1

U
N
I
V
E
R
S
I
D
A
D
N
A
C
IO
N
A
L
D
E
L
C
A
L
L
A
O
U
N
I
V
E
R
S
I
D
A
D
N
A
C
IO
N
A
L
D
E
L
C
A
L
L
A
O
1
9
6
6
1
9
6
6
UNIVERSIDAD NACIONAL DEL CALLAO
FACULTAD INGENIERA INDUSTRIAL Y DE SISTEMAS
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS













COMPUTACIN FORENSE

Alumna: Untiveros Morales, Miriam



Bellavista-Callao
2010


2


NDICE


1.- INTRODUCCIN3
2.- COMPUTACIN FORENSE4
DEFINICIN
OBJETIVOS
3.- FORENSIA EN REDES (NETWORK FORENSICS) 5
FORENSIA DIGITAL (DIGITAL FORENSICS)
IDENTIFICACIN DE LA EVIDENCIA DIGITAL
4.- PRESERVACIN DE LA EVIDENCIA DIGITAL..6
ANLISIS DE LA EVIDENCIA DIGITAL
PRESENTACIN DE LA EVIDENCIA DIGITAL
5.- ORGANIZACIN INTERNA DE LABORATORIO.7
6.- INGRESO DEL SECUESTRO.8
7.- PRESERVACIN..9
8.- ANLISIS10
9.- SOFTWARE FORENSE..11
10.- HARDWARE FORENSE13
11.- GUAS MEJORES PRCTICAS14
12.- HERRAMIENTAS DE INFORMACIN FORENSE16
13.- HERRAMIENTAS PARA LA RECOLECCIN DE EVIDENCIA17
14.- WINHEX20
15.- HERRAMIENTAS PARA EL MONITOREO Y/O CONTROL DE COMPUTADORES.21

16.- HERRAMIENTAS DE MARCADO DE DOCUMENTOS 22





3



INTRODUCCION

La informtica forense est adquiriendo una gran importancia dentro del rea de la informacin electrnica, esto
debido al aumento del valor de la informacin y/o al uso que se le da a sta, al desarrollo de nuevos espacios
donde es usada (por Ej. El Internet), y al extenso uso de computadores por parte de las compaas de negocios
tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la informacin queda
almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la
informacin de informacin forma tal que no puede ser recolectada o usada como prueba utilizando medios
comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que surge el estudio de la
computacin forense como una ciencia relativamente nueva.

Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica, de la electricidad y el
magnetismo. Es gracias a fenmenos electromagnticos que la informacin se puede almacenar, leer e incluso
recuperar cuando se crea eliminada.

La informtica forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crmenes
apoyndose en el mtodo cientfico, aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas
digitales.

En este escrito se pretende mostrar una panormica muy general de la Informtica Forense, explicando en detalle
algunos aspectos tcnicos muchas veces olvidados en el estudio de esta ciencia.


















4

COMPUTACIN FORENSE


DEFINICIN DE COMPUTACIN FORENSE
Es el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmente
aceptable

Computacin forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que
considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la informacin en los
medios informticos para establecer los hechos y formular las hiptesis relacionadas con el caso; o como la
disciplina cientfica y especializada que entendiendo los elementos propios de las tecnologas de los equipos de
computacin ofrece un anlisis de la informacin residente en dichos equipos.
OBJETIVOS DE LA COMPUTACIN FORENSE
La informtica forense tiene 3 objetivos, a saber:
1. La compensacin de los daos causados por los criminales o intrusos.
2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia.





5


FORENSIA EN REDES (NETWORK FORENSICS)
Es un escenario an ms complejo, pues es necesario comprender la manera como los protocolos,
configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento
especfico en el tiempo y un comportamiento particular.

Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de
computadores, es capaz, siguiendo los protocolos y formacin criminalstica, de establecer los rastros, los
movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la definicin de
computacin forense, este contexto exige capacidad de correlacin de evento, muchas veces disyuntos y
aleatorios, que en equipos particulares, es poco frecuente.

