SlideShare uma empresa Scribd logo

Análisis Forense

Transferir como PPTX, PDF
Chema Alonso
Chema Alonso

Este documento presenta un procedimiento de 10 pasos para el análisis forense en entornos Windows. Inicialmente se discute la recopilación de evidencias de manera segura y sin alteraciones. Luego, el análisis incluye examinar archivos, registros, procesos y tráfico de red para identificar malware u otras anomalías. El objetivo final es recuperar información eliminada, detectar rootkits y otras amenazas, y establecer la cadena de custodia de las pruebas.

TecnologiaSaúde e medicina
1 de 48
Análisis Forense Entornos Windows Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com
Agenda Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
INTRODUCCIÓN
Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder... !No¡ El análisis forense
La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia. Análisis basados en modelos.
Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Preservación. Recogida. Examinación. Análisis. Digital Forensics Research Workshops (DFRW)
RECOGIDA DE EVIDENCIAS
Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados Introducción
Existe una serie de principios para la toma de información. ¿El caso se va a denunciar ojudicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias? Recogida y almacenamiento
La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias. IETF RFC 3227
Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger y analizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos. Guía de principios
De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos: Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos. La volatilidad de los datos
Admisible. Auténtica. Completa. Creíble. Entendible. Consideraciones legales
Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias. Cosas a evitar
Aquellas que vulneren la intimidad o revelen información personal. Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-las-evidencias.html Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedan demostrarse como no manipuladas. Evidencias invalidadas
Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia. Almacenamiento de las evidencias
Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse: Quien, cuando, donde y como se han tomado las evidencias. Quien, cuando y como se han analizado las evidencias. Quien y durante cuanto tiempo se ha custodiado la evidencia. Cuando y entre quien han cambiado la custodia de las evidencias. Cadena de custodia
Las evidencias digitales deben ser tomadas de forma binaria. Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. Se recomienda por seguridad la firma SHA-1 frente a MD5. Como deben recogerse las evidencias digitales
La evidencias pueden tomarse mediante tecnología. Hardware. Es menos flexible pero admite menos manipulación y son más rápidas. Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos. Como recoger las evidencias digitales
Elementos Hardware.
ElementosSoftware
Recogida de evidencias
ANÁLISIS DE FICHEROS Y LOGS
Cada contacto deja un rastro Principio de Locard
Búsqueda de ficheros y datos críticos para el caso. Aplicación de principios de línea temporal. Búsqueda de ficheros discordantes. Detección de ficheros basados en firmas. Búsqueda de palabras clave. Recuperación de datos eliminados. Análisis de datos
Papelera de reciclaje Archivo de paginación Restauración del sistema Reconstrucción de la bitácora de navegación Archivos temporales Documentos recientes Etc.. Información en el sistema operativo
Contiene información sobre la aplicación Información sobre qué hace la aplicación por debajo Registro de usuarios Passwords Fecha y hora de acceso a la información Direcciones IP Etc.… La importancia de los Logs
IIS (Internet Information Server) Visor de eventos Windows Update TimeLine de ficheros Prefetch Tablas ARP Logs SQL Server Archivos de registro de Windows SAM, SYSTEM, SOFTWARE, etc.… Archivos Log importantes UN BUEN EQUIPO RELAX Y PACIENCIA
Búsqueda de información en disco
