SlideShare ist ein Scribd-Unternehmen logo

Análisis Forense

Als PPTX, PDF herunterladen
Chema Alonso
Chema Alonso

Este documento presenta un procedimiento de 10 pasos para el análisis forense en entornos Windows. Inicialmente se discute la recopilación de evidencias de manera segura y sin alteraciones. Luego, el análisis incluye examinar archivos, registros, procesos y tráfico de red para identificar malware u otras anomalías. El objetivo final es recuperar información eliminada, detectar rootkits y otras amenazas, y establecer la cadena de custodia de las pruebas.

TechnologieGesundheit & Medizin
1 von 48
Análisis Forense Entornos Windows Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com
Agenda Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
INTRODUCCIÓN
Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder... !No¡ El análisis forense
La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia. Análisis basados en modelos.
Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Preservación. Recogida. Examinación. Análisis. Digital Forensics Research Workshops (DFRW)
RECOGIDA DE EVIDENCIAS
Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados Introducción
Existe una serie de principios para la toma de información. ¿El caso se va a denunciar ojudicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias? Recogida y almacenamiento
La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias. IETF RFC 3227
Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger y analizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos. Guía de principios
De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos: Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos. La volatilidad de los datos
Admisible. Auténtica. Completa. Creíble. Entendible. Consideraciones legales
Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias. Cosas a evitar
Aquellas que vulneren la intimidad o revelen información personal. Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-las-evidencias.html Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedan demostrarse como no manipuladas. Evidencias invalidadas
Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia. Almacenamiento de las evidencias
Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse: Quien, cuando, donde y como se han tomado las evidencias. Quien, cuando y como se han analizado las evidencias. Quien y durante cuanto tiempo se ha custodiado la evidencia. Cuando y entre quien han cambiado la custodia de las evidencias. Cadena de custodia
Las evidencias digitales deben ser tomadas de forma binaria. Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. Se recomienda por seguridad la firma SHA-1 frente a MD5. Como deben recogerse las evidencias digitales
La evidencias pueden tomarse mediante tecnología. Hardware. Es menos flexible pero admite menos manipulación y son más rápidas. Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos. Como recoger las evidencias digitales
Elementos Hardware.
ElementosSoftware
Recogida de evidencias
ANÁLISIS DE FICHEROS Y LOGS
Cada contacto deja un rastro Principio de Locard
Búsqueda de ficheros y datos críticos para el caso. Aplicación de principios de línea temporal. Búsqueda de ficheros discordantes. Detección de ficheros basados en firmas. Búsqueda de palabras clave. Recuperación de datos eliminados. Análisis de datos
Papelera de reciclaje Archivo de paginación Restauración del sistema Reconstrucción de la bitácora de navegación Archivos temporales Documentos recientes Etc.. Información en el sistema operativo
Contiene información sobre la aplicación Información sobre qué hace la aplicación por debajo Registro de usuarios Passwords Fecha y hora de acceso a la información Direcciones IP Etc.… La importancia de los Logs
IIS (Internet Information Server) Visor de eventos Windows Update TimeLine de ficheros Prefetch Tablas ARP Logs SQL Server Archivos de registro de Windows SAM, SYSTEM, SOFTWARE, etc.… Archivos Log importantes UN BUEN EQUIPO RELAX Y PACIENCIA
Búsqueda de información en disco
