Bienvenida y presentaci贸n general.

1

Todo lo que aprender谩s sobre inform谩tica forense

2

C贸mputo forense: qu茅 es

3

Etapas I y II: Identificaci贸n y Preservaci贸n de Evidencia Digital

4

Etapas III y IV: An谩lisis y Presentaci贸n de Resultados

Etapa I: Identificaci贸n

5

Preparaci贸n de un kit para adquisici贸n

6

Procedimientos de Cadena de Custodia

7

Identificaci贸n de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservaci贸n

9

Sistemas de protecci贸n contra escritura por hardware y software

10

Introducci贸n a FTK Imager

11

Adquisici贸n de im谩genes forenses con FTK Imager

12

Adquisici贸n de im谩genes forenses con EnCase

13

Adquisici贸n de im谩genes l贸gicas, memoria vol谩til y sistemas operativos en vivo

14

Introducci贸n a Paladin Forensics

15

Adquisici贸n de im谩genes forenses con DD

16

FTK Imager para Linux

17

Adquisici贸n de im谩genes forenses de Mac. (Paladin)

18

Adquisici贸n de im谩genes forenses de Mac. (Target Disk Mode)

19

Verificaci贸n de im谩genes forenses. Explicaci贸n de algoritmos Hash

20

Adquirir im谩genes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificaci贸n con algoritmos HASH de las diferentes im谩genes forenses generadas

Etapa III: An谩lisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de im谩genes forenses

25

Creaci贸n de im谩genes parciales con FTK Imager

26

An谩lisis preliminar de sistemas Windows

27

An谩lisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboraci贸n de informe preliminar

29

Crear una imagen de contenido personalizado para an谩lisis

30

Elaborar un informe de an谩lisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: An谩lisis de Evidencia Pt. 2

31

An谩lisis de Registro de Windows: SAM

32

An谩lisis de Registro de Windows: Software

33

An谩lisis de logs de un Sistema Windows

34

An谩lisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

An谩lisis de procesos ejecutados

37

An谩lisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa III: An谩lisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecuci贸n de procesos en Linux

41

An谩lisis de archivos de autenticaci贸n

42

An谩lisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa IV: Presentaci贸n.

45

Elaboraci贸n de un informe ejecutivo

46

Elaboraci贸n de un informe t茅cnico completo

47

Presentaci贸n ante autoridades judiciales

48

Consolidar los resultados en dos informes: t茅cnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

An谩lisis de procesos ejecutados

36/49
Recursos

Prefetching:

  • Estrategia para acelerar la carga de aplicaciones.
  • Archivos con informaci贸n relacionada a la aplicaci贸n.
  • Se generan y actualizan cuando se ejecuta un proceso.

Aportes 19

Preguntas 1

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

MI resumen
Prefetching: Es una estrategia que en Windows se usa para ayudar a los programas que se usan frecuentemente a cargar mas r谩pido.

Ubicada en Windows\Prefetch

Como funciona?

  • Crea una carpeta en donde hay un archivo por cada uno de los procesos recurrentes del computador, Este archivo contiene la informaci贸n que cada aplicaci贸n necesita para poder correr, de tal forma que cuando el programa las necesita accede r谩pidamente
    -Se generan por cada proceso independientemente si esta instalado o no

  • El archivo se genera la primera vez que una aplicaci贸n es ejecutada

  • Es una base de datos simple pero tiene la informaci贸n necesaria para que una aplicaci贸n se ejecute

  • Contiene la cantidad de veces que se ejecuta un proceso

  • NOTA: Importante la fechas se pueden alterar al traer los archivos a tu equipo por lo que en mas de una ocasi贸n sera necesario recurrir a la imagen original para verificar fechas

Con la aplicaci贸n PECmd.exe se podr谩 exportar el archivo prefetch para su an谩lisis

En el curso de analsis de malware, explican que los executables o los programas utilizan librerias (archivos dll); y mediante estas te das una idea de qu茅 es lo que hace ese executable. Por ejemplo, si el ejecutable (que podria ser un malware) utiliza el Kernel32.dll, quiere decir que en su funcionamiento est谩 realizando operaciones en memoria. Cada uno de esos .dll que aparecen que utiliza CCleaner, se podria buscar en google para saber que hace cada uno o para que se utiliza

Debe indicarse en qu茅 lugar se guardar谩 el csv. El comando correcto para hoy mayo/2020 es:
[ruta personalizada]\Prefetch\Ccleaner> PECmd.exe -f "[ruta personalizada]\Prefetch\Ccleaner\CCLEANER64.EXE-779BD542" --csv "[ruta personalizada]\Prefetch\Ccleaner"

Prefetching:
- Estrategia para acelerar la carga de apps
- Archivos con informaci贸n relacionada a la aplicaci贸n
- Se generan y actualizan cuando se ejecuta el proceso
鈼 Fecha de creaci贸n: La primera vez que se ejecuto
- Base de datos
鈼 Direcciones de librer铆as
鈼 Direcci贸n de ejecutable
鈼 Cantidad de veces que se ha ejecutado ese proceso

驴C贸mo obtenerla?
- Windows
- Prefetch
Al exportar, se cambia la ubicaci贸n y cambia fecha de modificaci贸n

驴C贸mo interpretar?
PECmd

Pecmd.exe
Pecmd.exe -f 鈥渞uta absoluta del archivo a procesar鈥 csv

Filesload: 脷til para an谩lisis de malware

Descargar solo PECmd
PECmd 1.5.0.0 | 1.5.0.0!

Aqu铆 hay mas herramientas forenses creadas por 茅l
link :
https://ericzimmerman.github.io/#!index.md
Tambi茅n est谩 el .exe del PECmd


herramientas forenses
驴Necesitas todo a la vez? Aqu铆 est谩n TODAS las herramientas en un solo archivo zip: .net 4 | .net 6

O puedes descargar aqu铆

Muy Interesante

Interesante informaci贸n!

Nota a tomar en cuenta: las fechas se pueden alterar al traer archivos de otro equipo, ya que cada uno cuenta con su propia configuraci贸n.

Gracias

Eric Zimmerman dice que es 鈥 jajajjajaj鈥 eso quisiera 茅l鈥

JSJSJS me qued茅 con ganas de saber cual era la otra herramienta para procesar toda la carpeta de prefetch y visualizarla de forma m谩s ordenada