CÓMPUTO FORENSE   RELOADED Porque todo deja rastro  Andrés Velázquez, CISSP, GCFA, ACE, IEM      Especialista en Delitos I...
Proceso del Cómputo Forense•   Proceso del Cómputo Forense     •   Identificación: conocer los antecedentes,         situa...
La información contenida en …
Imagen Forense•   Copia bit a bit del contenido de un medio a analizar desde    el primer sector hasta el último sector de...
¿LOENCONTRASTE?   NOP
¿Qué se considera como un Incidente?“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?”                ...
Necesitamos menos de esto…
Y mucho más de ésto…
Sniper Forensics•   Crear un plan de investigación•   Aplicar la lógica     • Principio de Intercambio        de Lockard’s...
Si usted mira lo suficiente esta foto,Podrá encontrar el caparazón del Caracol
¿A qué le voy a disparar?•   Registros de Windows     SAM     System     Security•   NTUSER.DAT por cada usuario•   Timeli...
Previsualizando
Software / Protección•   Lo siguiente funciona en un Windows XP Profesional SP2, donde    hay que modificar del registro:•...
¿Qué necesitamos?Recursos             Hardware   Software   ProcedimientosHumanos
Podcast Crimen Digital…• El podcast de cómputo forense,  seguridad en Internet y lo  relacionado con el cibercrimen.    • ...
¡Muchas Gracias!         ¿Preguntas?Andrés Velázquez, CISSP, GCFA, ACE, IEM    Especialista en Delitos Informáticos    Pre...
Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V.                                        -Todos los Derecho...
Cpmx3   computo forense reloaded
Cpmx3   computo forense reloaded
Cpmx3   computo forense reloaded
Upcoming SlideShare
Loading in...5
×

Cpmx3 computo forense reloaded

1,268

Published on

Published in: Technology, Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,268
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
65
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Cpmx3 computo forense reloaded"

  1. 1. CÓMPUTO FORENSE RELOADED Porque todo deja rastro Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica @cibercrimen
  2. 2. Proceso del Cómputo Forense• Proceso del Cómputo Forense • Identificación: conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto al levantamiento del bien, búsquedas y las estrategias de investigación. • Preservación: revisión y generación de las imágenes forenses de la evidencia para poder Identificación Preservación realizar el análisis • Análisis: aplican técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas, Presentación Análisis • Presentación: La información resultante del análisis quedará registrada en un dictamen técnico que puede ser presentado internamente o en un procedimiento legal.
  3. 3. La información contenida en …
  4. 4. Imagen Forense• Copia bit a bit del contenido de un medio a analizar desde el primer sector hasta el último sector del mismo.
  5. 5. ¿LOENCONTRASTE? NOP
  6. 6. ¿Qué se considera como un Incidente?“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?” 7
  7. 7. Necesitamos menos de esto…
  8. 8. Y mucho más de ésto…
  9. 9. Sniper Forensics• Crear un plan de investigación• Aplicar la lógica • Principio de Intercambio de Lockard’s • Principio de Alexiou • Navaja de Ockham • Extraer únicamente lo necesario • Permitir que los datos den las respuestas • Generar los reportes necesarios Christopher E. Pogue Trustwave
  10. 10. Si usted mira lo suficiente esta foto,Podrá encontrar el caparazón del Caracol
  11. 11. ¿A qué le voy a disparar?• Registros de Windows SAM System Security• NTUSER.DAT por cada usuario• Timelines• $MFT• Datos volátiles• Memoria RAM
  12. 12. Previsualizando
  13. 13. Software / Protección• Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:• [HKEY_LOCAL_MACHINESYSTEMCurrentContro lSetControlStorageDevicePolicies] "WriteProtect"=dword:00000001• Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionaría, tiene que ser de USB.
  14. 14. ¿Qué necesitamos?Recursos Hardware Software ProcedimientosHumanos
  15. 15. Podcast Crimen Digital…• El podcast de cómputo forense, seguridad en Internet y lo relacionado con el cibercrimen. • iTunes• http://www.crimendigital.com
  16. 16. ¡Muchas Gracias! ¿Preguntas?Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica @cibercrimen
  17. 17. Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V. -Todos los Derechos reservados. Ninguna parte de este documento puede serreproducida en forma o mecanismo alguno, incluido fotocopiado, grabación o -almacenamiento en algún sistema de información, sin la autorización por escritodel dueño del Derecho Reservado.Copias de este documento pueden ser distribuidas, en papel y en formatoelectrónico, siempre y cuando no se altere el documento original y se incluyaesta página.Este documento NO pertenece al dominio público.“Computo Forense Reloaded”por Andrés Velázquezcontacto@mattica.com
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×