SlideShare a Scribd company logo

Analisis forense

C
cyberlocos

Este es un arti

Education
1 of 34
Download to read offline
Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net Análisis Forense, Auditorías y Detección de Intrusiones - ©1 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©2 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
¿ Que és un Análisis Forense ? • “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999 Análisis Forense, Auditorías y Detección de Intrusiones - ©3 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
En busca de respuestas... • ¿ Qué sucedió ? • ¿ Donde ? • ¿ Cuándo ? • ¿ Por qué ? • ¿ Quién ? • ¿ Cómo ? Análisis Forense, Auditorías y Detección de Intrusiones - ©4 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
Algunos conceptos • Evidencia • Cadena de custodia • Archivo de hallazgos • Línea de tiempo • Imágenes • Comprobación de integridad – Hash Análisis Forense, Auditorías y Detección de Intrusiones - ©5 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
¿ Preservar o salvar ? Análisis Forense, Auditorías y Detección de Intrusiones - ©6 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
Se busca “vivo o muerto” • Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros • Sistema “muerto” – Almacenamiento • Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones) Análisis Forense, Auditorías y Detección de Intrusiones - ©7 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©8 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
Metodología • Verificación y descripción del incidente • Adquisición de evidencias • Obtención de imagenes de las evidencias • Análisis inicial • Creación y análisis de la línea de tiempo • Análisis específico y recuperación de datos • Análisis de datos y cadenas • Generación del informe Análisis Forense, Auditorías y Detección de Intrusiones - ©9 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
Creación del archivo de hallazgos • Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense • Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado Análisis Forense, Auditorías y Detección de Intrusiones - ©10 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
Recepción de la Imagen de datos • Consiste en la recepción de las imágenes de datos a investigar. • Clonación de las imágenes. • Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©11 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
Identificación de las particiones • En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. • Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. Análisis Forense, Auditorías y Detección de Intrusiones - ©12 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
Identificación SO y aplicaciones • En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©13 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
Revisión de código malicioso • Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©14 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
Recuperación archivos • Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivos Análisis Forense, Auditorías y Detección de Intrusiones - ©15 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
Primera Clasificación de Archivos • Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido. • Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada. • Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) • Archivos extensión modificada. La extensión no corresponde con su contenido. Análisis Forense, Auditorías y Detección de Intrusiones - ©16 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
Segunda Clasificación de archivos • Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. Análisis Forense, Auditorías y Detección de Intrusiones - ©17 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
Analizar los archivos • Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar. Análisis Forense, Auditorías y Detección de Intrusiones - ©18 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
Análisis de artefactos • Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema. • Tipos de análisis: – Comportamiento – Código o contenido Análisis Forense, Auditorías y Detección de Intrusiones - ©19 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
Línea de tiempo • Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©20 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
Informe • En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – Anexos Análisis Forense, Auditorías y Detección de Intrusiones - ©21 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©22 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
Herramientas • Aplicaciones comerciales: – Encase • Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc. • La herramienta más importante es: Análisis Forense, Auditorías y Detección de Intrusiones - ©23 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©24 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©25 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
III Reto de Análisis Forense • SSOO Win2003 server en partición de 5 GB • Direccionamiento IP privado (no homologado) • Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. • Standalone • Apache+PHP+MySQL • PostgreSQL • DNS • Compartición de archivos • 2 cuentas de administración y 5 de usuarios sin privilegios • WebERP Análisis Forense, Auditorías y Detección de Intrusiones - ©26 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
Descarga y comprobación imagen • Bajar la imagen • Descomprimirla • Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img Análisis Forense, Auditorías y Detección de Intrusiones - ©27 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
Montaje de la imagen • Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z: Análisis Forense, Auditorías y Detección de Intrusiones - ©28 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
Recogida de datos • Recogida de datos del sistema en: %systemroot%system32config • con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT Análisis Forense, Auditorías y Detección de Intrusiones - ©29 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
Inicios de sesión • INICIOS DE SESION* *Fuente: Microsoft technet http://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=true Análisis Forense, Auditorías y Detección de Intrusiones - ©30 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
Logs • LOGS (%systemroot%system32config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt • Aplicación: Visor de sucesos (eventvwr.msc) Análisis Forense, Auditorías y Detección de Intrusiones - ©31 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
Perfil de usuario • Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat • Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza. Análisis Forense, Auditorías y Detección de Intrusiones - ©32 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
Histórico de navegación • Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txt Análisis Forense, Auditorías y Detección de Intrusiones - ©33 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
Referencias • “Helix Live CD”, e-fense URL: http://www.e-fense.com/helix/ • “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits • “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net • “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/ • “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/ • “Windows Forensic Toolchest”, Fool Moon Software & Security URL: Análisis Forense, Auditorías y Detección de Intrusiones - ©34 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José

Recommended

Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Alonso Caballero
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
lucosa
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Workshop de datos científicos. Introducción
Workshop de datos científicos. IntroducciónWorkshop de datos científicos. Introducción
Workshop de datos científicos. Introducción
Fernando-Ariel Lopez
 

Recommended

Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Alonso Caballero
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
lucosa
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Workshop de datos científicos. Introducción
Workshop de datos científicos. IntroducciónWorkshop de datos científicos. Introducción
Workshop de datos científicos. Introducción
Fernando-Ariel Lopez
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
Lourdes Feria
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
Yadi Campos
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Mercedes Gonzalez
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Francisco158360
 
