1 Investigations1 300-1-150.en - Es

GUIDE TO
COMPUTER FORENSICS
RND INVESTIGATIONS
THIRD EDITION
BILL NELSON. AMELIA PHILLIPS.

AND CHRISTOPHER STEUART
| PREPARING TOMORROW S |
INFORMATION
SECURITY
PROFESSIONALS
j11110101011010101010100011111lb.
111000011101101010100010101000001111b.
0000111011010101000101010110011110000.
11010110101010101000111111010111101010.
1101010100010101000001111000011101
0101000101010110011110000111011
01111110101111010101101
010 01111000011101101
1111000011101101c
Guiar
Guiar aa 11101010110101
100001110110V
Informática100Ub*1l
Informática Forense
Forenseee 1110000111* 101
Investigaciones
Investigaciones11 010 <1 311110101011010
it -or y 1100001110110101
OO l 11000011101101010k
V01I ,110 1111010101101010101
Cuarta edición % 01/ 1111000011101*ÿ010100
n<* 01111000011101.*.. r\r
Bill Nelson Amelia Phillips

Christopher Steuart
y COURSE TECHNOLOGY
CENGAGE Learning
Australia • Brazil • Japan • Korea • Mexico • Singapore • Spain • United Kingdom • United States
* COURSE TECHNOLOGY
*%ÿ CENGAGE Learning'
Guía de Informática Forense e Investigaciones, C. 2010 Course Technology, Cengage Learning

cuarta edición
TODOS LOS DERECHOS RESERVADOS. Ninguna parte de este trabajo cubierto por los derechos de
autor en el presente documento puede ser reproducida, transmitida, almacenada o usada en cualquier
Bill Nelson, Amelia Phillips, Christopher
forma o por cualquier medio gráfico, electrónico o mecánico, incluyendo pero no limitado a la fotocopia, la
Steuart
grabación, el escaneo, la digitalización, grabando, la distribución Web , sistemas de redes de información, o
Vicepresidente, Carrera y Profesional editorial: de almacenamiento y recuperación de información, con excepción de lo permitido en la Sección 107 o 108
de la Ley de Derechos de autor de Estados Unidos 1976, sin la previa autorización por escrito del editor.
Dave Garza editor ejecutivo Stephen helba Jefe de
Redacción: Marah Bellegarde Gerente Senior de
Producto: Michelle Ruelos Cannistraci
Para obtener información de productos y asistencia tecnológica, contacte con nosotros en
Cengage LearningCustomer y salessupport, 1-800-354-9706

Editor de desarrollo: Lisa M. Lord Asistente
Editorial: Sarah Pickering vicepresidente, Carrera y Para obtener permiso para utilizar el material de este texto o producto, o presentar
Marketing Profesional: Jennifer McAvey todas las solicitudes en línea en cengage.com/permissions
Otros permisos preguntas pueden ser enviadas por correo electrónico a
permissionrequest@cengage.com
Director de Marketing: Deborah S. Yarnell Superior
Marketing: Erin Coordinador Ataúd de marketing: Biblioteca del Congreso de control el número: 2009929885
Shanna Gibbs Director de producción: Carolyn Miller
Producción: Andrew Crouth Gerente de Proyectos ISBN-13: 978-1-435-49883-9 ISBN-10:

1-435-49883-6
Contenido: Jessica McNavich
Tecnología curso
20 Canal Center Street Boston, MA
Director de arte: Jack Pendleton Foto de la 02210
cubierta o de la ilustración: Shutterstock Cengage Learning es un proveedor líder de soluciones de aprendizaje personalizadas con
oficinas en todo el mundo, incluyendo Singapur, Reino Unido, Australia, México, Brasil y Japón.
Producción Tecnología Analista: Tom Stover Localizar su oficina local en: international.cengage.com/region
Coordinador de fabricación: Julio productos de Cengage Learning están representados en Canadá por Nelson Educación, Ltd
Esperas
Corrector de estilo: Ruth Bloom corrector de pruebas:

Para sus soluciones de aprendizaje permanente, la visita course.cengage.com
Michele Callaghan Compositor: Cadmus Comunicaciones
Visita nuestra página web corporativa cengage.com.
Microsoft y el logotipo Office son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y / o otros países.
Tecnología curso, una parte de Cengage Learning, es una entidad independiente de la Microsoft Corporation, y no afiliado con Microsoft de ninguna manera.
Cualquier dato de ficción relacionados con personas o empresas o URL que se utilizan en este libro está destinado sólo para fines de instrucción. En el
momento de impresión de este libro, cualquiera de esos datos era ficticia y que no pertenece a ninguna persona o sociedades. Course Technology y el logotipo
de Course Technology son marcas registradas utilizadas bajo licencia. Tecnología curso, una parte de Cengage Learning, se reserva el derecho de revisar esta
publicación y hacer cambios de vez en cuando en su contenido sin previo aviso. Los programas de este libro son sólo para fines de instrucción. Ellos han sido
probados con cuidado, pero no están garantizados para cualquier propósito particular, más allá de los propósitos educativos. El autor y el editor no ofrecen
garantías ni representaciones, ni aceptan ninguna responsabilidad con respecto a los programas.
Impreso en los Estados Unidos de América 1 2 3 4

5 6 7 12 11 10 09
JU UUUU IUIUIUI
1
1/011 ,1u 111101010110-101010
<11 mr i
* UN
'
Breve Tabla de Contenidos
Prefacio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
CAPÍTULO 1
Informática Forense e Investigaciones como una profesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
CAPITULO 2
La comprensión de investigaciones de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
CAPÍTULO 3
el Investigador ' s de oficinas y laboratorios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
CAPÍTULO 4
Adquisición de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
CAPÍTULO 5
Crime procesamiento y escenas incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
CAPÍTULO 6
Trabajando con Windows y DOS Sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
CAPÍTULO 7
Actuales herramientas forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
CAPÍTULO 8
Procesos Macintosh y Linux Boot y sistemas de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
CAPÍTULO 9
Análisis forense y validación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
CAPÍTULO 10
La recuperación de archivos de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
CAPÍTULO 11
Máquinas Virtuales, Red de medicina forense, y adquisiciones en vivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
CAPÍTULO 12
Las investigaciones de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
CAPÍTULO 13
Teléfono celular y análisis forense de dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
CAPÍTULO 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
CAPÍTULO 15
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
CAPÍTULO 16
Ética para el testigo experto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
APÉNDICE A
Referencias prueba de certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
APÉNDICE B
Informática Forense Referencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
iv Breve Tabla de Contenidos
APÉNDICE C
Consideraciones de Informática Forense de laboratorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
ANEXO D
DOS archivo de sistema y Forense Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
ÍNDICE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
JU UUUU IUIUIUI
1
1/011 ,1u 111101010110-101010
<11 mr * UN i '
Tabla de contenido
Prefacio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
CAPÍTULO 1
Informática Forense e Investigaciones como una profesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
La comprensión de la informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Informática Forense frente a otras disciplinas relacionadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Una breve historia de la informática forense. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 jurisprudencia entendimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . 8 El desarrollo de Informática Forense Recursos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Preparación para investigaciones de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

17 Realización de Investigaciones de Seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Distinción personal y la propiedad de
la empresa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
CAPITULO 2
La comprensión de investigaciones de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
La preparación de una investigación de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . 28
Una visión general de un delito informático. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Tomando un enfoque sistemático. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

La evaluación del caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Planificación de la Investigación. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Seguridad de su evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 35
Procedimientos para las investigaciones-corporativo de alta tecnología. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

. . 41 Las entrevistas e interrogatorios en las investigaciones de alta tecnología. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Configuración de la estación de trabajo para la informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Llevar a cabo una investigación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Reunir las pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Copias flujo de bits comprensión. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Uso ProDiscover básico para adquirir una unidad
USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
vi Tabla de contenido
El análisis de su Evidencia Digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Completando el Caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
CHAPTER 3
The Investigator ' s de oficinas y laboratorios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Descripción de los requisitos de certificación laboratorio forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
La identificación de Funciones del Director de Laboratorio y personal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Laboratorio de Planificación
del Presupuesto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 La adquisición de Certificación y Capacitación. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
La determinación de los requisitos físicos de un laboratorio forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

83 Planos Determinación de Informática Forense laboratorios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
La preparación de un caso de negocio para un laboratorio de informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
CAPÍTULO 4
Adquisición de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
La comprensión de Formatos de almacenamiento de evidencia digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Formato RAW. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 formatos propietarios. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Formato forense avanzada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
La determinación del mejor método de adquisición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 105 Uso de Herramientas de adquisición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Windows XP protección contra escritura con dispositivos USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Tabla de contenido vii
La adquisición de datos con un CD de arranque de Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Captura de una imagen con
ProDiscover básico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Captura de una imagen con AccessData FTK Imager. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . 123
La validación de las adquisiciones de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Métodos de validación de Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Métodos de validación de Windows. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Realizar adquisiciones de datos RAID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

RAID comprensión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 La adquisición de discos RAID. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
El uso de herramientas de red remoto de adquisición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Remote Acquisition with ProDiscover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Remote Acquisition with EnCase Enterprise . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Remote Acquisition with R-Tools R-Studio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Remote Acquisition with WetStone LiveWire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Remote Acquisition with F-Response . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Remote Acquisition with Runtime Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
. 139
Resumen del capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Preguntas de repaso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 141 proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
CAPÍTULO 5
Crime procesamiento y escenas incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
La identificación de evidencia digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Descripción de las reglas de comprobación científica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 escenas Ley de Procesamiento de Aplicación crimen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 161
La comprensión de conceptos y términos utilizados en warrants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Securing a Computer Incident or Crime Scene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Seizing Digital Evidence at the Scene . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Preparing to Acquire Digital Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Processing an Incident or Crime Scene . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Processing Data Centers with RAID Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173 Using a Technical Advisor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
viii Tabla de contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 proceso y manejo Evidencia Digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . 174
El almacenamiento de la evidencia digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Las pruebas de retención y medios de almacenamiento necesidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 pruebas que documentan. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Revisión de un caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . 179
Sample Civil Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Sample Criminal Investigation . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Reviewing Background Information for a Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Identifying the Case Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Planning the Investigation . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Conducting the Investigation: Acquiring Evidence withAccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . .
183
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
CAPÍTULO 6
Trabajando con Windows y DOS Sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
La comprensión de los sistemas de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
La comprensión de la secuencia de inicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Unidades de disco comprensión. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Explorar estructuras de archivos de Microsoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Disk Partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Master Boot Record . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Examining FAT Disks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Examining NTFS Disks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
La comprensión de Whole Disk Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228

El examen de Microsoft BitLocker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Examen de las herramientas de cifrado de
terceros disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Cómo funciona el registro de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

Exploración de la Organización del registro de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Examinando el registro de Windows. . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
La comprensión de las tareas de inicio de Microsoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

De inicio en Windows NT y tarde. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 de inicio en Windows 9x / Me. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
La comprensión de MS-DOS tareas de inicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Otros sistemas operativos de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
La comprensión de las máquinas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

La creación de una máquina virtual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Tabla de contenido ix
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
CAPÍTULO 7
Actuales herramientas forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Evaluating Computer Forensics Tool Needs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Types of Computer Forensics Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Tasks Performed by Computer Forensics Tools. . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Tool Comparisons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Other Considerations for Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
De línea de comandos Herramientas forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . 274 Otros GUI Forense Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Informática Forense Hardware Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

Las estaciones de trabajo forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 El uso de un bloqueador de escritura. . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Recomendaciones para una estación de trabajo forense. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . 280
Validar y pruebas de software forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

Usando Instituto Nacional de Estándares y Tecnología Herramientas (NIST). . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Usando protocolos de validación. . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
. 284 Proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
CAPÍTULO 8
Procesos Macintosh y Linux Boot y sistemas de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
La comprensión de la estructura de archivos y proceso de arranque de Macintosh. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
La comprensión de Mac OS 9 volúmenes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 Exploración de Tareas Macintosh de
arranque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Uso de Macintosh Software Forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . 303
El examen de las estructuras de UNIX y Linux de disco y los procesos de arranque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
UNIX and Linux Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Understanding Inodes . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 Understanding UNIX and Linux Boot Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Understanding Linux Loader and GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Understanding UNIX and Linux Drives and Partition
Schemes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Examining UNIX and Linux Disk Structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
La comprensión de otras estructuras de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

El examen de las estructuras de datos de CD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 Examen de discos SCSI. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Examen de IDE / EIDE y SATA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
333
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
x Tabla de contenido
Preguntas de revisión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 344
CAPÍTULO 9
Análisis forense y validación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Determinación de los datos para recopilar y analizar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Al acercarse Informática Forense casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Uso de AccessData Forensic Toolkit para analizar
datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
La validación de datos forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351

Validar con editores hexadecimales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Validación de Programas de Informática Forense. . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Dirigiéndose a técnicas de Data-escondite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356

. . . . . . . 362
Realizar adquisiciones a distancia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Las adquisiciones a distancia con tiempo de ejecución del software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
CAPÍTULO 10
La recuperación de archivos de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Reconociendo un archivo de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Imágenes de mapa de bits y la comprensión de mapa de bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 Vector Graphics comprensión. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Gráficos de metarchivo de comprensión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . 383 Gráficos Comprensión Formatos de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Comprensión de
formatos de archivos de cámaras digitales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
La comprensión de la compresión de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

Sin pérdidas y compresión con pérdida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Localización y recuperación de archivos de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388

Gráficos La identificación de fragmentos del archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Reparación dañado cabeceras. . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 La búsqueda y la talla de datos desde el espacio no asignado. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . La reconstrucción de 390 cabeceras de los archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
Reconstrucción de los fragmentos de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
La identificación de formatos de archivo desconocido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

Gráficos que analizan los encabezados de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Herramientas para ver imágenes. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 esteganografía entendimiento en archivos de gráficos. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . 408 Uso de Herramientas estegoanálisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Entendiendo Los derechos de autor con los gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Resumen del capítulo. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Tabla de contenido xi
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 Preguntas de repaso. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 417 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
CAPÍTULO 11
Máquinas Virtuales, Red de medicina forense, y adquisiciones en vivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Máquinas Virtuales general. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Red Forense general. . . . . . . . . . . 428
Cómo asegurar una red. . . . . . . . . . . . . . . . . 429
Realizar adquisiciones en directo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430

La realización de una adquisición en vivo en Windows. . . . . . . . . . . . . . . . . . . 431
El desarrollo de procedimientos estándar para análisis forense de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

La revisión de registros de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Uso de las herramientas de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

Uso de las herramientas de UNIX / Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 Usando Packet sniffers. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 El examen de la Honeynet Project. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 441
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
CAPÍTULO 12
Las investigaciones de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Exploran el papel de e-mail en las investigaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452 Exploración de las funciones de los cliente y
servidor de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 investigación de los delitos de correo electrónico y Violaciónes. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Examining E-mail Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Viewing E-mail Headers . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 Examining E-mail Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Examining Additional E-mail Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Tracing an E-mail Message . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Using Network E-mail Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Servidores comprensión de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467

El examen de los registros del servidor UNIX de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 El examen de los registros
de Microsoft Servidor de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470 Examen de Novell GroupWise registros de correo
electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Usando Especializados forenses E-mail Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Utilización de un editor hexadecimal para tallar mensajes de correo electrónico. . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
xii Tabla de contenido
CAPÍTULO 13
Teléfono celular y análisis forense de dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Comprender al forense de dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496

Conceptos básicos de telefonía móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 Dispositivos móviles en su interior. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 PDA en el interior. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . 500
Procedimientos de Adquisición de Comprensión de teléfonos celulares y dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . 501

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
CAPÍTULO 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
La comprensión de la importancia de los informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
La limitación de un informe de detalles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517 Tipos de informes. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Directrices para la redacción de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519

Lo que debe incluir informes escritos preliminar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 Estructura del informe. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521 Redacción de informes con claridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 522 El diseño de la disposición y la presentación de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Los resultados de generación de informe con herramientas forenses de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
CAPÍTULO 15
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Preparación para el testimonio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Preparación de la documentación y la evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 Revisión de su papel como Expert
Consulting o un testigo experto. . . . . . . . . . . . . . . . . . . . . . . . . . . . 544 Creación y Mantenimiento de la CV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . 544 Preparación de definiciones técnicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 Preparación para tratar con
los medios de noticias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Testificar en la corte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546

Descripción del proceso de prueba. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546 ofrece cualificaciones por su testimonio. . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 Directrices Generales sobre testificar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
548 Testificando Durante el examen directo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552 testificar durante el interrogatorio. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Preparación para una deposición o auditiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

Directrices para testificar en las deposiciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Tabla de contenido xiii
Directrices para testificar en las audiencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Preparación Forense evidencia de testimonio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

Preparación Las explicaciones de los propios métodos Evidencia-Collection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
CAPÍTULO 16
Ética para el testigo experto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
La aplicación de Ética y Códigos de peritos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Examinadores de Informática Forense ' Roles en testificar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 Consideraciones de la descalificación. . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578 trampas para incautos Expertos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 579 La determinación de la admisibilidad de las pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
International Society of Forensic Computer Examiners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 International High Technology Crime Investigation
Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 International Association of Computer Investigative Specialists. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 582 American Bar Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 American Medical Association. . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 American Psychological Association. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
584
Las dificultades éticas en el testimonio de expertos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

Responsabilidades éticas que se le debe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586 Standard y personalmente Creado Forense
Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
Un ejercicio de Ética. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587

Determining Hexadecimal Values for Text Strings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587 Searching for Unicode Data in ProDiscover Basic .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588 Interpreting Attribute 0x80 Data Runs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
589 Carving Data Run Clusters Manually . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
APÉNDICE A
Referencias prueba de certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
NIST Informática Forense Prueba de herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603 Tipos de Informática Forense
certificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Organizaciones de Certificación Profesional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604 empresas certificadoras proveedor de la
aplicación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605 Informática forense Grupos de formación públicos y privados. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . 605
APÉNDICE B
Informática Forense Referencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Informática Forense libros de referencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607 MS-DOS libros de referencia. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
xiv Tabla de contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
APÉNDICE C
Consideraciones de Informática Forense de laboratorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
Certificación Laboratorio Internacional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613 Teniendo en cuenta la ergonomía de oficina. . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613 Teniendo en cuenta las condiciones ambientales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . 614 Teniendo en cuenta los factores de diseño estructural. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
La determinación de las necesidades eléctricas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
La planificación de las comunicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616 Instalación de sistemas de extinción de
incendios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
ANEXO D
DOS archivo de sistema y Forense Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Descripción general de las estructuras de directorio FAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619 Secuencias de comandos de DOS
muestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
Configuración de la estación de trabajo para la informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628
Creación de medios de arranque forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631

Herramientas para el montaje de un disquete de arranque forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631 Construcción de una imagen de un
disquete en MS-DOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
El uso de MS-DOS de adquisición Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637

La comprensión de cómo Rangos DriveSpy Accesos Sector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637 Uso de Datos DriveSpy Comandos de
preservación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 Uso de comandos de manipulación de datos DriveSpy. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . 645
Referencias rápidas para DriveSpy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

Un script de ejemplo para DriveSpy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
El uso de X-Ways réplica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
ÍNDICE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
J10110101010101000111111U.
111000011101101010100010101000001111o.
10000111011010101000101010110011110000.
01010110101010101000111111010111101010.
1101101010100010101000001111000011101
jni000101010110011110000111011v
01111110101111010101101
11111000011101101
111000011101101C
I 11101010110101
J00011101101Í
100bi/1i 11110000111ÿ 101
11 010 ’1 011110101011010
11 >oo y 11100001110110101
(> OO i 110000111011010101
Prefacio \ I/01L .10 31111010101101010101v
oí 01/ inoooomorÿoioioo
f\
* 10011110000111011V iv
f\r
El rápido avance de la tecnología ha cambiado e influenciado la forma en que pensamos acerca de la obtención de pruebas digitales. Poco después de
los ataques contra el World Trade Center de la ciudad de Nueva York el 11 de septiembre,
2001, muchos hombres y mujeres jóvenes se ofrecieron para servir al país de diferentes maneras. Para aquellos que no eligieron los
militares, las opciones incluyen posiciones con la policía y las organizaciones de seguridad de la empresa. En última instancia, la
combinación de un renovado énfasis en la seguridad nacional, junto con la popularidad de los principales programas de televisión, tales
como CSI, Archivos Forenses, y NCIS,
ha creado una enorme demanda de especialistas altamente educados en la disciplina de la informática forense. Esta demanda está siendo
satisfecha por el advenimiento de la ciencia forense cursos especializados en los colegios, universidades y escuelas, incluso altos en los Estados
Unidos.
informática forense, sin embargo, de ninguna manera es un nuevo campo de actividad. Durante la década de 1990, mientras que actúa como un agente
especial con el Servicio de Investigación Criminal Naval (NCIS), me di cuenta de que los ordenadores personales y, más específicamente, los ordenadores
personales no garantizados suponían una amenaza potencial para la seguridad nacional. Comencé a participar en la realización de investigaciones
forenses relacionados con la delincuencia de cuello blanco, intrusiones en la red, y el fraude de las telecomunicaciones. Recientemente, el gobierno de
Estados Unidos ha dado pasos importantes para mejorar la calidad y la sofisticación del país ' s capacidades forenses informáticos, incluyendo la formación
del Comando Cibernético de Estados Unidos (CYBERCOM) en el Departamento de Defensa. Hoy en día, la mayoría de los nuevos especialistas en
informática forense puede esperar a estar involucrados en una amplia variedad de investigaciones, incluyendo contrainteligencia el terrorismo, los
problemas de fraude financiero, el robo de propiedad intelectual, las brechas de seguridad de datos, y el descubrimiento de datos electrónicos.
El conjunto de habilidades especialistas en informática forense deben haber son variadas. Como mínimo, deben tener un conocimiento
profundo de los sistemas del sistema de justicia criminal, hardware y software, y
xvi Prefacio
protocolos de investigación y obtención de pruebas. La próxima generación de “ detectives digitales ” tendrá que poseer el conocimiento, las
habilidades y la experiencia para llevar a cabo exámenes forenses complejas, con muchos datos relacionados con diversos sistemas
operativos, plataformas y tipos de archivos con conjuntos de datos en el rango multipleterabyte. A medida que pasa el tiempo, el “ disciplina
híbrida ” de la informática forense está evolucionando lentamente en una “ ciencia híbrida “- la ciencia de la medicina forense digital. Muchos
colegios y universidades en los Estados Unidos y el Reino Unido han creado planes de estudios multidisciplinares que ofrecen grados de
licenciatura y posgrado en medicina forense digital. Guía para la informática forense e investigaciones, ahora en su cuarta edición, se ha
convertido en un texto de referencia significativo para el ordenador y forenses digitales comunidades. Eso ' Es mi creencia de que este libro,
diseñado para ser utilizado principalmente en un entorno académico con un facilitador entusiasta y bien, hará que para un fascinante curso
de la instrucción. Hoy en día, ' No es sólo los ordenadores que albergan el código binario de 1s y 0s, sino una infinita variedad de dispositivos
digitales personales. Si uno de estos dispositivos conserva evidencia de un crimen, será hasta recién entrenado y educado detectives
digitales para encontrar la evidencia digital de una manera válida a efectos legales. Este libro ayudará a los estudiantes y profesionales en el
cumplimiento de este objetivo. Respetuosamente, John A. Sgromolo
Como agente especial, John fue uno de los miembros fundadores de la Crime Investigations Grupo NCIS ordenador. John dejó el
servicio del gobierno para ejecutar su propia compañía, Forense Digital, Inc., y ha enseñado a cientos de aplicación de la ley y
estudiantes corporativos en todo el país el arte y la ciencia de la investigación informática forense. Actualmente, John sirve como el
examinador forense de alto nivel para las investigaciones forenses digitales en Verizon.
J10110101010101000111111U.
111000011101101010100010101000001111o.
10000111011010101000101010110011110000.
01010110101010101000111111010111101010.
1101101010100010101000001111000011101
jni000101010110011110000111011v
01111110101111010101101
11111000011101101
111000011101101C
I 11101010110101
J00011101101Í
100bi/1i 11110000111ÿ 101
11 010 ’1 011110101011010
11 >oo y 11100001110110101
(> OO i 110000111011010101
Introducción\I/01L .10 31111010101101010101v
oí 01/ inoooomorÿoioioo
f\
* 10011110000111011V iv
f\r
Computer forensics has been a professional field for many years, but most well-established experts in the field have been
self-taught. The growth of the Internet and the worldwide proliferation of computers have increased the need for computing
investigations. Computers can be used to commit crimes, and crimes can be recorded on computers, including company policy
violations, embezzlement, e-mail harassment, murder, leaks of proprietary information, and even terrorism. Law enforcement,
network administrators, attorneys, and private investigators now rely on the skills of professional computer forensics experts to
investigate criminal and civil cases.
Este libro no está destinado a proporcionar una formación integral en informática forense. Lo hace, sin embargo, le dará una base sólida
mediante la introducción de la informática forense para aquellos que son nuevos en el campo. Otros libros sobre informática forense se orientan
a los expertos; Este libro está dirigido a los principiantes que tienen una base sólida en redes informáticas y conceptos básicos.
La nueva generación de expertos forenses informáticos necesita más formación inicial porque las herramientas de sistemas operativos, hardware,
software y los forenses están cambiando más rápidamente. Este libro cubre los sistemas operativos actuales y pasados y una amplia gama de equipos
de computación, desde estaciones de trabajo básicas a los servidores de red de gama alta. Aunque este libro se centra en unas pocas herramientas de
software forense, también revisa y discute otras herramientas disponibles en la actualidad.
El propósito de este libro es para guiarlo hacia convertirse en un experto en informática forense investigador. Un objetivo secundario es para
ayudarle a pasar los exámenes de certificación correspondientes. Como el campo de la informática forense e investigaciones madura, tener en
cuenta que las certificaciones van a cambiar. Puede encontrar más información sobre las certificaciones en el capítulo 3 y el apéndice A.
xviii Introducción
Público destinatario
Aunque este libro puede ser utilizado por personas con una amplia gama de antecedentes, se ' s destinado a aquellos con una A + y
Network + certificación o equivalente. Un fondo de las redes es necesaria para que pueda entender cómo los PCs operan en un
entorno de red y puede trabajar con un administrador de red cuando sea necesario. Además, debe saber cómo utilizar un ordenador
desde la línea de comandos y el uso de los sistemas operativos más populares, incluyendo Windows, Linux y Mac OS, y su
hardware relacionado.
Este libro se puede utilizar en cualquier nivel educativo, desde las escuelas técnicas superiores y colegios de la comunidad a los estudiantes
graduados. profesionales actuales en los sectores públicos y privados también pueden utilizar este libro. Cada grupo se acercará a problemas de
investigación desde una perspectiva diferente, pero todos se beneficiará de la cobertura.
Qué ' s nuevo en esta edición