PROCESOS
No todo lo que se ve es lo que dice ser. Para buscar es necesario conocer primero. El análisis online prima sobre el análisis offline. A veces solo determinados elementos son descubiertos con el sistema activo. Análisis del sistema
Análisis de procesos. Análisis de servicios. Análisis de la memoria Ram. Búsqueda en el registro. Análisis de la información de red. Donde buscar
Hay elementos ocultos o utilizando mecanismos de esteganografía. ¿Son verdaderos procesos del sistema los que se están ejecutando? ¿Qué se ejecuta en cada puerto? ¿Qué información se envía por la red? Hay rastros de sistemas antiforenses. ¿Qué tener en cuenta
Análisis de procesos en un escenario Malware
PROCEDIMIENTO
Salvaguarda la información. Binario. Hash. Ficheros de cadena de custodia. Forma de recoger las evidencias. Imagen DD. Clonación binario. A tener en cuenta. Si el destino de la copia ha sido utilizado wipear disco. Paso 1 (Requerido en judicial)
Recuperación de información eliminada. Análisis de la información de disco. Búsqueda de información según datos aportados en las reuniones. Análisis y búsqueda de información ocultada por técnicas de ocultación. Uso de la línea temporal para el análisis de la información. Recuperación de correos y ficheros según técnicas KFF. Paso 2 (Análisis de ficheros en judicial)
Análisis de la información de disco. Búsqueda de ficheros por comportamiento. Búsqueda de palabras clave internet. Análisis de la papelera de reciclaje. Búsqueda de marcas de aplicaciones antiforense. Paso 3 (Análisis de ficheros en judicial)
Análisis de rootkits. Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc. Eliminación de posibles rootkits. Volver a analizar posibles rootkits. Análisis de procesos. Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc. Búsqueda de rutas de procesos discordantes. Análisis de los procesos / puertos. Análisis por comportamiento. Paso 4 (Análisis online)
Claves. Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros: ADS. Antiforense. Slack. Etc. Búsqueda de posibles procesos de sistema con rutas diferentes de los originales. Búsqueda de procesos persistentes. Análisis de puertos / procesos. Paso 5 (Análisis online)
Claves. Análisis de procesos por provocación. Carga de procesos unidos a otros procesos. Búsqueda de plugins / BHO. Análisis de librerias y ejecutables. Búsqueda de ficheros cargados o modificados por libreriasy/o ejecutables. Paso 6 (Análisis online)
Claves. Búsqueda de contraseñas. Búsqueda de información relativa a la navegación. Análisis de uso del equipo (tiempos). Paso 7 (Análisis online)
Análisis del tráfico de red y procesos que intercambian información. Uso de analizadores de procesos y comunicaciones. Usos de analizadores de red. Paso 8 (Análisis online)
Búsqueda en el fichero de paginación. Búsqueda en memoria. Volcado de memoria. Imágenes de memoria. Paso 9 (Análisis online)
Búsqueda de logs. Uso de consolidadores de logs. Detección de la información. Cruce de eventos. Paso 10 (Análisis logs)
He venido a contar Yo como Umbral
¿DÓNDE NOS PUEDES ENCONTRAR? En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico http://www.informatica64.com/boletines.html En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán. http://www.informatica64.com/10aniversario/ En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft. http://www.windowstecnico.com/ En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades. http://www.informatica64.com
SIMO(22, 23 y 24 de Septiembre) Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES Durante los tres días se realizarán HOLs Guiados y Auto guiados http://technet.microsoft.com/es-es/hol_simo09.aspx Azlan D-LINK Academy: 5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). (Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo) Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html Microsoft TechNet HandsonLab (HOLs) En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre) Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx PROXIMOS EVENTOS

