incibe_toma_evidencias_analisis_forense

Recommendations

Info

AutorAsier Martínez RetenagaEsta guía ha sido elaborada con la colaboración de Daniel Fírvida Pereira y Jesús Díaz Vico.Noviembre 2014La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo una licencia Reconocimiento-Nocomercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar públicamente esta obrabajo las condiciones siguientes:• Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando suprocedencia y haciendo referencia expresa tanto a INCIBE o CERTSI como a su sitio web: http://www.incibe.es. Dichoreconocimiento no podrá en ningún caso sugerir que INCIBE presta apoyo a dicho tercero o apoya el uso que hace de su obra.• Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras suuso no tenga fines comerciales.Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condicionespuede no aplicarse si se obtiene el permiso de CERTSI como titular de los derechos de autor. Texto completo de la licencia:http://creativecommons.org/licenses/by-nc-sa/3.0/es/Toma de evidencias en entornos Windows 2
ÍNDICE1 SOBRE LA GUÍA 61.1. Notaciones utilizadas 62 INTRODUCCIÓN AL ANÁLISIS FORENSE 72.1. Principio de Locard 72.2. Tipos de análisis forense 82.3. Características 92.4. Fases 92.5. Metodologías y guías 113 TIPOLOGÍAS DE UN INCIDENTE 134 DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU ALMACENAMIENTO 164.1. Principios durante la recolección de evidencias 164.1.1. Orden de volatilidad 164.1.2. Acciones que deben evitarse 174.1.3. Consideraciones de privacidad 174.1.4. Consideraciones legales 174.2. Procedimiento de recolección 174.2.1. Reproducible 174.2.2. Pasos 174.3. Procedimiento de almacenamiento 184.3.1. Cadena de custodia 184.3.2. Dónde y cómo almacenarlo 184.4. Herramientas necesarias 184.5. Conclusiones 195 TOMA DE EVIDENCIAS 205.1. Consideraciones previas 205.2. Inicio del proceso 215.3. Información volátil 225.3.1. Hora y fecha del sistema 235.3.2. Volcado de memoria 235.3.3. Información de red: estado, conexiones activas, puertos UDP yTCP abiertos 29Toma de evidencias en entornos Windows 3
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53:
para infectar a un gran número de
Page 54 and 55:
EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57:
WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59:
En los tres casos descritos, indepe
Page 60 and 61:
%WinDir%\system32\spool\printers ca
Page 62 and 63:
5.4.8.4. Otros logsExisten otra ser
Page 64 and 65:
Ilustración 30: Estructura de los
Page 66 and 67:
En el caso de Windows 7/8, dentro d
Page 68 and 69:
6 RESUMENComo se ha indicado al pri
Page 70 and 71:
8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73:
ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?