El flujo capítulo de este libro ha sido revisado para que ' re expuesto por primera vez a lo que sucede en un laboratorio de informática forense y cómo
establecer uno antes de entrar en los detalles prácticos. La cobertura de varias herramientas de interfaz gráfica de usuario se ha añadido para darle
una familiaridad con algún tipo de software ampliamente utilizado. Además, el capítulo 6 incluye nueva información sobre cómo interpretar la tabla
maestra de archivos NTFS de Windows. El libro ' s DVD incluye tutoriales en vídeo para cada capítulo que muestran cómo realizar los pasos en las
actividades inchapter y explicar cómo utilizar la mayor parte de las herramientas de análisis forense en el DVD. Se han realizado correcciones a
esta edición basado en la retroalimentación de los usuarios, y todos los paquetes de software y sitios web se han actualizado para reflejar lo ' s actual
en el momento de la publicación. Un nuevo manual de laboratorio ahora se ofrece a ir con el nuevo libro de texto cuarta edición (ISBN:
1-4354-9885-2).
Las descripciones de los capítulos

A continuación se presenta un resumen de los temas tratados en cada capítulo de este libro:
Capítulo 1, “ Informática forense e investigaciones como profesión, ” una introducción a la historia de la informática forense y explica
cómo se desarrolló el uso de pruebas electrónicas. También introduce cuestiones legales y compara los casos de los sectores público
y privado.
Capitulo 2, “ La comprensión de investigaciones de equipos, ” es una introducción a las herramientas utilizadas a lo largo del libro y que muestra
cómo aplicar técnicas científicas para un caso de investigación. Además, cubre los procedimientos para investigaciones corporativas, como los
casos de terminación de los empleados y el espionaje industrial.
Capítulo 3, “ el Investigador ' s de oficinas y laboratorios, ” describe los requisitos físicos y equipos para laboratorios de informática forense, desde pequeños
investigadores privados ' laboratorios para el laboratorio regional del FBI. También cubre las certificaciones para el cálculo de los investigadores y la
construcción de un modelo de negocio para un laboratorio forense.
Capítulo 4, “ Adquisición de datos, ” explica cómo preparar para adquirir datos de un sospechoso ' s unidad y discute disponibles de línea de comandos y
herramientas de adquisición de interfaz gráfica de usuario. En este capítulo también se analiza la adquisición de datos de los sistemas RAID y le da una visión
general de las herramientas para las adquisiciones remotas.
Capítulo 5, “ Crime procesamiento y escenas de incidentes, ” explica órdenes de registro y la naturaleza de un caso típico de la informática
forense. Se discute cuándo utilizar profesionales externos, cómo armar un equipo, y cómo evaluar un caso y explica los procedimientos
adecuados para la búsqueda y apoderarse de pruebas. En este capítulo también se introduce en el cálculo de valores hash para verificar los
datos que recopila.
Capítulo 6, “ Trabajando con Windows y DOS Systems, ” discute los sistemas operativos más comunes. Se aprende lo que sucede y
Introducción xix
sistema trata espacio eliminado y holgura. Además, se ha añadido una nueva sección en el trabajo con máquinas
virtuales.
Capítulo 7, “ Actuales herramientas forenses, ” explora el software de informática forense actuales y herramientas de
hardware, incluidos los que podrían no estar disponibles, y evalúa sus fortalezas y debilidades.
Capítulo 8, “ Procesos Macintosh y Linux Boot y sistemas de archivos, ” continúa la discusión del sistema operativo Capítulo 6
mediante el examen de los sistemas operativos Macintosh y Linux. También cubre CDs, DVDs y discos SCSI, IDE / EIDE y
SATA.
Capítulo 9, “ Análisis forense y validación, ” cubre determinar qué datos se recopilan y analizan los planes de investigación y de
refinación. También explica la validación con los editores hexagonales y software de análisis forense, técnicas de ocultación de datos y
técnicas para adquisiciones remotas.
Capítulo 10, “ La recuperación de archivos de gráficos, ” explica cómo recuperar archivos de gráficos y examina la compresión de datos, los datos de talla,
la reconstrucción de los fragmentos de archivo, y las cuestiones de esteganografía y derechos de autor.
Capítulo 11, “ Máquinas virtuales, análisis forense de red, en vivo y Adquisiciones ” cubre las herramientas y métodos para la adquisición de
máquinas virtuales, la realización de investigaciones de red, realizar adquisiciones en vivo, y la revisión de los registros de la red de pruebas.
También se analiza el uso de herramientas de UNIX / Linux y el Proyecto Honeynet ' s recursos.
Capítulo 12, “ Las investigaciones de correo electrónico, ” cubre el correo electrónico e Internet fundamentos y examina los delitos de correo electrónico y
violaciónes. También se examinan algunas de correo electrónico herramientas especializadas de medicina forense.
Capítulo 13, “ Teléfono celular y análisis forense de dispositivos móviles, ” cubre técnicas de investigación y procedimientos de adquisición de datos
para la recuperación de los teléfonos móviles y dispositivos móviles. También proporciona orientación sobre cómo tratar con estas tecnologías en
constante cambio.
Capítulo 14, “ Redacción de informes de investigaciones de alta tecnología, ” discute la importancia de la escritura de informes de exámenes
forenses informáticos; ofrece directrices sobre el contenido del informe, la estructura y la presentación; y explica cómo generar resultados del
informe con herramientas de software forense.
Capítulo 15, “ El testimonio experto en investigaciones de alta tecnología, ” explora el papel de un experto o testigo técnico / científica,
incluyendo el desarrollo de un curriculum vitae, la comprensión del proceso de ensayo, y la preparación de la medicina forense evidencia de
testimonio. También ofrece pautas para testificar en la corte y en las deposiciones y audiencias.
Capítulo 16, “ Ética para el perito, ” proporciona orientación sobre los principios y la práctica de la ética para los investigadores de
informática forense y examina otras organizaciones profesionales ' códigos de ética.
Apéndice A, “ Referencias prueba de certificación, ” proporciona información sobre el Instituto Nacional de Estándares y procesos de
pruebas Tecnología (NIST) para la validación de herramientas de informática forense y cubre informáticos forenses certificaciones y
programas de formación.
Apéndice B, “ Referencias informática forense, ” listas de libros, revistas, listas de correo electrónico y sitios web recomendados para obtener
información adicional y un mayor estudio.
Apéndice C, “ Consideraciones Forense laboratorio de computación, ” proporciona más información sobre las consideraciones para laboratorios
forenses, incluyendo certificaciones, la ergonomía, el diseño estructural, y sistemas de comunicación y de extinción de incendios.
xx Introducción
Apéndice D, “ DOS File System y Forense Herramientas, ” revisiones de archivos FAT conceptos básicos del sistema y explica el uso de DOS
herramientas forenses, la creación de un medio de arranque forense, y el uso de scripts. También se examinan los comandos DriveSpy y X-Ways
réplica.
Caracteristicas
Para ayudarle a comprender plenamente la informática forense, este libro incluye muchas características diseñadas para mejorar su experiencia de aprendizaje:
• Objetivos del capítulo - Cada capítulo comienza con una lista detallada de los conceptos que hay que dominar en ese capítulo. Esta
lista le da una referencia rápida al capítulo ' s contenidos y es una ayuda útil estudio.
• Las figuras y tablas - Capturas de pantalla se utilizan como guía para pasar a través de los comandos y herramientas de análisis forense. Para
las herramientas no se incluye en el libro o que Aren ' t ofrecido en versiones libres de demostración, las cifras se han añadido para ilustrar la
herramienta ' interfaz s. Las tablas se utilizan en todo el libro para presentar información de una manera organizada, de fácil alcance.
• resumen de los capítulos - cada capítulo ' material de s es seguido por un resumen de los conceptos introducidos en ese
capítulo. Estos resúmenes son una forma útil revisar las ideas cubiertas en cada capítulo.
• Términos clave - Tras el resumen del capítulo, una lista de todos los nuevos términos introducidos en el capítulo con el texto en
negrita están reunidos en la lista de términos clave, con definiciones completas para cada término. Esta lista fomenta una
comprensión más completa del capítulo ' s conceptos clave y es una referencia útil.
• Preguntas de revisión - La evaluación final de capítulo comienza con un conjunto de preguntas de repaso que refuerzan los
conceptos principales de cada capítulo. Estas preguntas le ayudarán a evaluar y aplicar el material que ha aprendido.
• Proyectos prácticos - Aunque la comprensión de la teoría detrás de la tecnología informática es importante, nada puede mejorar la
experiencia del mundo real. Con este fin, cada capítulo ofrece varios proyectos prácticos con el software suministrado con este libro
o descargas libres. Puede explorar una variedad de maneras de adquirir e incluso ocultar las pruebas. Para los capítulos
conceptuales, se proporcionan los proyectos de investigación.
• proyectos de casos - Al final de cada capítulo hay varios proyectos de casos, incluyendo un ejemplo de caso de desarrollo
utilizado en todo el libro. Para completar estos proyectos, debe basarse en el sentido común del mundo real, así como su
conocimiento de los temas técnicos cubiertos a ese punto en el libro. Su meta para cada proyecto es encontrar respuestas a
problemas similares a los que ' ll cara como la informática forense investigador de trabajo.
• Tutoriales en vídeo - El libro ' s DVD incluye instrucciones de audio y vídeo para ayudar con el aprendizaje de las herramientas necesarias para llevar a
cabo actividades en el capítulo. Cada tutorial es un archivo .wmv que se pueden reproducir en la mayoría de los sistemas operativos. Las habilidades
aprendidas a partir de estos tutoriales pueden ser aplicados a proyectos prácticos al final de cada capítulo.
• archivos de datos de software y de los estudiantes - Este libro incluye un DVD que contiene los archivos de datos de los estudiantes y los
paquetes de demostración de software libre para su uso con las actividades y los proyectos en los capítulos. (Demostraciones de software
adicionales o gratuita puede descargarse para su uso en algunos proyectos.) Cuatro compañías de software han accedido amablemente para
permitir que incluye sus productos con este libro: Caminos Tecnología (ProDiscover Básico), AccessData (Forensic Toolkit, Registro de Visor, y
FTK Imager) , X-Ways (WinHex demo), y en tiempo de ejecución del software (DiskExplorer para FAT,
Introducción xxi
DiskExplorer para NTFS, y HDHOST). Para comprobar si hay nuevas versiones o información adicional, visite Caminos
Technology, LLC al www.techpathways.com, AccessData Corporation al
www.accessdata.com, X-Ways Software Technology en www.x-ways.net, y software de tiempo de ejecución en www.runtime.org.
El texto y las convenciones gráficas

Cuando sea apropiado, la información y ejercicios adicionales se han añadido a este libro para ayudar a comprender mejor el tema que
nos ocupa. Los siguientes iconos utilizados en este libro le alertan de materiales adicionales:
El icono
NOTE Nota llama su atención sobre el material adicional útil en relación con el sujeto que está siendo
cubierto.
Consejos sobre la base de los autores ' experiencia ofrecen información adicional sobre cómo atacar un problema
o qué hacer en situaciones del mundo real.
Los iconos
CAUTION advertencias le advierten acerca de los errores o problemas potenciales y explican
cómo evitarlos.
HANDS-ON PROJECTS
'
Cada proyecto práctico en este libro es precedido por el icono de Hands-On y una descripción del
ejercicio que sigue.
Estos iconos
CASE PROJECTS marcan proyectos de casos, que son asignaciones basadas en escenarios. En estos ejemplos de casos
extensos, se ' re pedido para aplicar de forma independiente lo que ha aprendido.
Instructor ' s Recursos

Los siguientes materiales adicionales están disponibles cuando este libro se utiliza en un salón de clases. Todos los suplementos disponibles
con este libro se proporcionan a los instructores en un solo CD (ISBN 1435498844). También puede recuperar estos materiales
suplementarios desde el sitio Web de Cengage, www.cengage.com, por ir a la página de este libro, bajo “ Descargar instructor Archivos &
Herramientas de enseñanza. ”
• instructor electrónica ' s Manual - El instructor ' s manual que acompaña a este libro incluye material didáctico adicional para ayudar en la
preparación de clases, incluyendo sugerencias para temas de conferencia, actividades de laboratorio recomendadas, consejos sobre la
creación de un laboratorio para proyectos prácticos y soluciones a todos los materiales al final de su capítulo.
• Banco de prueba ExamView - Este software de pruebas basado en Windows de vanguardia de diseño ayuda a instructores y administrar exámenes y
pruebas preliminares. Además de generar pruebas que se pueden imprimir y administrados, este programa con todas las funciones tiene un
componente de las pruebas en línea que permite a los estudiantes para tomar pruebas en el equipo y tienen sus exámenes calificadas de forma
automática.
xxii Introducción
• presentaciones de PowerPoint - Este libro viene con un conjunto de diapositivas de PowerPoint de Microsoft para cada capítulo. Estas diapositivas
están destinados a ser utilizados como medio de enseñanza para presentaciones en clase, para ser puesto a disposición de los estudiantes en la red
para su revisión capítulo, o para ser impreso para su distribución en el aula. Los instructores también están en libertad de añadir sus propias
diapositivas para otros temas introducidos.
• archivos de la figura - Todas las cifras en el libro se reproducen en el instructor ' s CD de recursos. Al igual que en las presentaciones de
PowerPoint, se ' re incluido como un medio de enseñanza para la presentación en clase, para poner a disposición de los estudiantes para su
revisión, o para ser impreso para su distribución en el aula.
Recursos para estudiantes

Manual de Laboratorio para la Guía de Informática Forense e Investigaciones (ISBN: 1-4354-9885-2)
• compañero Guía de Informática Forense e Investigaciones, cuarta edición. Este manual de laboratorio provee a los
estudiantes con más experiencia práctica.
Laboratorios basadas en Web para la Guía de Informática Forense e Investigaciones (ISBN: 1-4354-9886-0)
• El uso de un entorno de laboratorio real a través de Internet, los estudiantes pueden iniciar sesión en cualquier momento y lugar a través de un
navegador web para ganar experiencia práctica esencial en el uso de la informática forense laboratorios de
Guía de Informática Forense e Investigaciones, cuarta edición.
Requisitos de laboratorio
Los proyectos prácticos en este libro ayudará a aplicar lo que ha aprendido acerca de las técnicas informáticas forenses. Las siguientes
secciones se enumeran los requisitos mínimos para completar todos los proyectos en este libro. Además de los elementos mencionados, debe
ser capaz de descargar e instalar versiones de demostración de software.
Requisitos mínimos de laboratorio
• equipos de laboratorio que de arranque para Windows XP
• Los equipos que arranque dual con Linux o UNIX
• Al menos un ordenador Macintosh con Mac OS X (aunque la mayoría de los proyectos se llevan a cabo en Windows o Linux /
Unix)
• Un externa USB, FireWire o SATA duro más grande que un típico USB 512 MB conducir Los proyectos en este libro están diseñados
con los siguientes requisitos de hardware y software en mente. El laboratorio en el que la mayor parte del trabajo se lleva a cabo debe ser
un laboratorio de formación de red típica con una variedad de sistemas operativos y ordenadores disponibles.
Sistemas operativos y hardware de Windows
XP o Vista
Utilice una instalación estándar de Windows XP o Vista. El equipo que ejecuta Windows XP o Vista debe ser un modelo
bastante corriente que cumpla con los siguientes requisitos mínimos:
• puertos USB
• CD-ROM / DVD-ROM
Introducción xxiii
• VGA o de mayor
• partición del disco duro de 10 GB o más
• Ratón u otro dispositivo señalador
• Teclado
• Al menos 512 MB de RAM (se recomienda más)
Linux
Para este libro, ' s que supone ' re utilizando un Ubuntu, Red Hat Linux 9, o una instalación estándar de Fedora, aunque otras distribuciones de Linux
trabajarán con modificaciones menores. Además, algunos proyectos de uso especializado “ vivir ” distribuciones de Linux, como BackTrack. Algunos
pasos opcionales requieren el editor de gráficos GIMP, que se debe instalar por separado en Red Hat Linux 9. Linux puede ser instalado en un
equipo con inicio dual, siempre y cuando una o más particiones de al menos 2 GB están reservados para el sistema operativo Linux.
• partición del disco duro de 2 GB o más reservado para Linux
•
SÚK
Otros requisitos de hardware son los mismos que los indicados para ordenadores Windows
Este libro contiene un DVD de doble capa con archivos de datos, software de demostración, y
CAUTION
tutoriales en vídeo. Algunos equipos más antiguos y unidades de DVD pueden tener
dificultades para leer datos de este tipo de DVD. Si usted tiene algún problema, asegúrese de
que el ordenador tiene una unidad de DVD capaz de leer DVD de doble capa, y copiar los
datos a una unidad externa USB o FireWire antes de transferirlo a su ordenador.
Software Informática Forense

Varios programas de informática forense, enumerados anteriormente con el “ Caracteristicas, ” se suministran con este libro. Además, hay proyectos
utilizando el siguiente software, la mayoría de los cuales se pueden descargar desde Internet como freeware, shareware o versiones gratuitas de
demostración:
Debido
NOTEa que las direcciones de sitios Web cambian con frecuencia, utilizar un motor de búsqueda para
encontrar los siguientes programas en línea si las direcciones URL ya no son válidas. Se han hecho
esfuerzos para proporcionar información que ' s actual en el momento de la escritura, pero las cosas
cambian constantemente en la Web. Aprender a usar herramientas de búsqueda para encontrar lo que
necesita es una habilidad valiosa que ' ll utilizar como investigador forense.
• BackTrack 3: Descarga de www.remote-exploit.org/backtrack.html.
• BitPim: Descargar desde www.bitpim.org.
• BlackBag Tecnologías Macintosh Software Forense: Descargar una versión de prueba desde www.
blackbagtech.com/support/downloads.html. ( Tenga en cuenta que usted debe enviar por correo electrónico un nombre de usuario y
contraseña antes de poder descargar el software. Además, este URL ha cambiado recientemente de la dada en el capítulo 8.)
• HexWorkshop: Descarga de software de punto de interrupción en el www.hexworkshop.com.
• IrfanView: Descargar desde www.irfanview.com.
• Knoppix-STD: Descarga la imagen ISO desde http://std.org y grabarlo en un CD.

xxiv Introducción
• Microsoft Virtual PC: Descarga desde www.microsoft.com/virtualpc. ( Consulte con su instructor sobre el uso de una imagen
ISO que la Alianza Académica Microsoft proporciona a las escuelas.)
• OpenOffice (incluye OpenCalc): Descarga de www.openoffice.org.
• PsTools: Descarga de www.microsoft.com/technet/sysinternals/Utilities/PsTools.mspx.

• SecureClean: Descargar desde www.whitecanyon.com/secureclean.php.
• SIMCon: Descargar una versión comercial de www.simcon.no.

