Análisis y Presentación en Cómputo Forense

Clase 4 de 49 • Curso de Informática Forense

Resumen

Continuaremos con las dos últimas etapas, las cuales son:

Etapa 3- Análisis: Es el procesamiento de información relacionada con el objetivo de la investigación, con el fin de determinar hechos asociados con un evento.
– Haremos: Análisis Preliminar, Análisis de Sistemas Windows y/o Análisis de Sistemas Unix.
– Puntos claves a tener en cuenta:
— Sistemas de Archivos: ¿Qué son?, ¿cuáles usamos comúnmente?, ¿cómo funcionan?
— Creación de imágenes parciales: Clasificación de datos para análisis.
— Exportado de archivos: Separación de información.
— Análisis preliminar de Sistemas Operativos: Windows y Unix
– Los resultados del Análisis Preliminar serán: información filtrada para análisis y reporte preliminar de análisis.
– Puntos claves a tener en cuenta para sistemas operativos:
— Análisis de usuarios de sistema: ¿Qué usuarios han estado activos en el sistema?
— Análisis de logs y procesos ejecutados: Reconstrucción de la actividad del Sistema Operativo.
— Recuperación de archivos borrados: Reconstrucción y procesos de data carving.
— Artefactos específicos de Sistema: Diferencias entre Windows y Unix.
– Los resultados del Análisis General serán: resultados generales de la investigación y posibles fuentes adicionales de consulta.
Etapa 4 - Presentación: Entregaremos resultados, con un lenguaje adecuado, en forma de reportes a las partes interesadas o autoridades que los requieran.
– Puntos claves a tener en cuenta:
— Organización de la información: ¿Qué debemos incluir y qué no?, ¿cómo presentar los resultados y qué decir?
— Creación de un informe técnico: ¿Qué detalles debemos incluir?
— Creación de un informe ejecutivo: ¿Qué lenguaje debemos utilizar?, ¿cómo resumir nuestros hallazgos?
— Presentación ante autoridades: Consejos y recomendaciones
– Los resultados de la Presentación serán: informe técnico e informe ejecutivo.

Javier Ramos

student•

Con un Live cd de Ubuntu es posible arrancar un sistema y examinarlo sin que el Windows registre el analisis pues el sistema gnu/Linux Corre en memoria y con la herramienta dd podemos crear una imagen bit a bit "clon" del disco duro para luego montar esa imagen y examinarla en una maquina virtual como kvm o Virtualbox sin afectar el disco duro original

Esto lo utilizo mucho para convertir sistemas reales montados por terceros en discos duros virtuales para Maquinas virtuales fácilmente exportables y clonables

ahora que lo explica el profesor veo que podemos usar este método para obtener una imagen para investigación sin alterar el disco duro "la evidencia física"

Juan Pablo Caro

teacher•

Esto es parcialmente cierto y debes tener cuidado. Si bien cuando booteas un Live CD de Linux el registro de Windows no se modifica, ese sistema Live sí tiene acceso al sistema de archivos y al manipularlos puedes modificar los metadatos del sistema de archivos. Lo mejor es que uses una distribución que monte los discos por defecto en modo lectura, como el caso de Paladin.

Jose Alfredo Llerena Carpio

student•

toda la razon, yo efectuo los mismos procedimiento

Valeria Calcina Cisneros

student•

++Cuarta Etapa del cómputo forense++ . • ++Cuarta etapa “Presentación”:++ presentaremos resultados con un lenguaje adecuado y legible para los demás. . Puntos clave a tener en cuenta cuarta etapa  ++Organización de la información++  ++Creación de un informe técnico++  ++Creación de un informe ejecutivo++  ++Presentación ante autoridades++ . Resultados de la cuarta parte Como resultado obtendremos, un informe técnico e informe ejecutivo.

Valeria Calcina Cisneros

student•

++Tercera Etapa del cómputo forense++ . • ++Tercera etapa “Análisis”:++ procesamiento y análisis de fuentes de información relacionada un evento. . Puntos clave a tener en cuenta tercera etapa  ++Sistemas de archivos++  ++Creación de imágenes parciales++  ++Exportado de archivos++  ++Análisis preliminar de Sistemas Operativos++ . Resultados de la tercera etapa Como resultado obtendrás, resultados generales de la investigación y posibles fuentes adicionales de consulta.