Empfohlen

Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Computo forense presentación power point.
Computo forense presentación power point.Computo forense presentación power point.
Computo forense presentación power point.Scaly08
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques InformáticosJose Manuel Acosta
 
La importancia del Sistema de Archivos
La importancia del Sistema de ArchivosLa importancia del Sistema de Archivos
La importancia del Sistema de ArchivosSector Energía y Minas - INGEMMET
 
Sistema de Gestión Documental
Sistema de Gestión Documental Sistema de Gestión Documental
Sistema de Gestión Documental Nayi- Duarte
 
Arquitecturas de software - Parte 2
Arquitecturas de software - Parte 2Arquitecturas de software - Parte 2
Arquitecturas de software - Parte 2Marta Silvia Tabares
 
Sistema de Archivos
Sistema de ArchivosSistema de Archivos
Sistema de ArchivosLuis Efrén Rojas Montañez
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifradoirenech92
 

Empfohlen

Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Computo forense presentación power point.
Computo forense presentación power point.Computo forense presentación power point.
Computo forense presentación power point.Scaly08
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques InformáticosJose Manuel Acosta
 
La importancia del Sistema de Archivos
La importancia del Sistema de ArchivosLa importancia del Sistema de Archivos
La importancia del Sistema de ArchivosSector Energía y Minas - INGEMMET
 
Sistema de Gestión Documental
Sistema de Gestión Documental Sistema de Gestión Documental
Sistema de Gestión Documental Nayi- Duarte
 
Arquitecturas de software - Parte 2
Arquitecturas de software - Parte 2Arquitecturas de software - Parte 2
Arquitecturas de software - Parte 2Marta Silvia Tabares
 
Sistema de Archivos
Sistema de ArchivosSistema de Archivos
Sistema de ArchivosLuis Efrén Rojas Montañez
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifradoirenech92
 
Archivo secuencial-indexado
Archivo secuencial-indexadoArchivo secuencial-indexado
Archivo secuencial-indexadoAleizapata
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsJesus Jimenez
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifradokyaalena
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaFernando Kano
 
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)Edison Toledo Díaz
 
Gestion de procesos Android
Gestion de procesos AndroidGestion de procesos Android
Gestion de procesos AndroidCarlos Francisco Ojeda Ureña
 
Vpn exposicion
Vpn exposicionVpn exposicion
Vpn exposicionCristy Ponciano
 
Presentación digitalización
Presentación digitalizaciónPresentación digitalización
Presentación digitalizaciónHaromero
 
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...Frans Michel Barrenechea Arias
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de softwareGuillermo Lemus
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Marco teórico
Marco teóricoMarco teórico
Marco teóricoDeimer Segura Lopez
 
Archivo Central
Archivo CentralArchivo Central
Archivo CentralSector Energía y Minas - INGEMMET
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
Tablas De RetencióN Documental
Tablas De RetencióN DocumentalTablas De RetencióN Documental
Tablas De RetencióN Documentalguest5c0807
 
C3 lenguaje de presentación.
C3 lenguaje de presentación.C3 lenguaje de presentación.
C3 lenguaje de presentación.Alejandro Hernandez
 
Resumen archivos digitales
Resumen archivos digitalesResumen archivos digitales
Resumen archivos digitalesclibreros
 
Proceso informatico
Proceso informaticoProceso informatico
Proceso informaticoSimón Aranguren
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosTensor
 
Calidad Y El Mundo Globalizado
Calidad Y El Mundo GlobalizadoCalidad Y El Mundo Globalizado
Calidad Y El Mundo Globalizadocalidadsoftware
 
Enrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionEnrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionChema Alonso
 
3.6 analisis de bitacoras
3.6 analisis de bitacoras3.6 analisis de bitacoras
3.6 analisis de bitacorasMeztli Valeriano Orozco
 

Weitere ähnliche Inhalte

Was ist angesagt?

Archivo secuencial-indexado
Archivo secuencial-indexadoArchivo secuencial-indexado
Archivo secuencial-indexadoAleizapata
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsJesus Jimenez
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifradokyaalena
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaFernando Kano
 
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)Edison Toledo Díaz
 
Presentación digitalización
Presentación digitalizaciónPresentación digitalización
Presentación digitalizaciónHaromero
 
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...Frans Michel Barrenechea Arias
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de softwareGuillermo Lemus
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
Tablas De RetencióN Documental
Tablas De RetencióN DocumentalTablas De RetencióN Documental
Tablas De RetencióN Documentalguest5c0807
 
Resumen archivos digitales
Resumen archivos digitalesResumen archivos digitales
Resumen archivos digitalesclibreros
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosTensor
 
Calidad Y El Mundo Globalizado
Calidad Y El Mundo GlobalizadoCalidad Y El Mundo Globalizado
Calidad Y El Mundo Globalizadocalidadsoftware
 

