SlideShare a Scribd company logo

De cero a DFIR

Download as PPTX, PDF
RootedCON
RootedCON

El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?

Technology
1 of 70
De cero a DFIR Primeros pasos en el Análisis Informático Forense
De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
De cero a DFIR 20 Imagen de disco Precaución
De cero a DFIR 21 Imagen de disco Precaución
De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
De cero a DFIR 70 Lo hizo un mago

Recommended

Access Control: Principles and Practice
Access Control: Principles and PracticeAccess Control: Principles and Practice
Access Control: Principles and PracticeNabeel Yoosuf
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Operating System Forensics
Operating System ForensicsOperating System Forensics
Operating System ForensicsArunJS5
 
Bug bounty
Bug bountyBug bounty
Bug bountyn|u - The Open Security Community
 
Cross site scripting (xss)
Cross site scripting (xss)Cross site scripting (xss)
Cross site scripting (xss)Ritesh Gupta
 
MALWARE
MALWAREMALWARE
MALWAREAnupam Das
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligencebalakumaran779
 
Privilege escalation from 1 to 0 Workshop
Privilege escalation from 1 to 0 Workshop Privilege escalation from 1 to 0 Workshop
Privilege escalation from 1 to 0 Workshop Hossam .M Hamed
 

Recommended

Access Control: Principles and Practice
Access Control: Principles and PracticeAccess Control: Principles and Practice
Access Control: Principles and PracticeNabeel Yoosuf
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Operating System Forensics
Operating System ForensicsOperating System Forensics
Operating System ForensicsArunJS5
 
Bug bounty
Bug bountyBug bounty
Bug bountyn|u - The Open Security Community
 
Cross site scripting (xss)
Cross site scripting (xss)Cross site scripting (xss)
Cross site scripting (xss)Ritesh Gupta
 
MALWARE
MALWAREMALWARE
MALWAREAnupam Das
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligencebalakumaran779
 
Privilege escalation from 1 to 0 Workshop
Privilege escalation from 1 to 0 Workshop Privilege escalation from 1 to 0 Workshop
Privilege escalation from 1 to 0 Workshop Hossam .M Hamed
 
Ceh v5 module 07 sniffers
Ceh v5 module 07 sniffersCeh v5 module 07 sniffers
Ceh v5 module 07 sniffersVi Tính Hoàng Nam
 
Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Paulo Colomés
 
Social Media Forensics for Investigators
Social Media Forensics for InvestigatorsSocial Media Forensics for Investigators
Social Media Forensics for InvestigatorsCase IQ
 
Email investigation
Email investigationEmail investigation
Email investigationAnimesh Shaw
 
L6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxL6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxBhupeshkumar Nanhe
 
Computer forensics and steganography
Computer forensics and steganographyComputer forensics and steganography
Computer forensics and steganographyXavier Prathap
 
Infocyte - Digital Forensics and Incident Response (DFIR) Training Session
Infocyte - Digital Forensics and Incident Response (DFIR) Training SessionInfocyte - Digital Forensics and Incident Response (DFIR) Training Session
Infocyte - Digital Forensics and Incident Response (DFIR) Training SessionInfocyte
 
Threat Hunting for Command and Control Activity
Threat Hunting for Command and Control ActivityThreat Hunting for Command and Control Activity
Threat Hunting for Command and Control ActivitySqrrl
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacksRamiro Cid
 
Windows registry forensics
Windows registry forensicsWindows registry forensics
Windows registry forensicsTaha İslam YILMAZ
 
Fundamental digital forensik
Fundamental digital forensikFundamental digital forensik
Fundamental digital forensiknewbie2019
 
Introduction to Cyber Forensics Module 1
Introduction to Cyber Forensics Module 1Introduction to Cyber Forensics Module 1
Introduction to Cyber Forensics Module 1Anpumathews
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics toolSreekanth Narendran
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
 
Reconnaissance & Scanning
Reconnaissance & ScanningReconnaissance & Scanning
Reconnaissance & Scanningamiable_indian
 
Threat hunting and achieving security maturity
Threat hunting and achieving security maturityThreat hunting and achieving security maturity
Threat hunting and achieving security maturityDNIF
 
Digital forensics
Digital forensics Digital forensics
Digital forensics vishnuv43
 
Secure software development presentation
Secure software development presentationSecure software development presentation
Secure software development presentationMahdi Dolati
 
Phishing Website Detection by Machine Learning Techniques Presentation.pdf
Phishing Website Detection by Machine Learning Techniques Presentation.pdfPhishing Website Detection by Machine Learning Techniques Presentation.pdf
Phishing Website Detection by Machine Learning Techniques Presentation.pdfVaralakshmiKC
 
Computer forensics and Investigation
Computer forensics and InvestigationComputer forensics and Investigation
Computer forensics and InvestigationNeha Raju k
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 

More Related Content

What's hot

Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Paulo Colomés
 
Social Media Forensics for Investigators
Social Media Forensics for InvestigatorsSocial Media Forensics for Investigators
Social Media Forensics for InvestigatorsCase IQ
 
Email investigation
Email investigationEmail investigation
Email investigationAnimesh Shaw
 
L6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxL6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxBhupeshkumar Nanhe
 
Computer forensics and steganography
Computer forensics and steganographyComputer forensics and steganography
Computer forensics and steganographyXavier Prathap
 
Infocyte - Digital Forensics and Incident Response (DFIR) Training Session
Infocyte - Digital Forensics and Incident Response (DFIR) Training SessionInfocyte - Digital Forensics and Incident Response (DFIR) Training Session
Infocyte - Digital Forensics and Incident Response (DFIR) Training SessionInfocyte
 