Juan Guillermo Perez Cardozo

student•

mucha expectativa de este curso , cada vez se pone mejor.

Gerson Cortes

student•

Las herramientas de análisis forense digital son todas relativamente nuevas. A medida que los dispositivos se volvieron más complejos y vinculados con más información, el análisis en vivo se volvió inmanejable e improductivo. Posteriormente, el freeware y las tecnologías especializadas aparecieron como hardware y software para extorsionar, localizar o filtrar datos en un dispositivo sin modificarlo ni destruirlo.

Kevin Vega

student•

Análisis---Procesamiento de información relacionado con el objetivo en la investigación ---fin--hechos asociados con eventos.

ALVARO RODRIGUEZ TAMEZ

student•

Muy bien estructurado el curso.

Junior Aguilera

student•

Gracias

Mauricio Esguerra

student•

Muy buena tematica

Yesseit Gerardo Linares Avila

student•

Buena temática del curso y el orden que lleva es el apropiado.

Oscar Darío Rendón Zuluaga

student•

¿Se pueden usar maquinas virtuales como virtual box para analizar desde nuestros sistemas operativos?

virginia zurko

student•

Si se puede. Podes tener varias máquinas virtuales con distintos SO y correrlas dependendiendo de tu necesidad así también te sirve para probar las distintas herramientas. Por ejemplo si tenes una Mac, ínstalas vbox y agregas todas las versiones del windows para ir probando así como las distros de Linux que ya contienen algunas herramientas de adquisición y análisis

Edison Taco

student•

excelente clase

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Obed Henrique Rivera Pineda

student•

antes podía ver las imágenes que los demás compañeros publicaban

Alejandro Gutiérrez González

student•

Todo excelente 👌

Ixcoatl Francisco Pérez

student•

Ixcoatl Francisco Pérez

student•

Ixcoatl Francisco Pérez

student•

Ixcoatl Francisco Pérez

student•

Ixcoatl Francisco Pérez

student•

Análisis y Presentación en Cómputo Forense

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software

Adquisición en Vivo de Memoria RAM para Análisis Forense

Creación de Imágenes Forenses en Linux con Paladín

Creación de Imágenes Forenses con DD y DC3DD en Linux

Adquisición de Imágenes Forenses en Linux con FTK Imager

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

Algoritmos de Funciones Hash y su Uso en Computación Forense

Adquisición de Imágenes Forenses: Herramientas y Técnicas

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

Análisis y Exportación de Imágenes Forenses con FTK Imager

Creación y Gestión de Imágenes Forenses Personalizadas

Análisis Forense de Archivos de Registro en Windows

Análisis Forense de Imágenes de Sistema Operativo Linux

Elaboración de Informes Preliminares en Incidentes Informáticos

Creación de Imágenes Forenses Personalizadas

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Archivos SAM con Regripper en Windows

Análisis de Archivos de Registro en Windows con Regripper

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags

Ubicaciones clave en el Registro de Windows para la investigación forense

Análisis de Archivos Prefetch en Windows para Investigación Forense

Funcionamiento y Recuperación de Archivos en la Papelera de Reciclaje Windows

Ampliación de Informes de Análisis Forense Digital

Etapa III: Análisis de Evidencia Pt. 3

Diferencias de Configuración y Uso entre Linux y Windows

Proceso de Inicio de Linux: BIOS, GRUB, Kernel e Init

Configuración de Usuarios y Archivos Clave en Linux

Análisis de Archivos de Registro en Sistemas Operativos Linux

Uso de Autopsy para Análisis Forense Automatizado

Ordenar información para informes efectivos

Etapa IV: Presentación.

Estructuración de Informes Ejecutivos en Investigaciones Forenses

Elaboración de Informes Técnicos en Computación Forense

Consejos para Presentar Informes en Procesos Legales

Cómo redactar informes efectivos y profesionales

Conclusiones Finales

Libros y Recursos Clave para la Investigación Digital