No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Analizando la información obtenida

6/8
Recursos

Aportes 7

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Diferencia Crucial: Copia Forense vs. Backup

  1. Copia Forense: Reproduce la totalidad del medio origen, incluyendo el espacio vacío, revelando información valiosa como archivos eliminados.
  2. Backup Tradicional: Copia solo los datos utilizados en una unidad digital, excluyendo el espacio vacío.

Tipos de Copia Forense: Explorando Opciones

  1. Copia Física: Reproduce la totalidad del disco duro.
  2. Copia Lógica: Copia exacta de una unidad lógica específica.
  3. Copia Específica: Selecciona elementos críticos cuando la copia completa no es posible.

Formatos de Copia Forense: Herramientas Universales y Especializadas

  1. DD (Universal): Copia byte a byte, aunque no permite compresión ni cifrado.
  2. E01 (Encase): Desarrollado por Encase, compatible con la mayoría de las herramientas, ofrece compresión, cifrado y valor de integridad hash.
  3. AFF: Menos compatible pero desarrollado por una empresa privada.

Herramientas Clave para Copia Forense: Accesibles y Efectivas

  1. FTK, Imager, Ausforensic, Elixpro: Variedad de herramientas disponibles en el mercado, tanto gratuitas como de pago.

Acciones Iniciales Cruciales en la Escena: Volcado en la Memoria RAM

  1. No Apagar el Equipo: Evita pérdida de información en la memoria RAM.
  2. Volcado en la Memoria RAM: Utiliza comandos como ‘dd’ en sistemas como Inuts para realizar una copia de los registros.

Herramientas Forenses en Windows: Desvelando Tesoros de Datos

  1. Historial de cmd, Tablas ARP, ipconfig: Registros de comandos lanzados y detalles de red.
  2. Netstat, Systeminfo, Hostname: Información clave para el análisis y levantamiento de datos.
  3. Registros en System32: Detalles sobre usuarios, llaves de registro, eventos de sistema y prefetch.
## `Diferencia entre copia forense y backup` **Copia forense:** * **Objetivo:** Preservar la integridad de la evidencia digital. * **Características:** * Se crea una copia bit a bit del dispositivo original. * Se mantiene la estructura de archivos y datos original. * Se utilizan herramientas forenses específicas para garantizar la integridad de la copia. * Se documenta la cadena de custodia de la copia. **Backup:** * **Objetivo:** Proteger la información contra la pérdida o el daño accidental. * **Características:** * Se puede realizar una copia completa o incremental del dispositivo. * Se pueden excluir archivos o carpetas específicos. * Se pueden utilizar herramientas de backup estándar. * No se requiere documentación de la cadena de custodia. `Tipos de copia forense:` * **Física:** Se crea una copia bit a bit del dispositivo original utilizando un duplicador de hardware. * **Lógica:** Se crea una copia de los archivos y datos del dispositivo original utilizando software forense. * **Específica:** Se crea una copia de una parte específica del dispositivo original, como la memoria RAM o el registro de Windows. `Formatos de copia forense:` * **DD:** Formato estándar para imágenes forenses, crea una copia bit a bit del dispositivo original. * **E01:** Formato de imagen forense comprimido, utilizado por EnCase. * **AFF:** Formato de imagen forense abierto y flexible, utilizado por Sleuth Kit. `Herramientas para realizar copia forense:` * **FTK Imager:** Herramienta forense popular para crear imágenes de discos duros y otros dispositivos de almacenamiento. * **OSForensics:** Distribución de Linux que incluye herramientas forenses para la adquisición y análisis de evidencia digital. * **Helix3 Professional:** Herramienta forense avanzada para la adquisición, análisis y presentación de evidencia digital. `Volcado de memoria:` Proceso de crear una copia de la memoria RAM de un equipo. Se utiliza para recuperar datos volátiles que pueden ser relevantes para una investigación. **Herramientas para volcado de memoria:** * **FTK Imager:** Puede utilizarse para realizar volcados de memoria en equipos Windows y Linux. * **OSForensics:** Incluye una herramienta para realizar volcados de memoria en equipos Windows. **Herramientas forenses en Windows:** * **Historial de CMD (doskey):** Muestra los comandos que se han ejecutado en el símbolo del sistema. * **Tablas ARP:** Muestra la caché de resolución de direcciones ARP del equipo. * **Ipconfig:** Muestra la configuración de red del equipo. * **Netstat:** Muestra las conexiones de red activas del equipo. * **Systeminfo:** Muestra información general del sistema del equipo. * **Hostname:** Muestra el nombre de host del equipo.
El análisis de la información obtenida durante una investigación forense digital, una auditoría de seguridad, o cualquier proceso de recopilación de datos, implica un enfoque metódico para extraer, interpretar y presentar datos de manera que sean útiles para tomar decisiones o para proporcionar evidencia en procedimientos legales. El análisis de la información recopilada es un proceso iterativo y a menudo requiere volver a examinar los datos con nuevas perspectivas o herramientas a medida que emerge nueva información. Mantener un enfoque estructurado y metódico es clave para descubrir la verdad oculta en los datos y presentarla de manera efectiva.
y si no tienes tiempo y tienes que llevarte la información.. sea porque la PC está en una casa en llamas, por poner un caso extremo.. solo como ejemplo

Gracias

con estas herramientas , cual seria la estructura y como podriamos generar un informe gerencial?
El mas interesante es la herramienta Netstat para poder ver el estado de nuestra red 💚