FORENSIA DIGITAL (DIGITAL FORENSICS)
Forma de aplicar los conceptos, estrategias y procedimientos de la criminalstica tradicional a los medios
informticos especializados, con el fin de apoyar a la administracin de justicia en su lucha contra los posibles
delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (quin?, cmo?,
dnde?, cundo?, porqu?) de eventos que podran catalogarse como incidentes, fraudes o usos indebidos
bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en
el contexto de la administracin de la inseguridad informtica.

IDENTIFICACIN DE LA EVIDENCIA DIGITAL
En una investigacin que involucra informacin en formato digital, se debe:
Identificar las fuentes potenciales de evidencia digital
Determinar qu elementos se pueden secuestrar y cules no
Si se trata de un escenario complejo:
Tomar fotografas del entorno investigado
Documentar las diferentes configuraciones de los equipos, topologas de red y conexiones a Internet



6



PRESERVACIN DE LA EVIDENCIA DIGITAL
Al trabajar con evidencia digital deben extremarse los recaudos a fin de evitar la contaminacin de la prueba,
considerando su fragilidad y volatilidad
Mantenimiento de la Cadena de Custodia
Registro de todas la operaciones que se realizan sobre la evidencia digital
Resguardo de los elementos secuestrados utilizando etiquetas de seguridad
Preservacin de los elementos secuestrados de las altas temperaturas, campos magnticos y golpes
Los elementos de prueba originales deben ser conservados hasta la finalizacin del proceso judicial
Obtencin de imgenes forenses de los elementos secuestrados
Por cuestiones de tiempo y otros aspectos tcnicos, esta tarea se realiza una vez que ha sido
secuestrado el elemento probatorio original
En caso de que la creacin de una imagen forense no sea posible, el acceso a los dispositivos
originales se realiza mediante mecanismos de proteccin contra escritura
Autenticacin de la evidencia original
Generacin de valores hash MD5 o SHA-1- a partir de los datos contenidos en los diferentes
dispositivos secuestrados
ANLISIS DE LA EVIDENCIA DIGITAL
Involucra aquellas tareas orientadas a localizar y extraer evidencia digital relevante para la investigacin
Mediante la aplicacin de diversas tcnicas y herramientas forenses se intenta dar respuesta a los puntos de
pericia solicitados
El anlisis de datos requiere un trabajo interdisciplinario entre el perito y el operador judicial juez, fiscal-
que lleve la causa
Tareas que se llevan a cabo dependiendo del tipo de investigacin
Bsqueda de palabras claves o documentos en todo el espacio de almacenamiento del dispositivo
investigado
Determinar si ciertas aplicaciones fueron utilizadas por un determinado usuario
Determinar qu tipo de actividad tena el usuario en la Web, anlisis del historial de navegacin, anlisis
de correo electrnico, etc.
PRESENTACIN DE LA EVIDENCIA DIGITAL
Consiste en la elaboracin del dictamen pericial con los resultados obtenidos en las etapas anteriores
La eficacia probatoria de los dictmenes informticos radica fundamentalmente en la continuidad en el
aseguramiento de la prueba desde el momento de su secuestro
El dictamen debe ser objetivo y preciso, conteniendo suficientes elementos para repetir el proceso en caso de
ser necesario (por ejemplo en un juicio oral)






7


ORGANIZACIN INTERNA DE LABORATORIO



WORKFLOW DE LABORATORIO PERICIAL INFORMTICO













8

INGRESO DEL SECUESTRO

Registro de fotografas digitales en el CMS

Verificacin de la cadena de custodia







9


PRESERVACIN

















10

ANLISIS

PRESENTACIN Y
ENVO


11

SOFTWARE FORENSE
Generacin de una imagen forense para practicar la pericia informtica



12






13

HARDWARE FORENSE



14



GUAS MEJORES PRCTICAS
A continuacin se enuncian siete guas existentes a nivel mundial de mejores prcticas en computacin forense.

