Procedimientos informática forense
Páginas: 3 (541 palabras)
Publicado: 2 de julio de 2013
Los procedimientos llevados a cabo se dividen en las siguientes etapas:
1) Adquisición: significa copiar de una manera especial el contenido en bruto de la información del sistema en observación.Luego se trabajará sobre esta copia dejando intacta la información original. Esta tarea se hará no arrancando la computadora por los medios convencionales sino accediendo a los volúmenes en modo desólo lectura para que ni un byte sea alterado desde el momento en que empieza nuestra intervención. Hay que tener en cuenta que el simple booteo (arranque) de una computadora altera por lo menos algunosarchivos en sus contenidos y fechas, varía la cantidad total de archivos, etc. Lo mismo ocurre cuando abrimos un archivo aunque más no sea para leerlo o imprimirlo. Se puede rastrear todo este tipode actividad en una computadora. La adquisición puede involucrar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, o variascomputadoras de una organización.
2) Validación y preservación de los datos adquiridos: Por medios matemáticos se debe calcular de manera normalizada un código único correspondiente a esa combinaciónúnica de bytes que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para impedir que sea generado en forma reversa con fines dolososy normalizado como para que cualquier auditor independiente pueda por su cuenta verificar la autenticidad de la imagen tomada y así establecer una cadena de custodia consistente .Desde este momentoya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.
3) Análisis y descubrimiento de evidencia: se procede arealizar una batería de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos diferentes niveles. Partimos de la base de que el usuario sospechoso de...
1) Adquisición: significa copiar de una manera especial el contenido en bruto de la información del sistema en observación.Luego se trabajará sobre esta copia dejando intacta la información original. Esta tarea se hará no arrancando la computadora por los medios convencionales sino accediendo a los volúmenes en modo desólo lectura para que ni un byte sea alterado desde el momento en que empieza nuestra intervención. Hay que tener en cuenta que el simple booteo (arranque) de una computadora altera por lo menos algunosarchivos en sus contenidos y fechas, varía la cantidad total de archivos, etc. Lo mismo ocurre cuando abrimos un archivo aunque más no sea para leerlo o imprimirlo. Se puede rastrear todo este tipode actividad en una computadora. La adquisición puede involucrar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, o variascomputadoras de una organización.
2) Validación y preservación de los datos adquiridos: Por medios matemáticos se debe calcular de manera normalizada un código único correspondiente a esa combinaciónúnica de bytes que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para impedir que sea generado en forma reversa con fines dolososy normalizado como para que cualquier auditor independiente pueda por su cuenta verificar la autenticidad de la imagen tomada y así establecer una cadena de custodia consistente .Desde este momentoya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.
3) Análisis y descubrimiento de evidencia: se procede arealizar una batería de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos diferentes niveles. Partimos de la base de que el usuario sospechoso de...
Leer documento completo
Regístrate para leer el documento completo.