Was ist angesagt? (20)

Archivo secuencial-indexado
Archivo secuencial-indexadoArchivo secuencial-indexado
Archivo secuencial-indexado
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOs
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifrado
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistema
 
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
Descripción archivística normalizada y normas ISAD(G) e ISAAR(CPF)
 
Gestion de procesos Android
Gestion de procesos AndroidGestion de procesos Android
Gestion de procesos Android
 
Vpn exposicion
Vpn exposicionVpn exposicion
Vpn exposicion
 
Presentación digitalización
Presentación digitalizaciónPresentación digitalización
Presentación digitalización
 
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Marco teórico
Marco teóricoMarco teórico
Marco teórico
 
Archivo Central
Archivo CentralArchivo Central
Archivo Central
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
 
Tablas De RetencióN Documental
Tablas De RetencióN DocumentalTablas De RetencióN Documental
Tablas De RetencióN Documental
 
C3 lenguaje de presentación.
C3 lenguaje de presentación.C3 lenguaje de presentación.
C3 lenguaje de presentación.
 
Resumen archivos digitales
Resumen archivos digitalesResumen archivos digitales
Resumen archivos digitales
 
Proceso informatico
Proceso informaticoProceso informatico
Proceso informatico
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
 
Calidad Y El Mundo Globalizado
Calidad Y El Mundo GlobalizadoCalidad Y El Mundo Globalizado
Calidad Y El Mundo Globalizado
 

Andere mochten auch

Enrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionEnrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionChema Alonso
 
Modelo de Análisis Forense
Modelo de Análisis ForenseModelo de Análisis Forense
Modelo de Análisis ForensePatricio Guaman
 
Herramientas de analisis Informatico Forense
Herramientas de analisis Informatico ForenseHerramientas de analisis Informatico Forense
Herramientas de analisis Informatico ForenseJimmy Elera
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windowsazrahim
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaEstudianteSeguridad
 
Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsTelefónica
 
Análisis Forense Metadatos
Análisis Forense MetadatosAnálisis Forense Metadatos
Análisis Forense MetadatosChema Alonso
 
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Telefónica
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itTelefónica
 
Recoleccion de evidencias fisica
Recoleccion de evidencias fisicaRecoleccion de evidencias fisica
Recoleccion de evidencias fisicaRozy Dueñas
 
Analisis Forense Busca De Evidencias
Analisis Forense Busca De EvidenciasAnalisis Forense Busca De Evidencias
Analisis Forense Busca De EvidenciasFundació CATIC
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]Telefónica
 

Andere mochten auch (19)

Enrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionEnrique Rando Fugas De Informacion
Enrique Rando Fugas De Informacion
 
3.6 analisis de bitacoras
3.6 analisis de bitacoras3.6 analisis de bitacoras
3.6 analisis de bitacoras
 
Modelo de Análisis Forense
Modelo de Análisis ForenseModelo de Análisis Forense
Modelo de Análisis Forense
 
Manual erd commander
Manual erd commanderManual erd commander
Manual erd commander
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case Forensics
 
Herramientas de analisis Informatico Forense
Herramientas de analisis Informatico ForenseHerramientas de analisis Informatico Forense
Herramientas de analisis Informatico Forense
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windows
 
Investigacion unidad 3
Investigacion unidad 3Investigacion unidad 3
Investigacion unidad 3
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informatica
 
Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & Forensics
 
Análisis Forense Metadatos
Análisis Forense MetadatosAnálisis Forense Metadatos
Análisis Forense Metadatos
 
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like it
 
Recoleccion de evidencias fisica
Recoleccion de evidencias fisicaRecoleccion de evidencias fisica
Recoleccion de evidencias fisica
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Analisis Forense Busca De Evidencias
Analisis Forense Busca De EvidenciasAnalisis Forense Busca De Evidencias
Analisis Forense Busca De Evidencias
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
 