El RFC 3227: Gua Para Recolectar y Archivar Evidencia

Es un documento que provee una gua de alto nivel para recolectar y archivar datos relacionados con intrusiones.
Muestra las mejores prcticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la
recoleccin y determinar cmo almacenar y documentar los datos. Tambin explica algunos conceptos
relacionados a la parte legal. Su estructura es:
a) Principios durante la recoleccin de evidencia: orden de volatilidad de los datos, cosas para evitar,
consideraciones de privacidad y legales.
b) El proceso de recoleccin: transparencia y pasos de recoleccin.
c) El proceso de archivo: la cadena de custodia y donde y como archivar.

Gua de la IOCE Gua para las mejores prcticas en el examen forense de tecnologa digital

El documento provee una serie de estndares, principios de calidad y aproximaciones para la deteccin
prevencin, recuperacin, examinacin y uso de la evidencia digital para fines forenses.
Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo
el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentacin en la corte. Su
estructura es:
a) Garanta de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal,
documentacin, herramientas y validacin de las mismas y espacio de trabajo).
b) Determinacin de los requisitos de examen del caso.
c) Principios generales que se aplican a la recuperacin de la evidencia digital (recomendaciones generales,
documentacin y responsabilidad).
d) Prcticas aplicables al examen de la evidencia de digital.
e) Localizacin y recuperacin de la evidencia de digital en la escena: precauciones, bsqueda en la escena,
recoleccin de la evidencia y empaquetado, etiquetando y documentacin.
f) Priorizacin de la evidencia.
g) Examinar la evidencia: protocolos de anlisis y expedientes de caso.
h) Evaluacin e interpretacin de la evidencia
i) Presentacin de resultados (informe escrito).
j) Revisin del archivo del caso: Revisin tcnica y revisin administrativa.
k) Presentacin oral de la evidencia.
l) Procedimientos de seguridad y quejas.



15




Gua DoJ 1: Investigacin en la Escena del Crimen Electrnico

Esta gua se enfoca ms que todo en identificacin y recoleccin de evidencia. Su estructura es:
a) Dispositivos electrnicos (tipos de dispositivos se pueden encontrar y cul puede ser la posible evidencia).
b) Herramientas para investigar y equipo.
c) Asegurar y evaluar la escena.
d) Documentar la escena.
e) Recoleccin de evidencia.
f) Empaque, transporte y almacenamiento de la evidencia.
g) Examen forense y clasificacin de delitos.
h) Anexos (glosario, listas de recursos legales, listas de recursos tcnicos y listas de recursos de entrenamiento).

Gua DoJ 2: Examen Forense de Evidencia Digital
Otra gua del DoJ EEUU, es Examen Forense de Evidencia Digital Esta gua est pensada para ser usada en el
momento de examinar la evidencia digital. Su estructura es:
a) Desarrollar polticas y procedimientos con el fin de darle un buen trato a la evidencia.
b) Determinar el curso de la evidencia a partir del alcance del caso.
c) Adquirir la evidencia.
d) Examinar la evidencia.
e) Documentacin y reportes.
f) Anexos (casos de estudio, glosario, formatos, listas de recursos tcnicos y listas de recursos de entrenamiento).

Gua Hong Kong: Computacin Forense - Parte 2: Mejores Prcticas

Esta gua cubre los procedimientos y otros requerimientos necesarios involucrados en el proceso forense de
evidencia digital, desde el examen de la escena del crimen hasta la presentacin de los reportes en la corte. Su
estructura es:
a) Introduccin a la computacin forense.
b) Calidad en la computacin forense.
c) Evidencia digital.
d) Recoleccin de Evidencia.
e) Consideraciones legales (orientado a la legislacin de Hong Kong).
f) Anexos.

Gua Reino Unido: Gua De Buenas Prcticas Para Evidencia Basada En Computadores

La polica cre este documento con el fin de ser usado por sus miembros como una gua de buenas prcticas para
ocuparse de computadores y de otros dispositivos electrnicos que puedan ser evidencia. Su estructura es:
a) Los principios de la evidencia basada en computadores.
b) Oficiales atendiendo a la escena.
c) Oficiales investigadores.
d) Personal para la recuperacin de evidencia basada en computadores.
e) Testigos de consulta externos.
f) Anexos (legislacin relevante, glosario y formatos)


Gua Australia: Gua Para El Manejo De Evidencia En IT

Es una gua creada con el fin de asistir a las organizaciones para combatir el crimen electrnico. Establece puntos
de referencia para la preservacin y recoleccin de la evidencia digital.
Detalla el ciclo de administracin de evidencia de la siguiente forma:
a) Diseo de la evidencia.
b) Produccin de la evidencia.
c) Recoleccin de la evidencia.
d) Anlisis de la evidencia.
e) Reporte y presentacin.
f) Determinacin de la relevancia de la evidencia.