• Sleuth Kit 2.08 y Autopsia Browser 2.07: Descarga desde www.sleuthkit.org.
• S-Tools4: Descargar desde www.stegoarchive.com.
• WinZip: Descargar una versión de evaluación de www.winzip.com/download.htm.
• Wireshark: Descargar desde www.wireshark.org.
Además, se utiliza Microsoft Office Word (o software de procesamiento de textos) y Excel (hoja de cálculo u otro software), así como un
navegador Web. También necesita tener un software de correo electrónico instalado en el ordenador, como se explica en el capítulo 12.
Sobre los autores

Bill Nelson ha sido una ventaja de la informática forense investigador de una compañía Fortune 50 durante más de 11 años y ha
desarrollado programas de investigación de alta tecnología para las organizaciones profesionales y colegios. Su experiencia previa
incluye Sistema Automático de Identificación Dactilar (AFIS) ingeniería de software y reserva de trabajo de la policía. Bill ha servido
como presidente y vicepresidente de Tecnología Informática investigadores Noroeste (CTIN) y es miembro de Informática de
Gestión de Información Relacionada y Educación (delito). Por rutina, da conferencias en varias universidades en el noroeste del
Pacífico.
Amelia Phillips Es graduado del Instituto de Tecnología de Massachusetts con una licenciatura en ingeniería astronáutica y la arqueología y
un MBA en gestión de la tecnología. Después de servir como ingeniero en el Jet Propulsion Lab, trabajó con los sitios Web de comercio
electrónico y comenzó su formación en informática forense para evitar los números de tarjetas de crédito de ser robados de las bases de
datos de comercio electrónico sensibles. Ella diseñó programas de certificación y autorización previa para los colegios comunitarios en el
comercio electrónico, seguridad de redes, la informática forense y recuperación de datos. Actualmente está titular en Highline Community
College en Seattle, Washington. Amelia es un becario Fulbright que enseñó en la Politécnica de Namibia en 2005 y 2006.
Christopher Steuart es un abogado en ejercicio manteniendo una práctica general litigios, con experiencia en seguridad de sistemas de
información de una compañía Fortune 50 y el Ejército de Estados Unidos. También es Asesor General de Informática Los investigadores del
Noroeste (CTIN). Ha presentado seminarios de informática forense en los foros regionales y nacionales, incluyendo la Sociedad Americana
de Seguridad Industrial (ASIS), Ágora, tecnología de la computación Seminario de Análisis Criminal Noroeste (NCT), y CTIN.
Expresiones de gratitud
El equipo desea expresar su reconocimiento a las adquisiciones Editor Steve Helba, que nos ha dado una gran cantidad de apoyo
moral. Nos gustaría agradecer a todo el personal de producción editorial y por su dedicación y fortaleza durante este proyecto,
incluyendo Michelle Ruelos Cannistraci, Senior Product Manager, y Jessica McNavich, Gerente de Proyectos contenido. Nuestro
especial agradecimiento a Lisa Señor, el editor de desarrollo. También apreciamos la lectura cuidadosa y sugerencias reflexivas
de la
Introducción xxv
Editor Técnico, John Bosco. Nos gustaría agradecer a los revisores: Dean Farwood, Heald College, y Michael Goldner, ITT Technical
Institute. También nos gustaría dar las gracias a Franklin Clark, un investigador de la Fiscalía del condado de Pierce en Tacoma,
Washington, por su entrada, y Mike Lacey por sus fotos.
Bill Nelson
Quiero expresar mi agradecimiento a mi esposa, Tricia, por su apoyo durante las largas horas dedicadas a la escritura, junto con
mi madre, Celia, y en memoria de mi padre, Harry por su aliento estos últimos años. También quisiera expresar el reconocimiento
a mis coautores, junto con nuestros editores para el esfuerzo del equipo en la producción de este libro. Y un agradecimiento
especial por el apoyo y el aliento de mis colegas informáticos forenses: Franklin Clark del Fiscal del Condado de Pierce ' s Oficina,
Tacoma, Washington; El detective Mike McNown, retirado, Wichita PD; Scott Larson y Don Allison de STOZ Friedberg, LLC;
Detectives Brian Palmer, Barry Walden, y Melissa Rogers del Sheriff del Condado de King ' s Oficina, Seattle, Washington; John
Sgromolo de Verizon; Arte digital Ehuan de Primera; Brett Shavers de e3Discovery; Clint Baker, del RCMP; Colin Cree de
Recuperación de Datos Forenses, Inc .; Chris Brown de modalidades de tecnología; Gordon Ross, ex integrante de Net Nanny; y
Gordon Mitchell del futuro Focus, Inc.
Amelia Phillips
Mi más profundo agradecimiento a mi coautor Bill Nelson. Quiero reiterar las gracias a Steve y Lisa helba Señor por su paciencia y apoyo.
Nuestro reconocimiento a mis estudiantes que ayudaron con la investigación sobre la determinación de lo que puede y puede ' t hacer con un
teléfono celular: Ron “ Freír ” Frymier, Rachel Sundstrom, Anne Weingart, Dave Wilson, Casey Draper, y Lynne Bowen. Agradecimientos
también a la fabuloso grupo de estudiantes que han organizado el proyecto caso firestarter / incendiario utilizado en el libro. También me
gustaría dar las gracias a los estudiantes de las PD y las corporaciones que me dio un montón de historias de casos y la visión del área de
Seattle. Gracias también a Teressa Mobley, detective Melissa Rogers, y Deb Buser que me ayudó con varios casos y el software del
teléfono celular. Nuestro agradecimiento a mis amigos por su apoyo y agradecimiento especial a mis tías, que son todos grandes maestros
y un excelente ejemplo para mí.
Christopher K. Steuart
Me gustaría expresar mi agradecimiento a mi esposa, Josefina, hijo, Alexander, y su hija, Isobel, por su entusiasta apoyo
de mi compromiso con Guía para la informática forense e investigaciones,
Me gustaría expresar mi reconocimiento a los Boy Scouts de América por darme la primera de muchas oportunidades de
liderazgo en mi vida. I want to recognize Lieutenant General (then Captain) Edward Soriano for seeing the potential in me
as a young soldier and encouraging me in learning the skills required to administer, communicate with, and command an
organization within the structure of law, regulation, and personal compromiso.
Créditos fotográficos
Figura 1-3: 8088 cortesía del equipo de IBM Corporate Archives

Esta página se ha dejado intencionadamente en blanco
1010110101010101000111111o .
1111000011101101010100010101000001111o.
1000111011010101000101010110011110000.
101010110101010101000111111010111101010.
11
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y
Informática forensee e
InformáticaO forense
OOi
100001110110101
10000111011010101
investigaciones
investigaciones como
1l>1010como
,'10 1111010101101010101
profesión
profesión
O'I 01/
rv* 01111000011101 ...
11000011101 —010100
Después de leer este capítulo y completar los ejercicios,

usted será capaz de:
• Definir la informática forense
• Describir la forma de prepararse para investigaciones de equipos y explicar la diferencia

entre la policía y con investigaciones corporativas
• Explicar la importancia de mantener una conducta profesional

2 Capítulo 1
En los últimos años, el campo de la informática forense e investigaciones ha evolucionado

significativamente. Este capítulo es una introducción a la informática forense e investigaciones y discute algunos problemas y
preocupaciones que prevalecen en la industria. Este libro combina los métodos de investigación tradicionales con técnicas de
resolución de problemas de análisis de sistemas clásicos y las aplica a investigaciones de equipos. La comprensión de estas
disciplinas combinadas con el uso de herramientas de informática forense le hará un análisis forense informático altamente
cualificado examinador.
La comprensión de la informática forense

Informática forense A finales de 1990, CART se había asociado con el Departamento de Defensa Laboratorio de
Informática Forense (DCFL) para la investigación y la formación.
-
»*• t* Í— »!“'•«« lwh
*•»•* - ji) 2 o»*'* 4 jjr'Jj.* A »:
«$«*• |&| >•*> l**"“
* ** 3 <>*
±
fflgmfc j
I»
FBI LABORATORY
COMPUTER ANALYSIS AND RESPONSE TEAM
Ttm Ccfaa» *flíyn «nd Patiom* T. pwtaa HIM}*NR* to fBI Mtf nAcat *i
tha ***rrn and aainsa :< campidat *»t>nr* II VM« M (acanale aiamkianaoa *nd
!*iimc*l j-ppod Hit Ft# tnmujaliva Wi •>« aKludti a tlata-cit**- */•. kr*«K
ladaraton» eumonaadrf íimwn apaciaial» and tmh*om o»v*i»#<l and *qwfi>*<
*
laaaaxir nirnun •»MJO»3 to mot» trvan S) tatd :H<«
In 1999 in* ln*d cyn*j-i*J 2.400 ai»t»t*lio»,» of comm** «manta and »tvn9*u
t*-.v<c*i i-ÿpotl in t*m ,r»*i:.g«i>3m »<3 pnaaacidtcn ci caí*i <»•»} t'j<h «injanra
•
Tha Una ait o PMW al CAPT LMxcAn'. a anmata *M ?!> panaid nf FBI h*ld
aimnat Mlh th* praralaai* tMir al lha Ajflnm Mart Camodar EtarwudKin Spatam
(ACES). *A»c1i t «**•<«* adoncad (miipolai luneta and tn4w«i* Is «nduii man»
mam» m a tad docwrnamin*, aidomaaad mathed M FBI laid dnitcna
-I mean* ACES kT I"* and id •!« .« u 2UÜÜ In cwparaOgn mh tlia Untad SUIad
Aflomay'i C*ca and n«> <d*»r Mad. «da anl local la* «•rfoftan-anl ajanr tha
Ult/ aiiathiAa-1 in* S*n D*ap; Snwiiromm/*» Fmantic LmoralSTf Thia luxvatnrr
n arfad hpiadMicrf* ttrt*M«w and CAPT laditailpaiMnAal machad >y ti»
paltcoalrip ajamyaa
I* a mom «aaipradtn anhant* F® «Amt m

computo adaunon caaaa and la |tn»di
1
tuco»
Figura 1-1 El sitio Web Carro FBI
Documentos mantenidos en un equipo que están cubiertos por normas diferentes, dependiendo de la naturaleza de los documentos.
Muchos casos judiciales en los tribunales estatales y federales han desarrollado y aclarado cómo se aplican las reglas de la evidencia
digital. los cuarta Enmienda a la Constitución de los Estados Unidos (y cada estado ' s Constitución) protege a todos ' derechos de que
sean seguros en su persona, residencia, y la propiedad de búsqueda y captura, por ejemplo. Continuando con el desarrollo de la
jurisprudencia de esta modificación ha desempeñado un papel en la determinación de si la búsqueda de evidencia digital ha
establecido un precedente diferente, por lo separe órdenes de registro podría no ser necesario. Sin embargo, cuando se preparan
para buscar pruebas en un caso criminal, muchos investigadores
La comprensión de la informática forense 3
todavía incluyen el sospechoso ' s ordenador y sus componentes en el orden de registro para evitar problemas de admisibilidad posteriores.
1
En un caso significativo, la Corte Suprema de Pensilvania dirigida expectativas de privacidad y si la evidencia es admisible
(ver Commonwealth v. Copenhefer, 587 A.2d 1353, 526 Pa. 555 [1991]). Las investigaciones iniciales por el FBI, la policía
estatal y la policía local como resultado el descubrimiento de una serie de notas e instrucciones generadas por ordenador,
cada uno lleva a otro, que se había escondido en lugares escondidos en los alrededores de Corry, Pensilvania. La
investigación también produjo varios posibles sospechosos, entre ellos David Copenhefer, que era dueño de una librería
cercana y al parecer tenía malas relaciones personales con la víctima y su marido. El examen de la basura descartada
Copenhefer ' s tienda de revelado borradores de la nota de rescate y las instrucciones. búsqueda posteriores dieron lugar a
órdenes de incautación de pruebas en su contra. Copenhefer ' s ordenador contenía varios borradores y enmiendas del texto
de la llamada telefónica a la víctima el jueves la llamada telefónica a la víctima ' s marido el viernes la nota de rescate, la
serie de notas ocultos, y un plan para todo el esquema de secuestro ( Copenhefer, pag. 559). En la apelación directa, el
Tribunal Supremo de Pennsylvania concluyó que la evidencia física, incluyendo la evidencia informática forense, era
suficiente para soportar el dueño de la librería ' s convicción. Copenhefer ' s argumento era que “[ A] unque su equipo fue
válidamente tomó en virtud de una orden judicial, su intento de eliminación de los documentos en cuestión creado una
expectativa de privacidad protegido por la Cuarta Enmienda. Por lo tanto, según él, en virtud de Katz v. Estados Unidos, 389
Estados Unidos 347, 357, 88 S.Ct. 507, 19 L.Ed.2d 576 (1967), y su progenie, Agente Johnson ' s recuperación de los
documentos, sin antes obtener otra orden de registro, no era razonable bajo la Cuarta Enmienda y los documentos
incautados por lo tanto debería haber sido suprimida ”( Copenhefer, pag. 561).
La Suprema Corte de Pensilvania rechazó este argumento, afirmando “ Un acusado ' s intento de segregar evidencia de un crimen no es
sinónimo de una expectativa legalmente cognoscible de la privacidad. Una mera esperanza de mantener el secreto no es una
expectativa jurídicamente protegido. Si lo fuera, sería necesario órdenes de registro en un gran número de casos en los que las
órdenes no son claramente necesarias ”
( Copenhefer, pag. 562).
Casi todos los Estados Unidos jurisdicción tiene ahora la jurisprudencia en relación con la admisibilidad de las pruebas recuperado de
ordenadores. derecho penal canadiense es principalmente federales y generalmente forzada en corte provincial.
ElNOTE
Departamento de Justicia de Estados Unidos ofrece una guía útil para buscar y
procedimientos de incautación de ordenadores y equipo de pruebas www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm.
Esta guía incluye la actualización de 2006 de órdenes de registro y declaraciones.
Informática Forense frente a otras disciplinas relacionadas

De acuerdo con DIBS EE.UU., Inc., una corporación de propiedad privada especializada en informática forense ( www.dibsusa.com), informática
forense implica examinar y analizar los datos de los soportes informáticos para que los datos puedan ser utilizados como prueba en los
tribunales científicamente. Puede encontrar una definición similar en el FBI ' sitio Web s ( computer.htm
www.fbi.gov/hq/lab/fsc/backissu/oct2000/). Por lo general, la investigación de ordenadores incluye recogida de datos de la computadora de
forma segura examinando los datos sospechosos para determinar los detalles tales como el origen y el contenido, la presentación de la
información computerbased a los tribunales, y la aplicación de las leyes a la práctica del equipo.
4 Capítulo 1
En general, la informática forense investiga los datos que se pueden recuperar desde un ordenador ' s disco duro o en otro medio
de almacenamiento. Como un arqueólogo excavando un sitio, los investigadores informáticos recuperar información desde un
ordenador o sus partes componentes. La información se recupera podría estar ya en la unidad, pero puede que no sea fácil de
encontrar o descifrar. En contraste, análisis forense de red permite obtener información acerca de cómo un autor o un atacante
tuvo acceso a una red.
Red forense investigadores utilizan archivos de registro para determinar cuando los usuarios inician sesión y determinar qué
usuarios acceder a URLs, cómo iniciar una sesión en la red, y por lo que la ubicación. Tenga en cuenta, sin embargo, que los
análisis forense de red también trata de determinar qué pistas o archivos nuevos se quedaron atrás en una víctima ' se hicieron s
equipo y qué cambios. en el capítulo
11, que explora cómo y cuándo análisis forense de red se deben utilizar en su investigación. Informática forense también es diferente
de recuperación de datos, que consiste en la recuperación de información de un equipo que se ha eliminado por error o perdido en un
accidente de subida de tensión o un servidor, por ejemplo. En la recuperación de datos, por lo general sabe lo que ' re buscando.
Informática forense es tarea de la recuperación de datos que los usuarios han ocultos o borrados, con el objetivo de asegurar que los
datos recuperada es válida para que pueda ser utilizado como evidencia. La evidencia puede ser inculpatoria ( en los casos penales, la
expresión es “ incriminatorio “) o justificante, lo que significa que podría despejar el sospechoso. Los investigadores examinan a menudo
un disco de computadora sin saber si contiene pruebas. Ellos deben buscar medios de almacenamiento, y si encuentran datos, pieza
juntos para producir pruebas. herramientas de software de análisis forense se pueden utilizar para la mayoría de los casos. En casos
extremos, los investigadores pueden usar microscopios electrónicos y otros equipos sofisticados para recuperar información de las
máquinas que han sido dañadas o reformateado a propósito. Este método es por lo general un costo prohibitivo, que va desde un
extremo inferior de US $ 3.000 a más de US $ 20.000, por lo que ' s no se utiliza normalmente.
Al igual que las empresas especializadas en la recuperación de datos, empresas especializadas en recuperación de desastres utilizar técnicas de
informática forense para recuperar información de sus clientes han perdido. La recuperación de desastres también implica la prevención de la pérdida
de datos mediante el uso de copias de seguridad, dispositivos de suministro de energía ininterrumpida (UPS), y el monitoreo fuera del sitio.
Los investigadores a menudo trabajan como un equipo para hacer que las computadoras y las redes de seguridad en una organización. La
función de investigación de computación es uno de tres en una tríada que compone la seguridad de computación. En un entorno de red de la
empresa, la tríada se compone de las partes siguientes (que se muestran en la Figura 1-2):
• evaluación de la vulnerabilidad y gestión de riesgos
• detección de intrusiones de red y de respuesta a incidentes
• investigaciones de equipos
$
9 %
&
-Jr
&
Intrusion Response
Figura 1-2 La tríada investigaciones

Cada lado de la tríada en la Figura 1-2 representa un grupo o departamento responsable de realizar las tareas asociadas. Aunque
cada función funciona de forma independiente, los tres grupos atraen entre sí cuando se está llevando a cabo una investigación de 1
computación a gran escala. Mediante la combinación de estos tres grupos en un equipo, todos los aspectos de una investigación de
alta tecnología se abordan sin llamar a especialistas externos. El termino entorno de red empresarial se refiere a los grandes sistemas
informáticos corporativos que podrían incluir sistemas dispares o anteriormente independientes. En las empresas más pequeñas, un
grupo podría realizar las tareas que se muestran en la tríada investigaciones, o una pequeña empresa puede contratar con otras
empresas para estos servicios. Cuando se trabaja en el evaluación de la vulnerabilidad y gestión de riesgos grupo, probar y verificar la
integridad de las estaciones de trabajo y servidores de red independientes. Esta comprobación de integridad cubre la seguridad física
de los sistemas y la seguridad de los sistemas de operación (OSS) y aplicaciones. Las personas que trabajan en este grupo de
prueba en busca de vulnerabilidades conocidas de los sistemas operativos y las aplicaciones utilizadas en la red. Este grupo también
lanza ataques en la red y sus estaciones de trabajo y servidores para evaluar las vulnerabilidades. Por lo general, las personas que
realizan esta tarea cuentan con varios años de experiencia en UNIX y Windows administración.
Los profesionales en el grupo de evaluación de la vulnerabilidad y la gestión del riesgo también deben tener conocimientos de detección
de intrusiones de red y respuesta a incidentes. Este grupo detecta ataques de intrusos utilizando herramientas automatizadas y
seguimiento de registros del cortafuegos de red manualmente. Cuando se detecta un ataque externo, el equipo de respuesta de
seguimiento, localiza, e identifica el método de intrusión de y niega aún más el acceso a la red. Si un intruso lanza un ataque que cause
daño o daño potencial, este equipo recoge las pruebas necesarias, que puede ser utilizado para casos de litigio civil o criminal contra el
intruso. Litigio es el proceso legal de establecer la responsabilidad penal o civil en el tribunal. Si un usuario interno se dedica a actos
ilegales, el grupo de respuesta de detección de intrusiones de red y incidente responde mediante la localización del usuario y el bloqueo
de su acceso. Por ejemplo, alguien en un colegio comunitario envía correos electrónicos inflamatorias a otros usuarios en la red. El
equipo de la red se da cuenta de que los correos electrónicos son procedentes de un nodo de la red interna y distribuye un equipo de
seguridad para la ubicación. el personal de evaluación de la vulnerabilidad a menudo contribuyen de manera significativa a las
investigaciones de computación. los investigaciones de equipos grupo gestiona y lleva a cabo investigaciones de análisis forense de
sistemas sospechosos de contener evidencia relacionada con un incidente o un crimen. Para trabajo de casos complejos, el grupo de
investigaciones de equipos se basa en los recursos de los que participan en la evaluación de la vulnerabilidad, la gestión de riesgos, y la
detección de intrusiones de red y respuesta a incidentes. Este grupo resuelve o termina todas las investigaciones de casos.
Una breve historia de la informática forense

Hace treinta años, la mayoría de la gente dejase ' t imaginar que las computadoras serían una parte integral de la vida cotidiana. Ahora la
tecnología informática es un lugar común, al igual que los delitos en los que un ordenador es el instrumento de la delincuencia, el objetivo
de la delincuencia, y, por su naturaleza, la ubicación donde se almacena o se registró evidencia.
Por la década de 1970, los delitos electrónicos están aumentando, sobre todo en el sector financiero. La mayoría de los ordenadores de esta época
fueron los mainframes, utilizado por personas capacitadas con conocimientos especializados que trabajaban en las finanzas, la ingeniería y el mundo
académico. fraude de cuello blanco comenzó cuando la gente en estas industrias vieron una forma de ganar dinero mediante la manipulación de los
datos informáticos. Uno de los más

6 Capítulo 1
crímenes conocidos de la era mainframe es el crimen de medio centavo. Los bancos seguimiento comúnmente dinero en cuentas
para el tercer decimal o más. Ellos usaron y todavía usan el “ redondeando ” contabilidad método cuando el pago de intereses. Si el
interés aplicado a una cuenta resultó en una fracción de un centavo, de que se usó la fracción en el cálculo para la próxima cuenta
hasta que el total resultó en conjunto un centavo. Se suponía que tarde o temprano cada cliente se beneficiaría. Algunos
programadores informáticos dañados este método mediante la apertura de una cuenta por sí mismos y escribir programas que
desvían todos los fondos en sus cuentas fraccionadas. En los bancos pequeños, esta práctica fue de sólo unos pocos cientos de
dólares al mes. En los grandes bancos con muchas sucursales, sin embargo, la cantidad llegó a cientos de miles de dólares.
Durante este tiempo, la mayoría de los agentes de la ley dejase ' t sabe lo suficiente sobre las computadoras para hacer las
preguntas correctas o para preservar las pruebas para el juicio. Muchos comenzaron a asistir a los programas de formación Centro
Federal de Aplicación de la Ley (FLETC) diseñados para capacitar a las fuerzas del orden en la recuperación de datos digitales.
A medida que los ordenadores se hicieron populares y comenzaron a sustituir a los ordenadores centrales en la década de 1980, muchos
diferentes sistemas operativos surgió. Apple lanzó el 2E Apple en 1983 y luego el Macintosh en 1984. Los equipos tales como el TRS-80
y el Commodore 64 fueron las máquinas de la época. máquinas M CP /, como el Kaypro y Zenith, estaban también en la demanda.
Sistema operativo de disco (DOS) estaba disponible en muchas variedades, incluyendo PC-DOS, QDOS, DR-DOS, IBM-DOS y MS-DOS. Los
forenses herramientas en ese momento eran simples, y la mayoría fueron generados por agencias gubernamentales, tales como la Real Policía
Montada de Canadá (RCMP, que tenía sus propias herramientas de investigación) y el Servicio de Impuestos Internos (IRS). La mayoría de las
herramientas fueron escritos en C y lenguaje ensamblador y weren ' t disponibles para el público en general. A mediados de la década de 1980,
una nueva herramienta, Xtree oro, apareció en el mercado. Reconoció tipos de archivos y recuperar archivos perdidos o eliminados. Norton
DiskEdit pronto siguió y se convirtió en la herramienta preferida para la búsqueda de archivos borrados. Se podría utilizar estas herramientas
en los ordenadores más potentes de la época; ordenadores compatible con IBM tenían 10 MB discos duros y dos unidades de disquete, como
se muestra en la Figura 1-3.
* r4 a
w
Figura 1-3 Un equipo 8088

