Informatica forense
Páginas: 10 (2410 palabras)
Publicado: 28 de noviembre de 2011
Análisis Forense con The Sleuth Kit & Autopsy
Alonso Eduardo Caballero Quezada Consultor de NPROS Perú SAC Consultor de iDev Consultores en TI SAC GIAC – SSP CNSA Brainbench Computer Forensics (U.S.)
Página web: http://www.ReYDeS.com Correo electrónico: ReYDeS@gmail.com Trujillo, Perú 24 de Abril del 2010
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Temario* ¿Computer Forensics? * Elementos de un buen proceso Forense * Proceso Forense * Todo es 0 y 1 * Un Disco Flexible * ¿Qué es The Sleuth Kit? * ¿Qué es Autopsy? * Demostración * ¿Preguntas, comentarios, sugerencias?
2
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
¿Computer Forensics?Es una rama de la ciencia forense pertinente a la evidencia legal encontrada en computadoras y medios de almacenamiento digitales. El cómputo Forense también se conoce como Forense Digital. El objetivo del Cómputo Forense es explicar el estado actual de un artefacto digital. El término artefacto digital puede incluir un sistema de cómputo, un medio de almacenamiento (como un disco duro o DVD), un documento electrónico (un mensaje de correo electrónico o imagen JPEG) o una secuencia de paquetes en movimiento en una red de computadoras. La explicación puede ser tan simple como ¿Qué información hay aquí? y que se explica como ¿Cual es la secuencia de eventos responsables de la situación actual? Fuente: Wikipedia.
3
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010Elementos de un buen proceso Forense
* Validación cruzada de los hallazgos * Manejo adecuado de la evidencia * Completar la investigación * Administración de archivos (Backups, Originales) * Competencia técnica * Justificación y definición explícita del proceso * Cumplimiento legal * Flexibilidad
4
Alonso Eduardo Caballero Quezada / ReYDeS Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Proceso Forense
Basado en Electronic Discovery Reference Model (EDRM) – Modelo de Referencia de Descubrimiento Electrónico.
5
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Todo es 0 y 1
Las capas de una computadora Aplicación Sistema Operativo BIOS (Basic Input Ouput System) Hardware Tipos de Medios Disco Duro (Hard Disk) Disco Flexible (Floppy Disk) CDROM DVD Unidades Flash USB
6
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Un disco Flexible (Floppy Disk)
Una pieza de plástico cubierta de ferro magnetita, o Metal flexible que rota bajo una cabeza o cabezal de Lectura / Escritura (Electro magneto) En la “lectura” el material ferro magnético magnetizado pasa por el aro de alambre que induce corriente en el alambre tal como se producen cambios en la densidad del flujo. 3,5 '' de Diámetro 1440 K = 2880 Bloques 1 Bloque = 512 Bytes
7
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010Un disco Flexible (Floppy Disk) [Continuación]
Una tarea típica y básica es utilizar “dd” para realizar la copia bit a bit de un disco flexible. La geometría común de un disco flexible de 3.5” es de: 18 Sectores por pista 2 cabezas 80 cilindros Copiando un disco flexible de 3.5” # dd bs=2x80x18b if=/dev/fd0 of=/caso07/discoflexible.dd Los 18b especifican 18 sectores de 512 bytes, 2x multiplica el tamaño del sector por el número de cabezas, y el 80x es para los cilindros. Un total de 1474560 bytes. Lo anterior es una simple petición de lectura de 1474560 bytes a /dev/fd0 y una simple petición de lectura de 1474560 bytes a /caso0/discoflexible.dd
8
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
¿Qué es The Sleuth Kit?...
Alonso Eduardo Caballero Quezada Consultor de NPROS Perú SAC Consultor de iDev Consultores en TI SAC GIAC – SSP CNSA Brainbench Computer Forensics (U.S.)
Página web: http://www.ReYDeS.com Correo electrónico: ReYDeS@gmail.com Trujillo, Perú 24 de Abril del 2010
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Temario* ¿Computer Forensics? * Elementos de un buen proceso Forense * Proceso Forense * Todo es 0 y 1 * Un Disco Flexible * ¿Qué es The Sleuth Kit? * ¿Qué es Autopsy? * Demostración * ¿Preguntas, comentarios, sugerencias?
2
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
¿Computer Forensics?Es una rama de la ciencia forense pertinente a la evidencia legal encontrada en computadoras y medios de almacenamiento digitales. El cómputo Forense también se conoce como Forense Digital. El objetivo del Cómputo Forense es explicar el estado actual de un artefacto digital. El término artefacto digital puede incluir un sistema de cómputo, un medio de almacenamiento (como un disco duro o DVD), un documento electrónico (un mensaje de correo electrónico o imagen JPEG) o una secuencia de paquetes en movimiento en una red de computadoras. La explicación puede ser tan simple como ¿Qué información hay aquí? y que se explica como ¿Cual es la secuencia de eventos responsables de la situación actual? Fuente: Wikipedia.
3
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010Elementos de un buen proceso Forense
* Validación cruzada de los hallazgos * Manejo adecuado de la evidencia * Completar la investigación * Administración de archivos (Backups, Originales) * Competencia técnica * Justificación y definición explícita del proceso * Cumplimiento legal * Flexibilidad
4
Alonso Eduardo Caballero Quezada / ReYDeS Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Proceso Forense
Basado en Electronic Discovery Reference Model (EDRM) – Modelo de Referencia de Descubrimiento Electrónico.
5
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Todo es 0 y 1
Las capas de una computadora Aplicación Sistema Operativo BIOS (Basic Input Ouput System) Hardware Tipos de Medios Disco Duro (Hard Disk) Disco Flexible (Floppy Disk) CDROM DVD Unidades Flash USB
6
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
Un disco Flexible (Floppy Disk)
Una pieza de plástico cubierta de ferro magnetita, o Metal flexible que rota bajo una cabeza o cabezal de Lectura / Escritura (Electro magneto) En la “lectura” el material ferro magnético magnetizado pasa por el aro de alambre que induce corriente en el alambre tal como se producen cambios en la densidad del flujo. 3,5 '' de Diámetro 1440 K = 2880 Bloques 1 Bloque = 512 Bytes
7
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010Un disco Flexible (Floppy Disk) [Continuación]
Una tarea típica y básica es utilizar “dd” para realizar la copia bit a bit de un disco flexible. La geometría común de un disco flexible de 3.5” es de: 18 Sectores por pista 2 cabezas 80 cilindros Copiando un disco flexible de 3.5” # dd bs=2x80x18b if=/dev/fd0 of=/caso07/discoflexible.dd Los 18b especifican 18 sectores de 512 bytes, 2x multiplica el tamaño del sector por el número de cabezas, y el 80x es para los cilindros. Un total de 1474560 bytes. Lo anterior es una simple petición de lectura de 1474560 bytes a /dev/fd0 y una simple petición de lectura de 1474560 bytes a /caso0/discoflexible.dd
8
Alonso Eduardo Caballero Quezada / ReYDeS
Análisis Forense con The Sleuth Kit & Autopsy – FLISOL 2010
¿Qué es The Sleuth Kit?...
Leer documento completo
Regístrate para leer el documento completo.