incibe_toma_evidencias_analisis_forense

Recommendations

Info

Escena del crimenEvidenciaSospechososVíctimaIlustración 1: Principio de intercambio de LocardDel mismo modo, se cumple el principio de Locard a la hora de realizar el propioanálisis forense por lo que hay que ser especialmente cuidadoso para que el sistemase vea afectado en la menor medida posible y que las evidencias adquiridas no sevean alteradas.2.2. TIPOS DE ANÁLISIS FORENSESe puede crear una clasificación de tipos de análisis forense en base a qué estén orientadosa analizar. Teniendo en cuenta este aspecto se pueden identificar tres tipos de análisis:• Análisis forense de sistemas: tanto sistemas operativos Windows, como OSX,GNU/Linux, etc.• Análisis forense de redes.• Análisis forense de sistemas embebidos.• Análisis forense de memoria volátil.Esta guía, como su propio nombre indica y se ha comentado anteriormente, se centra en latoma de evidencias en entornos Windows, si bien el proceso, desde un punto de vista global,es similar para todos los tipos.Toma de evidencias en entornos Windows 8
2.3. CARACTERÍSTICASEl procedimiento de análisis forense debe poseer las siguientes características:• Verificable: se debe poder comprobar la veracidad de las conclusiones extraídas a partirde la realización del análisis.• Reproducible: se deben poder reproducir en todo momento las pruebas realizadasdurante el proceso.• Documentado: todo el proceso debe estar correctamente documentado y debe realizarsede manera comprensible y detallada.• Independiente: las conclusiones obtenidas deben ser las mismas, independientementede la persona que realice el proceso y de la metodología utilizada.2.4. FASESEl procedimiento de análisis forense consta de las siguientes fases:Preservación Adquisición Análisis Documentación Presentación• Preservación: corresponde a la fase en la que se debe garantizar que no se pierdan lasevidencias que deben ser recopiladas para su posterior análisis. El desconocimientopuede provocar que se pierda información relevante y que podría resultar decisiva para laresolución del incidente. Aspectos críticos como que no se apaguen los equipos parapoder preservar la información volátil o la correcta rotulación de los elementos a analizarse realizan durante esta fase.Así mismo, se debe mantener un registro continuo de las operaciones que se vanrealizando sobre el material a analizar con el fin de mantener la validez jurídica de lasevidencias que se recopilen a posteriori, en el caso de que sea necesario. Si los materialesdeben ser transportados, se debe realizar con sumo cuidado, evitando que la informaciónsea alterada o que se vea expuesta a temperaturas extremas o camposelectromagnéticos.• Adquisición: Esta es la fase en la que se centra esta guía, y la que se explicará con mayordetalle, y corresponde a la etapa en la que se recopilan las evidencias. Una evidenciapuede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal,aunque no siempre sea así.Características de las evidencias:Ilustración 2: Fases del análisis forense digital. Admisible: debe tener valor legal. Auténtica: debe ser verídica y no haber sufrido manipulación alguna. Para ello,deben haberse sacado los correspondientes hashes con el fin de asegurar laintegridad.Toma de evidencias en entornos Windows 9
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59:
En los tres casos descritos, indepe
Page 60 and 61:
%WinDir%\system32\spool\printers ca
Page 62 and 63:
5.4.8.4. Otros logsExisten otra ser
Page 64 and 65:
Ilustración 30: Estructura de los
Page 66 and 67:
En el caso de Windows 7/8, dentro d
Page 68 and 69:
6 RESUMENComo se ha indicado al pri
Page 70 and 71:
8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73:
ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?