En 1987, Apple produjo el Mac SE, un Macintosh con un disco duro EasyDrive externo con 60 MB de almacenamiento (véase la
figura 1-4). En este momento, el Commodore 64 populares todavía se utiliza cintas de audio estándar para registrar los datos, por 1
lo que el Mac SE representó un importante avance en la tecnología informática.
Mac SE
*
Floppy drives
¿>
EasyDrive
*
Figura 1-4 Un Mac SE con un disco duro externo EasyDrive
A comienzos de 1990, herramientas especializadas para la informática forense estaban disponibles. los Asociación Internacional de
Especialistas en Investigación Informática (SIAL) formación introducido en el software para las investigaciones forenses, y los programas
de búsqueda de warrants IRS creados. Sin embargo, no hay software GUI comercial para la informática forense estaba disponible hasta
ASR datos creados testigo experto para Macintosh. Este software puede recuperar archivos borrados y fragmentos de archivos borrados.
Uno de los socios de ASR de datos más adelante a la izquierda y desarrollaron EnCase, que se ha convertido en una popular herramienta
informática forense.
A medida que la tecnología informática continuó evolucionando, se desarrolló más programas de informática
forense. La introducción de grandes discos duros plantea nuevos problemas para los investigadores. La mayoría
didn software basado en DOS ' T reconocen un disco duro más de 8 GB. Dado que los equipos actuales tienen
discos duros de 200 GB y más grande, se necesitan cambios en el software de análisis forense. Más adelante
en este libro, que explora los retos de usar software antiguo y hardware. AccessData Forensic Toolkit (FTK) se
ha convertido en un producto comercial popular que realiza tareas similares en la aplicación de la ley y los
mercados civiles, y utilizarlo en varios proyectos en este libro.
A medida que las empresas de software se vuelven más conocedores de la informática forense e investigaciones, que están publicando más
herramientas de análisis forense para mantener el ritmo de la tecnología. Este libro analiza tantas herramientas como sea posible. También debe
referirse a las publicaciones comerciales y sitios Web, tales como www. ctin.org ( La tecnología informática Los investigadores de la red) y www.usdoj.gov
( Departamento de Justicia de Estados Unidos), para estar al día.
8 Capítulo 1
Jurisprudencia de la comprensión
La tecnología de los ordenadores y otros dispositivos digitales está evolucionando a un ritmo exponencial. leyes y estatutos existentes
pueden ' t mantenerse al día con la tasa de cambio. Por lo tanto, cuando los estatutos o reglamentos Don ' t existe, se utiliza la
jurisprudencia. La jurisprudencia permite a un abogado para casos de uso anteriores similares a la actual y se dirige a la ambigüedad en
las leyes. Cada nuevo caso es evaluado por sus propios méritos y problemas. La Universidad de Rhode Island ( http: // DFC. cs.uri.edu) cita
muchos casos en los que los problemas ocurridos en el pasado. Un ejemplo en el sitio web se trata de un investigador visualización de
archivos de computadora mediante el uso de una orden de registro relacionada con el tráfico de drogas. Mientras ve los archivos, que
corrió a través de imágenes de pornografía infantil. En lugar de esperar a una nueva orden, que siguió buscando. Como resultado, se
excluyó todas las pruebas en relación con las imágenes. Los investigadores deben estar familiarizados con los recientes fallos para
evitar cometer errores similares. Tenga en cuenta que la jurisprudencia doesn ' t implican la creación de nuevos tipos penales, sin
embargo.
El desarrollo de Informática Forense Recursos

Para ser un éxito informática forense investigador, debe estar familiarizado con más de una plataforma de computación.
Además de las plataformas más antiguos, como DOS y Windows 9x, debe estar familiarizado con Linux, Macintosh y
plataformas actuales de Windows. Sin embargo, nadie puede ser un experto en todos los aspectos de la informática. Del
mismo modo, se puede ' t saber todo acerca de la tecnología que ' re investigar. Para complementar su conocimiento,
usted debe desarrollar y mantener el contacto con la informática, la red y los profesionales de investigación. Mantener
un registro de contactos, y registrar los nombres de otros profesionales que ' he trabajado, sus áreas de especialización,
los más recientes proyectos has trabajado juntos, y sus contribuciones.
Unirse a grupos de usuarios de ordenador en los sectores públicos y privados. En el noroeste del Pacífico, por ejemplo, Los
investigadores red de ordenadores Tecnología (CTIN) se reúne mensualmente para discutir los problemas que la policía y las
empresas se enfrentan. Esta organización sin fines de lucro también lleva a cabo la formación gratuita. Probablemente se puede
localizar a un grupo similar en su área, tales como el Asociación de Alta Tecnología de Investigación Criminal (HTCIA), una
organización que intercambia información acerca de las técnicas relacionadas con las investigaciones informáticas y de seguridad.
(Para más información visite www.htcia.org). Además, construir su propia red de expertos informáticos forenses y otros
profesionales, y mantenerse en contacto a través de correo electrónico. Cultivar relaciones profesionales con personas que se
especializan en áreas técnicas diferentes de su propia especialidad. Si tu ' re un experto en Windows, por ejemplo, mantener el
contacto con los expertos en Linux, UNIX y Macintosh.
Los grupos de usuarios pueden ser especialmente útiles cuando se necesita información sobre los sistemas operativos oscura. Por ejemplo, un grupo
de usuarios ayudó a condenar un abusador de menores en el condado de Pierce, Washington, en
1996. Los sospechosos instalado cámaras de vídeo a través de su casa, que se sirve alcohol para intoxicar a las mujeres jóvenes a
ellos, y secretamente filmados jugando póker de la tira. Cuando fue acusado de abusar sexualmente de un niño, la policía confiscó
sus ordenadores y otras pruebas físicas. El investigador descubrió que los ordenadores utilizados CoCo DOS, un sistema operativo
que había estado fuera de uso durante años. El investigador en contacto con un grupo de usuarios locales, que suministra los
comandos estándar y otros datos necesarios para obtener acceso al sistema. En el sospechoso ' s equipo, el investigador encontró un
diario que detalla el sospechoso ' s de las acciones en los últimos 15 años, incluyendo el abuso sexual de más de 400 mujeres
jóvenes. Como resultado, el sospechoso recibió una sentencia más larga que si hubiera sido condenado por abusar sexualmente de
un solo hijo.
Preparación para investigaciones de equipos 9
Los expertos externos pueden proporcionar información detallada que necesita para recuperar la evidencia digital. Por ejemplo, un
caso de asesinato reciente es el de un esposo y una esposa que poseía una tienda de Macintosh. Cuando la mujer fue encontrado 1
muerto, aparentemente asesinada, los investigadores encontraron que había querido dejar a su marido, pero dejase ' t debido a sus
creencias religiosas. La policía obtuvo una orden de allanamiento y confiscó los ordenadores domésticos y de oficina. Cuando el
detective en el caso examinado el hogar Macintosh, se encontró con que el disco duro había sido comprimido y borrado. Se puso
en contacto un ingeniero de Macintosh, que determina los dos programas de software utilizados para comprimir la unidad. Con este
conocimiento, el detective podría recuperar información del disco duro, incluyendo archivos de texto que indican que el marido
gastó $ 35,000 en fondos de la empresa para la compra de servicios de la cocaína y la prostitución. Esta evidencia fue crucial en lo
que es posible condenar el marido de asesinato premeditado.
Aprovechar los grupos de noticias, listas de correo electrónico, y servicios similares dedicados a la informática forense para
solicitar el asesoramiento de expertos. En un caso, los investigadores couldn ' t acceso al disco duro de un ordenador Intel
contiene pruebas digitales sin la contraseña, que fue modificable en la placa base. Cuando empezaron a quedarse sin
opciones y tiempo, se registró una descripción del problema en una lista de correo. Un miembro de la lista les dijo que un
dongle (dispositivo mecánico) pasaría por alto el problema de contraseña. Como resultado, los investigadores fueron capaces
de reunir pruebas para condenar al agresor.
casos más recientes incluyen ordenadores portátiles con formas especialmente diseñadas de acceder físicamente a los discos
duros. A veces, el fabricante ganó ' t decirle a la persona promedio que llama a la manera de acceder a un ordenador portátil ' s disco
duro. Varios investigadores han tenido que ir a través de los contactos de la ley para obtener esta información - otro ejemplo de la
importancia de desarrollar buenas relaciones con la gente en todos los aspectos de la industria digital, no sólo a otros
investigadores.
Preparación para investigaciones de equipos

investigaciones de equipos y las técnicas forenses podrían ser clasificados de varias maneras; A los efectos de esta discusión, se
divide en dos categorías distintas: las investigaciones públicas e investigaciones privadas o corporativas (ver Figura 1-5).
investigaciones públicas implican las agencias gubernamentales responsables de las investigaciones y el procesamiento. Las agencias
gubernamentales van desde locales, del condado, y estado o departamentos de policía provinciales a las fuerzas federales de
regulación. Estas organizaciones deben observar las directrices legales, como el artículo 8 de la Carta de los Derechos de Canadá, la
Ley de Procedimiento Penal de la República de Namibia, y los problemas de Estados Unidos de la Cuarta Enmienda búsqueda y
captura ( véase la figura 1-6).
La ley de la búsqueda y captura protege los derechos de todas las personas, incluyendo (y quizás especialmente) las personas
sospechosas de delitos; como investigador equipo, debe estar seguro de seguir estas leyes. El Departamento de Justicia (DOJ)
actualiza la información sobre el equipo de búsqueda e incautación de forma regular (ver www.usdoj.gov/criminal/cybercrime/).
investigaciones públicas por lo general implican casos criminales y agencias gubernamentales; investigaciones privadas o corporativas, sin
embargo, hacer frente a las empresas privadas, agencias gubernamentales no aplicación de la ley, y los abogados. Estas organizaciones
privadas aren ' t gobernado directamente por derecho penal
o problemas de la Cuarta Enmienda, sino por las políticas internas que definen el comportamiento del empleado y la conducta esperada en el
lugar de trabajo. investigaciones corporativas privadas también pueden incluir un litigio.
Private or corporate organizations
10 Capítulo 1
Company policy violations
Litigation disputes
Government agencies
Article 8 in the Charter of Rights of Canada
U.S. Fourth Amendment search
and seizure rules
IIII
IAI
kk
Figura 1-5 investigaciones públicas y privadas
G5 • 'Mr ritjAt oftAefieoffie to Aeieenrein tAeir

feráoná, Aoaáoi, fiapeM, andtffieM, ayatait
wnrea&onahleiearduú andAeÿureí. Jta/l
not 6e vio/ated, andno (tyParrantA ¿Atad
iüuo, iut tÿony>r<d>a¿/o ca/tle, ’itÿjported¿o
OatA or affirmation, andpartieidady

daicriitny tAoffiaeeto ¿cóaartAtd. anddie
ferioni or tAingt to te -ietyed.
Figura 1-6 La Cuarta Enmienda

Aunque las investigaciones privadas se realizan normalmente en los casos civiles, un caso civil puede convertirse en un caso
criminal, y un caso criminal puede tener implicaciones que conducen a un caso civil. Si usted sigue los buenos procedimientos 1
forenses, la evidencia encontrada en sus investigaciones puede hacer la transición entre los casos civiles y penales.
Comprensión aplicación de la ley de la Agencia de Investigaciones

Al llevar a cabo investigaciones de equipos públicos, hay que entender la ciudad, condado, estado o provincia, y
las leyes federales o nacionales sobre delitos informáticos, incluidos los procesos legales estándar y cómo
construir un caso criminal. En un caso criminal, un sospechoso es juzgado por un delito, como el robo, el asesinato,
abuso o fraude. Para determinar si hubo un delito informático, un investigador hace preguntas como las siguientes:
¿Cuál fue la herramienta utilizada para cometer el crimen? ¿Era una transgresión simple? ¿Fue un robo, un robo o
vandalismo? ¿El autor infringe de otra persona ' s de los derechos de ciberacoso o acoso e-mail?
Leyes,
NOTE incluidas las normas de procedimiento, varían según la jurisdicción y pueden ser muy diferentes. Por
lo tanto, este libro señala cuando los artículos aceptados en tribunales don ' t se levantan en otros tribunales.
Últimamente, un problema importante ha sido la Unión Europea las leyes de privacidad (UE) en oposición a
los Estados Unidos pri-
Como resultado, las investigaciones internas de la empresa pueden incluir leyes de varios países.
Los ordenadores y las redes podrían ser únicas herramientas utilizadas para cometer delitos y son, por lo tanto, no es diferente de
la ganzúa un ladrón utiliza para entrar en una casa. Por esta razón, muchos estados han añadido lenguaje específico para los
códigos penales para definir los delitos relacionados con las computadoras. Por ejemplo, han ampliado la definición de las leyes de
delitos como el robo a incluir la toma de datos desde un ordenador sin que el propietario ' s permiso, por lo que el robo de equipo es
ahora a la par con el hurto o robo de automóviles. Otros estados han establecido leyes penales específicas que abordan los delitos
relacionados con la informática, pero por lo general don ' t incluye temas relacionados con la informática en la transgresión estándar,
robo, vandalismo o robo leyes. El Computer Fraud and Abuse Act fue aprobada en 1986, pero las leyes estatales específicas Weren '
t formulated until later. To this day, many state laws on computer crime have yet to be tested in court.
Las computadoras están involucrados en muchos delitos graves. El más notorio son los relacionados con la explotación sexual de
menores. Las imágenes digitales se almacenan en los discos duros, discos Zip, disquetes, unidades USB, discos duros extraíbles, y otros
medios de almacenamiento y circulan en Internet. Otros delitos informáticos preocupación la desaparición de niños y adultos porque la
información sobre personas desaparecidas se encuentra a menudo en ordenadores. Los traficantes de drogas a menudo mantienen
información sobre las transacciones en sus ordenadores o asistentes digitales personales (PDA). Esta información es especialmente útil
porque ayuda a los agentes del orden condenar a la persona que detuvieron y localizar proveedores de drogas y otros distribuidores.
Además, en casos de acoso, eliminado el correo electrónico, fotos digitales, y otras pruebas almacenados en un ordenador puede ayudar
a resolver el caso.
12 Capítulo 1
Siguiendo los procedimientos legales

Al llevar a cabo una investigación de ordenador para posibles violaciónes de la ley penal, los procesos legales que
sigues dependen de las costumbres locales, las normas legislativas, y reglas de evidencia. En general, sin embargo,
un caso criminal sigue tres etapas: la denuncia, la investigación y el enjuiciamiento (ver Figura 1-7). Alguien presenta
una queja; un especialista investiga la queja y, con la ayuda de un fiscal, recoge las pruebas y construye un caso. Si un
crimen ha sido cometido, el caso es juzgado en un tribunal.
Complaint
á k Investigation Prosecution
Figura 1-7 El flujo de caja del sector público
Una investigación criminal sólo puede comenzar cuando alguien encuentra evidencia de un acto ilegal o testigo de un acto
ilegal. El testigo o víctima (a menudo referido como el “ querellante “) hace una
alegación a la policía, una acusación o suposición de que un crimen ha sido cometido.
Un oficial de policía entrevistas del demandante y escribe un informe sobre el crimen. El departamento de policía procesa el informe, y
la gestión decide iniciar una investigación o registrar la información en una crónica roja. los crónica roja proporciona un registro de pistas
para los crímenes que se han cometido con anterioridad. Los delincuentes suelen repetir las acciones en sus actividades ilegales, y
estos hábitos pueden ser descubiertos mediante el examen de ficheros policiales. Este conocimiento histórico es útil al realizar
investigaciones, especialmente en los delitos de alta tecnología. Papel secante ahora son generalmente archivos electrónicos, a
menudo bases de datos, por lo que se pueden buscar con mayor facilidad que los viejos papeles secantes de papel.
No cada oficial de policía es un experto en informática. Algunos son principiantes equipo; otros podrían ser entrenados para
reconocer lo que pueden recuperar de un disco de computadora. Para diferenciar los responsables de la formación y la
experiencia han, CTIN ha establecido tres niveles de experiencia de la ley:
• Nivel 1 - La adquisición y la incautación de pruebas digitales, normalmente realizada por un oficial de policía en la escena.
• Nivel 2 - La gestión de las investigaciones de alta tecnología, enseñar a los investigadores qué pedir, y la comprensión de
la terminología informática y lo que puede y puede ' t ser recuperado de la evidencia digital. Los detectives asignados
normalmente manejan el caso.
• Nivel 3 - La formación de especialistas en la recuperación de evidencia digital, normalmente llevada a cabo por una recuperación de
datos o análisis forense experto en informática, medicina forense experto en redes, o investigador de fraudes de Internet. Esta persona
también podría ser calificado para manejar un caso, en función de sus antecedentes.
Si tu ' re un investigador asignado al caso, reconocer el nivel de conocimientos de los agentes de policía y otras personas
involucradas en el caso. Usted debe tener una formación de nivel 3 para llevar a cabo la investigación y la gestión de los 1
aspectos de la informática forense el caso. Se empieza por evaluar el alcance del caso, que incluye el equipo ' s OS, el hardware
y los dispositivos periféricos. A continuación, determinar si los recursos están disponibles para procesar todas las pruebas. Por
ejemplo, la recopilación de pruebas es más difícil cuando la información se almacena en PDAs, teléfonos celulares y otros
dispositivos móviles. Determinar si tiene las herramientas adecuadas para recoger y analizar pruebas y si es necesario recurrir a
otros especialistas para ayudar en la recolección y procesamiento de pruebas. Después de haber reunido los recursos que
necesita, su papel es el de delegar, recopilar y procesar la información relacionada con la queja.
Después de construir un caso, la información es entregada al fiscal. Su trabajo está terminado cuando se han utilizado
todos los métodos conocidos y disponibles para extraer datos de la evidencia digital que fue capturado. Como investigador,
a continuación, debe presentar las pruebas recogidas con un informe al gobierno ' s abogado. Dependiendo de la comunidad
y de la naturaleza del delito, el fiscal puede ser un fiscal, fiscal de distrito, abogado del estado, fiscal del condado, el
abogado de la Corona, o el abogado de Estados Unidos.
En un caso criminal o público, si tiene suficiente información para apoyar una orden de registro, el fiscal podría dirigir a presentar una declaración
jurada. Esta declaración jurada de apoyo de los hechos sobre o evidencia de un crimen es sometido a un juez con la solicitud de una
orden de registro antes de apoderarse de pruebas. Figura 1-8 muestra una declaración jurada típico. Eso ' Es tu responsabilidad de
escribir la declaración jurada, que debe incluir exposiciones ( pruebas) que apoyan la alegación para justificar la orden. A continuación,
debe tener la declaración jurada notarial bajo juramento para verificar que la información en la declaración jurada es verdadera. (Se
aprende más sobre las declaraciones juradas en el capítulo 14.)
Date --
Based on actual inspection of spreadsheets, financial records, and

invoices, Joe Smith, a computer forensics expert, is aware that
computer equipment was used to generate, store, and print
documents used in Jonathon Douglas's tax evasion scheme. There
is reason to believe that the computer system currently located on
Jonathon Douglas's premises is the same system used to produce
and store the spreadsheets, financial records, and invoices, and
that both the [spreadsheets, financial records, invoices] and other
records relating to Jonathon Douglas's criminal enterprise will be
stored on Jonathon Douglas’s computer.
Source: Searching and Seizing Computers and Obtaining Electronic

Evidence in Electronic Investigations, U S. Department of Justice,
July 2002.
Figura 1-8 declaración jurada lenguaje típico

14 Capítulo 1
Después de un juez aprueba y firma una orden de registro, se ' S listo para ser ejecutado, lo que significa que puede
obtener pruebas según lo definido por la orden. Después de recopilar los datos, procesar y analizar para determinar si un
crimen ocurrido realmente. La evidencia puede ser presentada en la corte en una audiencia o juicio. Un juez o un juez
administrativo a continuación, rinde un juicio o un jurado dicta una veredicto ( después de lo cual el juez puede dictar un
fallo).
La comprensión de Investigaciones Corporativas

delitos informáticos corporativos pueden implicar el acoso de correo electrónico, la falsificación de datos, el
género y la discriminación por edad, la malversación, el sabotaje, y espionaje industrial, que consiste en la venta
de información sensible o confidencial de la compañía a un competidor. Cualquier persona con acceso a una
computadora puede cometer estos delitos.
Malversación de fondos es un delito informático común, especialmente en las pequeñas empresas. Normalmente, el propietario está ocupado y
confía en una persona, tales como el gerente de la oficina, para manejar las transacciones diarias. Cuando el director de la oficina hojas, el
propietario descubre que algunos clientes se overbilled, otros no eran ' t factura a todo, algunos de los pagos no eran ' t acreditado, o existen
cuentas falsas. La reconstrucción de la papel y rastro electrónico puede ser tedioso. La recogida de pruebas suficientes para presentar cargos
podría estar más allá del propietario ' s capacidades.
sabotaje corporativo es más a menudo cometido por un empleado descontento. Por ejemplo, un empleado decide tomar un
trabajo en un competidor ' s firme y recopila los archivos confidenciales en una unidad de disco o USB antes de salir. Este tipo de
delito también puede conducir a espionaje industrial, que aumenta cada año.
Los investigadores pronto será capaz de llevar a cabo investigaciones digitales en el lugar sin un laboratorio y sin interrupción de los
empleados ' trabajar en un ordenador. Supongamos que un centro de atención asistida tiene un empleado involucrado en una estafa de
seguros que está cobrando de la compañía de seguros y luego canalizar el dinero en su cuenta bancaria. La instalación ' s servidor de
red mantiene un registro de pagos de los pacientes y la información crítica, tales como medicamentos, condiciones médicas y
tratamientos, para cada paciente. Tomando ese sistema fuera de línea durante más de un breve periodo de tiempo puede resultar en
daño a los pacientes. Por esta razón, los investigadores pueden ' t aprovechar la evidencia; en cambio, adquieren una imagen de disco
y cualquier otra información pertinente y permiten al sistema para volver en línea tan pronto como sea posible.
Las organizaciones pueden ayudar a prevenir y tratar estos delitos mediante la creación y distribución de políticas adecuadas, por lo que los
empleados tomen conciencia de las políticas y la aplicación de políticas.
El establecimiento de condiciones de venta generales

Una manera en que las empresas pueden reducir el riesgo de litigios es publicar y mantener políticas que los empleados
encuentran fácil de leer y seguir. Las políticas más importantes son las que establece normas para el uso de la empresa ' s
computadoras y redes. políticas de la empresa publicados proporcionan
i
un línea de autoridad para que una empresa para llevar a cabo las investigaciones internas. La línea de los estados de autoridad que
tiene el derecho legal de iniciar una investigación, que puede tomar posesión de pruebas, y quién puede tener acceso a las pruebas. 1
políticas bien definidas dan investigadores informáticos y examinadores forenses la autoridad para llevar a cabo una investigación. Las
políticas también demuestran que una organización tiene la intención de ser mentalidad justa y objetiva sobre la forma en que trata a los
empleados y establecen que la organización va a seguir el debido proceso para todas las investigaciones. ( “ Debido al proceso ” se refiere a
la justicia bajo la ley y está destinado a proteger a los inocentes.) Sin políticas definidas, una empresa corre el riesgo de exponerse a
juicios por parte de los empleados actuales o anteriores. La persona o comité encargado de mantenimiento de las políticas de las
empresas también deben mantenerse al día con las leyes locales, que pueden variar dependiendo de la ciudad, estado y país.
Viendo las banderas de advertencia

