Analisis De Discos
Páginas: 13 (3218 palabras)
Publicado: 25 de octubre de 2015
La prueba informática: instrumentos y
metodología relativos al análisis
forense de discos duros y de redes
Michele Ferrazzano
michele@informaticaforense.it
SEGUNDA SESIÓN
Seminario de Informática Forense
16 de mayo de 2012
Sala de Juntas (Facultad de Derecho)
2
La prueba científica digital: la computer forensics
• La prueba es cualquier instrumento, método, persona, cosa o
circunstancia quepueda proporcionar información útil para
resolver la falta de certeza en torno a la verdad o falsedad de los
hechos (Taruffo)
• Cuando la prueba se refiere a un hecho regido por leyes científicas
y/o técnicas especializadas para las que es necesario recurrir a un
experto, nos encontramos en el ámbito de la prueba científica
• La computer forensics tiene su origen en ámbientes ligados al
common lawy con un alto grado de evolución tecnológica, como los
EEUU
• Existen agencias especializadas que certifican
• software
• hardware
empleado para la investigación
3
La prueba científica digital: la computer forensics
• Pero, ¿qué se entiende por prueba científica en el caso
de la informática?
• Partimos de la siguiente base
dato informático
y
bit
4
El dato informático
• Se trata de unasecuencia de bits, contenidos en un
dispositivo capaz de memorizarlos
• El bit es la unidad de medida de la información
• Es una cifra binaria, vale cero (0) o uno (1)
• Estamos acostumbrados a trabajar con archivos
• Un archivo es una suma lógica de bits
5
El dato informático
• El bit es intangibile
• El bit es un estado de la materia
• Por ejemplo, en el caso de soportes magnéticos (discosduros)
• El bit necesita un soporte sobre el que ser memorizado
0
0
1
1
0
1
0
1
6
El dato informático
• Ejemplo
• HOLA
01001000010011110100110001000001
• Ha existido al menos un momento en el que tales bits
estaban grabados en un dispositivo, cuyo estado podía
ser modificado por un operador, impertiendo las
órdenes oportunas
• Es imposible constatar eventuales modificaciones
realizadas encada bit
• Entonces, ¿debe entenderse que el dato no es fiable
• No. Por ejemplo: firma digital
7
El dato informático (algunos ejemplos)
Email
Video
Folio electrónico
Sonido
8
El dato informático
• ¿Puede considerarse dato informático un archivo
contenido en un disco duro?
• Sí, pero es reductivo
• En un disco duro es posible descubrir numerosos
elementos útiles para reconstruir la escenadel crimen
(o para verificar las coartadas de algunos sujetos)
• Datos eliminados
• Archivos cancelados, espacio no utilizado, slack space
• Metadatos
• Fecha de último acceso, última modificación, creación de
archivos
• …
El dato informático
9
Gestión de los archivos en un disco duro
• Un disco duro está organizado de forma lógica mediante
el uso de un sistema de archivos
• El sistema dearchivos divide el espacio disponible en el
disco duro en sectores de iguales dimensiones
• Cuando se graba un archivo, se usa el menor número
posible de sectores, pero siempre en número suficiente
para guardar el archivo
El dato informático
10
Gestión de los archivos en un disco duro
• Ejemplo (el disco duro está dividido en secciones de 2048 byte)
0
1
2
3
4
5
6
7
8
9
10
…
9
10
…• Un archivo de 1 bytes ocupa 1 sector
• Un archivo de 2047 bytes ocupa 1 sectores
• Un archivo de 2049 bytes ocupa 2 sectores
• Un archivo de 10000 bytes ocupa 5 sectores
0
1
2
3
4
5
6
7
8
El dato informático
11
Gestión de los archivos en un disco duro
br
om
e
o
iv
ch
r
a
N
Seminario.doc
e
?
nd za te
Dó pieExis
em
1
Si
1 La prueba informa
2 tica: instrumentos
3 y metodologiarela
4 tivos al analisis fo
5 rense de discos du
6 ros y de redes//
7
8
9
10
11
12
El dato informático
12
Gestión de los archivos en un disco duro
e
m
No
fil
e
a
izi
in te?
ve sis
E
Do
1 La prueba informa
2 tica: instrumentos
Seminario.doc
1
Si
3 y metodologia rela
Seminario2.doc
7
Si
4 tivos al analisis fo
5 rense de discos du
6 ros y de redes//
7 Seminario de info
8 rmatica...
