Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

44/49

Lectura

De manera similar al reto del módulo anterior, en este reto deberás ordenar la información que obtuviste como parte del análisis. Recuerda publicar tus resultados en la sección de comentarios, para que podamos discutir acerca de las dudas o sugerencias que tengas sobre lo que crees que vale la pena incluir en un informe de este tipo.

...

Regístrate o inicia sesión para leer el resto del contenido.

Aportes 7

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Ejercicio
INFORME DE ANÁLISIS PRELIMINAR DE UN ENTORNO A PARTIR DE LA EVIDENCIA PRESERVADA
Realizado por: Diana Sisley Reinoso Caicedo.
Introducción al caso:
Se requiere conocer la información existente en la memoria volátil (RAM) de un computador portátil YOGO Lenovo. Con las siguientes características de interés de su sistema:
Windows 10 Home, 64 bits, RAM instalada 4 GB (3.8 GB para usar).
Inventario de evidencia identificada:
Para la adquisición de la información existente en la memoria volátil, se utilizó FTK imager v.4.7.1.2. del desarrollador Access data, versión libre.
Se procedió utilizar la opción “capture memory”, y se dieron los parámetros para el proceso técnico, entre éstos, en la unidad donde se almacena.
Reportes de adquisición de evidencia:
Se generan los hashes MD5 y SHA1 para garantizar la integridad.
MD5: 504d986bf63b86ec670d3974afd068c3
SHA1: f1e9779eeb84ae02bc70023756391a5065a64cb5
Información general de los sistemas preservados:
La evidencia obtenida se almacena en un disco DVR con su respectivo registro de cadena de custodia y se lleva un locker de seguridad.
Información encontrada en las imágenes forenses:
Se requiere la interpretación encontrada en formato hexadecimal. (anterior)
Para ampliar la información forense y hacer un análisis completo, se personalizó una imagen con las siguientes carpetas:
Memoria
SAM
Software
La imagen personalizada se hizo en la herramienta FTK imager.
MD5 checksum: c7372d9157b040021c88c3081bbee637 : verified
SHA1 checksum: dbac037b5cf11d2bbb4ddb5e1dd7763e7db42034 : verified
Luego se utiliza Fred (forensic Registry Editor).
También se hizo el ejercicio de buscar un archivo de log. Ubicado en Windows/system32/winevtlogs.
Una vez ubicado se exportó a Excel por la dificultad de instalar Regyster.
Hallazgos preliminares, si existen:
La personalización y las otras herramientas aumentan las perspectivas de análisis y respuesta forense que se requiere.

gracias
Done
Introducción al caso: El incidente se encuentra asociado a un hecho delictivo tratado desde la teoría del caso de la defensa donde se pretende incorporar como evidencia digital una información específica contenida en un equipo terminal móvil puesto a nuestra disposición. Resumen general: Ante todo, se tuvo contacto con la persona objeto de investigación a fin de validar las condiciones en que se encuentra el equipo terminal móvil, la calidad de propietario y usuario del mismo, así como la información contenida útil y pertinente para su defensa. Efectivamente se verificó que el equipo terminal móvil se encuentra en buen estado de funcionamiento y contiene información relevante para su defensa. Inventario de evidencia identificada: Equipo terminal móvil marca OPPO A77, modelo CPH2388, serial número TQMPSAKM7STMBYZ, con capacidad de 128 GB, el cual presenta display averiado, sin sim card, sin micro SD, sin cargador. Este elemento material probatorio es importante para la estrategia de defensa. Reportes de adquisición de evidencia: Ante todo, se procede a identificar fotográficamente y con testigo métrico el equipo terminal móvil, sus características externas e internas. Se verifica que el equipo terminal móvil no tenga incorporada la sim card y micro SD, que las opciones de wifi y bluetooth se encuentren deshabilitadas y que esté en modo avión. Se conecta al equipo forense con el adaptador y los cables recomendados para tal fin. Se detecta el modelo del equipo terminal móvil, el cual es configurado con las indicaciones dadas por la herramienta forense (UFED) y se selecciona el método de extracción File Full Sistema, que permite la obtención de información de aplicaciones y sistema de archivos. Se logra la adquisición de información del equipo terminal móvil, la cual se consolida en una carpeta y archivo codificado. Posteriormente con la herramienta forense Physical Analyzer, se verifican las sumas de verificación de la fuente y el destino, obteniendo el hash SHA256, lo que da cuenta de la integridad de la información obtenida: aaec664a46e9facbc87e98eadd639e0457b9cafdf8189dfc845dafb132ee16ec Con esta herramienta se procede a la decodificación, análisis, filtro y obtención de la información relevante para el caso, obteniendo un reporte incluido en una carpeta que se constituye en la evidencia digital que se hará valer en juicio. La citada carpeta es grabada un DVD-R, el cual es embalado, rotulado y se le inicia el registro de continuidad de cadena de custodia. Este DVD-R es guardado en el Almacén de evidencias del Laboratorio Forense de Evidencia Digital. Información general de los sistemas preservados: La información se encuentra almacenada bajo la estructura de sistema de archivos y presentada en interfaz gráfica de usuario. La zona horaria se encuentra configurada en UTC-5 que corresponde a la hora internacional de Colombia. Se identifican las cuentas de usuario con su nombre, número de teléfono, cuentas de correo electrónico, cuentas de redes sociales, etc. Se identifican los contactos del usuario y las conversaciones entre ellos y el usuario. Información encontrada en las imágenes forenses: Se identifican las cuentas de usuario con su nombre, número de teléfono, cuentas de correo electrónico, cuentas de redes sociales, etc. Se identifican los contactos del usuario y las conversaciones entre ellos y el usuario. Hallazgos: La información encontrada es determinante para la defensa de la persona investigada por cuanto se hallaron conversaciones entre esta persona y la presunta víctima que evidencian la inexistencia del hecho denunciado.

Ya casi vamos a terminar, hasta el momento ha sido un curso demasiado interesante!

Hecho )

vale