Ähnlich wie Análisis Forense

Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Forense digital
Forense digitalForense digital
Forense digitallbosquez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensechrizparty
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfMaraBruzanovski
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Alonso Caballero
 
Informaticaforence
InformaticaforenceInformaticaforence
InformaticaforenceYUPANQUI2016
 
Informática Forense
Informática ForenseInformática Forense
Informática ForenseRociodeJesus
 
Informática forense
Informática forenseInformática forense
Informática forensedocentecis
 
Informática forense
Informática forenseInformática forense
Informática forenseCahuaza43
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forenseCSLeticia
 
Informática forense
Informática forenseInformática forense
Informática forensedocentecis
 

Ähnlich wie Análisis Forense (20)

Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
Forense digital
Forense digitalForense digital
Forense digital
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
 
Informaticaforence
InformaticaforenceInformaticaforence
Informaticaforence
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Pl montoyafernandez
Pl montoyafernandezPl montoyafernandez
Pl montoyafernandez
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 

Mehr von Chema Alonso

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarChema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with TacytChema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordChema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of MagicChema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackersChema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismoChema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con PythonChema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityChema Alonso
 

Mehr von Chema Alonso (20)

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & Humility
 

Kürzlich hochgeladen

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 

Kürzlich hochgeladen (12)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Análisis Forense

