Ejercicio
INFORME DE ANÁLISIS PRELIMINAR DE UN ENTORNO A PARTIR DE LA EVIDENCIA PRESERVADA
Realizado por: Diana Sisley Reinoso Caicedo.
Introducción al caso:
Se requiere conocer la información existente en la memoria volátil (RAM) de un computador portátil YOGO Lenovo. Con las siguientes características de interés de su sistema:
Windows 10 Home, 64 bits, RAM instalada 4 GB (3.8 GB para usar).
Inventario de evidencia identificada:
Para la adquisición de la información existente en la memoria volátil, se utilizó FTK imager v.4.7.1.2. del desarrollador Access data, versión libre.
Se procedió utilizar la opción “capture memory”, y se dieron los parámetros para el proceso técnico, entre éstos, en la unidad donde se almacena.
Reportes de adquisición de evidencia:
Se generan los hashes MD5 y SHA1 para garantizar la integridad.
MD5: 504d986bf63b86ec670d3974afd068c3
SHA1: f1e9779eeb84ae02bc70023756391a5065a64cb5
Información general de los sistemas preservados:
La evidencia obtenida se almacena en un disco DVR con su respectivo registro de cadena de custodia y se lleva un locker de seguridad.
Información encontrada en las imágenes forenses:
Se requiere la interpretación encontrada en formato hexadecimal. (anterior)
Para ampliar la información forense y hacer un análisis completo, se personalizó una imagen con las siguientes carpetas:
Memoria
SAM
Software
La imagen personalizada se hizo en la herramienta FTK imager.
MD5 checksum: c7372d9157b040021c88c3081bbee637 : verified
SHA1 checksum: dbac037b5cf11d2bbb4ddb5e1dd7763e7db42034 : verified
Luego se utiliza Fred (forensic Registry Editor).
También se hizo el ejercicio de buscar un archivo de log. Ubicado en Windows/system32/winevtlogs.
Una vez ubicado se exportó a Excel por la dificultad de instalar Regyster.
Hallazgos preliminares, si existen:
La personalización y las otras herramientas aumentan las perspectivas de análisis y respuesta forense que se requiere.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?