1. Seminario Computación Forense

3. Investigación de la Escena del Crimen

11. Privacidad mediante la mutilación del dispositivo degausser o o Eliminación segura a nivel forense Pero este seguro que funciona o 21/05/11 Germinal Isern Universidad Nacional de Piura

26. Delitos Informáticos 21/05/11 Germinal Isern Universidad Nacional de Piura

27. Pornografía Infantil 21/05/11 Germinal Isern Universidad Nacional de Piura

28. Delitos Financieros 21/05/11 Germinal Isern Universidad Nacional de Piura

29. Clonadores de atrjetas de credito 21/05/11 Germinal Isern Universidad Nacional de Piura

36. Preservación de la escena del crimen Sala Solo jala el cable Mueve el mouse para una mirada rapida Tripwires tick…tick…tick… Computo volatil Sotano, aramario Conexion inalambrica “ Querida Susana, No es tu culpa

37. Documentación cuidadosa es esencial 21/05/11 Germinal Isern Universidad Nacional de Piura

39. Investigar

45. Proceso Forense Autorización y Preparación Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción Reportes y Resultados 21/05/11 Germinal Isern Universidad Nacional de Piura

46. Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características Flag(Forensic and Log Analysis GUI ) www.dsd.gov.au/library/software/flag/ *nix L Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS Sleuth9 www.deepnines.com/sleuth9.html *nix CSR Dragon IDS www.enterasys.com/products/ids/ *nix CLSR NSM Incident response www.intellitactics.com Windows CLSRW neuSecure www.guarded.net *nix CLSRW NetIntercept www.sandstorm.net Linux box CSRA NetWitness www.forensicexplorer.com Windows CLSRA OSSIM www.ossim.net *nix CLSRA SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR

47. Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C Ngrep http://ngrep.sourceforge.net *nix C Network Stumbler http://netstumbler.com Windows C Kismet www.kismetwireless.net Windows, Linux C Argus www.qosient.com/argus7/ *nix CL Flow-tools www.splintered.net/sw/flow-tools/ *nix CL Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L Etherape http://etherape.sourceforge.net *nix C Ethereal www.ethereal.com Windows-Linux CLS Etherpeek www.wildpackets.com Windows CLS

49. Demostración FTK 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura

50. FTK pantallas: Caso nuevo 21/05/11 Germinal Isern Universidad Nacional de Piura

51. FTK : Comienza la investigación 21/05/11 Germinal Isern Universidad Nacional de Piura

52. FTK : Sumario del caso 21/05/11 Germinal Isern Universidad Nacional de Piura

53. FTK : Thumbnail 21/05/11 Germinal Isern Universidad Nacional de Piura

55. Acceso al Registry (en vivo Image the machine -- or – Use “Obtain Protected Files” in the FTK Imager 21/05/11 Germinal Isern Universidad Nacional de Piura

56. FTK Registry Viewer 21/05/11 Germinal Isern Universidad Nacional de Piura

57. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura

58. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura

59. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura

60. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura

61. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura

62. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura

63. SAM file 21/05/11 Germinal Isern Universidad Nacional de Piura

64. SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura

65. SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura

66. ** VERY IMPORTANT ** “ Select” key chooses which control set is current, which is “last known good” configuration SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura

67. SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura

68. 750GB USB hard drives (same type) Two Jumpdrive Elite thumbdrives SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura

70. Sistema de Archivos Esencial conocerlo FAT 12, 16, 32 NTFS EXT 2, 3 ………….. 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura

71. Mejor Auditoria 21/05/11 Germinal Isern Universidad Nacional de Piura

72. Criminales en la computacion… 21/05/11 Germinal Isern Universidad Nacional de Piura

73. Wireshark (….. Ethereal) Detailed packet data at various protocol levels Packet listing Raw data 21/05/11 Germinal Isern Universidad Nacional de Piura

74. Wireshark: Siguiendo un flujo TCP 21/05/11 Germinal Isern Universidad Nacional de Piura

75. Wireshark: control flujo FTP 21/05/11 Germinal Isern Universidad Nacional de Piura

76. Wireshark: flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura

77. Wireshark: Flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura

78. Wireshark: Sesion HTTP save, then trim away HTTP headers to retrieve image Use: e.g., WinHex 21/05/11 Germinal Isern Universidad Nacional de Piura

