CURSO DE ESPECIALIZACION:“INVESTIGACION DE LA ESCENA DELDELITO E INFOGRAFIA FORENSE”Computo Forense, Investigación de laes...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instit...
Upcoming SlideShare
Loading in …5
×

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2

376
-1

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
376
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2

  1. 1. CURSO DE ESPECIALIZACION:“INVESTIGACION DE LA ESCENA DELDELITO E INFOGRAFIA FORENSE”Computo Forense, Investigación de laescena del Crimen de Computo (Parte II)Instituto de Pericias Criminalísticas& Capacitacion “HANS GROSS”Alonso E. Caballero QuezadaDiciembre 2005
  2. 2. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Pasos para el procesamiento de Evidencia deComputo1. Apagar la Computadora2. Documentar la configuración Hardware del sistema3. Transportar el sistema de computo a un lugar seguro4. Hacer un backup de “Flujo de bits” del disco duro5. Auntentificar Matematicamente todos los datos de losdispositivos de almacenamiento6. Documentar la Fecha y Hora del sistema7. Hacer un listado de palabras clave para búsqueda8. Evaluar el archivo “swap” de Windows
  3. 3. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Pasos para el procesamiento de Evidencia deComputo9. Evaluar Archivos “slack” (amplitud)10. Evaluar espacio sin asignar (Archivos Eliminados)11. Buscar Archivos, Archivo de amplitud, y espacio sinasignar por palabras clave.12. Documentar nombre de archivos, fechas, y horas13. Identificar archivo, programa, y anomalias dealmacenamiento14. Evaluar la funcionalidad de un programa15. Documentar los hallazgos16. Mantener copias del Software Utilizado
  4. 4. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Pasos para el procesamiento de Evidencia deComputoGuia de emergencia:* No encender u operar la computadora “objetivo”.* No solicitar Asistencia de un “Experto” residente.* No evaluar correo electrónico de un empleado a menos que lapolítica lo permita.
  5. 5. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo Forense¿Qué es una Cadena de Custodia?Es un mapa de ruta que muestra como la evidencia fuerecolectada, analizada, y preservada, para ser presentada comoevidencia. Establecer una cadena de custodia es crucial,debido a que la evidencia electrónica puede ser facilmentealterada.* Ninguna información ha sido añadida o alterada* Una copia completa fue realizada* Un proceso de copiado confiable fue utilizado* Todos los medios están asegurados.
  6. 6. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo ForenseRequisitos Legales:Los requerimientos legales son vastos, complejos, y varian depaís en país. Pero algunos son comunes.* Archivos de “Logs”, probar que no han sido “forzados”* Espectativa de Privacidad del Usuario. El sistema es solo parausuarios autorizados, las actividades de estos usuarios puedeser monitoreado. Cualquiera que haga uso del sistema estaaceptando expresamente ser monitoreado.
  7. 7. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo ForensePrecedimiento de Recolección de Evidencia:* La Primera regla es “No acometer”.* El equipo investigador necesitará ciertas herramientas.* Dependiendo del tipo de incidente se obtendrá el sistemacompleto o solo los datos.* El coordinador del incidente debe asignar tareas a losmiembros del equipo.* Se debe mantener un libro de anotaciones de evidencia conlos siguientes items:
  8. 8. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo ForensePrecedimiento de Recolección de Evidencia:- Quien divulgo inicialmente el incidente, con hora, fecha ycircunstancias que rodean al incidente sospechoso.- Detalles de las obligaciones iniciales que conducen a lainvestigación formal.- Nombre de todas las personas conduciendo la investigación- El número de caso del incidente- Razones para la investigación
  9. 9. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo ForensePrecedimiento de Recolección de Evidencia:* Lista de todos los sistemas de computo incluidas en lainvestigación.* Diagramas de Red* Aplicaciones ejecutándose en el sistema de computo listado* Copia de las políticas relacionadas al acceso y uso de lossistemas listados.* Una lista de administradores responsables de la rutina demantenimiento del sistema.
