Buenas Practicas
Analisis Forense de
evidencias
Definiciones:
Análisis
● ¿Dónde puede haber
información?
– Archivos normales
– Archivos temporales
– Archivos ocultos
– Archivos borrados
– Slackspace
– ¿Esteganografía?
Incidencia en delitos
Estudio Preliminar
Es el primer paso de cualquier
análisis forense. Nos deben o
debemos explicar con la
mayor exactitud posible qué ha
ocurrido, quése llevaron o
intentaron llevar y cuándo
ocurrió.
Buscar el cuando??, como??, por
que?? y el medio.
Fases de un Análisis Forense
Digital
Identificación del incidente: Búsqueda
y recopilación deevidencias.
Preservación de la evidencia.
Preparación para el análisis: El
entorno de trabajo.
Reconstrucción de la secuencia
temporal del ataque.
Determinación de cómo se realizó el
delito o incidente.Identificación del autor o autores del
incidente.
Evaluación del impacto causado al
sistema.
Fases de un Análisis Forense
Digital
Documentación del incidente.
Utilización de formularios deregistro del incidente.
El Informe Técnico.
El Informe Ejecutivo.
SIETE GUIAS EXISTENTES A NIVEL
MUNIDAL DE LAS MEJORES PRACTICAS
• RFC 3227.
EN COMPUTACION FORENSE
•Guía
de la IOCE•Investigación
en la Escena del Crimen Electrónico
(Guía DoJ 1) (ECSI)
•Examen
Forense de Evidencia Digital (Guía DoJ 2)
•Computación
Forense - Parte 2: Mejores Prácticas
(Guía Hong Kong)
•Guía
De BuenasPrácticas Para Evidencia Basada
En Computadores (Guía Reino Unido)
•Guía
Para El Manejo De Evidencia En IT (Guía
Proceso Forense
Analizar(Analysis)
Adquirir(Collection)
Examinar(Examination)
Reportar(Reporting)
Prepararse!
Sistema Evidencia
Mayor PNP Raúl Silva Olivera
Mayor PNP Raúl Silva Olivera
Que diferencia la evidencia
informatica de la evidencia
tradicional ?
•
••
•
La
La
La
La
volatilidad
capacidad de duplicación
facilidad de alterarla
cantidad de Metadatos que posee
Mayor PNP Raúl Silva Olivera
Fuentes de Metadatos
•
•
•
•
El proceso de...
Regístrate para leer el documento completo.