Análisis de Copias Forenses en Investigaciones Digitales

Clase 6 de 8Curso de Introducción a Informática Forense

Clase anteriorSiguiente clase

Resumen

¿Qué es una copia forense en comparación con un backup?

En el mundo de la informática hay una diferencia crucial entre una copia forense y un backup. Mientras que un backup se centra en replicar solo los datos usados (por ejemplo, 200 GB de un disco de 1,000 GB), una copia forense abarca una duplicación completa del medio original, incluyendo el espacio vacío. Este espacio, conocido como "unallocated space", puede contener información crucial como archivos eliminados que son relevantes para un análisis forense.

¿Cuáles son los tipos de copias forenses?

Existen tres tipos esenciales de copias forenses que se utilizan en las investigaciones:

  1. Copia física: Abarca la totalidad del disco duro, capturando cada byte disponible, incluyendo los no utilizados.
  2. Copia lógica: Se enfoca en un área específica del disco, como una unidad lógica única (por ejemplo, el Disco C o D).
  3. Copia específica: Se limita solo a ciertos elementos del disco, resultando útil cuando existen restricciones legales o de protección de datos.

¿Qué formatos se utilizan para las copias forenses?

Disponemos de varios formatos para realizar copias forenses, cada uno con sus peculiaridades y grados de compatibilidad:

  • DD: Es el formato universal debido a su amplia compatibilidad. Realiza una copia byte a byte, aunque carece de opciones de compresión y cifrado.
  • E01: Desarrollado por Encase, permite compresión y cifrado, e incluye de manera automática un valor de integridad hash.
  • AFF: Aunque es menos compatible que DD y E01, es otra opción fiable.

¿Cuáles son las herramientas recomendadas para realizar copias forenses?

Para llevar a cabo copias forenses, se pueden emplear herramientas ampliamente disponibles, como:

  • FTK Imager
  • Ausforensic
  • Elixpro

Estas herramientas son accesibles en línea, muchas de ellas sin costo.

¿Qué debemos considerar al llegar a la escena para un análisis forense?

Al llegar a la escena, evitar apagar el computador es esencial, pues se perdería información en la memoria RAM. Lo primero es hacer un volcado de memoria, es decir, una copia de los registros de la memoria volátil. La metodología varía según el sistema operativo:

  • En Linux, se puede usar el comando dd para este fin, especificando la memoria fuente y la dirección de destino.
  • Herramientas como ftkimager y ausforensic son útiles para otros sistemas operativos y deben estar disponibles en un disco duro externo.

¿Qué registros del sistema son útiles en una investigación forense?

Varios registros y comandos del sistema proporcionan datos valiosos para la investigación:

  • Historial de comandos (CMD)
  • Tablas ARP, IP config
  • Netstat: Para el estado de la red.
  • Systeminfo: Proporciona detalles del equipo.
  • Hostname

Además, los registros en directorios de System32 en Windows ofrecen información crítica sobre usuarios, llaves de registro, eventos del sistema y prefetch.

El análisis riguroso de estos elementos y el empleo de las herramientas adecuadas son fundamentales para el éxito de una investigación forense. Así que sigue explorando y familiarizando con estos conceptos para dominar el arte de la investigación digital. ¡Ánimo!