  10. 10. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo ForensePrecedimiento de Recolección de Evidencia:* Lista detallada de pasos utilizados para recolectar y analizarevidencia. Especialmente, ésta lista necesita identificar la fechay hora en que cada tarea fue realizada, descripción de la tarea,quien realizó la tarea, donde fue realizada la tarea, y losresultados del análisis.* Una lista de control de acceso de quien accedió a la evidenciarecolectada y en que fecha y hora.
  11. 11. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Aspectos Legales de la Recolección y Preservaciónde Evidencia de Computo ForenseAlmacenamiento y Análisis de Datos:La cadena de custodia debe ser mantenida durante el procesode análisis. Utilizar un lugar seguro de almacenamiento.* Fecha y Hora del análisis* Herramientas utilizadas para realizar el análisis.* Metodología detallada del análisis* Resultados del análisis
  12. 12. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Verificación y Autentificación de una imagen decomputo.Necesidades Especiales de Auntentificación de Evidencia* Un método seguro de determinar que los datos no han sidoalterados o un simple bit, desde que la copia fue hecha.* Un método seguro de determinar que la copia es genuinadesde el momento en que fue tomada de la computadora encuestión.
  13. 13. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Verificación y Autentificación de una imagen decomputo.Necesidades Especiales de Auntentificación de Evidencia* Certificados digitales es una forma de credencialeselectrónicas para internet. Basada en la teoría de criptografíade clave pública. El propósito es enlazar de manera confiable elclave privada/pública con su propietario.* Autoridades de Certificación como VeriSign entregancertificados digitales a aquellas entidades cuya identidad debeser convalidada.
  14. 14. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Verificación y Autentificación de una imagen decomputo.Consideraciones Prácticas:1. La recoleccion de datos forenses debe ser completa y noespecífico a software - evitando trampas de software oparticionado oculto.2. La operación, esta debe ser tan rápiday simple como sea posible para evitarerrores o demoras.
  15. 15. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Verificación y Autentificación de una imagen decomputo.Consideraciones Prácticas:3. Debe ser posible para cualquiera, la utilización del sistemade recuperación de datos forenses, con la mínima cantidad deentrenamiento.4. Los costos necesarios y losrecursos deben demantenerse en lo mínimo.
  16. 16. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Verificación y Autentificación de una imagen decomputo.Implementación Práctica:El enfasis recae en la aplicación práctica de tecnologíaprobada, tal que la mínima cantidad de confianza es puesta enla habilidad del operador o investigador.Se debe de comprender que durante el proceso de copiado, losprocedimientos son implementados para atrapar y manejarerrores de hardware, mapear excepciones cuando seanecesario.Estos procedimientos son implementados para verificar que lainformación sea copiada correctamente.
  17. 17. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Verificación y Autentificación de una imagen decomputo.Implementación Práctica:Con el Sistema DIBS actual, tanto como el contenido de losdatos “en bruto” de un disco duro son obtenidos, tambien lasección de memoria alta convencional debe ser obtenida.Tambien se debe de almacenar sobre cada dispositivo,información como tipo de CPU, velocidad; indicadores deequipo hardware; número de serie del dispositivo de copia;comentarios de referencia, nombre del operador, etc.
  18. 18. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Descubrimiento de Evidencia Electrónica* Información empresarial es creada, almancenada, ycomunicada de manera electrónica.* Los abogados “demandantes” necesitan desarrollar unconocimiento y habilidad para tomar ventaja de éste tipo deinformación electrónica.* Necesitan conocer lo suficiente para hacer las preguntasadecuadas y obtener la asesoría un experto en computoforense de ser necesario.* Aquellos que no hacen caso a éstas oportunidades podríanexponerse a demandas por negligencia.
  19. 19. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Descubrimiento de Evidencia ElectrónicaUna nueva y poderosa herramienta de litigio* Aparte del testimonio de un testigo, la evidencia documentales probablemente la manera mas convincente de evidencia.* En años pasados , la evidencia documental se limitaba adocumentos en papel.* Ahora la mayoría de documentos son creados utilizandocomputadoras, con programas procesadores de texto o decorreo electrónico.* La mayoría de documentos no son impresos nunca en papel,y son solo leidos en pantallas de computadoras.