PROCESOS
No todo lo que se ve es lo que dice ser. Para buscar es necesario conocer primero. El análisis online prima sobre el análisis offline. A veces solo determinados elementos son descubiertos con el sistema activo. Análisis del sistema
Análisis de procesos. Análisis de servicios. Análisis de la memoria Ram. Búsqueda en el registro. Análisis de la información de red. Donde buscar
Hay elementos ocultos o utilizando mecanismos de esteganografía. ¿Son verdaderos procesos del sistema los que se están ejecutando? ¿Qué se ejecuta en cada puerto? ¿Qué información se envía por la red? Hay rastros de sistemas antiforenses. ¿Qué tener en cuenta
Análisis de procesos en un escenario Malware
PROCEDIMIENTO
Salvaguarda la información. Binario. Hash. Ficheros de cadena de custodia. Forma de recoger las evidencias. Imagen DD. Clonación binario. A tener en cuenta. Si el destino de la copia ha sido utilizado wipear disco. Paso 1 (Requerido en judicial)
Recuperación de información eliminada. Análisis de la información de disco. Búsqueda de información según datos aportados en las reuniones. Análisis y búsqueda de información ocultada por técnicas de ocultación. Uso de la línea temporal para el análisis de la información. Recuperación de correos y ficheros según técnicas KFF. Paso 2 (Análisis de ficheros en judicial)
Análisis de la información de disco. Búsqueda de ficheros por comportamiento. Búsqueda de palabras clave internet. Análisis de la papelera de reciclaje. Búsqueda de marcas de aplicaciones antiforense. Paso 3 (Análisis de ficheros en judicial)
Análisis de rootkits. Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc. Eliminación de posibles rootkits. Volver a analizar posibles rootkits. Análisis de procesos. Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc. Búsqueda de rutas de procesos discordantes. Análisis de los procesos / puertos. Análisis por comportamiento. Paso 4 (Análisis online)
Claves. Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros: ADS. Antiforense. Slack. Etc. Búsqueda de posibles procesos de sistema con rutas diferentes de los originales. Búsqueda de procesos persistentes. Análisis de puertos / procesos. Paso 5 (Análisis online)
Claves. Análisis de procesos por provocación. Carga de procesos unidos a otros procesos. Búsqueda de plugins / BHO. Análisis de librerias y ejecutables. Búsqueda de ficheros cargados o modificados por libreriasy/o ejecutables. Paso 6 (Análisis online)
Claves. Búsqueda de contraseñas. Búsqueda de información relativa a la navegación. Análisis de uso del equipo (tiempos). Paso 7 (Análisis online)
Análisis del tráfico de red y procesos que intercambian información. Uso de analizadores de procesos y comunicaciones. Usos de analizadores de red. Paso 8 (Análisis online)
Búsqueda en el fichero de paginación. Búsqueda en memoria. Volcado de memoria. Imágenes de memoria. Paso 9 (Análisis online)
Búsqueda de logs. Uso de consolidadores de logs. Detección de la información. Cruce de eventos. Paso 10 (Análisis logs)
He venido a contar Yo como Umbral
¿DÓNDE NOS PUEDES ENCONTRAR? En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico http://www.informatica64.com/boletines.html En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán. http://www.informatica64.com/10aniversario/ En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft. http://www.windowstecnico.com/ En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades. http://www.informatica64.com
SIMO(22, 23 y 24 de Septiembre) Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES Durante los tres días se realizarán HOLs Guiados y Auto guiados http://technet.microsoft.com/es-es/hol_simo09.aspx Azlan D-LINK Academy: 5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). (Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo) Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html Microsoft TechNet HandsonLab (HOLs) En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre) Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx PROXIMOS EVENTOS