16



HERRAMIENTAS DE INFORMACIN FORENSE

En los ltimos dos aos se ha disparado el nmero de herramientas para computacin forense, es posible
encontrar desde las ms sencillas y econmicas, como programas de menos de US$300, oo cuyas prestaciones
habitualmente son muy limitadas, hasta herramientas muy sofisticadas que incluyen tanto software como
dispositivos de hardware. Otra situacin que se ha venido presentando es el uso de herramientas tradicionales
como los utilitarios.
Con esa amplia gama de alternativas, si est pensando en adquirir una herramienta para computacin forense, es
necesario tener claro primero que todo el objetivo que persigue, pues existen varios tipos bsicos de herramientas,
no todos los productos sirven para todo, algunos estn diseados para tareas muy especificas y ms an,
diseados para trabajar sobre ambientes muy especficos, como determinado sistema operativo.
Siendo la recoleccin de evidencia una de las tareas ms crticas, donde asegurar la integridad de esta es
fundamental, es necesario establecer ese nivel de integridad esperado, pues algunas herramientas no permiten
asegurar que la evidencia recogida corresponda exactamente a la original. Igual de importante es que durante la
recoleccin de la evidencia se mantenga inalterada la escena del crimen
Son todas estas consideraciones que se deben tener en cuenta a la hora de seleccionar una herramienta para
este tipo de actividad, claro, adems de las normales en cualquier caso de adquisicin de tecnologa, como
presupuesto, soporte, capacitacin, idoneidad del proveedor, etc.
De hecho una de las alternativas que siempre se deber evaluar es si incurrir en una inversin de este tipo a la
que muy seguramente se tendr que adicionarle el valor de la capacitacin que en algunos casos puede superar
el costo mismo del producto, o, contratar una firma especializada para esta tarea, que generalmente cuentan no
con una sino con varias herramientas.
En este parte se presenta una clasificacin que agrupa en cuatro los tipos de herramientas de computacin
forense


17


Herramientas para la recoleccin de evidencia.
Las herramientas para la recoleccin de evidencia representan el tipo de herramienta ms importante en la
computacin forense, porque su centro de accin est en el que para muchos es el punto central. Su uso es
necesario por varias razones:
Gran volumen de datos que almacenan los computadores actuales.
Variedad de formatos de archivos, los cuales pueden variar enormemente, an dentro del contexto de un mismo
sistema operativo.
Necesidad de recopilar la informacin de una manera exacta, que permita verificar que la copia es fiel y adems
mantener inalterada la escena del delito.
Limitaciones de tiempo para analizar toda la informacin.
Volatilidad de la informacin almacenada en los computadores, alta vulnerabilidad al borrado, con una sola
informacin se pueden eliminar hasta varios gigabytes.
Empleo de mecanismos de encriptacin, o de contraseas.
Diferentes medios de almacenamiento, como discos duros, CDs y cintas.
Por esto mismo, las herramientas de recoleccin de evidencia deben reunir caractersticas que permitan manejar
estos aspectos, pero adems incluir facilidades para el anlisis como las que ofrecen EnCase de Guidance
Software y la familia de productos Image Mster de LawEnforcement & Comp. Forensic:
ENCASE
www.encase.com/



El Estndar en Computacin Forense
El estndar a nivel mundial en computacin forense: Utilizado por ms de 12.000 investigadores y profesionales
de la seguridad.

La polica, el gobierno, los militares y los investigadores corporativos confan en EnCase Edicin Forense para
ejecutar exmenes informticos delicados y conclusivos. Guiados por nuestras relaciones con investigadores en el
mundo entero, El programa EnCase ha sido optimizado para manejar la complejidad cada vez mayor de las
configuraciones y capacidades informticas.