  20. 20. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Descubrimiento de Evidencia ElectrónicaUna nueva y poderosa herramienta de litigio* La regla de mejor evidencia a cambiado, las copias son tanbuenas como las originales del documento electrónico.* Desde el punto de vista del computo forense puede serprobado mantematicamente.* Algunos programas crean archivos “temporales” de losdocumentos, windows SWAP y espacio de amplitud.* El descubrimiento de evidencia electrónica esta haciendo ladiferencia en juicios civiles y criminales.
  21. 21. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Descubrimiento de Evidencia ElectrónicaUna nueva y poderosa herramienta de litigio* Con la evolución de las computadoras, los sistemasoperativos y las redes de computadoras, se crea un entornoideal para las brechas de seguridad y para el descubrimientode evidencia electrónica aprovechandolas.* Estos temas deben de preocupar a todos, sin embargoproporcionan ventajas a los abogados concerniente alpotencial de la evidencia electrónica.“ La mayoría de usuarios no son inconcientes de que suscomputadoras dejan rastros de sus movimientos. “
  22. 22. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Identificación de Datos:Viaje del tiempo*Cada Computadora tiene su propio reloj, a menos que ésteejecutando NTP (Network Time Protocol)* Las organizaciones necesitan confiaren las sincronizaciones de tiempoexactas para sus transacciones.*Mantener un sentido del tiempo escrítico para actividades relacionadas alcomputo forense.
  23. 23. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Identificación de Datos:Materias del Tiempo:* Mantener el tiempo es una ciencia avanzada, en la cual estánavocados muchos cientificos al rededor del mundo.* Se han desarrollado diferentes técnicas:- El comando rdate en unix que permite setear un reloj basadoen servidor remoto- Programas que se conectan con servidores NIST- NTP (Network Time Protocol) se utiliza en WWW, GPS.
  24. 24. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Identificación de Datos:Filtros de Reloj:* NTP Asume que el tiempo avanza y no retrocede.* NTP Asume cambios minimos, menos de un segundo.* NTP obtiene tiempo de diferentes servidores.* NTP Recolecta ocho muestras y utiliza un algoritmo paraobtener la mejor aproximación.
  25. 25. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsDisco de Inicio para adquisición de Evidencia:* El S.O de la computadora debe ser “saltado” para evitaralterar evidencia, evitar trampas de usuarios avanzados.* Se realiza con un “Disco de Inicio”, UN CDROM como HELIX.* Se debe de inhabilitar la “escritura” al medio en cuestion. Esmas seguro hacer esto por HARDWARE.* Hay dos puntos a tomar en consideración, cuando se utilizanZIP Drives o Tarjetas de Red que necesitan “controladores”.Estos deben ser almacenados y “cargados” desde el disco deinicio.
  26. 26. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsSistema de Archivos:* FAT (Tabla de Asignación de Archivos) FAT 12, FAT 16, FAT32.
  27. 27. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsHerramientas de Procesamiento de Evidencia Digital:* Logicamente: Relaciona examinar datos “en bruto”almacenados en el disco, utilizando un editor, los datos sonnormalmente mostrados en Texto Plano y Hexadecimal.* Fisicamente: Relaciona examinar datos en el discorepresentados por un sistema de archivos. Eso facilita la vistade la estructura de directorios, y cierto tipo de análisis, pero nomuestra información visible, como lo anterior.
  28. 28. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsHerramientas de Procesamiento de Evidencia Digital:Limitaciones:* Cuando se busca una palabra clave, sector por sectorfisicamente, tal vez no haya ocurrencias, debido que la palabraclave esta dividida en sectores no adyacentes* Acceso físico da acceso a areas del disco que no sonrepresentados por el sistema de archivos como espacio deamplitud o archivos sin asignar.* Herramientas como Encase o FTK para windows o The SleuthKit para Linux combinan ambas características.
  29. 29. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRecuperacion de Datos:* Recuperacion de Datos desde espacio sin asignar.* Recuperacion de Datos desde espacio de amplitud.Para recuperar un archivo de nombre texto.doc es necesariomodificar la entrada en el directorio raiz reemplazando elsimbolo (sigma) con un “underline”.Esto se realiza en una copia del dispositivo de almacenamiento,dado que se esta realizando una modificación.
  30. 30. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRecuperacion de Datos:* Herramientas de Recuperación de Datosbasados en Windows* Herramientas de Recuperación de Datosbasados en Linux* Herramientas que permiten recuperar achivos de espacio sinasignar, archivos swap, u otro objetos digitales.