Recomendados

Unidad 5. calidad del software
Unidad 5. calidad del softwareUnidad 5. calidad del software
Unidad 5. calidad del softwareMaricela Ramirez
 
Especificaciones Suplementarias APP DELIVERY
Especificaciones Suplementarias APP DELIVERYEspecificaciones Suplementarias APP DELIVERY
Especificaciones Suplementarias APP DELIVERYGustavo Tantani Mamani
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de tiRuben Robles
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseLeidy Johana Garcia Ortiz
 
Ip
IpIp
IpJulio César Siesquén Mairena
 
Metodologia kendall y Kendall
Metodologia kendall y KendallMetodologia kendall y Kendall
Metodologia kendall y KendallUniversidad Nororiental Gran Mariscal de Ayacucho
 
Las 7 fases de kendal & kendall
Las 7 fases de kendal & kendallLas 7 fases de kendal & kendall
Las 7 fases de kendal & kendalldavidmonar
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 

Recomendados

Unidad 5. calidad del software
Unidad 5. calidad del softwareUnidad 5. calidad del software
Unidad 5. calidad del softwareMaricela Ramirez
 
Especificaciones Suplementarias APP DELIVERY
Especificaciones Suplementarias APP DELIVERYEspecificaciones Suplementarias APP DELIVERY
Especificaciones Suplementarias APP DELIVERYGustavo Tantani Mamani
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de tiRuben Robles
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseLeidy Johana Garcia Ortiz
 
Ip
IpIp
IpJulio César Siesquén Mairena
 
Metodologia kendall y Kendall
Metodologia kendall y KendallMetodologia kendall y Kendall
Metodologia kendall y KendallUniversidad Nororiental Gran Mariscal de Ayacucho
 
Las 7 fases de kendal & kendall
Las 7 fases de kendal & kendallLas 7 fases de kendal & kendall
Las 7 fases de kendal & kendalldavidmonar
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Tabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloTabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloitsarellano
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseManuel Mujica
 
Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Luis Asencio
 
Clase 03 delitos informáticos en Ecuador
Clase 03 delitos informáticos en Ecuador Clase 03 delitos informáticos en Ecuador
Clase 03 delitos informáticos en Ecuador Héctor Revelo Herrera
 
Modelo 4+1
Modelo 4+1Modelo 4+1
Modelo 4+1Israel Rey
 
Capas del modelo OSI y Protocolos que intervienen en cada capa
Capas del modelo OSI y Protocolos que intervienen en cada capaCapas del modelo OSI y Protocolos que intervienen en cada capa
Capas del modelo OSI y Protocolos que intervienen en cada capaaeross
 
Modelo de referencia TCP - IP
Modelo de referencia TCP - IPModelo de referencia TCP - IP
Modelo de referencia TCP - IPJorge Paredes Toledo
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informaticaestherbenaim
 
Presentación inf forense
Presentación inf forensePresentación inf forense
Presentación inf forensegardunojc83
 
Microsoft azure presentacion
Microsoft azure presentacionMicrosoft azure presentacion
Microsoft azure presentacionJuan Paucar
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Freddy Hugo Estupiñan Batalla
 
Tarjeta de red inalambrica
Tarjeta de red inalambricaTarjeta de red inalambrica
Tarjeta de red inalambricakelismargarita
 
Taller de Programación Distribuida
Taller de Programación DistribuidaTaller de Programación Distribuida
Taller de Programación DistribuidaGilber Basilio Robles
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Modelos de los sistemas distribuidos
Modelos de los sistemas distribuidosModelos de los sistemas distribuidos
Modelos de los sistemas distribuidosMargarita Labastida
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Ingenieria de software
Ingenieria de softwareIngenieria de software
Ingenieria de softwareDiaxz Salgado
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSELuis Maduro
 
Enrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionEnrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionChema Alonso
 
3.6 analisis de bitacoras
3.6 analisis de bitacoras3.6 analisis de bitacoras
3.6 analisis de bitacorasMeztli Valeriano Orozco
 

Mais conteúdo relacionado

Mais procurados

Tabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloTabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloitsarellano
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Luis Asencio
 
Clase 03 delitos informáticos en Ecuador
Clase 03 delitos informáticos en Ecuador Clase 03 delitos informáticos en Ecuador
Clase 03 delitos informáticos en Ecuador Héctor Revelo Herrera
 
Capas del modelo OSI y Protocolos que intervienen en cada capa
Capas del modelo OSI y Protocolos que intervienen en cada capaCapas del modelo OSI y Protocolos que intervienen en cada capa
Capas del modelo OSI y Protocolos que intervienen en cada capaaeross
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informaticaestherbenaim
 
Presentación inf forense
Presentación inf forensePresentación inf forense
Presentación inf forensegardunojc83
 
Microsoft azure presentacion
Microsoft azure presentacionMicrosoft azure presentacion
Microsoft azure presentacionJuan Paucar
 
