11. Privacidad mediante la mutilación del dispositivo degausser o o Eliminación segura a nivel forense Pero este seguro que funciona o 21/05/11 Germinal Isern Universidad Nacional de Piura
36. Preservación de la escena del crimen Sala Solo jala el cable Mueve el mouse para una mirada rapida Tripwires tick…tick…tick… Computo volatil Sotano, aramario Conexion inalambrica “ Querida Susana, No es tu culpa
45. Proceso Forense Autorización y Preparación Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción Reportes y Resultados 21/05/11 Germinal Isern Universidad Nacional de Piura
46. Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características Flag(Forensic and Log Analysis GUI ) www.dsd.gov.au/library/software/flag/ *nix L Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS Sleuth9 www.deepnines.com/sleuth9.html *nix CSR Dragon IDS www.enterasys.com/products/ids/ *nix CLSR NSM Incident response www.intellitactics.com Windows CLSRW neuSecure www.guarded.net *nix CLSRW NetIntercept www.sandstorm.net Linux box CSRA NetWitness www.forensicexplorer.com Windows CLSRA OSSIM www.ossim.net *nix CLSRA SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
47. Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C Ngrep http://ngrep.sourceforge.net *nix C Network Stumbler http://netstumbler.com Windows C Kismet www.kismetwireless.net Windows, Linux C Argus www.qosient.com/argus7/ *nix CL Flow-tools www.splintered.net/sw/flow-tools/ *nix CL Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L Etherape http://etherape.sourceforge.net *nix C Ethereal www.ethereal.com Windows-Linux CLS Etherpeek www.wildpackets.com Windows CLS
48.
49. Demostración FTK 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
50. FTK pantallas: Caso nuevo 21/05/11 Germinal Isern Universidad Nacional de Piura
51. FTK : Comienza la investigación 21/05/11 Germinal Isern Universidad Nacional de Piura
52. FTK : Sumario del caso 21/05/11 Germinal Isern Universidad Nacional de Piura
53. FTK : Thumbnail 21/05/11 Germinal Isern Universidad Nacional de Piura
54.
55. Acceso al Registry (en vivo Image the machine -- or – Use “Obtain Protected Files” in the FTK Imager 21/05/11 Germinal Isern Universidad Nacional de Piura
66. ** VERY IMPORTANT ** “ Select” key chooses which control set is current, which is “last known good” configuration SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
72. Criminales en la computacion… 21/05/11 Germinal Isern Universidad Nacional de Piura
73. Wireshark (….. Ethereal) Detailed packet data at various protocol levels Packet listing Raw data 21/05/11 Germinal Isern Universidad Nacional de Piura
112. Analisis vaciados de memoria 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
113.
114.
115.
116.
117. Analisis de la muerte de un computador FTK Interlude 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
118. Email en el computador de Daryl 21/05/11 Germinal Isern Universidad Nacional de Piura
119. Analisis en vivo del computador 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
120. Command: pslist > pslist.txt ? Nada interesante 21/05/11 Germinal Isern Universidad Nacional de Piura
121. Command: pmdump –list > pmdump-list.txt ? Nada interesante? 21/05/11 Germinal Isern Universidad Nacional de Piura
122. Command: handle > handle.txt !! 21/05/11 Germinal Isern Universidad Nacional de Piura
123. Command: dd if=.hysicalMemory of=PhysicalMemory.dd Command: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt 21/05/11 Germinal Isern Universidad Nacional de Piura
124. El archivo “ log.txt” en directorio c:axes en Word Para resaltar las sesiones importantes DARYL_EVIDENCEog.doc Examen c:axes directorio: turbotax97.exe era realmente un keylogger 21/05/11 Germinal Isern Universidad Nacional de Piura
129. Historia de inserción de USB (análisis de laptop flotante ) HKEY_LOCAL_MACHINE/SYSUSBSTOR Almacenamiento USB perteneciente a Niles Boudreaux, otro empleado de TurboChef. 21/05/11 Germinal Isern Universidad Nacional de Piura