Otra forma de una organización pública o privada puede evitar litigios es para mostrar un mensaje de advertencia en la pantalla del
ordenador. UN bandera de advertencia suele aparecer cuando un equipo se inicia o se conecta a la intranet de la compañía, la red o red
privada virtual (VPN) e informa a los usuarios finales que la organización se reserva el derecho de inspeccionar los sistemas informáticos
y el tráfico de red a voluntad. (Un usuario final es una persona que usa una computadora para realizar tareas rutinarias distintos de la
administración del sistema.) Si esto no es correcto ' t se indique expresamente, los empleados podrían tener un supuesto derecho de
privacidad al usar una empresa ' s sistemas informáticos y accesos a redes. Con un supuesto derecho de privacidad, los empleados creen
que sus transmisiones en el trabajo están protegidos de la misma manera que el correo enviado a través del Servicio Postal de los
Estados Unidos está protegido. La figura 1-9 muestra una bandera de aviso muestra.
•x US Government Facility *J
You are about to access a United States government

computer network that is intended for authorized users
only. You should have no expectation of privacy in your
use of this network Use of this network constitutes
consent to monitoring, retrieval, and disclosure of any
information stored within the network for any purpose
including criminal prosecution.
OK
Figura 1-9 Un mensaje de advertencia de la muestra
Un mensaje de advertencia se establece el derecho a realizar una investigación. Al mostrar un mensaje de advertencia fuerte, bien
redactada-, una organización poseer equipos informáticos doesn ' t necesidad de obtener una orden de allanamiento o una corte según
lo dispuesto en la Cuarta Enmienda de búsqueda y captura reglas para aprovechar el equipo. En una empresa con una política bien
definida, este derecho de inspeccionar o buscar a voluntad se aplica tanto a la actividad política de la empresa y violaciónes penal.
Tenga en cuenta, sin embargo, de que su país ' s leyes pueden ser diferentes. Por ejemplo, en algunos países, a pesar de que la
empresa tiene el derecho de tomar las computadoras en cualquier momento, si los empleados son sospechosos de un acto criminal,
deben ser informados en ese momento.
dieciséis Capítulo 1
los usuarios del sistema de ordenador pueden incluir a los empleados o invitados. Los empleados pueden acceder a la intranet, y los
huéspedes normalmente sólo pueden acceder a la red principal. Las empresas pueden utilizar dos tipos de banderas de advertencia: una
para el acceso de los empleados internos (acceso a la página web de la intranet) y otro para el acceso de visitantes externa (Internet acceso
a la página web). La siguiente lista recomienda frases para incluir en todas las banderas de advertencia. Antes de utilizar estas advertencias,
consultar con la organización ' Servicio Jurídico para otros avisos legales necesarios para su área de trabajo o departamento. Dependiendo
del tipo de organización, el siguiente texto puede ser utilizado en las banderas de advertencia internos:
• El acceso a este sistema y la red está restringido.
• El uso de este sistema y de la red es para negocios oficiales solamente.
• Sistemas y redes están sujetas a la supervisión en cualquier momento por el propietario.
• El uso de este sistema implica el consentimiento a seguimiento por parte del propietario.
• Los usuarios no autorizados o ilegales de este sistema o red estarán sujetos a la disciplina o el enjuiciamiento.
El NOTE
documento del Departamento de Justicia en www.usdoj.gov/criminal/cybercrime/ s y
smanual2002.htm tiene varios ejemplos de banderas de advertencia.
Una organización como un colegio comunitario podría simplemente que los sistemas y redes están sujetas a la observación y
el seguimiento en cualquier momento porque los miembros de la comunidad local que aren ' t personal o los estudiantes
podrían utilizar las instalaciones. Una organización sin fines de lucro, por el contrario, podría tener información de propiedad
en su red y usar todas las frases sugeridas de la lista anterior.
Los clientes, como empleados de socios empresariales, podrían estar autorizados a utilizar el sistema. El texto que ' s visualiza
cuando un invitado intenta conectarse pueden incluir advertencias similares a los siguientes:
• Este sistema es propiedad de la empresa X.
• Este sistema es sólo para uso autorizado; acceso no autorizado es una violación de la ley y los infractores serán
procesados.
• Toda la actividad, el software, el tráfico de red y comunicaciones están sujetas a supervisión. Como un investigador
informático corporativo, asegúrese de que una empresa muestra un mensaje de advertencia bien definido. Sin una bandera, su
autoridad para inspeccionar podría entrar en conflicto con el usuario ' s expectativa de privacidad, y un tribunal podría tener que
determinar la cuestión de la autoridad para inspeccionar. Las leyes estatales varían en la expectativa de privacidad, pero todos los
estados aceptan el concepto de una renuncia a la expectativa de privacidad. Además, la UE y sus países miembros imponen multas
estrictas para la información que cruza las fronteras nacionales sin que la persona ' s consentimiento. Así que si su empresa está
llevando a cabo una investigación en una subsidiaria en la UE, que podría no ser capaz de adquirir una unidad de red sin notificar a
ciertas partes o hacer formularios de consentimiento estén en su lugar.
Algunos podrían argumentar que las políticas escritas son todos los que están fuera necesario. Sin embargo, en el procesamiento real de casos,
las banderas de advertencia han sido críticos en la determinación de que un usuario del sistema didn ' t tiene una expectativa de privacidad de la
información almacenada en el sistema. Una advertencia
bandera tiene la ventaja adicional de ser más fácil de presentar en el juicio como prueba de un manual de políticas. Las agencias
gubernamentales, tales como el Departamento de Energía, Argonne National Labs, y Lawrence Livermore Labs, ahora requieren 1
banderas de advertencia en todos los terminales de ordenador en sus sistemas. Muchas empresas también requieren banderas de
advertencia como parte del proceso de inicio de sesión / inicio.
La designación de un Solicitante Autorizado

Como se mencionó, las investigaciones deben establecer una línea de autoridad. Además de usar las banderas de advertencia que
indican una empresa ' derechos de propiedad de la computadora, se recomienda a las empresas para especificar una solicitante
autorizado que tiene el poder para llevar a cabo las investigaciones. La dirección ejecutiva debe definir esta política es evitar los
conflictos de intereses entre las organizaciones o departamentos que compiten. En las grandes organizaciones, la competencia por
la financiación o apoyo a la gestión puede llegar a ser tan intenso que la gente a veces crean falsas acusaciones de mala conducta
para prevenir un departamento competidora de la entrega de una propuesta de la misma fuente de fondos. Para evitar
investigaciones triviales o inapropiadas, la dirección ejecutiva también debe definir y limitar quién está autorizado a solicitar una
investigación de equipos y análisis forense. En general, los grupos con menos autoridad para solicitar una investigación de equipo,
mejor. Ejemplos de grupos con autoridad para solicitar investigaciones de ordenador en un entorno corporativo incluyen los
siguientes:
• investigaciones de seguridad corporativa
• oficina de ética corporativa
• Corporate oficina igualdad de oportunidades laborales
• Auditoría interna
• El consejo general o departamento legal
Todos los otros grupos, tales como el Departamento de Recursos Humanos, deben coordinar sus solicitudes a través del grupo de
investigaciones de seguridad corporativa. Esta política separa el proceso de investigación del proceso de disciplina de los
empleados.
La realización de Investigaciones de Seguridad

La realización de una investigación de equipos en el sector privado no es muy diferente de la realización de uno en el sector
público. Durante las investigaciones públicas, que la búsqueda de evidencia para apoyar las alegaciones criminales. Durante las
investigaciones privadas, que la búsqueda de evidencia para apoyar las alegaciones de abuso de una empresa ' s activos y, en
algunos casos, quejas criminales. Hay tres tipos de situaciones son comunes en entornos corporativos:
• Abuso o mal uso de los recursos informáticos
• abuso de E-mail
• abuso de Internet
La mayoría de las investigaciones de un ordenador en el sector privado implican el uso indebido de los activos informáticos. Típicamente, este mal
uso se conoce como “ empleado violación de normas de la empresa. ” Informática quejas de abuso a menudo se centran en el correo electrónico y el
mal uso de Internet por los empleados, pero podría involucrar a otros recursos de computación, tales como el uso de software de la compañía para
producir un producto con fines de lucro personal. El alcance de una investigación de correo electrónico va desde el uso excesivo de una empresa ' s
e-mail
18 Capítulo 1
sistema para su uso personal para hacer amenazas o acoso a otros a través de correo electrónico. Algunos abusos de correo electrónico común
que se transmitan los mensajes ofensivos. Estos tipos de mensajes pueden crear una
ambiente de trabajo hostil que puede dar lugar a un empleado de presentar una demanda civil en contra de una empresa que no hace nada
para evitarlo (en otras palabras, condona implícitamente los abusos e-mail). investigadores informáticos también examinan el abuso de
Internet. Empleados ' abuso de los privilegios de Internet varía de un uso excesivo, como pasar todo el día la navegación por Internet, a la
visualización de imágenes pornográficas en la Web, mientras que en el trabajo. Un ejemplo extremo de abuso de Internet está viendo
contrabando (ilegales) imágenes pornográficas, tales como la pornografía infantil. Visualización de imágenes de contrabando es un delito
en la mayoría de las jurisdicciones, y los investigadores de informática debe manejar esta situación con el más alto nivel de
profesionalismo. Mediante la aplicación de la política de manera consistente, una empresa minimiza su riesgo de responsabilidad. El papel
de un examinador de la informática forense es dar a la gestión de información completa y precisa para que puedan verificar y corregir los
problemas de abuso en una organización. (En capítulos posteriores, se aprenden los procedimientos para la realización de este tipo de
investigaciones.)
Asegúrese de distinguir entre una empresa ' s abuse problems and potential criminal violations. Abuse problems
violate company policy but might not be illegal if performed at home. Criminal violations involve acts such as
industrial espionage, embezzlement, and murder. However, actions that seem related to internal abuse could also
have criminal or civil liability. Because any civil investigation can become a criminal investigation, you must treat
all evidence you collect with the highest level of security and accountability. Later in this book, you learn the
Federal Rules of Evidence (processes to ensure the chain of custody) and how to apply them to computing
investigations.
Del mismo modo, su investigación privada de la empresa podría parecer implicar un asunto civil, no criminal, pero a
medida que avanza a través de su análisis, es posible identificar un asunto penal, también. Debido a esta posibilidad,
siempre recuerde que su trabajo puede estar bajo el escrutinio del sistema legal civil o criminal. Las Reglas Federales
de Evidencia son los mismos para los asuntos civiles y penales. Mediante la aplicación de las normas a todas las
investigaciones de manera uniforme, se elimina cualquier preocupación. Estas normas se enfatizan lo largo de este
libro. Las empresas pueden aplicar un principio similar a la doctrina plata plato ( ya no está en vigor entre la aplicación de
la ley del estado y el gobierno federal) cuando un agente de investigación civil o corporativo proporciona evidencia a un
oficial de policía. Recuerde que un agente de policía es un agente de la ley. Un investigador corporativa ' s trabajo es
minimizar el riesgo de la empresa. Después de la vuelta a la evidencia de la policía y de comenzar a trabajar bajo su
dirección, se convierte en un agente de aplicación de la ley, sujeto a las mismas restricciones a la búsqueda y captura
como un agente de la ley. Sin embargo, un agente de la policía puede ' t pido que, como ciudadano privado, para obtener
elementos que requiere una orden judicial. Las reglas que controlan el uso de las pruebas presentadas por particulares
varían según la jurisdicción, a fin de comprobar la ley si ' re investigando un caso fuera de los Estados Unidos.
El litigio es costoso, así que después de que se han reunido pruebas, los empleados suelen ser ofensivos disciplinar o despedir
con un mínimo de fanfarria. Sin embargo, cuando se descubre que un acto criminal que involucra a una víctima de terceros se
ha comprometido, por lo general tiene una obligación legal y moral de convertir la información a las autoridades legales. En la
siguiente sección, se aprende acerca de las situaciones en las que la evidencia criminal debe ser separado de cualquier
información de propiedad corporativa.
El mantenimiento de Conducta Profesional 19
Distintiva personales y Empresa de Propiedad

Muchas políticas de la empresa distinguen entre la propiedad personal y ordenador de la empresa; Sin embargo, esta
1
distinción puede ser difícil con PDAs, teléfonos celulares, computadoras portátiles y personales. Por ejemplo, un empleado
ha comprado un PDA y conecta el dispositivo a su ordenador de la empresa. A medida que el empleado sincroniza la
información de la PDA con la información en el ordenador de la empresa ' s copia de Microsoft Outlook, él o ella las copias
algunos datos en el PDA a la red de la empresa. Durante la sincronización, los datos de la computadora de la compañía o de
la red pueden ser colocados en la PDA, también. En este caso, al menos una pregunta es
“ ¿La información en la PDA pertenecen a la empresa o el empleado? ”
Supongamos ahora que la empresa dio al empleado la PDA como parte de un bono de vacaciones. ¿Pueden los derechos de
reclamación a la empresa el PDA? Cuestiones similares surgen cuando un empleado trae en una computadora portátil personal y lo
conecta a la red de la empresa. ¿Qué normas se aplican? A medida que las computadoras se vuelven más arraigada en la vida diaria, ' ll
encontrar estos temas más a menudo. Estas preguntas todavía se debaten, y las empresas están estableciendo sus propias políticas
para manejarlos. La política de seguridad es no permitir que los dispositivos de propiedad personal que va a conectar a los recursos
propiedad de la compañía, lo que limita la posibilidad de que se mezclen los datos personales y de empresa. Esta política puede ser
contraproducente; Sin embargo, los riesgos deben ser identificados y tratados en políticas de la empresa. Otras compañías se limitan a
afirmar que si se conecta un dispositivo personal a la red corporativa, que cae bajo las mismas reglas que la propiedad corporativa. En
el momento de escribir estas líneas, esta política aún no se ha probado en los tribunales.
El mantenimiento de Conducta Profesional

Tu conducta profesional as a computer investigation and forensics analyst is critical because it determines your
credibility. Professional conduct, discussed in more detail in Chapters 15 and 16, includes ethics, morals, and
standards of behavior. As a professional, you must exhibit the highest level of ethical behavior at all times. To do so,
you must maintain objectivity and confidentiality during an investigation, expand your technical knowledge
continuously, and conduct yourself with integrity. On any current crime drama, you can see how attorneys attack the
character of witnesses, so your character and especially your reputation for honesty should be beyond reproach.
Mantener la objetividad significa que debe formar y sostener opiniones imparciales de sus casos. Evitar hacer conclusiones
acerca de sus hallazgos hasta que haya agotado todos los cables razonables y consideró los datos disponibles. Su última
responsabilidad es encontrar evidencia digital para apoyar o refutar la alegación. Debe ignorar los prejuicios externos para
mantener la integridad de su determinación de los hechos en todas las investigaciones. Por ejemplo, si ' re empleado por un
abogado, no permita que el abogado ' s programa para dictar el resultado de su investigación. Su reputación y medios de vida a
largo plazo dependen de ser objetivo en todos los asuntos. También debe mantener una investigación ' s credibilidad
manteniendo el caso confidencial. Discutir el caso sólo con las personas que necesitan saber acerca de ella, como otros
investigadores involucrados en el caso o alguien en la línea de autoridad que pide una actualización. Si necesita
asesoramiento de otros profesionales, analizar sólo los términos generales y hechos sobre el caso sin mencionar detalles.
Todas las investigaciones que conducta debe ser confidenciales, hasta que se ' re designado como testigo o requerido por el
fiscal o el tribunal a conocer un informe.
20 Capítulo 1
En el entorno corporativo, la confidencialidad es crítica, especialmente cuando se trata de empleados que han sido despedidos.
El acuerdo entre la empresa y el empleado podría haber sido para representar la terminación como un despido o renuncia a
cambio de que no hay malas referencias. Si usted le da los detalles del caso y el empleado ' s nombre a los demás, su empresa
podría ser responsable por incumplimiento de contrato.
En algunos casos, su caso corporativa podría convertirse en un caso criminal tan grave como el asesinato. Debido al
sistema legal, que podrían pasar años antes de que el caso vaya a juicio. Si un investigador habla de la evidencia digital con
otros, el caso podría resultar dañado a causa de publicidad antes del juicio. Cuando se trabaja por un abogado en una
investigación, el fiscal del producto del trabajo regla y el privilegio abogado-cliente se aplican a todas las comunicaciones.
Esto significa que puede discutir el caso sólo con el abogado u otros miembros del equipo de trabajo con el abogado. Toda
la comunicación sobre el caso a otras personas requiere el abogado ' la aprobación s. Además de mantener la objetividad y
la confidencialidad, puede mejorar su conducta profesional, continuando su formación. El campo de la investigación forense
de ordenadores y está cambiando constantemente. Usted debe mantenerse al día con los últimos cambios técnicos en
hardware y software, redes y herramientas forenses. También debe conocer las últimas técnicas de investigación que
puede utilizar en sus casos.
Una manera de enriquecer su conocimiento de las investigaciones de equipos es para registrar sus métodos de investigación en una
revista. Un diario puede ayudarle a recordar cómo realizar tareas y procedimientos y el uso de herramientas de hardware y software.
Asegúrese de incluir las fechas y detalles importantes que sirven como disparadores de memoria. Desarrollar una rutina de revisar su
diario con regularidad para mantener sus logros anteriores fresco en su mente.
Para continuar con su formación profesional, debe asistir a talleres, conferencias y cursos de proveedores. También podría ser
necesario para continuar su educación formal. Usted mejorar su posición profesional si tiene al menos una licenciatura en
informática o un campo relacionado. Si tu no ' t tiene un grado avanzado, tenga en cuenta los estudios de posgrado en un área
complementaria de estudio, como derecho de los negocios o el comercio electrónico. Varios colegios y universidades ofrecen
ahora asociado ' s, licenciatura ' s, y el maestro ' s grados y programas de certificación en informática forense. Muchas empresas
están dispuestas a reembolsar sus gastos de educación, aunque algunos requieren el compromiso de un cierto período de
empleo a cambio.
Además de la educación y la formación, la pertenencia a organizaciones profesionales se suma a sus credenciales. Estas
organizaciones patrocinan a menudo ofrecen formación y el intercambio de información de las últimas mejoras técnicas y tendencias
en investigaciones de equipos. Además, mantenerse al día con los últimos libros y leer tanto como sea posible acerca de las
investigaciones de computación y medicina forense. Como una investigación forense informático y profesional, ' re espera mantener la
honestidad y la integridad. Debe conducirse con los más altos niveles de integridad en todos los aspectos de su vida. Cualquier
acción indiscretas pueden avergonzarte y dar oportunidades de abogados opuestos a desacreditar a usted durante su testimonio en
los tribunales o en las deposiciones.
Resumen del capítulo

■ Informática forense se aplica procedimientos forenses de la evidencia digital. Este proceso consiste en la acumulación y
análisis de información digital para su uso como prueba en los casos civiles, penales, administrativas o de forma sistemática.
Informática forense difiere de análisis forense de red, recuperación de datos y recuperación de desastres en su alcance, la
Términos clave 21
■ Las leyes relativas a la evidencia digital se establecieron en la década de 1970.
■ Para ser un éxito informática forense investigador, debe estar familiarizado con más de una plataforma de 1
computación. Para complementar sus conocimientos, desarrollar y mantener el contacto con la computadora, la red y
los profesionales de investigación.
■ investigaciones informáticas públicas y privadas difieren, en que las investigaciones públicas suelen requerir una orden de
registro antes de apoderarse de la evidencia digital. La Cuarta Enmienda de la Constitución de Estados Unidos y la legislación
similar en otros países se aplican a la búsqueda e incautación gubernamental. Durante las investigaciones públicas, que la
búsqueda de evidencia para apoyar las alegaciones criminales. Durante las investigaciones privadas, que la búsqueda de
evidencia para apoyar las alegaciones de abuso de los activos y, en algunos casos, quejas criminales.
■ banderas de advertencia se deben utilizar para recordar a los empleados y visitantes de política de la empresa en el ordenador, el correo
electrónico y el uso de Internet.
■ Las empresas deben definir y limitar el número de solicitantes autorizados que pueden iniciar una investigación.
■ informática forense investigadores deben mantener una conducta profesional para proteger su credibilidad.
Términos clave
declaración jurada El documento, dado bajo pena de perjurio, que los investigadores crean a los detalles de sus hallazgos. Este documento se utiliza a
menudo para justificar la emisión de una orden judicial o para hacer frente a los abusos en una corporación.
alegación Un cargo hecho contra alguien o algo antes de la prueba ha sido encontrado.
solicitante autorizado En un entorno corporativo, la persona que tiene el derecho a solicitar una investigación,
como el jefe de seguridad o el director de inteligencia.
informática forense El proceso de aplicación de métodos científicos para recopilar y analizar datos e información que puede
ser utilizada como prueba.
investigaciones de equipos La realización de análisis forense de sistemas sospechosos de contener evidencia relacionada con un
incidente o un crimen.
Los investigadores red de ordenadores Tecnología (CTIN) Un grupo sin fines de lucro con sede en Seattle -
Tacoma, WA, compuesto por miembros del orden, los profesionales de seguridad privada corporación, y otros
profesionales de la seguridad, cuyo objetivo es mejorar la calidad de las investigaciones de alta tecnología en el
noroeste del Pacífico.
caso criminal Un caso en el que se debe aplicar la ley penal.

derecho penal Estatutos aplicables a una jurisdicción que los delitos estatales contra la paz y la dignidad de la
jurisdicción y los elementos que definen estos delitos.
recuperación de datos Un campo de especialidad en la que las empresas recuperar archivos que fueron borrados accidentalmente o
intencionadamente.
recuperación de desastres Un campo de especialidad en la que las empresas realizan copias de seguridad en tiempo real, el seguimiento,
la recuperación de datos y las operaciones del sitio caliente.
entorno de red empresarial Un gran sistema informático corporativo que puede incluir sistemas anteriormente
independientes.
22 Capítulo 1
exposiciones Pruebas utilizadas en los tribunales para probar un caso.
cuarta Enmienda La Cuarta Enmienda de la Constitución de Estados Unidos en la Declaración de Derechos dicta que el gobierno y
sus agentes deben tener una causa probable para la búsqueda y captura.
Asociación de Alta Tecnología de Investigación Criminal (HTCIA) Una asociación sin fines de lucro para la resolución de delitos
informáticos internacionales.
ambiente de trabajo hostil Un entorno en el que los empleados no pueden realizar sus funciones asignadas a causa de las acciones de los
demás. En el lugar de trabajo, estas acciones incluyen el envío de correo electrónico amenazante o degradante o un compañero de
trabajo ver sitios pornográficos o de odio.
acusador La evidencia indica que un sospechoso es culpable del delito que se le imputa.
espionaje industrial La venta de información confidencial o propietaria empresa a un competidor.
Asociación Internacional de Especialistas en Investigación Informática (SIAL) Una organización creada para proporcionar formación y
software para la aplicación de la ley en el campo de la informática forense.
línea de autoridad El orden en el que las personas o posiciones son notificados de un problema; estas personas o posiciones
tienen el derecho legal de iniciar una investigación, tomar posesión de las pruebas, y tienen acceso a las pruebas.
litigio El proceso legal que conduce a un proceso con el fin de probar la responsabilidad penal o civil.
detección de intrusiones de red y de respuesta a incidentes La detección de ataques de intrusos mediante el uso de herramientas
automatizadas; también incluye el proceso manual de registros del cortafuegos de la red de monitoreo.
notarial Después de haber presenciado un documento y una persona claramente identificada como el firmante por un notario público.
crónica roja Un registro de la actividad criminal que las fuerzas del orden pueden utilizar para revisar los tipos de delitos que
se cometen actualmente.
conducta profesional Comportamiento que se espera de un empleado en el lugar de trabajo o en otro entorno profesional.
derecho de privacidad Los empleados tienen la creencia de que sus transmisiones en el trabajo están protegidos.
búsqueda y captura El acto jurídico de adquisición de pruebas para una investigación. Ver también Cuarta Enmienda.
órdenes de registro Los documentos legales que permiten a la policía para buscar una oficina, un lugar de negocios, u otra configuración
regional para las pruebas relacionadas con un presunto delito.
doctrina plata plato Una ya no está en efecto que permitía a un agente de la ley del estado para pasar las pruebas obtenidas
de forma ilegal al gobierno federal y permitió el enjuiciamiento federal el uso de pruebas de que la política.
veredicto La decisión emitida por un jurado.
evaluación de la vulnerabilidad y gestión de riesgos El grupo que determina los puntos más débiles en un sistema. Cubre la
seguridad física y la seguridad de los sistemas operativos y aplicaciones.
bandera de advertencia Texto que aparece en la pantalla del ordenador cuando la gente se conecta a un ordenador de la empresa;
este texto establece la propiedad del equipo y especifica el uso adecuado de la máquina o el acceso a Internet.
Preguntas de revisión 23
1. Lista dos organizaciones mencionadas en el capítulo que proporcionan formación en informática forense.
2. Informática forense y recuperación de los datos se refieren a las mismas actividades. ¿Verdadero o falso?
3. La policía en los Estados Unidos deben utilizar procedimientos que se adhieren a cuál de las siguientes?
a. tercera Enmienda
segundo. cuarta Enmienda
do. Primera Enmienda
re. Ninguna de las anteriores
4. La tríada de la seguridad informática incluye cuál de las siguientes?
a. Detección, respuesta y seguimiento
segundo. evaluación de la vulnerabilidad, la detección y el seguimiento
do. evaluación de la vulnerabilidad, la respuesta de intrusión, y la investigación
re. evaluación de la vulnerabilidad, la respuesta de intrusiones y monitoreo
5. Lista de tres tipos comunes de crimen digital.
6. Un investigador social debe seguir las normas de la Cuarta Enmienda al llevar a cabo una investigación.
¿Verdadero o falso?
7. ¿Cuál es el propósito de mantener una red de especialistas en informática forense?
8. Las políticas pueden abordar reglas para cuál de las siguientes?
a. Cuando se puede iniciar sesión en una red de empresa desde su casa
segundo. Los sitios de Internet que puede o no puede acceder
do. La cantidad de personal de correo electrónico puede enviar
re. Cualquiera de los anteriores
9. Lista dos elementos que deben aparecer en un mensaje de advertencia interna.
10. banderas de advertencia son a menudo más fácil de presentar en la corte de manuales de políticas son. ¿Verdadero o falso?
11. En circunstancias normales, un investigador de la empresa se considera un agente de la policía. ¿Verdadero o

falso?
12. Lista de dos tipos de investigaciones de equipos realizan normalmente en el entorno corporativo.
13. ¿Cuál es la conducta profesional y por qué es importante?
¿Qué es 14. el propósito de mantener un diario profesional?

