Este documento presenta un curso de certificación en informática forense para Windows. El curso consta de 8 módulos que cubren temas como la introducción a la informática forense, el establecimiento de un laboratorio forense, la obtención y análisis de evidencia digital, la recuperación de archivos, la esteganografía y la documentación de la evidencia. El objetivo es enseñar técnicas forenses prácticas para investigar delitos informáticos a través del análisis de sistemas, archivos y otros medios digital

2. CCFIW Computer Forensic
Investigations Windows
Presentación:
En esta certificación se pretende dar a conocer de forma introductoria y
práctica a la Informática Forense, demostrando que no es una técnica más
que pertenece al área de Seguridad Informática, que en la actualidad ya es
parte fundamental para la Investigación y resolución en delitos Informáticos
como lo pueden ser; Robo de información, espionaje industrial, Ataques
informáticos, detección y prevención de actos en contra de la seguridad e
integridad infantil, siendo este ultimo en la actualidad uno de lo sistemas
más delicados y que por desgracia han incrementado los índices de
afectados, y aquí es donde entra la aplicación de esta ciencia, para
prevenir y contrarrestar estos tipo de incidentes.

3. Objetivo general:
Aprenderás a conocer tu computadora y te darás cuenta que la
información dentro de ella que Tú crees "oculta", no lo es tanto, ya que
con un análisis profundo puedes identificar el perfil psicológico y conocer
los secretos más "recónditos" de cualquier usuario. Pero lo más
importante tendrás una visualización del impacto de saber administrar,
organizar y proteger los movimientos e información que manejes en tu
computadora personal, de la empresa, de familiares, etc.
Es súper importante prevenir riesgos como; Fuga de información: Es
importante saber quiénes son los que utilizan tu computadora ó
computadora de la empresa, para así tener un registro por si se diera el
caso de que hayan extraído información confidencial, y saber quiénes
pudiesen ser los responsables. Protección de familiares: Informarte que
están haciendo tus hijos en el PC, no con el afán de “espiarlos” más
bien como prevención, ya que el internet en la actualidad ya es un arma
de doble filo.

4. Objetivo general:
Perdida de información: En caso que eliminaras algún archivo
(os), ya sea por error, por causa de un virus, o un daño técnico
del PC, es importante saber y tener la habilidad de rescatar ese
archivo de gran importancia para ti, ya sea un documento de
office, foto, etc.
Serás capas de proveer solución a incidentes mediante
metodologías y herramientas forenses para dicho propósito, ya
que el entrenamiento mediante este taller será 100% practico ya
que se trabajara en un entorno virtualizado simulando una
situación real.

5. Dirigido a:
Ingenieros en sistemas.
Técnicos en sistemas.
Estudiantes de informática, Ing. en sistemas
computacionales, similares.
Docentes de Informática.
Especialistas en Seguridad informática.
Personas que quieran conocer y aprender más
sobre esta profesión y que no necesariamente sean
expertos en informática.

6. Modulo 1. Introducción a la Informática Forense
Objetivo:
Se obtendrán los conocimientos básicos que conlleva el proceso de la
Investigación e informática forense. Ya que ante un incidente, pudiendo ser
un ataque a redes informáticas, robo de información, espionaje industrial o
aun más grave como el ataque infantil (ciber grooming, CiberBullying,
acoso infantil, entre otros), saber responder ante tales situaciones,
implementando metodologías, que nos provean esa capacidad para
obtener respuestas ante la incógnita que guarda la evidencia, en la cual se
involucra al personal afectado, personal sospechoso, medios digitales y
electrónicos
1.1 Introducción
1.2 Definiciones.
1.3 Fases de la Informática forense.
1.4 Áreas de aplicación de la Informática forense.
Otros conceptos fundamentales que se deben tener conocimientos.
CCFIW-01

7. Modulo 2. Preparando nuestro laboratorio Forense.
Objetivo:
Implementaremos nuestro laboratorio Forense para examinar y analizar la
evidencia (as) obtenidas en la escena de crimen. Estudiaremos las
características con las que debe contar nuestro espacio y laboratorio
forense, con respecto a medios y herramientas de hardware y herramientas
de software forenses, lo cual dependerá del incidente a investigar.
2 Datos importantes a tomar en cuenta antes de montar nuestro laboratorio
forense.
2.1 Uso de máquinas virtuales.
2.2 Elección de herramientas de software forense.
2.3 Introducción a CAIN.
2.4 Introducción a DEF.
2.5 Implementando Tu laboratorio forense digital.
CCFIW-01

