The World Leader in eDiscovery & Digital Investigations™

Análisis del software forense

informático EnCase Forensics
 Pablo Llanos. Técnico de I+D de Ondata International.

© 2008 Guidance Software, Inc. All Rights Reserved.

Ondata International: Un reconocido prestigio en
seguridad informática
P A G E 2

Especialistas en análisis forenses informáticos (Computer

Forensics) encaminados a la consecución de evidencias digitales
sobre cualquier medio digital.

© 2008 Guidance Software, Inc. All Rights Reserved.

The World Leader in eDiscovery & Digital Investigations™

EnCase® Forensics
Enforce legal holds and automatically search, identify, collect,
preserve and process electronically stored information across
the network

© 2008 Guidance Software, Inc. All Rights Reserved.

Estándar en la ciencia forense informática
P A G E 4

 ¿Quién se beneficia con EnCase?

 Desarrolladores de casos
 Examinadores de análisis forense
 Demandantes
 Unidades de investigación de explotación de menores
 Examinadores de fraudes
 Espacialistas en idiomas
 Unidades de investigación de delitos financieros
 Unidades de investigación de delitos sexuales
 Unidades de investigación de robos y homicidios
 Unidades de investigación de bandas delictivas
 Unidades de investigación de personas desaparecidas
 Seguridad nacional
 Unidades de invetigación de narcóticos y corrupción
 Unidades legales

© 2008 Guidance Software, Inc. All Rights Reserved.

Beneficios y funciones
P A G E 5

 EnCase Forensics ayuda a…

 Resolver más casos
 Encontrar evidencias para sumar cargos en una misma
investigación
 Obtener condenas más largas
 Incrementar la cantidad de acuerdos entre la fiscalía y la defensa
 Crear una extensa base de datos vinculada (por ejemplo,
bandas delictivas, crimen organizado, etc.)

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Descripción del producto
P A G E 6

 Sencillez en el manejo de investigaciones muy complejas

 Capacidad para buscar y analizar grandes cantidades de datos de forma
rápida y sencilla.
 Multiples sistemas de archivos y lenguajes.
 Permite capturar, analizar y generar informes sobre evidencia digital
 Posibilidad de recolectar inteligencia procesable desde cualquier actividad en
Internet, sesión de Chat, correo electrónico, documentos gráficos, libretas de
direcciones, etc.
 Recupera evidencias digitales que residan en archivos eliminados, discos
reformateados, espacio de intercambio, archivos ocultos, colas de impresión,
etc.
 Ayuda a revisar datos de difícil acceso, incluidos los archivos de sistema y los
datos cifrados.

© 2008 Guidance Software, Inc. All Rights Reserved.

Casos de Estudio:
La evidencia digital contra los delitos violentos
P A G E 7

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Descripción del producto
P A G E 8

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Descripción del producto
P A G E 9

 Las evidencias
electrónicas provienen
de medios que de alguna
manera establecen
conexiones entre sí,
tanto en redes
centralizadas (Intranet)
como descentralizadas
(Internet) o distribuidas
(redes sociales)

La investigación de estas evidencias digitales nos lleva a establecer

conexiones entre las personas que utilizan estos medios

© 2008 Guidance Software, Inc. All Rights Reserved.

Metodología de fucionamiento
P A G E 10

1. Crear una imagen del dispositivo sospechoso

2. Comprobar identidad criptográfica de la imagen (MD5)
3. Analizar datos del dispositivo sospechoso
4. Buscar evidencias y generar documentos

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
¿Cómo funciona?
P A G E 11

 Obtiene adquisiciones válidas a efectos legales

 Ahorra tiempo con funciones de productividad avanzadas

 Permite la personalización de las funciones a través de la programación

EnScript

 Proporciona datos procesables y genera informes

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Lista de Características y Funciones
P A G E 12

 Adquisición (Señalización de errores, reinicio de la adquisición, archivos de

evidencia lógica, verificación CRC y MD5, LinEn para linux y WinEn para
RAM)
 Herramientas de automatización (EnScript, filtros y condiciones, análisis de
hardware, recuperación de particiones y de archivos eliminados)
 Funciones de análisis (Analizador de registro de eventos de Windows,
análisis de firmas de archivos y de hash, buscador de datos en espacio no
asignado)
 Visores (Visualización nativa para 400 formatos, visor de registro, visor de
imágenes integrado, visor de linea de tiempo)
 Búsqueda (Por índice Unicode, por proximidad, en datos binarios sin
procesar, GREP, palabras clave en varios idiomas, big endian/little endian)
 Generación de informes (lista de todos los archivos y carpetas de un caso,
direcciones URL, informes de respuesta a incidentes, registros, información
del HDD, enformato RTF o HTML)

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Lista de Características y Funciones
P A G E 13

 Funciones de Marcador (datos resaltados, notas, información de carpetas,

bookmarks, archivos relevantes, grupos de archivos)
 Investigación del uso de internet: Análisis del historial web (Objetos de
Internet, análisis de la memoria caché y del historial web, analizador de HTML,
reconstrucción de páginas, herramientas Kazaa, análisis de mensajería
instantánea)
 Investigación del uso de internet: Análisis del correo electrónico (archivos
PST y OST (outlook) , archivos DBX (outlook express), EDB (Exchange), Lotus
Notes, PFC (AOL), Yahoo, Hotmail, Netscape Mail, Mbox)
 Compatibilidad del sistema (RAID, disco dinámico Windows Server, máquinas
virtuales VMWare, VirtualPC, DD, Safeback, Sistemas de Archivos FAT12/16/32,
NTFS (Windows), HFS y HFS+ (Apple), UFS, ZFS (Sun Solaris), EXT2/3 (Linux),
Reiser de BSD, FFS, FFS2, UFS2 de FreeBSD, NSS y NWFS deNovell, AIX jfs de
IBM, JFS, TiVo, CDFS, Joliet, DVD, UDF, ISO9660 y Palm.

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Utilización
P A G E 14

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Demostración
P A G E 15

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Utilización
P A G E 16

 En el CD de demostración encontramos una versión completa de EnCase

con dos archivos de evidencias correspondientes a dos casos de
estudio:

 Hunter XP.E01: Una imágen de un disco duro sospechoso

 MS E-mail Files.E01: Un archivo de evidencias de correo electrónico.

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase Forensics
Demostración: Interfaz GUI de EnCase
P A G E 17

© 2008 Guidance Software, Inc. All Rights Reserved.

¿Somos buenos investigadores?

P A G E 18

 Tras el análisis de los archivos de evidencia deberíamos ser capaces de

demostrar que hay pruebas que incriminan a un secuestrador y que se ha
producido un delito a cargo de unos lamers / crackers.

© 2008 Guidance Software, Inc. All Rights Reserved.

¿Somos buenos investigadores?

P A G E 19

Suerte, busquen las pruebas, y recuerden: las evidencias están en el

ordenador, y los ordenadores no mienten
Muchas gracias por su atención

© 2008 Guidance Software, Inc. All Rights Reserved.