Conjunto de herramientas integradas en un solo paquete de software de arranque en modo “en vivo” (live) disponibles para CD, DVD, Pendrive – Programas de Software Libre

Conjunto de herramientas integradas en un solo paquete de software - Productos Comerciales:

Herramientas individuales e integradas en paquetes de función específica

Herramientas de funciones específicas

Borrado seguro, limpieza y desinfección

Duplicación de discos

Duplicación en forma remota

Manejo de Particiones

RED

Recuperación de archivos eliminados

En Windows

Recuperación de archivos con claves

Recuperación de archivos de la papelera de reciclaje:

Telefonía, Celulares, PDA, GPS

Herramientas para la elaboración del informe pericial

Clasificación e identificación de las pericias informático forenses

Nomenclatura

Ejemplos

Etapas del Marco Tecnológico Pericial

Tarea a realizar en el Laboratorio

I – Etapa: Acceso a los recursos dubitados

II – Etapa: Identificación y registro

III – Etapa: Autenticación, duplicación y resguardo de la prueba

Procedimiento

Duplicación y autenticación de la prueba

Procedimiento para el resguardo de la prueba y preparación para su traslado

IV – Etapa: Detección, recolección y registro de indicios probatorios

Alternativa I, para el acceso con el equipo encendido

En sistemas operativos Microsoft Windows

Certificación matemática de los archivos

Envío de la evidencia a través de una conexión remota

Ejecución de un intérprete de comandos legítimo

Registro de la fecha y hora

Descarga de la memoria RAM

Verificación de los usuarios conectados al sistema y de los usuarios con acceso remoto

Verificación de las fechas y hora de acceso, creación o modificación de todos los archivos

Verificación de los puertos abiertos

Verificación de las aplicaciones asociadas con los puertos abiertos

Verificación de los procesos activos

Verificación de las conexiones actuales y recientes

Revisión de los registros de eventos o sucesos del sistema operativo

Verificación de la base de datos del Registro del sistema operativo

Examinar los archivos de configuración del sistema operativo

Verificación y obtención de las claves de los usuarios del sistema

Verificación de archivos relevantes

Herramientas

Descarga de los archivos temporales

Verificación de los enlaces a archivos rotos

Verificación de los archivos de navegación por Internet

Verificación y descarga de los archivos de correo electrónico

Cliente de correo Outlook Express

Cliente de correo Microsoft Outlook

Cliente de correo Netscape Messenger

Documentar los comandos utilizados durante la recolección de datos o en la respuesta al incidente

Generación de un script o secuencia de comandos

Respuesta a incidentes

Alternativa II, con el equipo apagado

Procedimiento

V - Análisis e interpretación de los indicios probatorios. Reconstrucción y / o simulación del incidente

Procedimiento para el análisis e interpretación de los indicios probatorios

Elementos a examinar en el disco duro: (Anexo - Lista de control de Análisis de discos)

Discos rígidos de computadoras portátiles

Aspectos a considerar de los sistemas de archivos de los sistemas operativos

Estructura del inodo

Niveles de almacenamiento en el sistema de archivos

Nivel físico

Nivel de clasificación de la información

Esquema de particiones de BSD

Nivel de unidades de asignación

Nivel de gestión del espacio de almacenamiento

Unidades de asignación (FAT Clusters)

Gestión del espacio de almacenamiento (Tabla FAT)

Entradas de directorios

Nivel de clasificación y almacenamiento del nivel de aplicación

Análisis de particiones de los discos duros

Herramientas

En Windows XP

En Windows

Análisis de los datos de las unidades de CD-R y CD-RW - DVD y dispositivos con memoria flash

Visualización de diferentes tipos de archivos

Búsqueda de texto y palabras claves

Análisis del espacio no utilizado o no asignado

Áreas del sistema de archivo que contienen datos borrados o eliminados

Espacio no asignado

Eliminación o borrado de información en el disco rígido

Listar los directorios ocultos de la papelera

Estructura de INFO2.

Eliminación segura de los datos

Análisis de datos ocultos

Tipo: Enmascaramiento

Archivos protegidos con claves

Tipo: ocultamiento de información

Herramientas

Espacio no asignado, desperdiciado y libre

Tipo: Alteración del entorno

Herramientas

Código malicioso o Malware

Métodos de invasión o ataque

Modos de control de la invasión o ataque

Modo de distribución o impregnación

Objetivos del código hostil

Análisis del correo electrónico

Características del encabezado de los mensajes

Descripción del encabezado

Aspectos importantes a considerar en el análisis del encabezado del mensaje

Herramientas para el análisis del encabezado de correo electrónico

Visualización de encabezados en diferentes clientes de correo electrónico

Verificación de los archivos de impresión

Análisis de código malicioso

Sitios de programas antivirus con la descripción de los distintos tipos de virus:

Herramientas de Antivirus

Herramientas de control remoto

Herramientas exploradoras de red y de vulnerabilidades

Herramientas rastreadoras de la red o sniffers

Herramientas detector de DDoS (denegación distribuida de servicio)

