Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 75 vistas

    Forense en Entorno Windows - 1

    Cargado por

    Luis Rodriguez
    El documento describe los pasos iniciales del proceso de análisis forense, incluyendo etiquetar y fotografiar dispositivos, recopilar información volátil como la fecha y hora del sistema y realizar un volcado de memoria, que es crucial para obtener evidencias como conexiones y procesos en ejecución. También enfatiza la importancia de documentar la cadena de custodia para demostrar que las pruebas no han sido manipuladas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Forense en Entorno Windows - 1

    Cargado por

    Luis Rodriguez
    75 vistas4 páginas
    El documento describe los pasos iniciales del proceso de análisis forense, incluyendo etiquetar y fotografiar dispositivos, recopilar información volátil como la fecha y hora del sistema y realizar un volcado de memoria, que es crucial para obtener evidencias como conexiones y procesos en ejecución. También enfatiza la importancia de documentar la cadena de custodia para demostrar que las pruebas no han sido manipuladas.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe los pasos iniciales del proceso de análisis forense, incluyendo etiquetar y fotografiar dispositivos, recopilar información volátil como la fecha y hora del sistema y realizar un volcado de memoria, que es crucial para obtener evidencias como conexiones y procesos en ejecución. También enfatiza la importancia de documentar la cadena de custodia para demostrar que las pruebas no han sido manipuladas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    75 vistas4 páginas

    Forense en Entorno Windows - 1

    Cargado por

    Luis Rodriguez
    El documento describe los pasos iniciales del proceso de análisis forense, incluyendo etiquetar y fotografiar dispositivos, recopilar información volátil como la fecha y hora del sistema y realizar un volcado de memoria, que es crucial para obtener evidencias como conexiones y procesos en ejecución. También enfatiza la importancia de documentar la cadena de custodia para demostrar que las pruebas no han sido manipuladas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 4

    Uno de los retos principales a la hora de realizar un análisis

    forense es tener bien claro el tipo de incidente al que nos


    enfrentamos y a partir de él ver qué información es necesaria
    recopilar y la manera de proceder. Si bien hay aspectos comunes, no
    es lo mismo realizar un análisis forense en un caso de malware que
    en un caso de fraude ya que los puntos donde debe focalizarse el
    investigador para localizar evidencias son distintos.

    Obviamente, puede que no sean necesarios algunos de los pasos que a


    continuación se indican como que no vaya a requerirse que las pruebas
    sean presentadas ante un tribunal por lo que la documentación no
    deba ser muy exhaustiva, no obstante, es recomendable realizar el
    proceso desde un punto de vista profesional e íntegro y que sea lo
    más completo posible. Queda a juicio del lector determinar qué
    aspectos debe tener en cuenta, en función de la propia situación que
    deba analizar, y que pautas debe seguir.
    El proceso de toma de evidencias se puede realizar mediante
    diferentes enfoques: utilizando metodologías basadas en software o
    metodologías basadas en hardware. Existen un gran número de
    dispositivos hardware diseñados expresamente para realizar este tipo
    de tareas y que tienen un muy alto grado de eficiencia, si bien la
    guía pretende ser de ayuda a la mayor cantidad de público posible
    por lo que se va a utilizar el enfoque basado en software, y como
    se ha indicado anteriormente software libre y gratuito con el fin
    de que dicha tarea no suponga un sobrecoste en lo que a licencias
    se refiere.

    INICIO DEL PROCESO


    Se comienza etiquetando, inventariando y fotografiando todos los
    dispositivos que se van a analizar: discos duros, pendrives,
    cámaras, etc. Incluso, dependiendo del tipo de incidente, puede ser
    necesario incluir routers, escáneres, impresoras, etc. Se debe
    anotar la marca, modelo, número de serie, tipo de conexión (USB,
    firewire, etc.) de todos ellos. Así mismo, se deben tomar los datos
    de la persona responsable del equipo y del usuario o los usuarios
    que trabajen en él, y cualquier otra información que se considere
    que puede resultar relevante.
    La cadena de custodia es fundamental, ya que demuestra que las
    pruebas obtenidas no han sido manipuladas, por lo que se debe ser
    especialmente meticuloso en este aspecto. Para ello es
    imprescindible documentar todas y cada una de las evidencias
    obtenidas. A modo de ejemplo se indica una plantilla disponible en
    el «ANEXO 2 – Cadena de custodia de evidencias». En el apartado de
    observaciones es importante justificar el motivo por el que se han
    recopilado dichas evidencias. El fin de esta tarea es facilitar el
    trabajo del analista en el caso de que no sea el propio investigador
    el que vaya a realizar dicho papel.

    Una vez etiquetados, inventariados y fotografiados todos los


    dispositivos se procede a la recopilación de las evidencias. De
    forma genérica se puede clasificar el tipo de información a recopilar
    en dos grandes grupos: información volátil e información no volátil.
    Así mismo, se puede hablar de «live acquisition», que corresponde a
    la obtención de información en un sistema en funcionamiento, o
    «static acquisition», que corresponde a la obtención de información
    de un sistema que está apagado.

    A continuación, se indican una serie de kits especializados en este


    tipo de tareas, aunque lo más recomendable es crearse uno de acuerdo
    a las necesidades de cada uno.

