Anlisis forense

- Obtencin y anlisis de datos empleando mtodos que distorsionen lo menos posible la informacin con el objetivo de reconstruir todos los datos y/o los eventos que ocurrieron sobre un sistema en el pasado. - Proceso de identificar, preservar, analizar y presentar evidencias digitales que puedan ser aceptadas legalmente - Ciencia centrada en la bsqueda de la VERDAD

Objetivos
O Saber que ha sucedido
O Determinar la magnitud del incidente O Determinar las entidades implicadas O Eliminar el riesgo y las posibles

responsabilidades

Fases del Anlisis forense

O Identificacin
O Preservacin de la evidencia O Anlisis O informe

Recoleccin de evidencias

O No utilizar herramientas del sistema

daado O No ser intrusivo O No alterar el contenido del disco

Clasificacin de evidencias
O Registros del CPU
O Memoria cache O Memoria (RAM) O Disco duro

Anlisis
Donde puede haber informacin?
O Archivos normales O Archivos temporales O Archivos ocultos O Archivos borrados

Anlisis forense en sistemas Windows (server)

Tipos de inicio de sesin
O Interactivo O Red O Batch O Servicio O Unlock O Remote interactive

Papelera de reciclaje
O Almacn para archivos eliminados.
O Windows hace una copia del archivo

eliminado para su recuperacin O Al ser eliminado de la papelera de reciclaje los sectores se marcan como vacos.

Obtencin de informacin voltil.

O Date /t & time /t
O Ipconfig /all O Netstat aon O Psloggedon O Psloglist O Psservice O Hfind c O Volume_dump

Para adquisicin de datos no voltiles

O Se usan herramientas para la

recuperacin de datos O Se debe extraer el disco duro O Realizar cambios en el para que sea de solo lectura

Herramientas
O Air
O NTFS-Tools O R-Studio emergency O Snort O Encase O Final Data O HD Regenerator

FinalData

FinalData

FinalData

FinalData

FinalData

FinalData

FinalData