El programa EnCase soporta un amplio rango de sistemas operativos, archivos y perifricos que son el desafo de
los investigadores forenses diariamente. Como una herramienta seleccionada por la polica, el programa EnCase
ha soportado numerosos desafos en las cortes de justicia, demostrando su confiabilidad y exactitud.
Recientemente, el Instituto Nacional para Estndares y Tecnologa (NIST) concluy que EnCase Imaging Engine
(motor de creacin de imgenes de discos) opera con mnimos defectos.

Ninguna otra solucin de computacin forense tiene este record de credibilidad, otorgado por sus usuarios,
agencias independientes y cortes de justicia. EnCase software fue premiado con el prestigioso premio eWEEK por
la excelencia y un grado de 5 estrellas en SC Magazine.

Alto rendimiento de procesamiento y confiabilidad
La clave para computacin forense es la capacidad de adquirir y analizar datos rpidamente. EnCase Edicin
Forense V4 le permite a los investigadores manejar fcilmente largos volmenes de evidencia computacional, la
visualizacin de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no utilizado. La
incomparable funcionalidad del programa de EnCase permite a los investigadores llevar satisfactoriamente el
proceso completo de investigacin computacional, incluyendo reportes personalizados de bsquedas y sus
ubicaciones.

18


Adquisiciones forenses confiables

El programa EnCase ejecuta adquisiciones de medios produciendo un duplicado binario exacto de los datos del
medio original. EnCase verifica este duplicado generando valores de hash MD5 en ambos medios (el original y el
archivo imagen o "archivo de evidencia"). Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valor
CRC. Estos valores CRC son verificados cada vez que la evidencia es accesada.

Flexibilidad extrema: EnScript
EnScript es un macro lenguaje de programacin incluido en el programa EnCase. Emulando caractersticas de
Java y C++, EnScript le permite al investigador construir scripts personalizados para necesidades especficas de la
investigacin y/o automatizacin de tareas rutinarias complejas. Mediante la automatizacin de cualquier tarea
investigativa, EnScript no solamente puede salvar das de investigacin, si no semanas del tiempo de anlisis.

Caractersticas de encase

Mltiple administracin de casos
La caracterstica de mltiple administracin de casos del programa EnCase, permite a los investigadores ejecutar
simultneamente mltiples casos hacia diferentes objetivos con diversos medios.

Soporte unicode
Cuando un usuario visualiza un documento creado en un lenguaje diferente, el programa EnCase puede desplegar
los caracteres correctamente. Esta es una caracterstica que le permite al programa EnCase buscar palabras
claves y desplegar los resultados en cualquier lenguaje.

Configuracin dinmica de discos
El programa EnCase soporta las siguientes configuraciones dinmicas de discos: Spanned, Mirrored, Striped,
RAID 5 y bsico. Con el ingreso de un mnimo de informacin, por parte del investigador, el programa EnCase
puede detectar automticamente la configuracin de los discos y conectar todas las particiones, mientras que se
conservan intactas las reas libres y de arranque para futuras bsquedas.

Bsqueda y anlisis: palabras claves, bsqueda de hash y firmas, y filtros
EnCase Edicin Forense V4 le permite a los investigadores analizar y pre visualizar simultneamente mltiples
bloques de datos adquiridos. Los investigadores pueden utilizar bsquedas globales de palabras claves, anlisis
de hash, anlisis de firmas de archivos y filtros especficos de archivos para analizar rpidamente la evidencia.

Opciones de adquisicin mltiple
Al igual que existen muchas formas de medios digitales, existen muchas otras formas de adquisicin de medios.
EnCase incluye cables para puertos paralelos y cable de red cruzado para Windows y DOS. Ambos mtodos
permiten al programa "escribir bloques" para ser colocados en el medio sospechoso, asegurando que el medio
original no sea alterado.

