Herramientas de software para Informática Forense
Conjunto de herramientas integradas en un solo paquete de software de arranque en modo “en vivo” (live) disponibles para CD, DVD, Pendrive – Programas de Software Libre
Conjunto de herramientas integradas en un solo paquete de software - Productos Comerciales:
Herramientas individuales e integradas en paquetes de función específica
Herramientas de funciones específicas
Borrado seguro, limpieza y desinfección
Duplicación de discos
Duplicación en forma remota
Manejo de Particiones
RED
Recuperación de archivos eliminados
En Windows
Recuperación de archivos con claves
Recuperación de archivos de la papelera de reciclaje:
Telefonía, Celulares, PDA, GPS
Herramientas para la elaboración del informe pericial
Clasificación e identificación de las pericias informático forenses
Nomenclatura
Ejemplos
Etapas del Marco Tecnológico Pericial
Tarea a realizar en el Laboratorio
I – Etapa: Acceso a los recursos dubitados
II – Etapa: Identificación y registro
III – Etapa: Autenticación, duplicación y resguardo de la prueba
Procedimiento
Duplicación y autenticación de la prueba
Procedimiento para el resguardo de la prueba y preparación para su traslado
IV – Etapa: Detección, recolección y registro de indicios probatorios
Alternativa I, para el acceso con el equipo encendido
En sistemas operativos Microsoft Windows
Certificación matemática de los archivos
Envío de la evidencia a través de una conexión remota
Ejecución de un intérprete de comandos legítimo
Registro de la fecha y hora
Descarga de la memoria RAM
Verificación de los usuarios conectados al sistema y de los usuarios con acceso remoto
Verificación de las fechas y hora de acceso, creación o modificación de todos los archivos
Verificación de los puertos abiertos
Verificación de las aplicaciones asociadas con los puertos abiertos
Verificación de los procesos activos
Verificación de las conexiones actuales y recientes
Revisión de los registros de eventos o sucesos del sistema operativo
Verificación de la base de datos del Registro del sistema operativo
Examinar los archivos de configuración del sistema operativo
Verificación y obtención de las claves de los usuarios del sistema
Verificación de archivos relevantes
Herramientas
Descarga de los archivos temporales
Verificación de los enlaces a archivos rotos
Verificación de los archivos de navegación por Internet
Verificación y descarga de los archivos de correo electrónico
Cliente de correo Outlook Express
Cliente de correo Microsoft Outlook
Cliente de correo Netscape Messenger
Documentar los comandos utilizados durante la recolección de datos o en la respuesta al incidente
Generación de un script o secuencia de comandos
Respuesta a incidentes
Alternativa II, con el equipo apagado
Procedimiento
V - Análisis e interpretación de los indicios probatorios. Reconstrucción y / o simulación del incidente
Procedimiento para el análisis e interpretación de los indicios probatorios
Elementos a examinar en el disco duro: (Anexo - Lista de control de Análisis de discos)
Discos rígidos de computadoras portátiles
Aspectos a considerar de los sistemas de archivos de los sistemas operativos
Estructura del inodo
Niveles de almacenamiento en el sistema de archivos
Nivel físico
Nivel de clasificación de la información
Esquema de particiones de BSD
Nivel de unidades de asignación
Nivel de gestión del espacio de almacenamiento
Unidades de asignación (FAT Clusters)
Gestión del espacio de almacenamiento (Tabla FAT)
Entradas de directorios
Nivel de clasificación y almacenamiento del nivel de aplicación
Análisis de particiones de los discos duros
Herramientas
En Windows XP
En Windows
Análisis de los datos de las unidades de CD-R y CD-RW - DVD y dispositivos con memoria flash
Visualización de diferentes tipos de archivos
Búsqueda de texto y palabras claves
Análisis del espacio no utilizado o no asignado
Áreas del sistema de archivo que contienen datos borrados o eliminados
Espacio no asignado
Eliminación o borrado de información en el disco rígido
Listar los directorios ocultos de la papelera
Estructura de INFO2.
Eliminación segura de los datos
Análisis de datos ocultos
Tipo: Enmascaramiento
Archivos protegidos con claves
Tipo: ocultamiento de información
Herramientas
Espacio no asignado, desperdiciado y libre
Tipo: Alteración del entorno
Herramientas
Código malicioso o Malware
Métodos de invasión o ataque
Modos de control de la invasión o ataque
Modo de distribución o impregnación
Objetivos del código hostil
Análisis del correo electrónico
Características del encabezado de los mensajes
Descripción del encabezado
Aspectos importantes a considerar en el análisis del encabezado del mensaje
Herramientas para el análisis del encabezado de correo electrónico
Visualización de encabezados en diferentes clientes de correo electrónico
Verificación de los archivos de impresión
Análisis de código malicioso
Sitios de programas antivirus con la descripción de los distintos tipos de virus:
Herramientas de Antivirus
Herramientas de control remoto
Herramientas exploradoras de red y de vulnerabilidades
Herramientas rastreadoras de la red o sniffers
Herramientas detector de DDoS (denegación distribuida de servicio)
Herramientas bombas lógicas y bombas de tiempo
Herramientas para el Registro de las acciones efectuadas por teclado y/o mouse
Herramientas para eliminación de huellas
Procedimiento
Análisis de celulares, PDA, GPS
VI - Cotejo, correlación de datos y conclusiones
Técnicas posibles a utilizar para el cotejo y correlación de los datos
Procedimiento para el cotejo y correlación de los datos
Procedimiento para la elaboración de las conclusiones
Elementos a cotejar y correlacionar
Fecha y hora
Tablas de enrutamiento
Tabla ARP
Tabla de procesos activos
Tipo de sistema operativo
Sistemas de Archivos
Resguardo de herramientas de hardware y software utilizados en la pericia
APÉNDICE 1: ESTUDIO DE UN CASO REPRESENTATIVO
APÉNDICE 2: PROCEDIMIENTO ANTE LA REQUISITORIA PERICIAL
APÉNDICE 3: EL MÉTODO SISTÉMICO (RESUMEN)
Visión sistémica de la investigación
Entrevista previa o licitación
Relevamiento de la información
Selección de la metodología de análisis
Generación del modelo conceptual
Generación de los modelos complementarios
Programación y codificación
Prueba y ejecución en paralelo
Capacitación, supervisión y soporte de la aplicación
Retroalimentación
Síntesis
APÉNDICE 4: INFORMACIÓN COMPLEMENTARIA
Requisitoria pericial
Título VII - Participación criminal
Dibujo pericial complementario
Croquis ilustrativo
Condiciones esenciales
Elementos
Dibujos auxiliares
Fotografías durante la inspección judicial
APÉNDICE 5: MANUAL DE AUTOPSY
Introducción
Emulador Cygwin
Instalación – Configuración y Acceso
Instalación de Cygwin
Читать дальше