Herramientas bombas lógicas y bombas de tiempo

Herramientas para el Registro de las acciones efectuadas por teclado y/o mouse

Herramientas para eliminación de huellas

Procedimiento

Análisis de celulares, PDA, GPS

VI - Cotejo, correlación de datos y conclusiones

Técnicas posibles a utilizar para el cotejo y correlación de los datos

Procedimiento para el cotejo y correlación de los datos

Procedimiento para la elaboración de las conclusiones

Elementos a cotejar y correlacionar

Fecha y hora

Tablas de enrutamiento

Tabla ARP

Tabla de procesos activos

Tipo de sistema operativo

Sistemas de Archivos

Resguardo de herramientas de hardware y software utilizados en la pericia

APÉNDICE 1: ESTUDIO DE UN CASO REPRESENTATIVO

APÉNDICE 2: PROCEDIMIENTO ANTE LA REQUISITORIA PERICIAL

APÉNDICE 3: EL MÉTODO SISTÉMICO (RESUMEN)

Visión sistémica de la investigación

Entrevista previa o licitación

Relevamiento de la información

Selección de la metodología de análisis

Generación del modelo conceptual

Generación de los modelos complementarios

Programación y codificación

Prueba y ejecución en paralelo

Capacitación, supervisión y soporte de la aplicación

Retroalimentación

Síntesis

APÉNDICE 4: INFORMACIÓN COMPLEMENTARIA

Requisitoria pericial

Título VII - Participación criminal

Dibujo pericial complementario

Croquis ilustrativo

Condiciones esenciales

Elementos

Dibujos auxiliares

Fotografías durante la inspección judicial

APÉNDICE 5: MANUAL DE AUTOPSY

Introducción

Emulador Cygwin

Instalación – Configuración y Acceso

Instalación de Cygwin

Ejecución de Cygwin y acceso al intérprete de comandos (shell):

Instalación de Sleuth Kit

Instalación de Autopsy

Descripción general de Autopsy

Ejecución de Autopsy en Cygwin

Creación de un caso en Autopsy

Opción Analize - Analizar

Opción Keyword Search – Búsqueda de palabras claves

Comando “grep” (filtrar)

Opción File Type – Tipo de Archivo

Image Details – Detalles de la Imagen

Opción Meta Data - Metadatos

Aclaraciones acerca de NTFS y FAT

Opción Data Unit – Unidad de Datos

Aclaraciones sobre el sistema de archive FAT

Timeline Mode – Modo Línea de Tiempo

Image Integrity – Integridad de la Imagen

Event Sequencer - Secuencia de sucesos

Hash Database – Base de datos de Hash

Usos de las bases de datos - Database Uses

Configuración en Autopsy

Referencias

Anexo I - Herramientas de Sleuth Kit

Anexo II - Comando: sorter

APÉNDICE 6: RELACIONES CON LA PRUEBA INDICIARIA NO INFORMÁTICA

Expertos en Balística

Armas

Proyectiles

Ropas

Huellas plantares (Retrato del paso) y de vehículos

Huellas dactilares

Manchas de sangre

Manchas varias (material fecal, meconio, calostro, semen, orina), pelos, fibras naturales o artificiales

Documentos

Suposiciones a priori

APÉNDICE 7: LA ESTRUCTURA LÓGICA DEMOSTRATIVA EN LA LABOR PERICIAL

Demostración lógica y tecnológica de las conclusiones alcanzadas

APÉNDICE 8: LA REDACCIÓN FINAL

Generación del informe pericial

Preparación de la defensa escrita/oral

Reglas para las citas

La posredacción

Respecto de la presentación

Respecto de la forma de presentación

Entrega formal del informe pericial

APÉNDICE 9: LA DEFENSA ORAL

La defensa ante el tribunal

Reglas de argumentación generales

Reglas para evaluar argumentaciones de los interlocutores

Reglas para construir nuestras propias argumentaciones

La defensa ortodoxa

Las lagunas pasajeras

Las metáforas

Las respuestas estrictas

Consideraciones prácticas para la argumentación oral

APÉNDICE 10: GLOSARIO COMPLEMENTARIO BÁSICO

APÉNDICE 11: RESUMEN DE LÓGICA PROPOSICIONAL

APÉNDICE 12: LA INSPECCIÓN JUDICIAL

Generalidades

Situaciones posibles en la inspección judicial

Metodología de trabajo

Acta de inspección o secuestro

APÉNDICE 13: MISCELÁNEAS

Listado de Claves BIOS - CMOS

Award

Listado de Puertos utilizados por Troyanos

APÉNDICE 14: LA YAPA

ANEXO 1: DIAGRAMAS CONCEPTUALES

Marco científico investigativo

Esquema de investigación

ANEXO 2: MODELO DE INFORME PERICIAL

ANEXO 3: MODELOS DE NOTAS

ANEXO 4: FORMULARIOS

Lista de control de hardware en la inspección y reconocimiento judicial

Formulario de registro de evidencia

Rótulos para las evidencias

Formulario – Recibo de efectos

Formulario para la Cadena de Custodia

Lista de control de respuesta a incidentes

Lista de control de análisis de discos

BIBLIOGRAFÍA

Libros

Jurídica

Informática Forense

Sistemas operativos – Protocolos y redes - Seguridad informática

Investigación

RFC – Request for Comment

Normas

Internet

Fraudes, delitos informáticos y crimen en el ciberespacio

Seguridad informática

Подняться наверх