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Demetrio Ccesa Rayme
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
NancyLoaa
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
PaolaRopero2
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonables
YanirisBarcelDelaHoz
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
lclcarmen
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
https://gramadal.wordpress.com/
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
tapirjackluis
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
JAVIER SOLIS NOYOLA
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
Lourdes Feria
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
Integrated Sciences 8 (2023- 2024)
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
https://gramadal.wordpress.com/
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
stEphaniiie
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 

More Related Content

Recently uploaded

🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Francisco158360
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
NancyLoaa
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 

Recently uploaded (20)

Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonables
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 

Featured

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Analisis forense

  • 1. Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net Análisis Forense, Auditorías y Detección de Intrusiones - ©1 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
  • 2. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©2 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
  • 3. ¿ Que és un Análisis Forense ? • “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999 Análisis Forense, Auditorías y Detección de Intrusiones - ©3 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
  • 4. En busca de respuestas... • ¿ Qué sucedió ? • ¿ Donde ? • ¿ Cuándo ? • ¿ Por qué ? • ¿ Quién ? • ¿ Cómo ? Análisis Forense, Auditorías y Detección de Intrusiones - ©4 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
  • 5. Algunos conceptos • Evidencia • Cadena de custodia • Archivo de hallazgos • Línea de tiempo • Imágenes • Comprobación de integridad – Hash Análisis Forense, Auditorías y Detección de Intrusiones - ©5 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
  • 6. ¿ Preservar o salvar ? Análisis Forense, Auditorías y Detección de Intrusiones - ©6 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
  • 7. Se busca “vivo o muerto” • Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros • Sistema “muerto” – Almacenamiento • Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones) Análisis Forense, Auditorías y Detección de Intrusiones - ©7 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
  • 8. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©8 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
  • 9. Metodología • Verificación y descripción del incidente • Adquisición de evidencias • Obtención de imagenes de las evidencias • Análisis inicial • Creación y análisis de la línea de tiempo • Análisis específico y recuperación de datos • Análisis de datos y cadenas • Generación del informe Análisis Forense, Auditorías y Detección de Intrusiones - ©9 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
  • 10. Creación del archivo de hallazgos • Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense • Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado Análisis Forense, Auditorías y Detección de Intrusiones - ©10 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
  • 11. Recepción de la Imagen de datos • Consiste en la recepción de las imágenes de datos a investigar. • Clonación de las imágenes. • Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©11 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
  • 12. Identificación de las particiones • En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. • Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. Análisis Forense, Auditorías y Detección de Intrusiones - ©12 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
  • 13. Identificación SO y aplicaciones • En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©13 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
  • 14. Revisión de código malicioso • Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©14 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
  • 15. Recuperación archivos • Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivos Análisis Forense, Auditorías y Detección de Intrusiones - ©15 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
  • 16. Primera Clasificación de Archivos • Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido. • Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada. • Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) • Archivos extensión modificada. La extensión no corresponde con su contenido. Análisis Forense, Auditorías y Detección de Intrusiones - ©16 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
  • 17. Segunda Clasificación de archivos • Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. Análisis Forense, Auditorías y Detección de Intrusiones - ©17 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
  • 18. Analizar los archivos • Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar. Análisis Forense, Auditorías y Detección de Intrusiones - ©18 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
  • 19. Análisis de artefactos • Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema. • Tipos de análisis: – Comportamiento – Código o contenido Análisis Forense, Auditorías y Detección de Intrusiones - ©19 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
  • 20. Línea de tiempo • Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©20 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
  • 21. Informe • En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – Anexos Análisis Forense, Auditorías y Detección de Intrusiones - ©21 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
  • 22. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©22 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
  • 23. Herramientas • Aplicaciones comerciales: – Encase • Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc. • La herramienta más importante es: Análisis Forense, Auditorías y Detección de Intrusiones - ©23 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
  • 24. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©24 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
  • 25. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©25 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
  • 26. III Reto de Análisis Forense • SSOO Win2003 server en partición de 5 GB • Direccionamiento IP privado (no homologado) • Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. • Standalone • Apache+PHP+MySQL • PostgreSQL • DNS • Compartición de archivos • 2 cuentas de administración y 5 de usuarios sin privilegios • WebERP Análisis Forense, Auditorías y Detección de Intrusiones - ©26 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
  • 27. Descarga y comprobación imagen • Bajar la imagen • Descomprimirla • Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img Análisis Forense, Auditorías y Detección de Intrusiones - ©27 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
  • 28. Montaje de la imagen • Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z: Análisis Forense, Auditorías y Detección de Intrusiones - ©28 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
  • 29. Recogida de datos • Recogida de datos del sistema en: %systemroot%system32config • con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT Análisis Forense, Auditorías y Detección de Intrusiones - ©29 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
  • 30. Inicios de sesión • INICIOS DE SESION* *Fuente: Microsoft technet http://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=true Análisis Forense, Auditorías y Detección de Intrusiones - ©30 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
  • 31. Logs • LOGS (%systemroot%system32config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt • Aplicación: Visor de sucesos (eventvwr.msc) Análisis Forense, Auditorías y Detección de Intrusiones - ©31 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
  • 32. Perfil de usuario • Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat • Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza. Análisis Forense, Auditorías y Detección de Intrusiones - ©32 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
  • 33. Histórico de navegación • Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txt Análisis Forense, Auditorías y Detección de Intrusiones - ©33 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
  • 34. Referencias • “Helix Live CD”, e-fense URL: http://www.e-fense.com/helix/ • “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits • “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net • “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/ • “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/ • “Windows Forensic Toolchest”, Fool Moon Software & Security URL: Análisis Forense, Auditorías y Detección de Intrusiones - ©34 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José