Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Análisis de procesos ejecutados

36/49
Recursos

Prefetching:

  • Estrategia para acelerar la carga de aplicaciones.
  • Archivos con información relacionada a la aplicación.
  • Se generan y actualizan cuando se ejecuta un proceso.

Aportes 15

Preguntas 1

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

En el curso de analsis de malware, explican que los executables o los programas utilizan librerias (archivos dll); y mediante estas te das una idea de qué es lo que hace ese executable. Por ejemplo, si el ejecutable (que podria ser un malware) utiliza el Kernel32.dll, quiere decir que en su funcionamiento está realizando operaciones en memoria. Cada uno de esos .dll que aparecen que utiliza CCleaner, se podria buscar en google para saber que hace cada uno o para que se utiliza

MI resumen
Prefetching: Es una estrategia que en Windows se usa para ayudar a los programas que se usan frecuentemente a cargar mas rápido.

Ubicada en Windows\Prefetch

Como funciona?

  • Crea una carpeta en donde hay un archivo por cada uno de los procesos recurrentes del computador, Este archivo contiene la información que cada aplicación necesita para poder correr, de tal forma que cuando el programa las necesita accede rápidamente
    -Se generan por cada proceso independientemente si esta instalado o no

  • El archivo se genera la primera vez que una aplicación es ejecutada

  • Es una base de datos simple pero tiene la información necesaria para que una aplicación se ejecute

  • Contiene la cantidad de veces que se ejecuta un proceso

  • NOTA: Importante la fechas se pueden alterar al traer los archivos a tu equipo por lo que en mas de una ocasión sera necesario recurrir a la imagen original para verificar fechas

Con la aplicación PECmd.exe se podrá exportar el archivo prefetch para su análisis

Debe indicarse en qué lugar se guardará el csv. El comando correcto para hoy mayo/2020 es:
[ruta personalizada]\Prefetch\Ccleaner> PECmd.exe -f "[ruta personalizada]\Prefetch\Ccleaner\CCLEANER64.EXE-779BD542" --csv "[ruta personalizada]\Prefetch\Ccleaner"

Prefetching:
- Estrategia para acelerar la carga de apps
- Archivos con información relacionada a la aplicación
- Se generan y actualizan cuando se ejecuta el proceso
○ Fecha de creación: La primera vez que se ejecuto
- Base de datos
○ Direcciones de librerías
○ Dirección de ejecutable
○ Cantidad de veces que se ha ejecutado ese proceso

¿Cómo obtenerla?
- Windows
- Prefetch
Al exportar, se cambia la ubicación y cambia fecha de modificación

¿Cómo interpretar?
PECmd

Pecmd.exe
Pecmd.exe -f “ruta absoluta del archivo a procesar” csv

Filesload: Útil para análisis de malware

Descargar solo PECmd
PECmd 1.5.0.0 | 1.5.0.0!


herramientas forenses
¿Necesitas todo a la vez? Aquí están TODAS las herramientas en un solo archivo zip: .net 4 | .net 6

O puedes descargar aquí

Muy Interesante

Interesante información!

Nota a tomar en cuenta: las fechas se pueden alterar al traer archivos de otro equipo, ya que cada uno cuenta con su propia configuración.

Gracias

Eric Zimmerman dice que es … jajajjajaj… eso quisiera él…

JSJSJS me quedé con ganas de saber cual era la otra herramienta para procesar toda la carpeta de prefetch y visualizarla de forma más ordenada

Aquí hay mas herramientas forenses creadas por él
link :
https://ericzimmerman.github.io/#!index.md
También está el .exe del PECmd