incibe_toma_evidencias_analisis_forense

Recommendations

Info

WinDDClonezillaOSFClonehttp://sourceforge.net/projects/windd/http://clonezilla.orghttp://www.osforensics.com/tools/create-disk-images.html• Crear una copia bit stream de disco a disco: es el método utilizado en el caso de queno sea posible realizar una copia bit stream de disco a imagen.Del mismo modo que el método anterior se puede realizar tantas copias como discosdispongamos. La realización de un clonado mediante un dispositivo hardware conllevauna mayor fiabilidad y rapidez. Sin embargo, como se ha indicado anteriormente, en estaguía se ha optado por la utilización de software libre y gratuito con el fin de que dicha tareano suponga un sobrecoste en lo que a licencias se refiere.Para crear una copia bit stream de disco a disco se puede utilizar alguna utilidad comoClonezilla 53 . Para ello tan sólo es necesario arrancar el equipo con la utilidad y seguir lospasos que indican.DC3DDOSFCloneddFOGAIR - AutomatedImage and Restorehttp://sourceforge.net/projects/dc3dd/http://www.osforensics.com/tools/create-disk-images.htmlDisponible en la distribuciones con Linuxhttp://sourceforge.net/projects/freeghost/http://sourceforge.net/projects/air-imager/Cuando se trata de crear una copia bit stream de disco a imagen o de disco a disco, en losdiscos duros de estado sólido (SSD) Solid State Drive, hay que tener en cuenta lo siguiente:Los discos SSD no funcionan de igual de modo que los discos magnéticos. Además, losfabricantes implementaron el comando TRIM gracias al cual se prolonga la vida útil de losSSD e impide la degradación de su rendimiento. Dicho comando permite informar quéceldas ya no están en uso al controlador, el cual a su vez, notifica al recolector de basura53http://clonezilla.orgToma de evidencias en entornos Windows 56
para que vaya borrando electrónicamente el contenido de esas celdas y las prepare parafuturas operaciones de escritura. Es muy importante tener claro que no es posible evitar elproceso de recolección de basura en el caso de que el comando TRIM esté activado, ni siquiera cambiando el disco SSD a otro equipo, ni poniendo un bloqueador de escritura, yaque un disco SSD únicamente con tener corriente iniciará dicho proceso de maneraautomática.Esto quiere decir que si un usuario elimina un fichero, y el comando TRIM está activado, laevidencia desaparecerá para siempre. Este hecho no afecta a los volúmenes cifrados comoTrueCrypt, BitLocker, etc por lo que deben ser recopilados para un posterior análisis.Así mismo, hay que tener en cuenta que este hecho afecta a la hora de sacar el hash de undisco SDD, el cual puede ser distinto, ya que el proceso que desencadena el comando TRIMcorre en un segundo plano y pese a que aparentemente dicho disco no haya sufrido ningunamodificación, en realidad sí que haya sufrido cambios.• Creación de una copia de datos dispersos de una carpeta o archivo: es decir, realizaruna copia selectiva: ya que en muchas ocasiones dependiendo del tipo de incidente puedeno ser necesario volcar todo el disco y sea suficiente copiar ciertas carpetas o ficheros.Para ello basta con utilizar alguna herramienta como Teracopy 54 . Un ejemplo deutilización es el siguiente:TeraCopy.exe Copy "D:\Info" F:\BackupMediante esta herramienta es posible comprobar si el proceso de copiado se ha realizadocorrectamente ya que calcula hashes de los ficheros y sus respectivas copias y los compara.RobocopyCopyXcopyForensicCopyDisponible en sistemas operativos Windows.Disponible en sistemas operativos Windows.http://technet.microsoft.com/eses/library/cc733145(v=ws.10).aspxhttp://sandersonforensics.com/forum/content.php?121-ForensicCopy54http://codesector.com/teracopyToma de evidencias en entornos Windows 57
Page 2 and 3:
AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77: ___________________________________
Page 78 and 79: ÍNDICE DE ILUSTRACIONESIlustració
Page 80: ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?