Sistemas de archivos (file systems) interpretados por EnCase
Los siguientes sistemas de archivos son actualmente soportados por EnCase Edicin Forense Versin 4: FAT12
(disco flexible), FAT16, FAT32, NTFS, HFS, HFS+, Sun Solaris UFS, EXT2/3, Reiser, BSD FFS, Palm, CDFS,
Joliet, UDF e ISO 9660.

Soporte para correo electrnico PST
El programa EnCase soporta archivos PST que tengan cifrado compresible y cifrado completo, obviando el archivo
de contraseas PST.












19



Visor de galera

El visor de galera provee un mtodo simple para visualizar rpidamente todas las imgenes en el archivo de
evidencia. La galera despliega imgenes BMP, JPGs, GIFs y TIFFs.

Visor de escala de tiempo
El visor de escala de tiempo le permite a los investigadores visualizar grficamente toda la actividad de en un
estilo de calendario, ilustrando los atributos del archivo, por ejemplo: cundo el archivo fue creado, ltima vez
accesado o escrito. El visor de escala de tiempo puede mostrar escalas desde das hasta aos, sirviendo como
una herramienta invaluable para mirar todos los patrones de actividad de archivos.




Visor de reportes
Los reportes pueden ser generados sobre cualquier archivo, carpeta, volumen, disco fsico o el caso completo. Los
reportes incluyen informacin referente a la adquisicin de datos, geometra del disco, estructuras de carpetas,
marcadores de archivos e imgenes. Los investigadores pueden exportar los reportes a formato RTF o HTML.

EnCase mdulo del sistema de archivos de cifrado (Encrypting File System . EFS)
El mdulo de EFS de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de archivos
cifrados (EFS), para usuarios locales autenticados.

EnCase mdulo del sistema de archivos virtuales (Virtual File System . VFS)
El mdulo de VFS de EnCase permite a los examinadores montar la evidencia de un computador en modo de
lectura nicamente y fuera de la red, permitiendo la examinacin adicional de la evidencia usando el explorador de
Windows y herramientas de terceros.

Mdulo del servidor de autenticacin en red (Network Authentication Server . NAS)
El servidor de autenticacin en red provee una completa flexibilidad en el licenciamiento del programa EnCase.
NAS permite licenciar el programa EnCase de tres formas: Local en el computador del examinador, remotamente
con servicios de terminal y a travs de red usando el administrador de licencias (License Manager).

FORENSIC TOOLKIT
www.accessdata.com/products/utk/

Cualquier investigacin informtica forense produce una gigantesca cantidad de
papeleo, ya que el objetivo de la investigacin es documentar absolutamente todo lo
que se encuentra. Estos conjuntos de herramientas estn diseadas para
proporcionar al investigador con la forma probada y verdadera y plantillas que
permitirn al investigador para documentar todo lo que se encuentra. Sirven tambin
como una lista de control eficaz de la ayuda del equipo de investigacin para
garantizar que no se pierda el paso y que todo se hace en el orden correcto.








20


WINHEX
www.x-ways.net/forensics/index-m.html
Software para informtica forense y recuperacin de archivos, Editor Hexadecimal de Archivos, Discos y
RAM




WinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la ms potente utilidad de sistema
jams creada. Apropiado para informtica forense, recuperacin de archivos, peritaje informtico,
procesamiento de datos de bajo nivel y seguridad informtica. Sus caractersticas incluyen:
Built-in interpretation of RAID systems and dynamic disks
Various data recovery techniques
Editor de RAM, una manera de editar RAM y la memoria virtual de otros procesos
Intrprete de Datos que reconoce hasta 20 tipos distintos de datos
Edicin de estructuras de datos mediante plantillas
Concatenar, partir, unir, analizar y comparar archivos
Funciones de bsqueda y reemplazo especialmente flexibles
Clonado de discos, con licencia especialista tambin sobre DOS
Imgenes y Backus de discos (comprimibles o divisibles en archivos de 650 MB)
Programming interface (API) y scripts
Encriptacin AES de 256 bits, checksums, CRC32, digests (MD5, SHA-1...)
Borrado irreversible de datos confidenciales/privados
Importacin de todos los formatos de portapapeles
Formatos de conversin: Binario, Hex ASCII, Intel Hex y Motorola S
Juego de caracteres: ANSI ASCII, IBM ASCII, EBCDIC
Salto instantneo entre ventanas

