incibe_toma_evidencias_analisis_forense

Recommendations

Info

Completa: debe representar la prueba desde un punto de vista objetivo y técnico,sin valoraciones personales, ni prejuicios. Creíble: debe ser comprensible. Confiable: las técnicas utilizadas para la obtención de la evidencia no debengenerar ninguna duda sobre su veracidad y autenticidad.Pueden ser clasificadas en dos tipos:• Evidencia física: hace referencia al material informático como por ejemplo: discos duros,pendrives, etc.• Evidencia digital: corresponde a la información almacenada en las evidencias electrónicas.Algunos ejemplos de evidencias digitales son: Fichero en disco. Proceso en ejecución. Log. Archivos temporales. Entradas de registro.• Análisis: a la hora de realizar el análisis de la información recopilada se debe tenerpresente el tipo de incidente al que se pretende ofrecer respuesta. Dependiendo del casopuede resultar útil analizar en profundidad diferentes aspectos como: MFT o Master File Table: corresponde a la tabla que almacena información sobrelos ficheros almacenados en el disco. Almacena información como el nombre,fechas de acceso, creación y modificación, ubicación de los datos en disco, etc. Archivo de paginación (Pagefile.sys): es un fichero que permite optimizar el usode la memoria RAM ya que el sistema operativo envía ahí temporalmente lainformación que no sea necesaria en ese momento para los procesos en ejecucióny posteriormente la recupera en el caso de que alguno la solicite. Papelera de reciclaje. Espacio no asignado: corresponde al espacio en disco disponible para almacenarinformación. Cuando se elimina un fichero en Windows, el sistema operativoelimina la referencia a dicha información pero no la información en sí, sino que sólola marca como sobre escribible. Es por ello que tal información puede serrecuperada mediante diferentes métodos. Registro de Windows: en el registro de Windows se almacena muy diversainformación como por ejemplo las redes a las que se ha conectado el equipo, ellistado de páginas visitadas, los archivos abiertos recientemente, las aplicacionesinstaladas, el histórico de dispositivos USB conectados, etc. Slack Space: hace referencia al espacio libre que queda en un clúster (conjuntocontiguo de sectores que componen la unidad más pequeña de almacenamientode información en un disco) tras almacenar un fichero.Toma de evidencias en entornos Windows 10
Tráfico de red. Procesos del sistema. Logs del sistema: como por ejemplo el registro de sucesos relativos al sistema, ala seguridad o a las aplicaciones.Es fundamental que todo el proceso sea realizado desde un punto de vista objetivo,sin descartar lo que para el analista pueda ser considerado como obvio.• Documentación: un aspecto fundamental en el proceso del análisis forense es el de ladocumentación por lo que se debe realizar dicha fase de una manera muy metódica ydetallada. Se pueden realizar, entre otras, las siguientes acciones: Fotografiar las pruebas. Cadena de custodia. Documentar todos y cada uno de los pasos realizados durante el proceso,manteniendo una bitácora con fechas y horas de cada acción realizada sobre lasevidencias. Elaborar dos tipos de informe de conclusiones: uno ejecutivo y uno técnico.• Presentación: la fase de presentación de la información es tan importante o más que lasanteriores ya que se deben hacer accesibles y comprensibles las conclusiones que se hanobtenido del proceso del análisis forense.Para ello, es recomendable seguir las siguientes pautas: Preparar una presentación de manera pedagógica que sea fácilmentecomprensible. Detallar las conclusiones. Explicar de manera clara el proceso que se ha llevado para la obtención de lasevidencias. Evitar las afirmaciones no demostrables o los juicios de valor. Elaborar las conclusiones desde un punto de vista objetivo.Hay que tener presente que las fases no son secuenciales sino que están entrelazadas entresí. Por ejemplo, la fase de documentación comienza en la fase de preservación.2.5. METODOLOGÍAS Y GUÍASExisten diferentes metodologías o guías a la hora de realizar un análisis forense, si bien todastienen aspectos comunes. Como referencia para este documento se va a tomar el RFC 3227 1«directrices para la recopilación de evidencias y su almacenamiento», el cual refleja de unamanera completa el proceso de actuación y las pautas que se deben seguir a la hora derealizar un análisis de éste tipo.1http://www.ietf.org/rfc/rfc3227.txtToma de evidencias en entornos Windows 11
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9: 2.3. CARACTERÍSTICASEl procedimien
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61:
%WinDir%\system32\spool\printers ca
Page 62 and 63:
5.4.8.4. Otros logsExisten otra ser
Page 64 and 65:
Ilustración 30: Estructura de los
Page 66 and 67:
En el caso de Windows 7/8, dentro d
Page 68 and 69:
6 RESUMENComo se ha indicado al pri
Page 70 and 71:
8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73:
ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?