24 Capítulo 1
15. Las leyes y los procedimientos para PDA son cuál de las siguientes?
a. bien establecida
segundo. Todavía se debate
do. En los libros de leyes
16. ¿Por qué las empresas nombrar a un solicitante autorizado para investigaciones de equipos?
17. ¿Cuál es el propósito de una declaración jurada?
18. ¿Cuáles son los componentes necesarios de una orden de registro?
Proyectos prácticos
HANDS-ON PROJECTS Hands-On Proyecto 1-1

Use un motor de búsqueda en Internet, como Google o Yahoo !, y la búsqueda de empresas especializadas
en informática forense. Seleccione tres y escribir un trabajo de dos a tres páginas comparando lo que cada
empresa.
Hands-On Proyecto 1-2

La investigación de la ley criminal relacionada con la delincuencia informática en una jurisdicción (el lugar donde vive)
que controla el derecho penal. Si existen leyes, la lista de la fuente y el tiempo que han estado en existencia. Identificar
los casos que se han intentado utilizar estas leyes.

Iniciar su propia lista de contactos profesionales en su área que hacen el análisis forense.
¿Cómo se puede comprobar que se ' re legítimo? ¿Cómo debe acercarse a ellos?

Comparar el artículo 8 de la Carta de los Derechos de Canadá o cualquier país de su elección a los
EE.UU. Cuarta Enmienda. ¿Cómo se diferencian? ¿Cómo son similares? Use fuentes tales como el sitio
web del Departamento de Justicia para justificar sus conclusiones en un documento al menos dos páginas.

Buscar en la Internet para los artículos sobre los procesamientos de delitos informáticos. Encuentra al menos dos. Escribe una
o dos páginas que resumen los dos artículos e identificar las características clave de las decisiones que usted encuentra en su
búsqueda.

¿Hay una unidad de investigación criminal de alta tecnología en o cerca de su comunidad? Si es así, ¿quiénes son
los participantes? Correo electrónico La persona a cargo y él o la dejó
Proyectos de casos 25
Sabe usted está tomando un curso de informática forense. Preguntar lo que la unidad ' políticas y
procedimientos son s, y luego escribir una o dos páginas que resume sus hallazgos. 1

Iniciar la construcción de una revista profesional por sí mismo. Encuentra al menos dos listas de correo electrónico
que pueden unirse y tres sitios Web y leerlos en una base regular. Las listas de correo electrónico deben contener
áreas de sistemas operativos, software y hardware listados, personas contactadas o trabajado, grupos de usuarios,
otras listas de correo electrónico, y los resultados de cualquier investigación que ha realizado hasta el momento.

Examinar y resumir su comunidad, estado o país ' s reglas para la búsqueda e incautación de
pruebas penal. ¿Qué preocupaciones tiene después de leerlos?
%
Proyectos de casos
Caso 1-1 Proyecto

CASE PROJECTS
Un abogado en un bufete de abogados es sospechoso de malversación de dinero de una cuenta de fideicomiso.

¿Quién debe realizar la investigación? Si se hallan pruebas para apoyar la demanda, lo que se debe hacer? Escribir
al menos dos páginas que explican los pasos a seguir, quien está involucrado, y qué elementos deben ser
considerados.
Caso 1-2 Proyecto

Una corporación privada sospecha que un empleado está usando herramientas de descifrado de contraseñas para
tener acceso a otras cuentas. Las cuentas incluyen a los empleados en los departamentos de nómina y recursos
humanos. Escribir un trabajo de dos a tres páginas que indica de qué medidas tomar, quién debe participar, y lo
que debe considerarse.
Caso 1-3 Proyecto

Un empleado es sospechoso de operar su negocio de llama con un ordenador de la empresa. Eso ' Ha sido
alegado que él ' s seguimiento del precio de venta de la lana y el costo de la alimentación y el mantenimiento de
las hojas de cálculo. ¿Qué debe hacer el empleador? Escribir al menos dos páginas que explican las tareas que
un investigador debe realizar.
1010110101010101000111111o .
1111000011101101010100010101000001111o.
1000111011010101000101010110011110000.
101010110101010101000111111010111101010.
22
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y
ordenador
ordenador O OOi
100001110110101
10000111011010101
comprensión
comprensión1l>1010 ,'10 1111010101101010101
O'I 01/
investigaciones rv* 01111000011101...
11000011101 —010100

• Explicar cómo preparar un equipo de investigación
• Aplicar un enfoque sistemático para una investigación
• Describir los procedimientos para las investigaciones de alta tecnología corporativos
• Explicar los requerimientos para las estaciones de trabajo de recuperación de datos y software
• Describir cómo llevar a cabo una investigación
• Explicar cómo llevar a cabo y criticar un caso

28 Capitulo 2
En este capítulo se ofrece una visión general de cómo manejar una investigación de la computación. Tú
aprender acerca de los problemas y retos examinadores forenses se enfrentan a la hora de preparar e
investigaciones de procesamiento, incluyendo las ideas y preguntas que deben considerar.
Como un usuario básico de la computadora, puede resolver la mayoría de problemas de software, trabajando con una herramienta de interfaz gráfica
de usuario. Un profesional de la medicina forense, sin embargo, tiene que interactuar con los niveles primario del sistema operativo que son más
fundamentales que lo que se puede acceder con la interfaz gráfica de usuario. Algunas herramientas de software de informática forense implican
trabajar en la línea de comandos, y usted debe aprender a utilizar estas herramientas ya que en algunos casos, la línea de comandos es su única
opción. Apéndice D incluye ejemplos de cómo utilizar las herramientas de análisis forense de DOS.
En este capítulo, se trabaja con imágenes de disco forenses de pequeñas unidades USB para realizar las actividades y proyectos en este
capítulo. Después de saber cómo buscar y encontrar datos en un dispositivo de almacenamiento de pequeño, puede aplicar las mismas
técnicas para un disco grande.
La preparación de una investigación de equipos

Su papel como la informática forense profesional es para reunir pruebas de un sospechoso ' s ordenador y determinar si el
sospechoso ha cometido un crimen o violó una política de la empresa. Si la evidencia sugiere que un delito o violación de la
política se ha cometido, se empieza a preparar un caso, que es un conjunto de pruebas que puede ofrecer en el tribunal o en una
investigación corporativa. Este proceso consiste en investigar el sospechoso ' s computadora y luego la preservación de la
evidencia en un equipo diferente. Antes de comenzar la investigación, sin embargo, debe seguir un procedimiento aceptado para
preparar un caso. Al abordar cada caso de forma metódica, se pueden evaluar las pruebas a fondo y documentar la cadena de
evidencia o cadena de custodia, que es la ruta de la evidencia lleva desde el momento en que encuentre hasta que el caso se cierra
o se va a la corte. Las siguientes secciones presentan dos casos de la muestra - uno que implica un delito informático y otro que
implica una violación de la política de la empresa. Cada ejemplo describe los pasos típicos de una investigación forense,
incluyendo la recolección de pruebas, la preparación de un caso, y la preservación de la evidencia.
Una visión general de un delito informático

Los oficiales de policía a menudo se encuentran los ordenadores y componentes informáticos como se ' re investigar los delitos, reunir
otras pruebas, o realizar detenciones. Las computadoras pueden contener información que ayuda a los agentes del orden a determinar
la cadena de acontecimientos que conducen a un crimen o información que proporciona evidencia de que ' Es más probable que
conduzca a una condena. Como un ejemplo de un caso en el que los ordenadores estaban involucrados en un crimen, la policía allanó
un narcotraficante sospechoso ' s casa y encontró una computadora, varios disquetes y discos USB (también llamados unidades de
llavero o lápices de memoria), un asistente digital personal (PDA), y un teléfono celular en un dormitorio (véase la Figura 2-1). El equipo
estaba “ embolsado y etiquetado, ” lo que significa que se colocó en bolsas de pruebas junto con los medios de almacenamiento y
etiquetado con etiquetas como parte de la búsqueda y captura.
La preparación de una investigación de equipos 29
Di Ay
2
,I
Figura 2-1 La escena del crimen
El detective principal en el caso de que quiera examinar el equipo para buscar y organizar los datos que podrían ser evidencia
de un crimen, como los archivos que contiene los nombres del vendedor de drogas ' s contactos. El oficial de adquisiciones le da
la documentación de los artículos oficiales investigadores recogieron con el ordenador, incluyendo una lista de otros medios de
almacenamiento, como discos extraíbles y CD. El oficial de adquisiciones también señala que el equipo es un sistema de
Windows XP y la máquina estaba funcionando cuando se descubrió. Antes de apagar el ordenador, el funcionario de
adquisiciones fotografías todas las ventanas abiertas en el escritorio de Windows, incluyendo uno que muestra el Explorador de
Windows, y le da las fotos. (Antes de apagar el ordenador, una adquisición en vivo se debe hacer para capturar la memoria
RAM, también. Este procedimiento se discute en el capítulo 11.)
Como un investigador de la informática forense, que ' re agradecidos a los oficiales siguieron el procedimiento adecuado durante la
obtención de pruebas. Con la evidencia digital, se ' Es importante darse cuenta de la facilidad con que los datos clave, como la última fecha
de acceso, pueden ser alterados por un investigador que overeager ' s por primera vez en la escena. El Departamento de Justicia (DOJ)
tiene un documento se puede descargar que revisa la adquisición adecuada de pruebas electrónicas, incluyendo la búsqueda y captura de
los ordenadores ( www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm). Si este enlace ha cambiado debido a las actualizaciones del
sitio, utilice la función de búsqueda.
En su evaluación preliminar, se asume que los medios de almacenamiento en disco y duros incluyen archivos intactos, tales como
mensajes de correo electrónico, archivos eliminados, y los archivos ocultos. Una gama de software está disponible para su uso en su
investigación; su oficina utiliza la herramienta de Caminos Tecnología ProDiscover.
Este
NOTEcapítulo es una introducción a los principios aplicados a la informática forense. En el
capítulo 7, se aprende las fortalezas y debilidades de varios paquetes de software.
30 Capitulo 2
Debido a que algunos casos se trata de equipos que ejecutan sistemas operativos legado, las versiones
anteriores de herramientas a menudo necesitan ser utilizado en investigaciones forenses. Por ejemplo, Norton
DiskEdit es una herramienta antigua que era la última disponible en el Norton System Works 2000 CD.
Después de su evaluación preliminar, a identificar los retos potenciales en este caso. Debido a que los traficantes de drogas Don ' t
suele hacer que la información sobre sus cómplices disponibles, los archivos en el disco que ha recibido son probablemente contraseña
protegida. Puede que tenga que adquirir
de violación de contraseñas de software o encontrar un experto que puede ayudar a descifrar un archivo. Más tarde, realizar los pasos
necesarios para investigar el caso, incluyendo la forma de abordar los riesgos y obstáculos. A continuación, puede comenzar la investigación y
recuperación de datos real.
Una visión general de una Violación de la política de la empresa

Las empresas a menudo establecen políticas para el uso de los ordenadores de los empleados. Los empleados que navegan por Internet, enviar
mensajes de correo electrónico personal, o el uso de computadoras de la compañía para tareas personales durante las horas de trabajo pueden
perder horas de trabajo. Debido a que el tiempo perdido puede costar a las empresas millones de dólares, los especialistas en informática forense se
utilizan a menudo para investigar violaciónes de política. El siguiente ejemplo describe una violación de la política de la empresa.
El entrenador Steve Billings ha estado recibiendo quejas de los clientes sobre el rendimiento en el trabajo de uno de sus
representantes de ventas, George Montgomery. George ha trabajado como representante durante varios años. Él ' Ha sido
ausentarse del trabajo durante dos días, pero hasn ' t se reportó enfermo o le dijo a nadie por qué wouldn ' t estar en el trabajo. Otro
empleado, Martha, también está desaparecido y hasn ' t informó a nadie de la razón de su ausencia. Steve le pide al Departamento
de Tecnología de la confiscación de George ' s disco duro y todos los medios de almacenamiento en su área de trabajo. Quiere
saber si existe ' s ninguna información sobre George ' s ordenador y medios de almacenamiento que podrían ofrecer una pista a
George ' s paradero y los problemas de rendimiento de trabajo. Para ayudar a determinar George y Martha ' s paradero, se debe
adoptar un enfoque sistemático, que se describe en la siguiente sección, para examinar y analizar los datos que se encuentran en
George ' s escritorio.
Tomando un enfoque sistemático

En la preparación de un caso, se pueden aplicar medidas de análisis de sistemas estándar, se explica en la siguiente lista, a la resolución de
problemas. Más adelante en este capítulo, se aplican estas medidas para los casos.
• Realizar una evaluación inicial sobre el tipo de caso que usted ' re investigar - Para evaluar el tipo de caso que usted ' re
manejo, hablar con otras personas involucradas en el caso y hacer preguntas sobre el incidente. Tienen aplicación de la
ley o de seguridad de la empresa ya los oficiales confiscaron el ordenador, discos y otros componentes? Qué se necesita
para visitar una oficina o en otro lugar? Fue la computadora utilizada para cometer un delito, o contiene evidencia acerca
de otro crimen?
• Determinar un diseño preliminar o enfoque para el caso - Delinear los pasos generales que debe seguir para investigar
el caso. Si el sospechoso es un empleado y lo que necesita para adquirir su sistema, determinar si puede hacerse con
el equipo durante las horas de trabajo o tienen que esperar hasta la noche o los fines de semana. Si tu ' la preparación
de un nuevo
Tomando un enfoque sistemático 31
=
caso criminal, determinan lo que los agentes del orden la información que ya se han reunido.
• Crear una lista detallada - Refinar el esquema general mediante la creación de una lista detallada de los pasos y una cantidad
estimada de tiempo para cada paso. Este esquema le ayuda a mantenerse en el camino durante la investigación. 2
• Determinar los recursos que necesita - Basado en el sistema operativo del ordenador que ' re investigar, enumerar el software que
va a utilizar para la investigación, tomando nota de cualquier otro software o herramientas que pueda necesitar.
• Obtener y copiar una unidad de pruebas - En algunos casos, es posible que apoderarse de varios equipos, junto
con los discos Zip, Jaz, CD, unidades USB, PDAs y otros medios extraíbles. (Para los ejemplos de este
capítulo, ' re utilizando sólo las unidades USB.) Haga una copia forense del disco.
• Identificar los riesgos - Enumerar los problemas que normalmente se esperaría en el tipo de caso que usted ' volver a la manipulación. Esta
lista se conoce como una evaluación de riesgo estándar. Por ejemplo, si el sospechoso parece bien informado acerca de las
computadoras, él o ella podría haber establecido un esquema de inicio de sesión que se apaga el ordenador o sobrescribe los datos del
disco duro cuando alguien trata de cambiar la contraseña de inicio de sesión.
• Mitigar o reducir al mínimo los riesgos - Identificar cómo puede minimizar los riesgos. Por ejemplo, si ' volver a trabajar con
un equipo en el que el sospechoso es probable que haya passwordprotected el disco duro, puede hacer varias copias de
los medios originales antes de comenzar. A continuación, si se destruye una copia durante el proceso de recuperación
de la información del disco, que tiene copias adicionales.
• Probar el diseño - Revisar las decisiones que ' he hecho y los pasos que ' he completado. Si ya ha copiado los medios
originales, una parte estándar de probar el diseño consiste en comparar los valores hash (que se analizan en los
capítulos 4 y 5) para asegurarse de que ha copiado el medio original correctamente.
• Analizar y recuperar la evidencia digital - El uso de las herramientas de software y otros recursos le ' he recogido, y
asegurarse de que ' hemos abordado los riesgos y obstáculos, examine el disco para encontrar la evidencia digital.
• Investigar los datos que se recupere - Ver la información recuperada desde el disco, incluyendo los archivos existentes, archivos
borrados, y el correo electrónico, y organizar los archivos para ayudar a probar el sospechoso ' s culpabilidad o inocencia.
• Completar el informe del caso - Escribir un informe completo que detalla lo que hizo y lo que ha encontrado.
• Criticar el caso - La autoevaluación es una parte esencial del crecimiento profesional. Después de completar un
caso, lo examinará para identificar las decisiones y acciones de éxito y determinar cómo se podría haber mejorado
su rendimiento.
La cantidad de tiempo y esfuerzo que puso en cada paso varía, dependiendo de la naturaleza de la investigación. Por ejemplo, en
la mayoría de los casos, es necesario crear un plan de investigación simple para que usted don ' t dan ningún paso. Sin embargo, si
un caso tiene que ver con muchas computadoras cuestiones complejas para identificar y examinar, un plan detallado con la revisión
periódica y actualizaciones es esencial. Un enfoque sistemático ayuda a descubrir la información que necesita para su caso, y se
debe reunir la mayor cantidad de información posible.
32 Capitulo 2
Para todas las investigaciones de computación, debe estar preparado para lo inesperado, lo que siempre debe tener un plan de
contingencia para la investigación. Un plan de contingencia puede consistir en cualquier cosa para ayudarle a completar la
investigación, de las herramientas de software y hardware alternativa a otros métodos de aproximación a la investigación.
La evaluación de la Caja
Como se ha mencionado, la identificación de requisitos del caso consiste en determinar el tipo de caso que usted ' re investigar. Si lo
hace, significa que debe perfilar los detalles del caso de manera sistemática, incluyendo la naturaleza del caso, el tipo de evidencia
disponible, y la ubicación de las pruebas. En el caso de violación de empresa-política, se le ha pedido que investigue George
Montgomery. Steve Billings tenía el Departamento de TI confiscar todas George ' medios de almacenamiento s que podrían contener
información sobre su paradero. Después de hablar con George ' s compañeros de trabajo, Steve supo que George ha estado llevando
a cabo un negocio personal en el lado usando computadoras de la compañía. Por lo tanto, el enfoque del caso ha pasado de ser una
persona desaparecida a un posible abuso de los empleados de los recursos corporativos. Puede comenzar a evaluar este caso de la
siguiente manera:
• Situación - caso de abuso de los empleados.
• Naturaleza del caso - negocio secundario a cabo sobre el empleador ' s ordenador.
• Detalles del caso - Según los informes, el empleado está llevando a cabo un negocio secundario en su patrón ' s equipo que implica
el registro de nombres de dominio para los clientes y la creación de sus sitios web en los ISPs locales. Los compañeros de trabajo
se han quejado de que él ' s pasado demasiado tiempo en su propio negocio y no realizar sus tareas de trabajo asignadas. política
de la compañía afirma que todos los activos informáticos propiedad de la compañía están sujetos a la inspección de gestión de la
empresa en cualquier momento. Los empleados tienen ninguna expectativa de privacidad cuando se opera los sistemas
informáticos de la compañía.
• Tipo de pruebas - unidad USB de pequeña capacidad.
• Sistema operativo - Microsoft Windows XP.

• formato de disco conocida - FAT16.
• Localización de pruebas - Una unidad USB recuperado del empleado ' s equipo asignado.
Sobre la base de estos datos, puede determinar los requisitos del caso. Ahora ya sabe que la naturaleza del caso implica abuso de los
empleados de los activos de la empresa y tiene ' re buscando evidencia de que un empleado estaba llevando a cabo un negocio
secundario utilizando su patrón ' s de computadoras. En la unidad USB recuperado de George ' s ordenador, ' re buscando cualquier
información relacionada con los sitios Web, ISP, o nombres de dominio. Usted sabe que el sistema operativo del ordenador es Windows
XP y la unidad USB utiliza el sistema de archivos FAT16. Para duplicar la unidad USB y encontrar los archivos borrados y ocultos, se
necesita una herramienta informática forense fiable. Debido a que la unidad USB ya se ha recuperado, usted no ' t necesidad de
aprovechar la unidad usted mismo.
Se llama a este caso el caso de nombres de dominio y determina que su tarea consiste en recopilar datos de los medios de
almacenamiento incautados a confirmar o negar la afirmación de que George está llevando a cabo un negocio secundario en horas de
trabajo y ordenadores. Recuerde que él ' s sospecha solamente del abuso de activos, y la evidencia se obtiene puede ser exculpatoria - lo
que significa que podría demostrar su inocencia. Siempre hay que mantener una perspectiva imparcial y ser objetivo en sus
FACT-hallazgos. Si usted es sistemática y exhaustiva, se ' re mayor probabilidad de producir resultados fiables.
Planificación de la Investigación
Ahora que ha identificado las necesidades de cada caso de nombres de dominio, usted puede planear su investigación.
Usted ya ha determinado el tipo de pruebas que necesita; Ahora usted puede identificar los pasos específicos para reunir las
pruebas, establecer una cadena de custodia, y llevar a cabo el análisis forense. Estos pasos se convierten en el plan básico 2
para su investigación e indican lo que debe hacer y cuándo. Para investigar el caso de nombres de dominio, debe realizar los
siguientes pasos generales. La mayoría de estos pasos se explican con más detalle en las siguientes secciones.
1. Adquirir la unidad USB de George ' gestor de s.
2. Completar un formulario de pruebas y establecer una cadena de custodia.
3. Transporte la evidencia para su laboratorio forense.