Existen otros productos tradicionales cuyo objetivo primordial no es la computacin forense, pero por incluir
herramientas para la recuperacin de archivos, en ocasiones pueden ser tiles, aunque la integridad de la
evidencia recabada a travs de estas herramientas podra estar ms expuesta y su valor probatorio podra ser
menor que el de evidencias obtenidas a travs de herramientas altamente especializadas que garantizan la
veracidad de la evidencia. Ejemplo tpico de herramientas no propiamente forenses es Norton Systemworks y
Norton Utilities.



21


Herramientas para el monitoreo y/o control de computadores

Si se requiere conocer el uso de los computadores es necesario contar con herramientas que los monitoreen para
recolectar informacin. Existen herramientas que permiten recolectar desde las pulsaciones de teclado hasta
imgenes de las pantallas que son visualizadas por los usuarios y otras donde las mquinas son controladas
remotamente.
Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto existen herramientas que
monitorean el uso de los computadores para poder recolectar informacin Existen algunos programas simples
como key loggers o recolectores de pulsaciones del teclado que guardan informacin sobre las teclas que son
presionadas. Estas herramientas pueden ser tiles cuando se quiere comprobar actividad sospechosa ya que
guardan los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto
es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informacin
relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas, y con los mensajes
que generan algunas aplicaciones.
Existen otras que guardan imgenes de la pantalla que ve el usuario del computador, o hasta casos donde la
mquina es controlada remotamente.
Es importante tener en cuenta que herramientas de este tipo han llegado a ser usadas con fines fraudulentos
(captura de claves de los clientes en cafs Internet u otros sitios pblicos). Se han detectado instalaciones remotas
de sencillos programas que registran toda la actividad del usuario en el teclado, esta es almacenada en un archivo
que es obtenido de forma remota por el perpetrador. El uso de estas herramientas debe estar plenamente
autorizada y un investigador no debera tomar el solo la decisin de su uso.


KEYLOGGER


KeyLogger es un ejemplo de herramientas que caen
en esta categora. Es una herramienta que puede ser
til cuando se quiere comprobar actividad sospechosa;
guarda los eventos generados por el teclado, por
ejemplo, cuando el usuario teclea la tecla de
'retroceder', esto es guardado en un archivo o enviado
por e-mail. Los datos generados son complementados
con informacin relacionada con el programa que tiene
el foco de atencin, con anotaciones sobre las horas, y
con los mensajes que generan algunas aplicaciones.
Existen dos versiones: la registrada y la de
demostracin. La principal diferencia es que en la
versin registrada se permite correr el programa en
modo escondido. Esto significa que el usuario de la
mquina no notar que sus acciones estn siendo
registradas.







22

HERRAMIENTAS DE MARCADO DE DOCUMENTOS
Un aspecto interesante es el de marcado de documentos; en los casos de robo de informacin, es posible,
mediante el uso de herramientas, marcar software para poder detectarlo fcilmente.
El foco de la seguridad est centrado en la prevencin de ataques. Algunos sitios que manejan informacin
confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un
sitio 100% seguro, se debe estar preparado para incidentes.
HERRAMIENTAS DE HARDWARE
El proceso de recoleccin de evidencia debe ser lo menos invasivo posible con el objeto de no modificar la
informacin. Esto ha dado origen al desarrollo de herramientas que incluyen dispositivos como conectores,
unidades de grabacin, etc. Es el caso de herramientas como DIBS Portable Evidence Recovery Unit y una
serie de herramientas de Intelligent Computer Solutions; LinkMASSter Forensic Soft Case, LinkMASSter Forensic
Hard Case, Image MASSter Solo 2 Forensic Kit With Hard Case.
Asimismo, debido a la vulnerabilidad de la copia y modificacin de los documentos almacenados en archivos
magnticos, los investigadores deben revisar con frecuencia que sus copias son exactas a las del disco del
sospechoso y para esto utilizan varias tecnologas como checksums o Hash MD5.