    INFORMACIÓN VOLÁTIL
    Como se ha indicado anteriormente la información volátil puede
    resultar muy importante a la hora de realizar un análisis forense
    ya que puede contener evidencias de conexiones, de procesos en
    ejecución, etc. La pérdida de este tipo de información puede suponer
    que el análisis forense no se complete satisfactoriamente o
    dificultar en gran medida el proceso. Es por ello que, como indica
    el RFC 3227, se deben tomar en primer lugar las evidencias volátiles
    y después las que no lo son. A continuación, se indica la metodología
    que se debe seguir y se indican algunos ejemplos de incidentes donde
    puede resultar útil hacerlo, de modo que la persona que lleve a cabo
    el proceso realizará los pasos que considere oportunos
    Hora y fecha del sistema

    En cuanto a la información volátil lo primero que se debe obtener


    es la fecha y hora del sistema para poder establecer una línea
    temporal de recopilación de evidencias, duración del proceso, etc.
    Para ello, se puede escribir la siguiente instrucción desde una
    Shell segura del intérprete de comandos, pudiendo realizarlo
    mediante alguna utilidad como PowerShell o WMIC:

    date /t > FechaYHoraDeInicio.txt &time /t >> FechaYHoraDeInicio.txt

    Se debe comparar la fecha obtenida con el tiempo universal coordinado


    (UTC), estándar de tiempo por el cual se regula la hora nivel
    mundial, para determinar si la fecha establecida en el sistema es
    correcta o no, y que desviación existe.
    También hay que tener presente que los sistemas FAT almacenan los
    valores de tiempo en base al tiempo local del ordenador, mientras
    que los sistemas NTFS los almacenan en formato UTC. Esto significa
    que mientras que los NTFS no se ven afectados por los cambios en la
    zona horaria o el horario de verano, los FAT tendrán distinto valor
    si se visualizan en una región u otra con diferente franja horaria,
    o en verano con respecto a invierno. Así mismo, una vez finalizado
    el proceso se deberá ejecutar la misma instrucción cambiando el
    fichero de destino a FechaYHoraFin.txt.

    Volcado de memoria

    El volcado de memoria es uno de los aspectos más importantes y


    críticos de la fase de adquisición. Como se ha indicado
    anteriormente, en la memoria se almacenan evidencias significativas
    como las conexiones establecidas, los procesos en ejecución,
    contraseñas de volúmenes cifrados, etc. Realizar un correcto volcado
    de memoria puede suponer la diferencia entre la resolución del
    incidente o no. Debido a ello se debe ser muy cuidadoso durante el
    proceso.
    A la hora de obtener la memoria se deben tener en cuenta 2 tipos de
    memoria: la memoria física y la memoria virtual. La memoria física
    corresponde a la memoria real del sistema mientras que la memoria
    virtual corresponde normalmente al fichero de paginación
    pagefile.sys. Como se ha indicado anteriormente la memoria virtual
    permite optimizar el uso de la memoria RAM ya que el sistema
    operativo envía ahí temporalmente la información que no sea
    necesaria en ese momento para los procesos en ejecución y
    posteriormente la recupera en el caso de alguno se la solicite.

    Existen un gran número de utilidades que permiten realizar un volcado


    de memoria, pero entre todas destaca DumpIt22 por su sencillez y
    compatibilidad con las distintas versiones de Windows. Con ejecutar
    la aplicación desde el intérprete de comandos es suficiente. Realiza
    un volcado de memoria en formato RAW en el mismo directorio desde
    donde se ejecute el programa.
    Otra manera de obtener la memoria física es mediante un “crash dump”,
    el cual corresponde a un fallo del que el sistema no puede
    recuperarse. Cuando se produce este tipo de fallos se genera un
    fichero, que puede ser un minidump (volcado parcial de la memoria
    física) o, en el caso de configurarlo23, un volcado completo de la
    memoria física (%SystemRoot%\Memory.dmp), y que posteriormente
    pueden ser analizados mediante la herramienta correspondiente. Este
    tipo de fallos pueden ser provocados mediante herramientas como
    NotMyFault24 o quitando directamente el cable de corriente del
    ordenador, si es uno de sobremesa, y la batería y el cable de
    corriente en un portátil. En el caso de obtener la memoria mediante
    este método es recomendable verificar la integridad del fichero
    mediante alguna utilidad como DumpchK
    Para ello, se debe escribir la siguiente instrucción:

    dumpchk.exe Memory.dmp

    En el caso de que la integridad del fichero esté afectada mostrará


    un mensaje de error y en el caso de que la integridad del fichero
    sea correcta mostrará el mensaje: “Finished dump check”. Puede darse
    el caso de que por diferentes motivos, como que no se tenga acceso
    físico al equipo al que se va a realizar la toma de evidencias, sea
    necesario realizar el proceso de manera remota. Para ello es posible
    utilizar de alguna herramienta como psexec26 gracias a la cual se
    puede realizar dicho proceso de una manera eficaz y sin necesidad
    de instalar ningún componente en el equipo remoto. Una vez obtenida
    la imagen correspondiente al volcado de memoria física es necesario
    obtener un hash de la misma que será anotado en la documentación de
    la cadena de custodia para asegurar que dicha imagen no sea
    modificada a posteriori y garantizar la integridad de la misma. Un
    hash es un valor que identifica datos de forma “unívoca”. Existen
    distintos tipos de hashes: MD5, SHA-1, SHA-2, etc

    También podría gustarte