8. Modulo 3. Obtención de la evidencia Digital.
Objetivo:
Se darán a conocer, las técnicas y herramientas apropiadas para la
obtención/recolección de la evidencia digital, contenida en un medio de
almacenamiento (disco duro, celular, iphone, etc.), para posteriormente ser
analizados.
3.1Recolección de información volátil (memoria RAM).
3.2 Autentificación de la preservación de la evidencia mediante Hash MD5,
SHA1.
3.3 Recolección de Información no volátil (Disco duro).
3.4 Autentificación de la preservación de la evidencia mediante Hash MD5,
SHA1.
3.5 Cadena de custodia.
CCFIW-01

9. Modulo 4. Análisis forense a Sistemas Windows (Windows
Forensics).
Objetivo:
Se escudriñara a fondo cada una de las partes que conforman al sistema
operativo Windows, con la misión de extraer evidencia volátil y no volátil,
que servirán como pruebas para la resolución de la investigación.
4.1 Análisis del sistema en vivo.
4.2 Extrayendo evidencia volátil.
4.3Extrayendo la evidencia No volátil.
4.4 Windows ArtifactAnalysis
4.5 Analizando el registro de Windows (RegistryForensics)
Usuarios, sistema, hardware, dispositivos USB conectados al sistema, etc.
4.6 Analizando directorios de sistema.
CCFIW-02

10. Modulo 4.Análisisforense a Sistemas Windows (Windows
Forensics).
4.7 Browser Forensics Análisis forense de exploradores de internet (chrome,
firefox, internet Explorer)
4.8 E-mail Forensics (Host, Server, Web)
4.9 Análisis de metadatos (Meta Información).
Microsoft Office Document Analysis.
File and Picture Metadata Tracking and Examination
4.10 Análisis forense de imágenes.
4.11 Cracking & recovery passwords de archivos y usuarios del sistema.
4.12 MFT Forensics.
CCFIW-02

11. Módulo 5. Recuperación de archivos.
Objetivo:
En un delito informático los sospechosos pretenden eliminar todo tipo de
evidencia del equipo computacional, electrónico o tecnológico incautado
para así no ser inculpado, pero la ciencia forense nos provee herramientas
de software y técnicas forenses para recuperar información que haya sido
eliminada y así poder encontrar evidencia potencial, que pueda ser
determinante en un proceso legal.
5.1 Recuperación de archivos.
5.2 Encase.
5.3 Ftk Imager.
5.4 Disk Digger.
5.5 OSForensics
CCFIW-02

12. Modulo 6. Esteganografía
Esteganografía.- Consiste en la ocultación de información (Archivo) dentro
de otro archivo.
Los atacantes utilizan técnicas para ocultar sus actos ilícitos, con el
propósito de que no se percate de sus movimientos realizados y su
presencia en los sistemas atacados involucrados, los cuales son incautados
para la investigación. Se conocerán distintas técnicas utilizadas de
ocultación de información en la actualidad.
6.1Técnica EOF.
6.2 Alternate Data Streams (ADS).
6.3 Técnica LSB.
6.3 Esteganografia en imágenes.
6.4 Esteganografia en archivos de audio mp3.
7.5 Esteganografia en archivos de video.
CCFIW-03

13. Modulo 7. Virtualización de Imágenes Forense y
Analizando la evidencia post–mortem.
.Objetivo:
Se analizaran a fondo las evidencias obtenidas en los módulos
anteriores, en búsqueda de información extra, para complementar y
obtener más evidencias para la investigación.
7.1 Análisis Forense de la imagen del disco duro.
7.2 Mail Forensics.
-Análisis de Cuentas de correo electrónico.
-Recuperación de conversaciones del MSN.
7.3 Análisis forense de Facebook (Facebook Forensics)
-Recuperación de conversaciones del facebook.
-Contactos de facebook
-Análisis de otros artefactos de facebook.
CCFIW-03

14. Modulo 7. Virtualización de Imágenes Forense y
Analizando la evidencia post–mortem.
.Objetivo:
Se realizara un análisis forense a la memoria RAM para obtener
información que se mantiene de manera momentánea, y obtener evidencia
potencial que nos permitirá dar resolución a la investigación.
7.4 Análisis de la memoria RAM.
-Mail Forenses.
-Análisis Cuentas de correo electrónico
-Recuperación de conversaciones del MSN,
-Obtención de contraseñas de cuentas de correo.
-Pagefile.sys
-Swapfile.sys
-Hiberfil.sys
CCFIW-03

15. Modulo 8. Documentación y presentación dela evidencia.
Objetivos:
Nos posicionamos en la última fase de la informática forense, en la cual
realizaremos la documentación pertinente, donde plasmaremos todo el
proceso realizado desde antes, durante y al finalizar la investigación. Esto
con el fin de que los resultados de la investigación forense digital de la
evidencia analizada sea valida dentro de un proceso legal.
7.1 Informe ejecutivo.
7.2 Informe Técnico
CCFIW-03