  • 1. Análisis Forense Entornos Windows Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com
  • 2. Agenda Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
  • 4. Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder... !No¡ El análisis forense
  • 5. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia. Análisis basados en modelos.
  • 6. Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Preservación. Recogida. Examinación. Análisis. Digital Forensics Research Workshops (DFRW)
  • 8. Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados Introducción
  • 9. Existe una serie de principios para la toma de información. ¿El caso se va a denunciar ojudicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias? Recogida y almacenamiento
  • 10. La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias. IETF RFC 3227
  • 11. Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger y analizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos. Guía de principios
  • 12. De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos: Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos. La volatilidad de los datos
  • 13. Admisible. Auténtica. Completa. Creíble. Entendible. Consideraciones legales
  • 14. Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias. Cosas a evitar
  • 15. Aquellas que vulneren la intimidad o revelen información personal. Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-las-evidencias.html Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedan demostrarse como no manipuladas. Evidencias invalidadas
  • 16. Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia. Almacenamiento de las evidencias
  • 17. Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse: Quien, cuando, donde y como se han tomado las evidencias. Quien, cuando y como se han analizado las evidencias. Quien y durante cuanto tiempo se ha custodiado la evidencia. Cuando y entre quien han cambiado la custodia de las evidencias. Cadena de custodia
  • 18. Las evidencias digitales deben ser tomadas de forma binaria. Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. Se recomienda por seguridad la firma SHA-1 frente a MD5. Como deben recogerse las evidencias digitales
  • 19. La evidencias pueden tomarse mediante tecnología. Hardware. Es menos flexible pero admite menos manipulación y son más rápidas. Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos. Como recoger las evidencias digitales
  • 24. Cada contacto deja un rastro Principio de Locard
  • 25. Búsqueda de ficheros y datos críticos para el caso. Aplicación de principios de línea temporal. Búsqueda de ficheros discordantes. Detección de ficheros basados en firmas. Búsqueda de palabras clave. Recuperación de datos eliminados. Análisis de datos
  • 26. Papelera de reciclaje Archivo de paginación Restauración del sistema Reconstrucción de la bitácora de navegación Archivos temporales Documentos recientes Etc.. Información en el sistema operativo
  • 27. Contiene información sobre la aplicación Información sobre qué hace la aplicación por debajo Registro de usuarios Passwords Fecha y hora de acceso a la información Direcciones IP Etc.… La importancia de los Logs
  • 28. IIS (Internet Information Server) Visor de eventos Windows Update TimeLine de ficheros Prefetch Tablas ARP Logs SQL Server Archivos de registro de Windows SAM, SYSTEM, SOFTWARE, etc.… Archivos Log importantes UN BUEN EQUIPO RELAX Y PACIENCIA
  • 31. No todo lo que se ve es lo que dice ser. Para buscar es necesario conocer primero. El análisis online prima sobre el análisis offline. A veces solo determinados elementos son descubiertos con el sistema activo. Análisis del sistema
  • 32. Análisis de procesos. Análisis de servicios. Análisis de la memoria Ram. Búsqueda en el registro. Análisis de la información de red. Donde buscar
  • 33. Hay elementos ocultos o utilizando mecanismos de esteganografía. ¿Son verdaderos procesos del sistema los que se están ejecutando? ¿Qué se ejecuta en cada puerto? ¿Qué información se envía por la red? Hay rastros de sistemas antiforenses. ¿Qué tener en cuenta
  • 34. Análisis de procesos en un escenario Malware
  • 36. Salvaguarda la información. Binario. Hash. Ficheros de cadena de custodia. Forma de recoger las evidencias. Imagen DD. Clonación binario. A tener en cuenta. Si el destino de la copia ha sido utilizado wipear disco. Paso 1 (Requerido en judicial)
  • 37. Recuperación de información eliminada. Análisis de la información de disco. Búsqueda de información según datos aportados en las reuniones. Análisis y búsqueda de información ocultada por técnicas de ocultación. Uso de la línea temporal para el análisis de la información. Recuperación de correos y ficheros según técnicas KFF. Paso 2 (Análisis de ficheros en judicial)
  • 38. Análisis de la información de disco. Búsqueda de ficheros por comportamiento. Búsqueda de palabras clave internet. Análisis de la papelera de reciclaje. Búsqueda de marcas de aplicaciones antiforense. Paso 3 (Análisis de ficheros en judicial)
  • 39. Análisis de rootkits. Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc. Eliminación de posibles rootkits. Volver a analizar posibles rootkits. Análisis de procesos. Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc. Búsqueda de rutas de procesos discordantes. Análisis de los procesos / puertos. Análisis por comportamiento. Paso 4 (Análisis online)
  • 40. Claves. Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros: ADS. Antiforense. Slack. Etc. Búsqueda de posibles procesos de sistema con rutas diferentes de los originales. Búsqueda de procesos persistentes. Análisis de puertos / procesos. Paso 5 (Análisis online)
  • 41. Claves. Análisis de procesos por provocación. Carga de procesos unidos a otros procesos. Búsqueda de plugins / BHO. Análisis de librerias y ejecutables. Búsqueda de ficheros cargados o modificados por libreriasy/o ejecutables. Paso 6 (Análisis online)
  • 42. Claves. Búsqueda de contraseñas. Búsqueda de información relativa a la navegación. Análisis de uso del equipo (tiempos). Paso 7 (Análisis online)
  • 43. Análisis del tráfico de red y procesos que intercambian información. Uso de analizadores de procesos y comunicaciones. Usos de analizadores de red. Paso 8 (Análisis online)
  • 44. Búsqueda en el fichero de paginación. Búsqueda en memoria. Volcado de memoria. Imágenes de memoria. Paso 9 (Análisis online)
  • 45. Búsqueda de logs. Uso de consolidadores de logs. Detección de la información. Cruce de eventos. Paso 10 (Análisis logs)
  • 46. He venido a contar Yo como Umbral
  • 47. ¿DÓNDE NOS PUEDES ENCONTRAR? En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico http://www.informatica64.com/boletines.html En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán. http://www.informatica64.com/10aniversario/ En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft. http://www.windowstecnico.com/ En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades. http://www.informatica64.com
  • 48. SIMO(22, 23 y 24 de Septiembre) Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES Durante los tres días se realizarán HOLs Guiados y Auto guiados http://technet.microsoft.com/es-es/hol_simo09.aspx Azlan D-LINK Academy: 5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). (Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo) Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html Microsoft TechNet HandsonLab (HOLs) En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre) Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx PROXIMOS EVENTOS