Threat Hunting for Command and Control Activity
Threat Hunting for Command and Control ActivityThreat Hunting for Command and Control Activity
Threat Hunting for Command and Control ActivitySqrrl
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacksRamiro Cid
 
Fundamental digital forensik
Fundamental digital forensikFundamental digital forensik
Fundamental digital forensiknewbie2019
 
Introduction to Cyber Forensics Module 1
Introduction to Cyber Forensics Module 1Introduction to Cyber Forensics Module 1
Introduction to Cyber Forensics Module 1Anpumathews
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
 
Reconnaissance & Scanning
Reconnaissance & ScanningReconnaissance & Scanning
Reconnaissance & Scanningamiable_indian
 
Threat hunting and achieving security maturity
Threat hunting and achieving security maturityThreat hunting and achieving security maturity
Threat hunting and achieving security maturityDNIF
 
Digital forensics
Digital forensics Digital forensics
Digital forensics vishnuv43
 
Secure software development presentation
Secure software development presentationSecure software development presentation
Secure software development presentationMahdi Dolati
 
Phishing Website Detection by Machine Learning Techniques Presentation.pdf
Phishing Website Detection by Machine Learning Techniques Presentation.pdfPhishing Website Detection by Machine Learning Techniques Presentation.pdf
Phishing Website Detection by Machine Learning Techniques Presentation.pdfVaralakshmiKC
 
Computer forensics and Investigation
Computer forensics and InvestigationComputer forensics and Investigation
Computer forensics and InvestigationNeha Raju k
 

What's hot (20)

Ceh v5 module 07 sniffers
Ceh v5 module 07 sniffersCeh v5 module 07 sniffers
Ceh v5 module 07 sniffers
 
Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)
 
Social Media Forensics for Investigators
Social Media Forensics for InvestigatorsSocial Media Forensics for Investigators
Social Media Forensics for Investigators
 
Email investigation
Email investigationEmail investigation
Email investigation
 
L6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxL6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptx
 
Computer forensics and steganography
Computer forensics and steganographyComputer forensics and steganography
Computer forensics and steganography
 
Infocyte - Digital Forensics and Incident Response (DFIR) Training Session
Infocyte - Digital Forensics and Incident Response (DFIR) Training SessionInfocyte - Digital Forensics and Incident Response (DFIR) Training Session
Infocyte - Digital Forensics and Incident Response (DFIR) Training Session
 
Threat Hunting for Command and Control Activity
Threat Hunting for Command and Control ActivityThreat Hunting for Command and Control Activity
Threat Hunting for Command and Control Activity
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacks
 
Windows registry forensics
Windows registry forensicsWindows registry forensics
Windows registry forensics
 
Fundamental digital forensik
Fundamental digital forensikFundamental digital forensik
Fundamental digital forensik
 
Introduction to Cyber Forensics Module 1
Introduction to Cyber Forensics Module 1Introduction to Cyber Forensics Module 1
Introduction to Cyber Forensics Module 1
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics tool
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
 
Reconnaissance & Scanning
Reconnaissance & ScanningReconnaissance & Scanning
Reconnaissance & Scanning
 
Threat hunting and achieving security maturity
Threat hunting and achieving security maturityThreat hunting and achieving security maturity
Threat hunting and achieving security maturity
 
Digital forensics
Digital forensics Digital forensics
Digital forensics
 
Secure software development presentation
Secure software development presentationSecure software development presentation
Secure software development presentation
 
Phishing Website Detection by Machine Learning Techniques Presentation.pdf
Phishing Website Detection by Machine Learning Techniques Presentation.pdfPhishing Website Detection by Machine Learning Techniques Presentation.pdf
Phishing Website Detection by Machine Learning Techniques Presentation.pdf
 
Computer forensics and Investigation
Computer forensics and InvestigationComputer forensics and Investigation
Computer forensics and Investigation
 

Similar to De cero a DFIR

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redEventos Creativos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdfCsarVera14
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 

Similar to De cero a DFIR (20)

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la red
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
La dura vida del Pentester
La dura vida del PentesterLa dura vida del Pentester
La dura vida del Pentester
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1
 

More from RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 

More from RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 

Recently uploaded

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 

Recently uploaded (20)

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 

De cero a DFIR

  • 1. De cero a DFIR Primeros pasos en el Análisis Informático Forense
  • 2. De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  • 3. De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
  • 4. De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
  • 5. De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
  • 6. De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
  • 7. De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
  • 8. De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
  • 9. De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
  • 10. De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
  • 11. De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
  • 12. De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
  • 13. De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
  • 14. De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
  • 15. De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
  • 16. De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
  • 17. De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
  • 18. De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
  • 19. De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
  • 20. De cero a DFIR 20 Imagen de disco Precaución
  • 21. De cero a DFIR 21 Imagen de disco Precaución
  • 22. De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
  • 23. De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
  • 24. De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
  • 25. De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
  • 26. De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  • 27. De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  • 28. De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
  • 29. De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
  • 30. De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
  • 31. De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
  • 32. De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  • 33. De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  • 34. De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
  • 35. De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
  • 36. De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
  • 37. De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
  • 38. De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
  • 39. De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
  • 40. De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
  • 41. De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
  • 42. De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
  • 43. De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
  • 44. De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 45. De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 46. De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
  • 47. De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
  • 48. De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
  • 49. De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 50. De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
  • 51. De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
  • 52. De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
  • 53. De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
  • 54. De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
  • 55. De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
  • 56. De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
  • 57. De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
  • 58. De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
  • 59. De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
  • 60. De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  • 61. De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  • 62. De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 63. De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 64. De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 65. De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  • 66. De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  • 67. De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
  • 68. De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
  • 69. De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
  • 70. De cero a DFIR 70 Lo hizo un mago