Curso de Introducción a Informática Forense
Curso de Introducción a Informática Forense

Informática forense

1

Qué es Informática Forense

2

Identificación de equipos

3

Preservando la integridad de los datos

4

Asignando identificadores hash

5

Hardware para informática forense

6

Analizando la información obtenida

7

Realizando una copia forense y un volcado de memoria RAM

8

Cómo presentar un informe forense

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Curso de Introducción a Informática Forense

Curso de Introducción a Informática Forense

Quetzally Meza

Quetzally Meza

Analizando la información obtenida

6/8
Recursos

¿Qué es una copia forense en comparación con un backup?

En el mundo de la informática hay una diferencia crucial entre una copia forense y un backup. Mientras que un backup se centra en replicar solo los datos usados (por ejemplo, 200 GB de un disco de 1,000 GB), una copia forense abarca una duplicación completa del medio original, incluyendo el espacio vacío. Este espacio, conocido como "unallocated space", puede contener información crucial como archivos eliminados que son relevantes para un análisis forense.

¿Cuáles son los tipos de copias forenses?

Existen tres tipos esenciales de copias forenses que se utilizan en las investigaciones:

  1. Copia física: Abarca la totalidad del disco duro, capturando cada byte disponible, incluyendo los no utilizados.
  2. Copia lógica: Se enfoca en un área específica del disco, como una unidad lógica única (por ejemplo, el Disco C o D).
  3. Copia específica: Se limita solo a ciertos elementos del disco, resultando útil cuando existen restricciones legales o de protección de datos.

¿Qué formatos se utilizan para las copias forenses?

Disponemos de varios formatos para realizar copias forenses, cada uno con sus peculiaridades y grados de compatibilidad:

  • DD: Es el formato universal debido a su amplia compatibilidad. Realiza una copia byte a byte, aunque carece de opciones de compresión y cifrado.
  • E01: Desarrollado por Encase, permite compresión y cifrado, e incluye de manera automática un valor de integridad hash.
  • AFF: Aunque es menos compatible que DD y E01, es otra opción fiable.

¿Cuáles son las herramientas recomendadas para realizar copias forenses?

Para llevar a cabo copias forenses, se pueden emplear herramientas ampliamente disponibles, como:

  • FTK Imager
  • Ausforensic
  • Elixpro

Estas herramientas son accesibles en línea, muchas de ellas sin costo.

¿Qué debemos considerar al llegar a la escena para un análisis forense?

Al llegar a la escena, evitar apagar el computador es esencial, pues se perdería información en la memoria RAM. Lo primero es hacer un volcado de memoria, es decir, una copia de los registros de la memoria volátil. La metodología varía según el sistema operativo:

  • En Linux, se puede usar el comando dd para este fin, especificando la memoria fuente y la dirección de destino.
  • Herramientas como ftkimager y ausforensic son útiles para otros sistemas operativos y deben estar disponibles en un disco duro externo.

¿Qué registros del sistema son útiles en una investigación forense?

Varios registros y comandos del sistema proporcionan datos valiosos para la investigación:

  • Historial de comandos (CMD)
  • Tablas ARP, IP config
  • Netstat: Para el estado de la red.
  • Systeminfo: Proporciona detalles del equipo.
  • Hostname

Además, los registros en directorios de System32 en Windows ofrecen información crítica sobre usuarios, llaves de registro, eventos del sistema y prefetch.

El análisis riguroso de estos elementos y el empleo de las herramientas adecuadas son fundamentales para el éxito de una investigación forense. Así que sigue explorando y familiarizando con estos conceptos para dominar el arte de la investigación digital. ¡Ánimo!

Aportes 7

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Ketty Reyes

Ketty Reyes

hace un año

Diferencia Crucial: Copia Forense vs. Backup

  1. Copia Forense: Reproduce la totalidad del medio origen, incluyendo el espacio vacío, revelando información valiosa como archivos eliminados.
  2. Backup Tradicional: Copia solo los datos utilizados en una unidad digital, excluyendo el espacio vacío.

Tipos de Copia Forense: Explorando Opciones

  1. Copia Física: Reproduce la totalidad del disco duro.
  2. Copia Lógica: Copia exacta de una unidad lógica específica.
  3. Copia Específica: Selecciona elementos críticos cuando la copia completa no es posible.

Formatos de Copia Forense: Herramientas Universales y Especializadas

  1. DD (Universal): Copia byte a byte, aunque no permite compresión ni cifrado.
  2. E01 (Encase): Desarrollado por Encase, compatible con la mayoría de las herramientas, ofrece compresión, cifrado y valor de integridad hash.
  3. AFF: Menos compatible pero desarrollado por una empresa privada.