4. Coloque la evidencia en una aprobado contenedor seguro.
5. Preparar su estación de trabajo forense.
6. Recuperar la evidencia del contenedor seguro.
7. Haga una copia forense de la unidad de pruebas (en este caso, la unidad USB).
8. Volver la unidad de pruebas al contenedor seguro.
9. Proceso de la unidad de pruebas copiado con sus herramientas de informática forense.
El contenedor seguro aprobado que necesita en el paso 4 debe ser una, armario ignífugo
bloqueado o armario que tiene un acceso limitado. El acceso limitado significa que sólo
usted y otro personal autorizado puede abrir el contenedor de pruebas.
La primera regla para todas las investigaciones es el de preservar la evidencia, lo que significa que no debe ser alterado o
contaminado. Debido a que el personal del Departamento de TI confiscó los medios de almacenamiento, tiene que ir a ellos para
la evidencia. El gerente del Departamento de TI confirma que el soporte de almacenamiento se ha encerrado en un armario
seguro ya que se recupera de George ' s escritorio. Tenga en cuenta que a pesar de que este caso es un asunto de política
corporativa, muchos casos son expulsados debido a que la cadena de custodia puede ' t ser probado o se ha roto. Cuando esto
sucede, hay ' s la posibilidad de que las pruebas se ha visto comprometida.
Para documentar la evidencia, grabar detalles acerca de los medios de comunicación, incluidos los que se recuperó la evidencia y
cuándo y quién la poseía y cuándo. utilice una formulario de custodia pruebas, también llamada una forma de cadena de pruebas, lo
que le ayuda a documentar lo que tiene y no se ha hecho con la evidencia original y las copias de las pruebas forenses. Dependiendo
de si se ' volver a trabajar en la aplicación de la ley o de seguridad privada de la empresa, puede crear un formulario de custodia
pruebas para adaptarse a su medio ambiente. Esta forma debe ser fácil de leer y usar. Puede contener información para una o varias
piezas de evidencia. Considerar la creación de una
forma de una sola evidencia ( que enumera cada elemento de prueba en una página separada) y una forma multievidence ( véase la
Figura 2-2), en función de las necesidades administrativas de su investigación. Si es necesario, documentar cómo utilizar el formulario
de custodia de pruebas. instrucciones claras ayudan a los usuarios siguen siendo coherentes al rellenar el formulario y asegurar que
todo el mundo utiliza las mismas definiciones para objetos recogidos. La estandarización ayuda a mantener una calidad constante para
todas las investigaciones y evitar confusiones y errores acerca de la evidencia recoja.
Corporation X
34 Capitulo 2 Security ln\f.ti»aliuiii
Thu form i* to he uÿcd lot one to ten pieces of evidence
C**c No Invert looting
Organi/alio»
Invcnigtfor
Naluro of tW.
I/.«cation wtvcrc
CMtlctKC WAN
«framed
Unonption of c\ ¡deuce Vendor Nan* Model No Serial No.
Item =1
Item *2
Item
Item «4
Item »?
Item ~i>
Item =7
Item =8
Item =*?
Item =10
t\ idciwe »atc& Time:
Recovered by
Evidence fíate & Time:
li ved in Ixvker
Item 1 Eviderwc Proceded In liispovilnw of Evidence l>Jtc Time
Tage ol
Figura 2-2 Una forma de múltiples pruebas de la muestra utilizada en un entorno corporativo
Una forma de custodia pruebas por lo general contiene la siguiente información:
• Número de caso - El número de su organización asigna cuando se inicia una investigación.
• La investigación de la organización - El nombre de su organización. En las grandes empresas con instalaciones globales,
varias organizaciones podrían ser la realización de investigaciones en diferentes áreas geográficas.
• Investigador - El nombre del investigador asignado al caso. Si se asignan muchos investigadores, especificar el
investigador principal ' nombre de.
• Naturaleza de los argumentos - Una breve descripción del caso. Por ejemplo, en el entorno corporativo, podría ser “ La
recuperación de datos para los litigios corporativos ” o “ política empleado caso de violación. ”
• se obtuvo evidencia de ubicación - El lugar exacto donde se recogió la evidencia. Si tu ' re el uso de
formularios de varias pruebas, una nueva forma debe ser creado para cada ubicación.
• Descripción de las pruebas - Una lista de los elementos de las pruebas, tales como “ disco duro, 20 GB ”
o “ una unidad USB, 128 MB. ” En una forma de múltiples pruebas, escribir una descripción de cada una de las
pruebas que adquiera.
• Nombre del vendedor - El nombre del fabricante de la prueba informática. Lista de un disco duro de 20 GB, por ejemplo,
como Maxtor 20 GB de disco duro, o describir una unidad USB como una
=
Agregado de 1 GB PNY Technologies unidad. En capítulos posteriores, se ve cómo las diferencias entre los fabricantes pueden
afectar la recuperación de datos.
• número de modelo o número de serie - Detalle el número de modelo o de serie (si está disponible) del componente de la
computadora. Muchos componentes del ordenador, incluyendo discos duros, chips de memoria y tarjetas de ranura de 2
expansión, tienen números de modelo, pero no números de serie.
• La evidencia recuperada por - El nombre del investigador que se recuperó la evidencia. La cadena de custodia
de pruebas comienza con esta información. Si inserta su nombre, por ejemplo, ' re declarando que ha tomado
el control de las pruebas. Eso ' Ahora es su responsabilidad asegurarse de que nada daña la evidencia y nadie
interfiera con ella. La persona que coloca su nombre en esta línea es responsable de la conservación, el
transporte, y la obtención de las pruebas.
• Fecha y hora - La fecha y hora de la prueba fue detenido. Esta información establece exactamente
cuando la cadena de custodia se inicia.
• Evidencia colocado en el armario - Especifica que aprobaron contenedor seguro se utiliza para almacenar las pruebas y
cuando las pruebas se colocó en el recipiente.
• Artículo # / Evidencia procesado por / Disposición de pruebas / Fecha / Hora - Cuando usted u otro
investigador autorizado, recupera la evidencia del armario de pruebas para el procesamiento y análisis,
enumerar el número de artículo y su nombre, y luego describir lo que se hizo a la evidencia.
• Página - Los formularios utilizados para catalogar todas las pruebas para cada lugar deben tener números de página.
Enumerar el número de página, e indicar el número total de páginas para este grupo de pruebas. Por ejemplo, si recogido
15 piezas de evidencia en una ubicación y su forma tiene sólo 10 líneas, es necesario llenar dos formularios de varias
pruebas. La primera forma se observa como “ Página 1 de 2, ” y la segunda página se observa como “ Página 2 de 2. ”
La Figura 2-3 muestra una forma de una sola evidencia, que enumera sólo una pieza de evidencia por página. Esta forma le da
más flexibilidad en el seguimiento de piezas separadas de pruebas para su registro chainof custodia. También dispone de más
espacio para las descripciones, lo cual es útil al finalizar la investigación y la creación de un informe del caso. Con esta forma, se
puede explicar con precisión lo que se hizo a la evidencia y lo que se encontró. Utilizar formas de evidencia como una referencia
para todas las acciones tomadas durante su análisis de investigación.
Se puede utilizar tanto de múltiples pruebas y formas de una sola evidencia en su investigación. Mediante el uso de dos formas, se puede
mantener la forma de un solo pruebas con las pruebas y la forma de múltiples pruebas en su expediente informe. Dos formas también
proporcionan redundancia que puede ser utilizado como un control de calidad para sus pruebas.
Seguridad de su Evidencia
El cálculo de la demanda de las investigaciones que ajuste sus procedimientos para adaptarse al caso. Por ejemplo, si la evidencia para
un caso incluye un sistema informático completo y los medios de almacenamiento asociados, tales como disquetes, Zip y cartuchos Jaz,
4 mm DDS cinta de audio digital (DAT), y unidades USB, debe ser flexible cuando su cuenta para todos estos artículos. Alguna evidencia
es lo suficientemente pequeño como para caber en una bolsa de pruebas. Otros elementos, como el gabinete de CPU, monitor, teclado
e impresora, son demasiado grandes.
Para proteger y catalogar las pruebas contenidas en los componentes de ordenadores grandes, puede utilizar grandes bolsas de
evidencia, cintas, etiquetas, etiquetas y otros productos de alimentación de la policía
Metropolis Police Bureau
36 Capitulo 2 High-tech Investigations Unit
11113! fomi is ID be used for only one pieoc of evidence.
I ill HIi ii MTixir.iic Min for each piece of evidence
IWMn.:
* l'ml Number:
Invtuijmtiir:
Nature of C *e.
Locaiiun where
CVHÍCIRV WÜ»
licm
n> * I'Xwcriptiiin «it evidence: Vcwdie Same Nhilcl No/Scml No.
Evidence Datc A Time:

Rcujvercd h\~
Evidence Dale A Time:
iljtol in Locfccc
i.utfcncc ftoccmaJ l»v l)n|x-MU>'M of Evidente [>.uc/liim-
Figura 2-3 Una forma de una sola evidencia
vendors or office supply stores. When gathering products to secure your computer evidence, make sure they are
safe and effective to use on computer components. Be cautious when handling any computer component to avoid
damaging the component or coming into contact with static electricity, which can destroy digital data. For this
reason, make sure you use antistatic bags when collecting computer evidence. Consider using an antistatic pad
with an attached wrist strap, too. Both help prevent damage to computer evidence. Be sure to place computer
evidence in a well-padded container. Padding prevents damage to the evidence as you transport it to your secure
evidence locker, evidence room, or computer lab. Save discarded hard drive boxes, antistatic bags, and packing
material for computer hardware when you or others acquire computer devices.
Porque no puede ser que haya todo lo necesario para asegurar su evidencia, hay que improvisar. Asegurar evidencia requiere a
menudo la construcción de contenedores seguros. Si el componente de equipo es grande y contenida en su propia carcasa, como
un gabinete de CPU, puede utilizar la cinta de pruebas para sellar todas las aberturas en el gabinete. La colocación de cinta de
evidencia con más compartimientos de unidades, ranuras de inserción de cables de alimentación y cables USB, y cualquier otra
abertura garantiza la seguridad de las pruebas. Como práctica estándar, usted debe escribir sus iniciales en la cinta antes de
aplicarlo a la evidencia. Esta práctica hace que sea posible probar en corte que la evidencia hasn ' t sido manipulado porque el
couldn carcasa ' t se han abierto ni podría eléctricas han sido suministrado a la carcasa cerrada con esta cinta en su lugar. Si la cinta
había sido reemplazado, sus iniciales wouldn ' t estar presente, lo que indicaría la manipulación. Si transporta un caso de la CPU,
colocar nuevos discos en las unidades de disco para reducir posibles daños unidad mientras ' volver a desplazar el ordenador.
Procedimientos para las investigaciones-corporativo de alta tecnología 37
s:
Los componentes del equipo requieren intervalos de temperatura y humedad específicas. Si se ' S, componentes informáticos, caliente, húmedo o
demasiado fríos y los medios magnéticos pueden estar dañados. Incluso los asientos de coche con calefacción pueden dañar los medios digitales, y
la colocación de una computadora en la parte superior de una radio de coche de dos vías en el maletero pueden dañar los medios magnéticos. Al
2
recoger evidencias ordenador, asegúrese de que tiene un ambiente seguro para el transporte y almacenamiento hasta un recipiente de pruebas
seguro está disponible.
Procedimientos para las investigaciones-corporativo de alta tecnología

Como investigador, es necesario desarrollar procedimientos formales y listas de control informales para cubrir todos los temas importantes para las
investigaciones de alta tecnología. Estos procedimientos son necesarios para asegurar que las técnicas correctas son utilizados en una investigación.
Utilizar listas de control informales para tener la certeza de que todas las pruebas sean recogidos y tratados adecuadamente. En esta sección se
enumeran algunos ejemplos de procedimientos informáticos que los investigadores utilizan comúnmente en las investigaciones de alta tecnología
corporativos.
Los casos de terminación empleado

La mayoría de los trabajos de investigación de los casos de terminación implica abuso de los empleados de los activos corporativos.
Incidentes que crean un ambiente de trabajo hostil, como ver pornografía en el lugar de trabajo y el envío de mensajes de correo
electrónico inapropiados, son los tipos predominantes de los casos investigados. Las siguientes secciones describen los puntos clave
para la realización de una investigación que podría conducir a un empleado ' s terminación. Consultar con su organización ' Se
recomienda asesor general s y el Departamento de Recursos Humanos para obtener instrucciones específicas sobre cómo manejar
estas investigaciones. Su organización debe tener políticas adecuadas en su lugar, tal como se describe en el Capítulo 1.
Investigaciones de Abuso de internet

La información de esta sección se aplica a una organización ' S de red privada interna, no un proveedor de Internet pública. Consulte
con su organización ' s consejero general después de revisar esta lista, y hacer cambios de acuerdo a sus instrucciones para
construir sus propios procedimientos. Para llevar a cabo una investigación que implica el abuso de Internet, se necesita lo siguiente:
• La organización ' los registros del servidor proxy de Internet s
• equipo sospechoso ' Dirección IP s obtuvo de su organización ' administrador de la red s
• equipo sospechoso ' la unidad de disco s
• Su herramienta de análisis forense ordenador preferido (ProDiscover, Forensic Toolkit, EnCase, X-Ways
Forense, y así sucesivamente)
Los pasos siguientes describen el procesamiento recomendada de un caso de abuso de Internet:
1. Utilizar las técnicas de análisis forenses estándar y procedimientos descritos en este libro para el examen de la unidad
de disco.
2. El uso de herramientas tales como DataLifter o Forensic Toolkit ' s opción de búsqueda de palabras clave de Internet,
extraer toda la información de la página Web URL.
3. Póngase en contacto con el administrador de firewall de red y solicitar un registro del servidor proxy, si ' s
disponibles, del equipo sospechoso ' s nombre del dispositivo de red o la dirección IP para las fechas de interés.
Consulte con su organización ' s administrador para confirmar que la red
38 Capitulo 2
estos registros se mantienen y el tiempo que el tiempo de vida (TTL) está fijado para la red ' s asignaciones de direcciones IP
que utilizan el protocolo de configuración dinámica de host (DHCP).
4. Comparar los datos recuperados de análisis forense a los datos de registro del servidor proxy para confirmar que
coinciden.
5. Si los datos de URL coincide con el registro del servidor proxy y el examen forense de disco, Continuar con el análisis del
ordenador sospechoso ' s de datos de transmisión, y recogen las imágenes inapropiadas descargados relevantes o páginas Web
que soportan la acusación. Si no hay ninguna coincidencia entre los registros del servidor proxy y el examen forense no muestra
evidencia contribuyendo, informar que la acusación es infundada. Antes de investigar un caso de abuso de Internet, la investigación
de su estado o país ' s leyes de privacidad. Muchos países tienen leyes de privacidad únicas que restringen el uso de los datos de
registro del ordenador, como los registros del servidor proxy o archivos de caché de disco, para cualquier tipo de investigación.
Algunas leyes estatales o federales podrían reemplazar a su organización ' políticas s empleados. Siempre consulte con su
organización ' s abogado. Para las empresas con operaciones comerciales internacionales, la jurisdicción es un problema; lo que es
legal en los Estados Unidos, tales como el examen y la investigación de un registro del servidor proxy, podría no ser legal en
Alemania, por ejemplo. Para las investigaciones en las que doesn el registro de servidor proxy ' t coincide con el análisis forense
encontró que los datos inapropiados, continuar con el examen de la computadora sospechoso ' la unidad de disco s. Determinar
cuando los datos inapropiada fue descargado en el ordenador y si fue a través de una organización ' s conexión de intranet a
Internet. Los empleados podrían haber utilizado su empleador ' s computadoras portátiles para conectarse a sus propios
proveedores de Internet para descargar contenido web inapropiado. Para estas situaciones, es necesario consultar a su
organización ' directrices de política s empleado para lo ' s considerado el uso apropiado de la organización ' s activos informáticos.
E-mail Investigaciones de Abuso

investigaciones de correo electrónico suelen incluir correo no deseado, el contenido del mensaje inapropiado y ofensivo, y el acoso o
amenazas. E-mail está sujeto a las mismas restricciones que los otros datos de la prueba informática, en el que una organización debe
tener una política definida, tal como se describe en el capítulo 1. La siguiente lista es lo que necesita para una investigación que involucra
el abuso e-mail:
• Una copia electrónica de la dirección de correo infractor que contiene datos de cabecera del mensaje; consulte con el administrador del
servidor de correo electrónico
• Si, correo electrónico registros de registro del servidor disponibles; consulte con el administrador del servidor de correo electrónico para ver
si están disponibles
• Para los sistemas de correo electrónico que almacenan los usuarios ' mensajes en un servidor central, el acceso al servidor; consulte con el
administrador del servidor de correo electrónico
• Para los sistemas de correo electrónico que almacenan los usuarios ' mensajes en una computadora como un .pst de Outlook o un archivo
.ost, por ejemplo, el acceso a la computadora para que puedan realizar un análisis forense en él
• El ordenador herramienta de análisis forense preferido, como Forensic Toolkit o ProDiscover
Este es el procedimiento recomendado para las investigaciones de correo electrónico:
1. Para los archivos de datos de correo electrónico basados en computadoras, como Outlook archivos .pst o .ost, utilice las técnicas de
análisis forenses estándar y procedimientos descritos en este libro para el examen de accionamiento.
=
2. Para los archivos de datos de correo electrónico basados en el servidor, póngase en contacto con el administrador del servidor de correo
electrónico y obtener una copia electrónica del sospechoso y la víctima ' s carpeta de correo electrónico o los datos.
3. Para las investigaciones de correo electrónico basados en web, como Hotmail o Gmail, utilizar herramientas como Forensic Toolkit ' opción de
búsqueda por palabra clave s de Internet para extraer toda la información relacionada con la dirección de e-mail. 2
4. Examinar los datos de cabecera de todos los mensajes de interés para la investigación.
Investigaciones privilegio abogado-cliente

Al llevar a cabo un análisis de la informática forense bajo privilegio abogado-cliente (ACP) reglas para un abogado, usted debe
mantener todos los hallazgos confidencial. El abogado le ' volver a trabajar para es la máxima autoridad sobre la investigación.
Para las investigaciones de esta naturaleza, los abogados normalmente solicitan que extraer todos los datos de las unidades.
Eso ' Es tu responsabilidad cumplir con el abogado ' s direcciones. Debido a las grandes cantidades de datos de una unidad puede
contener, el abogado querrá saber sobre todo de interés en las unidades.
Many attorneys like to have printouts of the data you have recovered, but printouts can present problems when you
have log files with several thousand pages of data or CAD drawing programs that can be read only by proprietary
programs. You need to persuade and educate many attorneys on how digital evidence can be viewed
electronically. In addition, learn how to teach attorneys and paralegals to sort through files so that you can help
them efficiently analyze the huge amount of data a forensic examination produces.
También puede encontrar problemas si encuentra datos en forma de archivos binarios, como los dibujos CAD. El examen de estos
archivos requiere el uso del programa de CAD que los creó. Además, las empresas de ingeniería a menudo tienen programas
especializados de redacción. demandas de descubrimiento para demandas relacionadas con un producto que causaron lesiones o la
muerte requiere la extracción de los planes de diseño para los abogados y peritos para su revisión. Tú ' re responsable de la
localización de los programas para estos planes de diseño para que los abogados y peritos pueden ver los archivos de evidencia.
La siguiente lista muestra los pasos básicos para la realización de un caso ACP:
1. Solicitud de un memorando del abogado que le indica que comience la investigación. El memorando debe
indicar que la investigación es la comunicación privilegiada y añada su nombre y cualquier otro asociados ' nombres
asignados al caso.
2. Solicitar una lista de palabras clave de interés para la investigación.
3. Después de haber recibido el memorándum, iniciar la investigación y el análisis. Cualquier resultado que haya realizado
antes de recibir el memorándum están sujetos al descubrimiento por el abogado contrario.
4. Para los exámenes de accionamiento, hacer que dos imágenes flujo de bits (que se analizan más adelante en este capítulo) de la unidad
mediante una herramienta diferente para cada imagen, como EnCase para la primera y ProDiscover o SafeBack para la segunda. Si
tiene unidades de almacenamiento lo suficientemente grandes, que cada imagen flujo de bits sin comprimir de manera que si se
corrompe, todavía se pueden examinar las áreas no corrompidos con su herramienta de análisis forense preferido.
5. Si es posible, comparar los valores hash de todos los archivos en los discos originales y re-creado. Por lo general, los abogados quieren
ver todos los datos, incluso si ' s no relevante para el caso. Muchas herramientas de análisis forense GUI realizar esta tarea durante la
exploración flujo de bits de la unidad.
40 Capitulo 2
6. Examinar metódicamente cada parte de la unidad (ambas áreas de datos asignados y no asignados) y extracto de todos los
datos.
7. realizar búsquedas de palabras clave en el espacio de disco asignado y no asignado. Seguimiento de los resultados de búsqueda para
determinar si los resultados de la búsqueda contienen información que es compatible con el caso.
8. Para Windows Oss, utilizar herramientas especiales para analizar y extraer los datos del registro, tales como AccessData
Visor del registro o un programa de visor de Registro (discutido en más detalle en el capítulo 6). Utilice la edición, Encuentra
opción de menú en el Editor del Registro, por ejemplo, para buscar palabras clave de interés para la investigación.
9. Para los archivos binarios tales como dibujos CAD, busque el programa correcto y, si es posible, hacer impresiones del contenido del
archivo binario. Si los archivos son demasiado grandes, cargar el programa de especialidad en una estación de trabajo
independiente con los archivos binarios recuperados para que el abogado pueda verlas.
10. Para los datos no asignados (de espacio de archivos de holgura o espacio libre, que se explica en el capítulo 6) de recuperación, utilice una
herramienta que elimina o reemplaza los datos no imprimibles, tales como X-Ways Forense Especialista Reunir función de texto.
11. Consolidar todos los datos recuperados de la imagen flujo de bits los datos en carpetas y subcarpetas wellorganized.
Almacenar la salida de datos recuperada, usando un método de almacenamiento lógico y fácil de seguir para el abogado o
asistente legal. Aquí están algunas otras pautas a tener en cuenta para los casos ACP:
• Minimizar todas las comunicaciones escritas con el abogado; usar el teléfono cuando se necesita para hacer preguntas o
proporcionar información relacionada con el caso.
• Cualquier documentación escrita al fiscal debe contener una cabecera que indica que se ' s
“ La comunicación privilegiada legal - Confidencial Producto trabajo, ” como se define en la regla
abogado-trabajo-producto.
• Ayudar al abogado y asistente legal en el análisis de los datos. Si tiene dificultades para cumplir con las direcciones o Don ' entiendo
las directivas del memorando, en contacto con el abogado y explicar el problema. Siempre mantenga una línea abierta de
comunicación verbal con el abogado durante este tipo de investigaciones. Si tu ' re comunicación a través de correo electrónico,
utilizar el cifrado (como PGP) u otro servicio de correo electrónico seguro para todos los mensajes.
Las investigaciones de fugas medios

En el entorno corporativo, el control de datos sensibles puede ser difícil. Los empleados descontentos, por ejemplo, podrían enviar una
organización ' s datos sensibles a un reportero de noticias. Las razones de rumores de la prensa van desde empleados ' los esfuerzos para
avergonzar a la gestión de un rival realización de una lucha de poder entre otras organizaciones internas. Otra preocupación es la liberación
prematura de la información sobre los nuevos productos, que pueden interrumpir las operaciones y causar la pérdida de cuota de mercado
para un negocio si la información se hace pública demasiado pronto. investigaciones de fugas de medios pueden llevar mucho tiempo y
muchos recursos. Dado que la administración quiere encontrar quién filtró la información, la corrupción del alcance durante la investigación
no es infrecuente. Tenga en cuenta las siguientes directrices para las investigaciones de fugas de los medios de comunicación:
• Examinar el correo electrónico, tanto para la organización ' s servidores de correo electrónico y cuentas de correo electrónico privado
(Hotmail, Yahoo !, Gmail, etc.), en los equipos propiedad de la compañía.