79. Psinfo ( Detección , análisis ) 21/05/11 Germinal Isern Universidad Nacional de Piura

80. pslist 21/05/11 Germinal Isern Universidad Nacional de Piura

81. handle 21/05/11 Germinal Isern Universidad Nacional de Piura

82. filemon 21/05/11 Germinal Isern Universidad Nacional de Piura

83. psfile 21/05/11 Germinal Isern Universidad Nacional de Piura

84. promiscdetect 21/05/11 Germinal Isern Universidad Nacional de Piura

85. promiscdetect (Wireshark está corriendo ) 21/05/11 Germinal Isern Universidad Nacional de Piura

86. psloggedon 21/05/11 Germinal Isern Universidad Nacional de Piura

87. netstat -a Ataque al corazon?! 21/05/11 Germinal Isern Universidad Nacional de Piura

88. netstat –a -b fuiiii! 21/05/11 Germinal Isern Universidad Nacional de Piura

89. Linux Listado de procesos Salida parcial # ps aux | less 21/05/11 Germinal Isern Universidad Nacional de Piura

90. Linux: lsof Salida parcial # lsof | less 21/05/11 Germinal Isern Universidad Nacional de Piura

91. Linux: Informacion de procesos detallada 21/05/11 Germinal Isern Universidad Nacional de Piura

92. Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura

93. 21/05/11 Germinal Isern Universidad Nacional de Piura

94. Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura

95. Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura

96. Análisis Forense en vivo 21/05/11 Germinal Isern Universidad Nacional de Piura

97. Crear consulta 21/05/11 Germinal Isern Universidad Nacional de Piura

98. Crear 21/05/11 Germinal Isern Universidad Nacional de Piura

99. Objetivo 21/05/11 Germinal Isern Universidad Nacional de Piura

100. Confirmar informacion 21/05/11 Germinal Isern Universidad Nacional de Piura

101. Password 21/05/11 Germinal Isern Universidad Nacional de Piura

102. Adquisicion inicial 21/05/11 Germinal Isern Universidad Nacional de Piura

103. 21/05/11 Germinal Isern Universidad Nacional de Piura

104. 21/05/11 Germinal Isern Universidad Nacional de Piura

105. Informacion General 21/05/11 Germinal Isern Universidad Nacional de Piura

106. Informacion Interfaz IP 21/05/11 Germinal Isern Universidad Nacional de Piura

107. Analisis de datos 21/05/11 Germinal Isern Universidad Nacional de Piura

108. Puertos vmware phoning home to check for updates SMB file server 21/05/11 Germinal Isern Universidad Nacional de Piura

109. Procesos en ejecucion 21/05/11 Germinal Isern Universidad Nacional de Piura

110. Conexiones 21/05/11 Germinal Isern Universidad Nacional de Piura

111. Archivos abiertos 21/05/11 Germinal Isern Universidad Nacional de Piura

112. Analisis vaciados de memoria 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura

117. Analisis de la muerte de un computador FTK Interlude 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura

118. Email en el computador de Daryl 21/05/11 Germinal Isern Universidad Nacional de Piura

119. Analisis en vivo del computador 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura

120. Command: pslist > pslist.txt ? Nada interesante 21/05/11 Germinal Isern Universidad Nacional de Piura

121. Command: pmdump –list > pmdump-list.txt ? Nada interesante? 21/05/11 Germinal Isern Universidad Nacional de Piura

122. Command: handle > handle.txt !! 21/05/11 Germinal Isern Universidad Nacional de Piura

123. Command: dd if=.hysicalMemory of=PhysicalMemory.dd Command: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt 21/05/11 Germinal Isern Universidad Nacional de Piura

124. El archivo “ log.txt” en directorio c:axes en Word Para resaltar las sesiones importantes DARYL_EVIDENCEog.doc Examen c:axes directorio: turbotax97.exe era realmente un keylogger 21/05/11 Germinal Isern Universidad Nacional de Piura

125. 21/05/11 Germinal Isern Universidad Nacional de Piura

127. Wireshark Interlude Analisis de red 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura

129. Historia de inserción de USB (análisis de laptop flotante ) HKEY_LOCAL_MACHINE/SYSUSBSTOR Almacenamiento USB perteneciente a Niles Boudreaux, otro empleado de TurboChef. 21/05/11 Germinal Isern Universidad Nacional de Piura

130. Historia USB HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR ¡Concordo! 21/05/11 Germinal Isern Universidad Nacional de Piura

132. Email original de Ignatius ( Maquina N. Boudreaux’s ) 21/05/11 Germinal Isern Universidad Nacional de Piura

133. A Closer Look at Email on Daryl Popper’s Computer 21/05/11 Germinal Isern Universidad Nacional de Piura

134. Una vista mas cerca del e-mail en el computador de Daryl ( HTML SOURCE ) 21/05/11 Germinal Isern Universidad Nacional de Piura