Herramientas Clave para Copia Forense: Accesibles y Efectivas

  1. FTK, Imager, Ausforensic, Elixpro: Variedad de herramientas disponibles en el mercado, tanto gratuitas como de pago.

Acciones Iniciales Cruciales en la Escena: Volcado en la Memoria RAM

  1. No Apagar el Equipo: Evita pérdida de información en la memoria RAM.
  2. Volcado en la Memoria RAM: Utiliza comandos como ‘dd’ en sistemas como Inuts para realizar una copia de los registros.

Herramientas Forenses en Windows: Desvelando Tesoros de Datos

  1. Historial de cmd, Tablas ARP, ipconfig: Registros de comandos lanzados y detalles de red.
  2. Netstat, Systeminfo, Hostname: Información clave para el análisis y levantamiento de datos.
  3. Registros en System32: Detalles sobre usuarios, llaves de registro, eventos de sistema y prefetch.
Eloy Chávez Dev

Eloy Chávez Dev

hace un año
## `Diferencia entre copia forense y backup` **Copia forense:** * **Objetivo:** Preservar la integridad de la evidencia digital. * **Características:** * Se crea una copia bit a bit del dispositivo original. * Se mantiene la estructura de archivos y datos original. * Se utilizan herramientas forenses específicas para garantizar la integridad de la copia. * Se documenta la cadena de custodia de la copia. **Backup:** * **Objetivo:** Proteger la información contra la pérdida o el daño accidental. * **Características:** * Se puede realizar una copia completa o incremental del dispositivo. * Se pueden excluir archivos o carpetas específicos. * Se pueden utilizar herramientas de backup estándar. * No se requiere documentación de la cadena de custodia. `Tipos de copia forense:` * **Física:** Se crea una copia bit a bit del dispositivo original utilizando un duplicador de hardware. * **Lógica:** Se crea una copia de los archivos y datos del dispositivo original utilizando software forense. * **Específica:** Se crea una copia de una parte específica del dispositivo original, como la memoria RAM o el registro de Windows. `Formatos de copia forense:` * **DD:** Formato estándar para imágenes forenses, crea una copia bit a bit del dispositivo original. * **E01:** Formato de imagen forense comprimido, utilizado por EnCase. * **AFF:** Formato de imagen forense abierto y flexible, utilizado por Sleuth Kit. `Herramientas para realizar copia forense:` * **FTK Imager:** Herramienta forense popular para crear imágenes de discos duros y otros dispositivos de almacenamiento. * **OSForensics:** Distribución de Linux que incluye herramientas forenses para la adquisición y análisis de evidencia digital. * **Helix3 Professional:** Herramienta forense avanzada para la adquisición, análisis y presentación de evidencia digital. `Volcado de memoria:` Proceso de crear una copia de la memoria RAM de un equipo. Se utiliza para recuperar datos volátiles que pueden ser relevantes para una investigación. **Herramientas para volcado de memoria:** * **FTK Imager:** Puede utilizarse para realizar volcados de memoria en equipos Windows y Linux. * **OSForensics:** Incluye una herramienta para realizar volcados de memoria en equipos Windows. **Herramientas forenses en Windows:** * **Historial de CMD (doskey):** Muestra los comandos que se han ejecutado en el símbolo del sistema. * **Tablas ARP:** Muestra la caché de resolución de direcciones ARP del equipo. * **Ipconfig:** Muestra la configuración de red del equipo. * **Netstat:** Muestra las conexiones de red activas del equipo. * **Systeminfo:** Muestra información general del sistema del equipo. * **Hostname:** Muestra el nombre de host del equipo.
Juan Carlos Gutiérrez Ayala

Juan Carlos Gutiérrez Ayala

hace un año
El análisis de la información obtenida durante una investigación forense digital, una auditoría de seguridad, o cualquier proceso de recopilación de datos, implica un enfoque metódico para extraer, interpretar y presentar datos de manera que sean útiles para tomar decisiones o para proporcionar evidencia en procedimientos legales. El análisis de la información recopilada es un proceso iterativo y a menudo requiere volver a examinar los datos con nuevas perspectivas o herramientas a medida que emerge nueva información. Mantener un enfoque estructurado y metódico es clave para descubrir la verdad oculta en los datos y presentarla de manera efectiva.
Leandro Leonardo

Leandro Leonardo

hace un año
y si no tienes tiempo y tienes que llevarte la información.. sea porque la PC está en una casa en llamas, por poner un caso extremo.. solo como ejemplo
MARIA TERESA PANIAGUA RIVERA

MARIA TERESA PANIAGUA RIVERA

hace un año

Gracias

Felix Fabian Tablas Xolix

Felix Fabian Tablas Xolix

hace un año
con estas herramientas , cual seria la estructura y como podriamos generar un informe gerencial?
Juliana Castillo Araujo

Juliana Castillo Araujo

Platzi Team

hace un año
El mas interesante es la herramienta Netstat para poder ver el estado de nuestra red 💚