metodología relativos al análisis
forense de discos duros y de redes
Michele Ferrazzano
michele@informaticaforense.it
SEGUNDA SESIÓN
Seminario de Informática Forense
16 de mayo de 2012
Sala de Juntas (Facultad de Derecho)
2
La prueba científica digital: la computer forensics
• La prueba es cualquier instrumento, método, persona, cosa o
circunstancia quepueda proporcionar información útil para
resolver la falta de certeza en torno a la verdad o falsedad de los
hechos (Taruffo)
• Cuando la prueba se refiere a un hecho regido por leyes científicas
y/o técnicas especializadas para las que es necesario recurrir a un
experto, nos encontramos en el ámbito de la prueba científica
• La computer forensics tiene su origen en ámbientes ligados al
common lawy con un alto grado de evolución tecnológica, como los
EEUU
• Existen agencias especializadas que certifican
• software
• hardware
empleado para la investigación
3
La prueba científica digital: la computer forensics
• Pero, ¿qué se entiende por prueba científica en el caso
de la informática?
• Partimos de la siguiente base
dato informático
y
bit
4
El dato informático
• Se trata de unasecuencia de bits, contenidos en un
dispositivo capaz de memorizarlos
• El bit es la unidad de medida de la información
• Es una cifra binaria, vale cero (0) o uno (1)
• Estamos acostumbrados a trabajar con archivos
• Un archivo es una suma lógica de bits
5
El dato informático
• El bit es intangibile
• El bit es un estado de la materia
• Por ejemplo, en el caso de soportes magnéticos (discosduros)
• El bit necesita un soporte sobre el que ser memorizado
0
0
1
1
0
1
0
1
6
El dato informático
• Ejemplo
• HOLA
01001000010011110100110001000001
• Ha existido al menos un momento en el que tales bits
estaban grabados en un dispositivo, cuyo estado podía
ser modificado por un operador, impertiendo las
órdenes oportunas
• Es imposible constatar eventuales modificaciones
realizadas encada bit
• Entonces, ¿debe entenderse que el dato no es fiable
• No. Por ejemplo: firma digital
7
El dato informático (algunos ejemplos)
Video
Folio electrónico
Sonido
8
El dato informático
• ¿Puede considerarse dato informático un archivo
contenido en un disco duro?
• Sí, pero es reductivo
• En un disco duro es posible descubrir numerosos
elementos útiles para reconstruir la escenadel crimen
(o para verificar las coartadas de algunos sujetos)
• Datos eliminados
• Archivos cancelados, espacio no utilizado, slack space
• Metadatos
• Fecha de último acceso, última modificación, creación de
archivos
• …
El dato informático
9
Gestión de los archivos en un disco duro
• Un disco duro está organizado de forma lógica mediante
el uso de un sistema de archivos
• El sistema dearchivos divide el espacio disponible en el
disco duro en sectores de iguales dimensiones
• Cuando se graba un archivo, se usa el menor número
posible de sectores, pero siempre en número suficiente
para guardar el archivo
El dato informático
10
Gestión de los archivos en un disco duro
• Ejemplo (el disco duro está dividido en secciones de 2048 byte)
0
1
2
3
4
5
6
7
8
9
10
…
9
10
…• Un archivo de 1 bytes ocupa 1 sector
• Un archivo de 2047 bytes ocupa 1 sectores
• Un archivo de 2049 bytes ocupa 2 sectores
• Un archivo de 10000 bytes ocupa 5 sectores
0
1
2
3
4
5
6
7
8
El dato informático
11
Gestión de los archivos en un disco duro
br
om
e
o
iv
ch
r
a
N
Seminario.doc
e
?
nd za te
Dó pieExis
em
1
Si
1 La prueba informa
2 tica: instrumentos
3 y metodologiarela
4 tivos al analisis fo
5 rense de discos du
6 ros y de redes//
7
8
9
10
11
12
El dato informático
12
Gestión de los archivos en un disco duro
e
m
No
fil
e
a
izi
in te?
ve sis
E
Do
1 La prueba informa
2 tica: instrumentos
Seminario.doc
1
Si
3 y metodologia rela
Seminario2.doc
7
Si
4 tivos al analisis fo
5 rense de discos du
6 ros y de redes//
7 Seminario de info
8 rmatica...
Leer documento completo
Regístrate para leer el documento completo.