  31. 31. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsProtección por contraseña y encriptación:* Es deseable para los investigadores acceder a proteccionespor contraseña o encriptación en la computadora objetvio.* Se puede utilizar un simple editor hexadecimal, para removerla contraseña de un archivo.* Pero tambien existe software especializado que “saltan” orecuperan claves de diferentes archivos.“Esposibleencontrar versionessinencriptar enespaciosinasignar, archivoswap,ootrasareasdel sistema”
  32. 32. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsArchivos “Logs”:* Atribución es el mayor objetivo de los archivos “logs” quepueden registrar cuales cuentas fueron utilizadas para accedera un sistema en un momento dado.* Contienen información sobre que cuentas de usuario fueronutilizadas para comenter un crimen y pueden mostrar quecuenta fue robada.* Es deseable buscar y ordenar archivos “Logs” durante lainvestigación y existen interfaces gráficas que pueden hacer latarea mas comoda.
  33. 33. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRastros del Sistema de Archivos:* Todas las acciones sobre una computadora dejan rastros, quelos investigadores pueden utilizar para conocer que ocurrio.* Cuando un archivo es descargado de internet, la fecha y horadel archivo representan cuando el archivo fue puesto en lacomputadora.* Si el archivo es movido, accedido o modificado, la fecha yhora serán alterados para reflejar estas acciones.“ Archivos ZIP pueden retener fecha y hora del sistema origen, asitambien pueden ser modificados con un simple ‘touch’”
  34. 34. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRegistro:* Almacena configuración del sistema y detalles útiles en losasi llamados “claves” en W95/98 system.dat user.dat. EnNT/2000/XP se localiza en “%systemroot%system32config”* Archivos de registro pueden ser vistos utilizando aplicacionescon EnCase.* “Last Write Time” indica cuando el valor de la clave delregistro fue alterada o añadida.
  35. 35. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRastros de Internet:* Acceder a internet deja una amplia variedad de información.Incluyendo sitios webs, contenidos visualizados, correoselectrónicos, etc.- Navegación Web- Correo Electrónico- Otras aplicaciones- Almacenamiento de Red.
  36. 36. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRastros de Internet:- Navegación Web:* En internet Explorer se almacena en “index.dat”* Navegadores almacenan archivos temporales para rápidoacceso de páginas frecuentemente visitadas* Cookies almacenan información de los visitantes y susintereses.
  37. 37. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRastros de Internet:- Correo Electrónico:* Clientes de correo contienen mensajes que han sido enviadosy recibidos en una computadora.* Algunos clientes utilizan formatos propietarios.* FTK puede ser utilizado para interpretar dicho formatospropietarios. EnCase tambien los interpreta.
  38. 38. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRastros de Internet:- Otras Aplicaciones:* Clientes de mensajeria instantanea no guardas registros pordefecto, pero pueden ser configuradas para ello.* Clientes P2P, mantienen una lista de servidores que fueroncontactados o los archivos que han sido accedidos.* Clientes IRC, pueden retener mas archivos “Logs”.* Se puede encontrar mas información en SWAP u otras areas.
  39. 39. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsRastros de Internet:- Almacenamiento en Red.:* Se debe identificar las localizaciónes remotas donde lainformación digital puede ser encontrada.* Un cliente FTP creo un archivo “Log” cada ves que se utiliza.* Algunas maquinas son parte de una intranet, una lista derecursos compartidos se localiza en: HKEY-USERS/sid/Network* No existe una guia definitiva para localizar todo esto.
  40. 40. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Examen Forense a un Sistema WindowsAnálisis de Programas:* Para tener una mejor comprensión de la reconstrucción de unsistema o aplicacion, es deseable realizar una prueba empírica.* En el caso de una intrusión, es útil analizar el programamalicioso, como por ejemplo uno de “acceso remoto”.* Tres Reglas básicas:- Examinar el Código Fuente- Ver el Programa en forma compilada.- Ejecutar el programa en un entorno de pruebas.
  41. 41. CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Muchas Graciaspor su atención.Feliz NavidadCorreo Electrónico:reydes@gmail.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×