Tarjeta de red inalambrica
Tarjeta de red inalambricaTarjeta de red inalambrica
Tarjeta de red inalambricakelismargarita
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Modelos de los sistemas distribuidos
Modelos de los sistemas distribuidosModelos de los sistemas distribuidos
Modelos de los sistemas distribuidosMargarita Labastida
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Ingenieria de software
Ingenieria de softwareIngenieria de software
Ingenieria de softwareDiaxz Salgado
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSELuis Maduro
 

Mais procurados (20)

Tabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloTabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrollo
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless
 
Clase 03 delitos informáticos en Ecuador
Clase 03 delitos informáticos en Ecuador Clase 03 delitos informáticos en Ecuador
Clase 03 delitos informáticos en Ecuador
 
Modelo 4+1
Modelo 4+1Modelo 4+1
Modelo 4+1
 
Capas del modelo OSI y Protocolos que intervienen en cada capa
Capas del modelo OSI y Protocolos que intervienen en cada capaCapas del modelo OSI y Protocolos que intervienen en cada capa
Capas del modelo OSI y Protocolos que intervienen en cada capa
 
Modelo de referencia TCP - IP
Modelo de referencia TCP - IPModelo de referencia TCP - IP
Modelo de referencia TCP - IP
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informatica
 
Presentación inf forense
Presentación inf forensePresentación inf forense
Presentación inf forense
 
Microsoft azure presentacion
Microsoft azure presentacionMicrosoft azure presentacion
Microsoft azure presentacion
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos
 
Tarjeta de red inalambrica
Tarjeta de red inalambricaTarjeta de red inalambrica
Tarjeta de red inalambrica
 
Taller de Programación Distribuida
Taller de Programación DistribuidaTaller de Programación Distribuida
Taller de Programación Distribuida
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Modelos de los sistemas distribuidos
Modelos de los sistemas distribuidosModelos de los sistemas distribuidos
Modelos de los sistemas distribuidos
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Ingenieria de software
Ingenieria de softwareIngenieria de software
Ingenieria de software
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
 

Destaque

Enrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionEnrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionChema Alonso
 
Modelo de Análisis Forense
Modelo de Análisis ForenseModelo de Análisis Forense
Modelo de Análisis ForensePatricio Guaman
 
Herramientas de analisis Informatico Forense
Herramientas de analisis Informatico ForenseHerramientas de analisis Informatico Forense
Herramientas de analisis Informatico ForenseJimmy Elera
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windowsazrahim
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaEstudianteSeguridad
 
Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsTelefónica
 
Análisis Forense Metadatos
Análisis Forense MetadatosAnálisis Forense Metadatos
Análisis Forense MetadatosChema Alonso
 
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Telefónica
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itTelefónica
 
Recoleccion de evidencias fisica
Recoleccion de evidencias fisicaRecoleccion de evidencias fisica
Recoleccion de evidencias fisicaRozy Dueñas
 
Analisis Forense Busca De Evidencias
Analisis Forense Busca De EvidenciasAnalisis Forense Busca De Evidencias
Analisis Forense Busca De EvidenciasFundació CATIC
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]Telefónica
 

Destaque (19)

Enrique Rando Fugas De Informacion
Enrique Rando Fugas De InformacionEnrique Rando Fugas De Informacion
Enrique Rando Fugas De Informacion
 
3.6 analisis de bitacoras
3.6 analisis de bitacoras3.6 analisis de bitacoras
3.6 analisis de bitacoras
 
Modelo de Análisis Forense
Modelo de Análisis ForenseModelo de Análisis Forense
Modelo de Análisis Forense
 
Manual erd commander
Manual erd commanderManual erd commander
Manual erd commander
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case Forensics
 
Herramientas de analisis Informatico Forense
Herramientas de analisis Informatico ForenseHerramientas de analisis Informatico Forense
Herramientas de analisis Informatico Forense
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windows
 
Investigacion unidad 3
Investigacion unidad 3Investigacion unidad 3
Investigacion unidad 3
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informatica
 
Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & Forensics
 
Análisis Forense Metadatos
Análisis Forense MetadatosAnálisis Forense Metadatos
Análisis Forense Metadatos
 
