivo

  • Linux solo hace una cosa a la vez pero la hace bien

Las tres distribuciones Maestras de las cuales casi el 90% de las distribuciones Linux nacen son

  • Debian (Ubuntu, Kanopix)

  • Red Hat (Fedora, Centos, Arch, mandriva )

  • Slacware (Suse )

Linux reconoce los discos duros de acuerdo a su tecnología y les agrega una letra del alfabeto en orden de detección ejemplo
(no siempre)

hda (Hard Disk a tecnologia Ide ) si hubiera otro lo nombra hdb
sda (hard Disk a tecnologia Scsi sata ) si hubiera otro lo nombra sdb
fd0 (floppy disk 0 cero
sd0 (cdrom )

En el archivo /etc/passwd se encuentran todos los usuarios del sistema configurados

  • En /etc/shadows estan los valores Hash de las contraseñas de los usaurios

  • En /etc/resolv.conf esta las direcciones Ip de los dns que el sistema esta usando

(Según Google)
¿Que es Metaspoitable?
.
Metasploit: es un proyecto de código abierto para la seguridad informática, que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración “Pentesting” y el desarrollo de firmas para sistemas de detección de intrusos.

Archivos comunes para manipular con FTK imager

  • Hostname -> Identificación de la maquina en red

  • passwd -> usuarios del sistema

  • shadow -> contraseñas

  • resolv.conf -> nombre del DNS al que se conecta (útil para MITM atacks)

/ Directorio Raiz tambien llamado root contiene toda la jerarquia

/boot Directorio donde se aloja el arranque del sistema operativo

/home Directorio donde se aloja toda la información de los usuarios del sistema

/etc Directorio que contiene todos los archivos de configuracion de los distintos servicios activos en el sistema

/bin Directorio donde estan las aplicaciones binarias tanto para usuarios como para superusuario

/var Directorio donde se alojan los archivos variables como logs del sistema, temporales, bases de datos

/root Directorio exclusivo para uso del superusuario del sistema

/usr Directorio donde se aloja utilidades y aplicaciones disponibles para todos los usuarios

/dev Directorio don de se aloja todos los archivos que se relacionan al hardware del sistema

Recuerden :

+ En Linux todo es un archivo

+ Linux solo hace una cosa a la vez pero la hace bien

+Las tres distribuciones Maestras de las cuales casi el 90% de las distribuciones Linux nacen son :

Debian (Ubuntu, Kanopix)

Red Hat (Fedora, Centos, Arch, mandriva )

Slacware (Suse )

+Linux reconoce los discos duros de acuerdo a su tecnología y les agrega una letra del alfabeto en orden de detección ejemplo
(no siempre)

hda (Hard Disk a tecnologia Ide ) si hubiera otro lo nombra hdb
sda (hard Disk a tecnologia Scsi sata ) si hubiera otro lo nombra sdb
fd0 (floppy disk 0 cero
sd0 (cdrom )

+En el archivo /etc/passwd se encuentran todos los usuarios del sistema configurados

+En /etc/shadows estan los valores Hash de las contraseñas de los usaurios

+En /etc/resolv.conf esta las direcciones Ip de los dns que el sistema esta usando

copié esta info de un comentario de abajo, que escribió el compañero
@c3tuxpo2018
En el comentario original hay un poco mas de información al respecto.

gracias

Excelente clase

Gracias

Para que quede más claro, esta es la anatomía de cada renglón en el archivo /etc/passwd : “Each line contains seven attributes or fields: name, password, user ID, group ID, gecos, home directory and shell.”
Tomado de: http://www.linfo.org/etc_passwd.html