Que tal Profesor, este es mi Informe de Análisis Preliminar.
Cualquier aportación es bienvenida.
Lo comparto completo en formato PDF en el siguiente link:
Y aquí dejo los screenshots del mismo:
Bienvenida y presentación general.
Todo lo que aprenderás sobre informática forense
Cómputo forense: qué es
Etapas I y II: Identificación y Preservación de Evidencia Digital
Etapas III y IV: Análisis y Presentación de Resultados
Etapa I: Identificación
Preparación de un kit para adquisición
Procedimientos de Cadena de Custodia
Identificación de fuentes de evidencia
Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado
Etapa II: Preservación
Sistemas de protección contra escritura por hardware y software
Introducción a FTK Imager
Adquisición de imágenes forenses con FTK Imager
Adquisición de imágenes forenses con EnCase
Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo
Introducción a Paladin Forensics
Adquisición de imágenes forenses con DD
FTK Imager para Linux
Adquisición de imágenes forenses de Mac. (Paladin)
Adquisición de imágenes forenses de Mac. (Target Disk Mode)
Verificación de imágenes forenses. Explicación de algoritmos Hash
Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles
Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas
Etapa III: Análisis de Evidencia Pt. 1
Sistemas de archivos Windows: FAT, NTFS
Sistemas de archivos Unix: EXT, HFS y APFS
Exportado de archivos a partir de imágenes forenses
Creación de imágenes parciales con FTK Imager
Análisis preliminar de sistemas Windows
Análisis preliminar de sistemas Unix (Linux y MacOS)
Elaboración de informe preliminar
Crear una imagen de contenido personalizado para análisis
Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada
Etapa III: Análisis de Evidencia Pt. 2
Análisis de Registro de Windows: SAM
Análisis de Registro de Windows: Software
Análisis de logs de un Sistema Windows
Análisis de listas recientes (MRU) y Shellbags
Referencia del registro de Windows
Análisis de procesos ejecutados
Análisis de bandejas de reciclaje
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa III: Análisis de Evidencia Pt. 3
Estructura de un sistema Unix
Arranque y ejecución de procesos en Linux
Análisis de archivos de autenticación
Análisis temporal del sistema
Autopsy y Sleuth Kit Suite
Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis
Etapa IV: Presentación.
Elaboración de un informe ejecutivo
Elaboración de un informe técnico completo
Presentación ante autoridades judiciales
Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso
Conclusiones Finales
Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento
Juan Pablo Caro
Lectura
En una lectura durante este módulo, hablamos acerca de la importancia de presentar informes preliminares y avances en los resultados de tu investigación. Ahora vamos a proponerte un reto para que continúes avanzando en tu caso:
...
Regístrate o inicia sesión para leer el resto del contenido.
Aportes 6
Preguntas 0
Hola a todos,
Les dejo mi Informe de Análisis Preliminar aquí. Desde ahí lo pueden descargar en formato MS Word.
Espero les sirva como me sirvió el de Aaron, y bienvenidos todos sus comentarios.
Estas son capturas de pantalla de todas las secciones:
Excelente Trabajo Aaron.
Buenas tardes, les adjunto mi informe de análisis preliminar.
https://drive.google.com/file/d/1BFIlmPZ50Htz7pu5aylxkGa3EfNs1koJ/view?usp=sharing
INFORME DE ANÁLISIS PRELIMINAR DE UN ENTORNO A PARTIR DE LA EVIDENCIA PRESERVADA
Realizado por: Diana Sisley Reinoso Caicedo.
Introducción al caso:
Se requiere conocer la información existente en la memoria volátil (RAM) de un computador portátil YOGO Lenovo. Con las siguientes características de interés de su sistema:
Windows 10 Home, 64 bits, RAM instalada 4 GB (3.8 GB para usar).
Inventario de evidencia identificada:
Para la adquisición de la información existente en la memoria volátil, se utilizó FTK imager v.4.7.1.2. del desarrollador Access data, versión libre.
Se procedió utilizar la opción “capture memory”, y se dieron los parámetros para el proceso técnico, entre éstos, en la unidad donde se almacena.
Reportes de adquisición de evidencia:
Se generan los hashes MD5 y SHA1 para garantizar laintegridad.
MD5: 504d986bf63b86ec670d3974afd068c3
SHA1: f1e9779eeb84ae02bc70023756391a5065a64cb5
Información general de los sistemas preservados:
La evidencia obtenida se almacena en un disco DVR con su respectivo registro de cadena de custodia y se lleva un locker de seguridad.
Información encontrada en las imágenes forenses:
Se requiere la interpretación encontrada en formato hexadecimal.
Hallazgos preliminares, si existen:
Requiere mayores herramienta para continuar con el análisis
Respuestas a preguntas:
¿Qué información conoces hasta ahora?
La recolección, adquisición y preservación de la información.
¿Qué resultados o qué respuestas tienes en este momento?
La imagen, y su integridad.
De la información que tienes disponible, ¿qué crees que sea relevante para presentar?
La imagen, la integridad (hashes) y los parámetros para analizar.
¿Cuáles van a ser los pasos a seguir en tu investigación?
El análisis y la interpretación de los resultados.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?