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like it
 
Recoleccion de evidencias fisica
Recoleccion de evidencias fisicaRecoleccion de evidencias fisica
Recoleccion de evidencias fisica
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Analisis Forense Busca De Evidencias
Analisis Forense Busca De EvidenciasAnalisis Forense Busca De Evidencias
Analisis Forense Busca De Evidencias
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
 

Semelhante a Análisis Forense

Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Forense digital
Forense digitalForense digital
Forense digitallbosquez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensechrizparty
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfMaraBruzanovski
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Alonso Caballero
 
Informaticaforence
InformaticaforenceInformaticaforence
InformaticaforenceYUPANQUI2016
 
Informática Forense
Informática ForenseInformática Forense
Informática ForenseRociodeJesus
 
Informática forense
Informática forenseInformática forense
Informática forensedocentecis
 
Informática forense
Informática forenseInformática forense
Informática forenseCahuaza43
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forenseCSLeticia
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 

Semelhante a Análisis Forense (20)

Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
Forense digital
Forense digitalForense digital
Forense digital
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
 
Informaticaforence
InformaticaforenceInformaticaforence
Informaticaforence
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Pl montoyafernandez
Pl montoyafernandezPl montoyafernandez
Pl montoyafernandez
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Informática forense
Informática forenseInformática forense
Informática forense
 

Mais de Chema Alonso

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarChema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with TacytChema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordChema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of MagicChema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackersChema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismoChema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con PythonChema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityChema Alonso
 

Mais de Chema Alonso (20)

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & Humility
 

Último

Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 

Último (20)

El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 

Análisis Forense

  • 1. Análisis Forense Entornos Windows Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com
  • 2. Agenda Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
  • 4. Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder... !No¡ El análisis forense
  • 5. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia. Análisis basados en modelos.
  • 6. Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Preservación. Recogida. Examinación. Análisis. Digital Forensics Research Workshops (DFRW)
  • 8. Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados Introducción
  • 9. Existe una serie de principios para la toma de información. ¿El caso se va a denunciar ojudicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias? Recogida y almacenamiento
  • 10. La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias. IETF RFC 3227
  • 11. Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger y analizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos. Guía de principios
  • 12. De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos: Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos. La volatilidad de los datos
  • 13. Admisible. Auténtica. Completa. Creíble. Entendible. Consideraciones legales
  • 14. Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias. Cosas a evitar
  • 15. Aquellas que vulneren la intimidad o revelen información personal. Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-las-evidencias.html Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedan demostrarse como no manipuladas. Evidencias invalidadas
  • 16. Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia. Almacenamiento de las evidencias
  • 17. Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse: Quien, cuando, donde y como se han tomado las evidencias. Quien, cuando y como se han analizado las evidencias. Quien y durante cuanto tiempo se ha custodiado la evidencia. Cuando y entre quien han cambiado la custodia de las evidencias. Cadena de custodia
  • 18. Las evidencias digitales deben ser tomadas de forma binaria. Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. Se recomienda por seguridad la firma SHA-1 frente a MD5. Como deben recogerse las evidencias digitales
  • 19. La evidencias pueden tomarse mediante tecnología. Hardware. Es menos flexible pero admite menos manipulación y son más rápidas. Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos. Como recoger las evidencias digitales
  • 24. Cada contacto deja un rastro Principio de Locard
  • 25. Búsqueda de ficheros y datos críticos para el caso. Aplicación de principios de línea temporal. Búsqueda de ficheros discordantes. Detección de ficheros basados en firmas. Búsqueda de palabras clave. Recuperación de datos eliminados. Análisis de datos
  • 26. Papelera de reciclaje Archivo de paginación Restauración del sistema Reconstrucción de la bitácora de navegación Archivos temporales Documentos recientes Etc.. Información en el sistema operativo
  • 27. Contiene información sobre la aplicación Información sobre qué hace la aplicación por debajo Registro de usuarios Passwords Fecha y hora de acceso a la información Direcciones IP Etc.… La importancia de los Logs
  • 28. IIS (Internet Information Server) Visor de eventos Windows Update TimeLine de ficheros Prefetch Tablas ARP Logs SQL Server Archivos de registro de Windows SAM, SYSTEM, SOFTWARE, etc.… Archivos Log importantes UN BUEN EQUIPO RELAX Y PACIENCIA
  • 31. No todo lo que se ve es lo que dice ser. Para buscar es necesario conocer primero. El análisis online prima sobre el análisis offline. A veces solo determinados elementos son descubiertos con el sistema activo. Análisis del sistema
  • 32. Análisis de procesos. Análisis de servicios. Análisis de la memoria Ram. Búsqueda en el registro. Análisis de la información de red. Donde buscar
  • 33. Hay elementos ocultos o utilizando mecanismos de esteganografía. ¿Son verdaderos procesos del sistema los que se están ejecutando? ¿Qué se ejecuta en cada puerto? ¿Qué información se envía por la red? Hay rastros de sistemas antiforenses. ¿Qué tener en cuenta
  • 34. Análisis de procesos en un escenario Malware
  • 36. Salvaguarda la información. Binario. Hash. Ficheros de cadena de custodia. Forma de recoger las evidencias. Imagen DD. Clonación binario. A tener en cuenta. Si el destino de la copia ha sido utilizado wipear disco. Paso 1 (Requerido en judicial)
  • 37. Recuperación de información eliminada. Análisis de la información de disco. Búsqueda de información según datos aportados en las reuniones. Análisis y búsqueda de información ocultada por técnicas de ocultación. Uso de la línea temporal para el análisis de la información. Recuperación de correos y ficheros según técnicas KFF. Paso 2 (Análisis de ficheros en judicial)
  • 38. Análisis de la información de disco. Búsqueda de ficheros por comportamiento. Búsqueda de palabras clave internet. Análisis de la papelera de reciclaje. Búsqueda de marcas de aplicaciones antiforense. Paso 3 (Análisis de ficheros en judicial)
  • 39. Análisis de rootkits. Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc. Eliminación de posibles rootkits. Volver a analizar posibles rootkits. Análisis de procesos. Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc. Búsqueda de rutas de procesos discordantes. Análisis de los procesos / puertos. Análisis por comportamiento. Paso 4 (Análisis online)
  • 40. Claves. Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros: ADS. Antiforense. Slack. Etc. Búsqueda de posibles procesos de sistema con rutas diferentes de los originales. Búsqueda de procesos persistentes. Análisis de puertos / procesos. Paso 5 (Análisis online)
  • 41. Claves. Análisis de procesos por provocación. Carga de procesos unidos a otros procesos. Búsqueda de plugins / BHO. Análisis de librerias y ejecutables. Búsqueda de ficheros cargados o modificados por libreriasy/o ejecutables. Paso 6 (Análisis online)
  • 42. Claves. Búsqueda de contraseñas. Búsqueda de información relativa a la navegación. Análisis de uso del equipo (tiempos). Paso 7 (Análisis online)
  • 43. Análisis del tráfico de red y procesos que intercambian información. Uso de analizadores de procesos y comunicaciones. Usos de analizadores de red. Paso 8 (Análisis online)
  • 44. Búsqueda en el fichero de paginación. Búsqueda en memoria. Volcado de memoria. Imágenes de memoria. Paso 9 (Análisis online)
  • 45. Búsqueda de logs. Uso de consolidadores de logs. Detección de la información. Cruce de eventos. Paso 10 (Análisis logs)
  • 46. He venido a contar Yo como Umbral
  • 47. ¿DÓNDE NOS PUEDES ENCONTRAR? En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico http://www.informatica64.com/boletines.html En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán. http://www.informatica64.com/10aniversario/ En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft. http://www.windowstecnico.com/ En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades. http://www.informatica64.com
  • 48. SIMO(22, 23 y 24 de Septiembre) Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES Durante los tres días se realizarán HOLs Guiados y Auto guiados http://technet.microsoft.com/es-es/hol_simo09.aspx Azlan D-LINK Academy: 5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). (Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo) Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html Microsoft TechNet HandsonLab (HOLs) En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre) Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx PROXIMOS EVENTOS