=
• Examinar los foros de Internet, y buscar en Internet para cualquier información sobre la compañía o producto. Utilizar los
motores de búsqueda de Internet para realizar búsquedas de palabras clave relacionadas con la empresa, producto o
información filtrada. Por ejemplo, es posible buscar
“ piñón de la bicicleta de grafito-composite ” para un fabricante de bicicletas que fue víctima de una fuga de los medios de comunicación
sobre un nuevo producto en el desarrollo.
2
• Examinar los registros del servidor proxy para comprobar si las actividades de registro que podría demostrar el uso de los servicios
gratuitos de correo electrónico, tal como Gmail. Rastrear de nuevo a las estaciones de trabajo específicas en las que se originaron estos
mensajes y realizar un análisis forense en las unidades para ayudar a determinar lo que se comunica.
• Examine sospechosos conocidos ' estaciones de trabajo, realizan exámenes forenses informáticos en personas de interés, y
se desarrollan otras pistas sobre posibles asociados.
• Examinar todos los registros telefónicos de empresa para cualquier llamada a las organizaciones de medios conocidos. La siguiente
lista se describen los pasos a seguir para los rumores de la prensa:
1. Entrevista gestión privada para obtener una lista de los empleados que tienen conocimiento directo de los datos sensibles.
2. Identificar el origen del material que publica la información.
3. Los registros telefónicos compañía revisión para ver que podrían haber tenido contacto con el servicio de noticias.
4. Obtener una lista de palabras clave relacionadas con la fuga de los medios de comunicación.
5. Realizar búsquedas de palabras clave en los servidores proxy y correo electrónico.
6. Llevar a cabo discretamente adquisiciones de disco forenses y análisis de los empleados de interés.
7. A partir de los exámenes forenses de disco, analizar toda la correspondencia por correo electrónico y rastrear los mensajes sensibles
a otras personas que remanso ' t sido catalogado como tener conocimiento directo de los datos sensibles.
8. Ampliar la adquisición de disco forense discreta y análisis de las nuevas personas de interés.
9. Consolidar y revisar sus hallazgos periódicamente para ver si las nuevas pistas pueden ser descubiertos.
10. hallazgos informe a la dirección de forma rutinaria, y discutir cuánto más para continuar la investigación.
Las investigaciones de espionaje industrial

casos espionaje industrial, similares a las fugas de medios, puede consumir mucho tiempo y están sujetas a los mismos problemas
alcance de fluencia. Esta sección ofrece algunas pautas sobre cómo hacer frente a las investigaciones de espionaje industrial. Tenga
en cuenta que los casos relacionados con los extranjeros podrían ser violaciónes de tráfico internacional de armas (ITAR) o
legislación de exportación (EAR). Para obtener más información sobre ITAR, consulte el Departamento de Estado de EE.UU. ' sitio
Web s ( www.state.gov; sustituir el nombre del estado real o una versión abreviada de la misma para estado) o hacer una búsqueda en
Internet para “ Tráfico Internacional de Armas Reglamento. ” Para obtener información EAR, consulte el Departamento de Comercio
sitio web ( www.doc.gov) o hacer una búsqueda en Internet para
“ Legislación de exportación. ”
A diferencia de las otras investigaciones corporativas cubren en esta sección, todos los casos de espionaje industrial sospechosos
deben ser tratados como investigaciones criminales. Las técnicas descritas aquí son
42 Capitulo 2
para entornos de redes privadas y las investigaciones internas que remanso ' sin embargo t ha informado de que las fuerzas del orden.
Asegúrese de que usted no ' t convertirse en un agente de cumplimiento de la ley mediante la presentación de una denuncia de un presunto
caso de espionaje antes de fundamentar la acusación. La siguiente lista incluye al personal que pueda necesitar en la planificación de una
investigación de espionaje industrial. Esta lista ISN ' t exhaustiva, por lo que utilizar su conocimiento para mejorar en estas recomendaciones:
• El investigador de computación que es responsable de disco exámenes forenses
• El especialista en tecnología que tenga conocimientos sobre los datos técnicos comprometida sospecha
• El especialista en redes que pueden realizar análisis de registro y configurar monitores de red para la comunicación de red
trampa de posibles sospechosos
• El especialista en la evaluación de amenazas (por lo general un abogado) que esté familiarizado con las leyes y reglamentos
federales y estatales relacionados con ITAR o la oreja y el espionaje industrial Además, tenga en cuenta las siguientes directrices a la
hora de iniciar una investigación internacional de espionaje:
• Determinar si esta investigación implica un posible incidente de espionaje industrial, y luego determinar
si cae bajo ITAR o el oído.
• Consultar con los abogados de las empresas y la administración superior si las investigaciones deben llevarse a cabo discretamente.
• Determinar qué información es necesaria para fundamentar la acusación de espionaje industrial.
• Generar una lista de palabras clave para el análisis forense de disco y supervisión de la red.
• Lista de cobro revertido y los recursos necesarios para la investigación.
• Determinar el objetivo y el alcance de la investigación; consultar con la administración y la empresa ' Los abogados de
la cantidad de trabajo que debe hacer.
• Iniciar la investigación después de la aprobación de la gestión, y hacer informes periódicos de sus actividades y
conclusiones.
Los siguientes son consideraciones para la planificación de las investigaciones de espionaje industrial:
• Examinar todo el correo electrónico de los empleados sospechosos, ambos proporcionados por la empresa de correo electrónico y
servicios basados en la web gratuito.
• Buscar grupos de noticias o foros de discusión de los envíos relacionados con el incidente.
• Iniciar la vigilancia física con cámaras en las personas o cosas de interés para la investigación.
• Si está disponible, examinar todos los registros de acceso física de las instalaciones para las zonas sensibles, que podrían incluir áreas
seguras donde se usan insignias inteligentes o grabaciones de video vigilancia.
• Sí hay ' sa sospechoso, determinar su ubicación en relación con el activo vulnerables que se vea
comprometida.
• Estudiar el sospechoso ' hábitos de trabajo s.
• Reunir todos los registros de llamadas entrantes y salientes para ver si alguno de los lugares no habituales que fueron llamados.
=
Al llevar a cabo un caso de espionaje industrial, siga estos pasos básicos:
1. Reunir todo el personal asignado a la investigación y informarles sobre el plan y cualquier preocupación.
2. Reunir los recursos necesarios para llevar a cabo la investigación.

2
3. Iniciar la investigación mediante la colocación de sistemas de vigilancia, como cámaras y monitores de red, en lugares
clave.
4. reúnen discretamente las pruebas adicionales, tales como el sospechoso ' s duro del ordenador, y
realizar una imagen del flujo de bits para el examen de seguimiento.
5. Recoger todos los datos de registro de redes y servidores de correo electrónico, y examinarlas para los artículos únicos que podrían estar
relacionados con la investigación.
6. Informe regularmente a la administración y abogados de las empresas en su investigación ' s esta-

y tus resultados actuales.
7. Revisar la investigación ' s alcance con la administración y las empresas para determinar los abogados
mina de si necesita ser ampliado y ha añadido más recursos.
Entrevistas e interrogatorios en las investigaciones de alta tecnología

Convertirse en un experto entrevistador y el interrogador puede tomar muchos años de experiencia. Por lo general, un investigador
informático corporativo es una persona técnica adquirir la evidencia de una investigación. Muchas organizaciones grandes tienen los
investigadores de seguridad de tiempo completo con años de entrenamiento y experiencia en investigaciones criminales y civiles y
técnicas de entrevista. Pocos de estos investigadores tienen ningún conocimiento técnico de computación o de la red, por lo que se
le puede pedir para ayudar en entrevistar o interrogar a un sospechoso cuando se ha realizado un análisis forense de disco en ese
sospechoso ' Máquina s. Un interrogatorio es diferente de una entrevista. Una entrevista se suele llevar a cabo para recopilar
información de un testigo o sospecha sobre hechos específicos relacionados con una investigación. Un
interrogatorio es el proceso de tratar de obtener un sospechoso a confesar un incidente o delito específico. Un

investigador puede cambiar de una entrevista a un interrogatorio cuando se habla de un testigo o sospechoso. Cuanta
más experiencia y formación investigadores tienen en el arte de entrevistar e interrogar, más fácilmente se puede
determinar si un testigo es creíble y, posiblemente, un sospechoso.
Su papel como investigador de la computación es instruir al investigador que realiza la entrevista en qué preguntas hacer y cuáles
son las respuestas deben ser. A medida que construye una relación con el investigador, él o ella puede pedirle que interrogar al
sospechoso. Ver a un interrogador experto es una experiencia de aprendizaje en habilidades para las relaciones humanas. Si tu ' re
pedido para ayudar en una entrevista o interrogatorio, prepárese contestando las siguientes preguntas:
• ¿Qué preguntas tengo que preguntar al sospechoso para obtener la información vital sobre el caso?
• ¿Sé lo que me ' estoy hablando, o voy a tener que investigar el tema o la tecnología relacionada con la
investigación?
• ¿Necesito preguntas adicionales para cubrir otros aspectos indirectos relacionados con la investigación?
44 Capitulo 2
errores de entrevista e interrogatorio comunes incluyen no estar preparado para la entrevista o interrogatorio y no tener las
preguntas correctas o preguntas suficientes para aumentar su profundidad de conocimiento. Asegúrese de que usted no ' t
quedado sin temas de conversación; que necesita para mantener la conversación amigable para ganar el sospechoso ' s confianza.
Evitar dudar de sus propias habilidades, que podrían mostrar que el sospechoso le falta confianza en su capacidad. Ingredientes
para una entrevista exitosa o el interrogatorio requerimos lo siguiente:
• Ser paciente durante toda la sesión

• Repetir o reformular las preguntas a cero en hechos específicos de un testigo renuente o sospechoso
• ser tenaz
La comprensión de las estaciones de trabajo de recuperación de datos y

software
Ahora usted sabe lo ' está involucrado en la adquisición y la documentación de pruebas. En el capítulo 3, se examina una configuración
completa de un laboratorio de informática forense, que es donde se lleve a cabo sus investigaciones y donde se encuentran la mayoría
de sus equipos y software, incluyendo contenedores pruebas seguras. Tenga en cuenta que algunas empresas que llevan a cabo
investigaciones de equipos también hacen de recuperación de datos, que es el lado más conocido y lucrativo del negocio. Recordar la
diferencia entre la recuperación de datos y la informática forense. En la recuperación de datos, usted no ' t necesita necesariamente una
unidad de destino estéril cuando se restaura la imagen forense. Por lo general, el cliente o su empresa sólo quiere la parte posterior de
los datos. La otra diferencia clave es que en la recuperación de datos, por lo general sabe lo que ' estamos tratando de recuperar. En la
informática forense, es posible que tenga una idea de lo que ' re buscando, pero no necesariamente.
Para llevar a cabo su investigación y análisis, debe tener un PC configurado de manera especial conocido como estación de trabajo forense, que
es un equipo cargado de bahías adicionales y software de análisis forense. Dependiendo de sus necesidades, la mayoría de la informática
forense de trabajo se puede realizar en los siguientes sistemas operativos Microsoft:
• MS-DOS 6.22
• Windows 95, 98, o Me

• Windows NT 3.5 o 4.0
• windows 2000
• Windows XP
• Windows Vista
Los capítulos 3 y 7 cubren los recursos de software que necesita y el laboratorio forense y la
estación de trabajo en detalle. Visitar www.digitalintel.com para examinar las especificaciones de
la recuperación forense de la unidad de dispositivo indicador (FRED) o www.forensicpc.com para
examinar la ForensicPC doble XeonWorkstation y otros productos actuales.
La comprensión de las estaciones de trabajo de recuperación de datos y software 45
Además
NOTEde los sistemas operativos de Windows en la lista, puede utilizar Linux o UNIX para llevar a cabo su
análisis. Varios de código abierto y herramientas de software están disponibles para este propósito. Algunas
herramientas de análisis forense más recientes, como AccessData FTK, ahora requieren procesadores de
2
doble núcleo.
Si inicia Windows mientras ' re examinar un disco duro, Windows altera el disco pruebas escribiendo datos a la papelera de
reciclaje y corrompe la calidad y la integridad de las pruebas que ' estamos tratando de conservar. Capítulo 6 cubiertas qué
archivos de Windows se actualiza automáticamente en el arranque. Los sistemas Windows XP y Vista también registran los
números de serie de los discos duros y CPU en un archivo, que puede ser difícil de recuperar.
De todos los sistemas operativos Microsoft, al menos intrusiva (en términos de cambio de datos) a los discos es de MS-DOS
6.22. Con la continua evolución de los sistemas operativos Microsoft, se ' No siempre es práctico utilizar plataformas más antiguas de
MS-DOS, sin embargo. Formatos del sistema de archivos más recientes, como NTFS, son accesibles - es decir, legibles - sólo a partir de
Windows NT o posterior operativos. Puede usar uno de varios writeblockers que le permiten arrancar a Windows sin escribir datos en la
unidad de pruebas. En el capítulo 4, a aprender más sobre bloqueadores de escritura y algunas de las alternativas de bajo costo para la
preservación de datos durante una adquisición.
Hay muchos bloqueadores de escritura de hardware en el mercado. Algunos se insertan entre el controlador de disco y el disco
duro; otros se conectan a los puertos USB o FireWire. Varios vendedores ofrecen bloqueadores de escritura, incluyendo
modalidades de tecnología NoWrite FPU; Inteligencia Digital Ultra-Kit, UltraBlock, luciérnaga, firechief 800 y USB Escribir
Bloqueador; WiebeTech DriveDock forense; Orientación FastBloc2 Software; Paralan ' s SCSI Escribir Bloqueadores; y Soluciones
de Computación Inteligentes ( www.ics-iq.com) Imagen del estuche rígido Forense LinkMaSSter.
Muchas herramientas de adquisición de más edad informática forense trabajan en el entorno MS-DOS. Estas herramientas pueden operar desde
una ventana de MS-DOS en Windows 98 o desde la línea de comandos en Windows 2000 y versiones posteriores. Algunas de sus funciones son
discapacitados o generar mensajes de error cuando se ejecuta en estos sistemas operativos, sin embargo.
los productos de Windows se están desarrollando que hacen que realizan análisis forense de discos más fácil. Sin embargo, debido a que
Windows tiene limitaciones en la realización de análisis forense de disco, puede que tenga que desarrollar habilidades en la adquisición de datos
con MS-DOS y Linux. En capítulos posteriores, a aprender más acerca del uso de estas herramientas. Tenga en cuenta que ninguna herramienta
informática forense puede recuperar todo. Cada herramienta y el sistema operativo tiene sus propias fortalezas y debilidades, para desarrollar
habilidades con tantas herramientas como sea posible para convertirse en un investigador de computación efectiva. Apéndice D tiene más
información sobre el uso de MS-DOS para la adquisición de datos.
Configuración de la estación de trabajo para la informática forense

Con la informática forense actuales de hardware y software, la configuración de una estación de trabajo de ordenador o portátil como estación
de trabajo forense es simple. Todo lo que ' s requerida son los siguientes:
• Una estación de trabajo que ejecuta Windows XP o Vista
• Un dispositivo bloqueador de escritura
• herramienta de análisis forense de equipos informáticos
• Informática forense herramienta de análisis

46 Capitulo 2
• Una unidad de destino para recibir la fuente o los datos del disco sospechosos
• PATA repuesto o puertos SATA
• puertos USB
artículos útiles adicionales incluyen los siguientes:
• tarjeta de interfaz de red (NIC)
• puertos USB adicionales
• puertos FireWire 400/800
• tarjeta SCSI
• herramienta de editor de discos
• herramienta de editor de texto
• programa de gráficos espectador
• Otras herramientas de visualización especializados
En el capítulo 3, a aprender más sobre cómo instalar y configurar un ordenador para ser una estación de trabajo forense.
Llevar a cabo una investigación

Ahora tu ' re listo para volver al caso de nombres de dominio. Se ha creado un plan para la investigación, configurar su estación de
trabajo forense, e instalado el software de análisis forense necesaria que necesita para examinar la evidencia. El tipo de software
para instalar incluye su herramienta de análisis preferido, tal como ProDiscover, EnCase, FTK, o X-Ways Forense; una suite de
oficina, tales como OpenOffice; y un visor de gráficos, tales como IrfanView. Para comenzar la realización de una investigación, se
inicia copiando los datos usando una variedad de métodos. No existe un método recupera todos los datos de un disco, es así que
usar varias herramientas para recuperar y analizar datos de una buena idea. Comience por reunir los recursos que identificó en su
plan de investigación. Usted necesita los siguientes elementos:
• medios de almacenamiento original
• formulario de custodia pruebas
• recipiente Evidencia para los medios de almacenamiento, como una bolsa de pruebas
• herramienta de imagen flujo de bits; en este caso, la utilidad básica de adquisición ProDiscover
• estación de trabajo forense para copiar y examinar las pruebas
• Seguro armario de pruebas, el gabinete, o seguros
Reunir las pruebas

Ahora tu ' re listo para reunir pruebas para el caso de nombres de dominio. Recuerde, usted necesita bolsas antiestáticas y las
pastillas con correas de muñeca para evitar que la electricidad estática dañe la evidencia digital. Adquirir George Montgomery ' medios
de almacenamiento s del departamento de TI y luego asegure la evidencia, se realizan los siguientes pasos:
Llevar a cabo una investigación 47
1. Haga arreglos para cumplir con el administrador de TI para entrevistarlo y recoger los medios de almacenamiento.
2. Después de entrevistar a la gerente de TI, rellenar el formulario de pruebas, haga que lo firme, y luego firmar por sí mismo.
3. Tienda el soporte de almacenamiento en una bolsa de pruebas, y luego transportarlo a sus instalaciones forense. 2
4. Llevar a la evidencia para un contenedor seguro, tal como un armario, gabinete, o seguro.
5. Completar el formulario de pruebas custodia. Como se mencionó, si ' re usando un multi-pruebas

formulario, se puede almacenar el formulario en la carpeta de archivos para el caso. Si tu ' re también el uso de formularios de una sola
evidencia, almacenarlos en el contenedor seguro con la evidencia. Reducir el riesgo de manipulación indebida al limitar el acceso a las
formas.
6. Fijar la evidencia mediante el bloqueo del contenedor.
Descripción de copias de flujo de bits

UN copia flujo de bits es una copia bit a bit (también conocida como una copia sector) del medio de accionamiento o de
almacenamiento original y es un duplicado exacto. Cuanto más exacta la copia, la mejor oportunidad que tiene de recuperar la
evidencia que necesita del disco. Este proceso se refiere generalmente como
“ la adquisición de una imagen ” o “ hacer una imagen ” de un coche sospechoso. Una copia flujo de bits es diferente de una simple copia de seguridad
de un disco. software de copia de seguridad sólo se puede copiar o comprimir los archivos que se almacenan en una carpeta o son de un tipo de
archivo conocido. software de copia de seguridad puede ' t copia de archivos eliminados y correos electrónicos o recuperar los fragmentos de archivo.
UN imagen flujo de bits es el archivo que contiene la copia de flujo de bits de todos los datos en una partición de disco o disco. Para simplificar, se ' s
normalmente se conoce como una “ imagen, ”“ guardar la imagen, ” o “ archivo de imagen. ”
Algunos fabricantes también se refieren a ella como una copia forense. Para crear una imagen exacta de un disco de pruebas, la copia de
la imagen en un disco de destino que ' s idéntico al disco evidencia es preferible (véase la figura 2-4). El disco de destino ' s fabricante y el
modelo, en general, debe ser el mismo que el disco original ' s fabricante y el modelo. Si el disco de destino es idéntica a la original, el
tamaño en bytes y sectores de ambos discos también debe ser la misma. Algunas herramientas de adquisición de imágenes pueden
alojar a un disco de destino que ' sa tamaño diferente que el original. Estas herramientas de imágenes se discuten en el Capítulo 4. Los
mayores informática forense herramientas diseñadas para MS-DOS sólo funcionan en un disco copiado. herramientas gráficas actuales
pueden trabajar tanto en una unidad de disco y los datos copiados establece que muchos fabricantes se refieren como “ imagen salva. ”
Creating an image
transfers each bit
si SI M of data from the original
disk to the same spot
on the image disk
yT y- YÁyyJ
Original disk Image disk Target disk
Figura 2-4 Transferencia de datos del original a la imagen para apuntar

48 Capitulo 2
De vez en cuando, los mapas de la pista y del sector de los discos originales y de destino don ' t
partido, aunque utilice discos de exactamente el mismo tamaño que son diferentes marcas o
modelos. Herramientas tales como la orientación EnCase y NTI SafeBack ajustan a la unidad
de destino ' s geometría. Otras dos herramientas, X-Ways WinHex Especialista Edition y
Tecnología Caminos ProDiscover, pueden copiar sector por sector para discos del mismo
tamaño o más grandes sin necesidad de forzar cambios en el disco de destino ' s geometría.
La adquisición de una imagen de los medios de comunicación Evidencia

Después de recuperar y asegurar las pruebas, se ' re listo para copiar los medios de comunicación en la evidencia y analizar los datos. La
primera regla de la informática forense es preservar la evidencia original. A continuación, llevar a cabo su análisis sólo en una copia de los
datos - la imagen del medio original. Varios vendedores proporcionan herramientas de adquisición de MS-DOS, Linux y Windows. herramientas
de Windows, sin embargo, requieren un dispositivo de bloqueo de escritura (discutido en el capítulo 4) en la adquisición de datos de los
sistemas de archivos FAT o NTFS.
Usando ProDiscover básico para adquirir una unidad USB

ProDiscover básico de modalidades de tecnología es una herramienta de análisis forense. Se puede utilizar para adquirir y analizar
datos de varios sistemas de archivos diferentes, como otros sistemas de archivos UNIX Microsoft FAT y NTFS, Linux Ext2 y Ext3, y,
desde un sistema operativo Windows XP o mayor. Para utilizar ProDiscover básico en Windows Vista, es necesario ejecutar en modo
administrador. Ver la punta en los pasos siguientes para obtener instrucciones sobre cómo seleccionar este modo.
ElNOTE
DVD que acompaña a este libro incluye ProDiscover básico. El programa de instalación
incluye un manual de usuario, ProDiscoverManual.pdf, en la carpeta C: \ Archivos de programa \
Caminos Tecnología \ ProDiscover (si se utilizan los valores predeterminados de instalación).
Leer el manual del usuario para obtener instrucciones, e instalar ProDiscover Basic en el equipo
antes de realizar la siguiente actividad.
Esta actividad antes de empezar, es necesario crear una carpeta de trabajo en el equipo para el almacenamiento de datos y otros archivos
relacionados ProDiscover crea cuando la adquisición y análisis de pruebas. Se puede utilizar cualquier ubicación y el nombre de la carpeta de
trabajo, pero ' ll ver que se hace referencia en actividades como C: \ Trabajo o simplemente “ la carpeta de trabajo. ” Para mantener sus archivos
organizados, también debe crear subcarpetas para cada capítulo. Para este capítulo, crear una Trabajo\ Chap02 carpeta \ Capítulo para
almacenar archivos de las actividades en cada capítulo. Tenga en cuenta que es posible que vea los nombres de ruta de la carpeta de trabajo
en las capturas que son ligeramente diferentes de su propia ruta.
Los siguientes pasos muestran cómo adquirir una imagen de una unidad USB, pero se pueden aplicar a otros medios, tales
como discos duros y disquetes. Se puede utilizar cualquier unidad USB que ya contiene archivos para ver cómo ProDiscover
adquiere datos. Para realizar una adquisición en una unidad USB con ProDiscover Basic, siga estos pasos:
1. En primer lugar, en la unidad USB, localice el interruptor de protección contra escritura (si está disponible) y coloque la unidad en el modo
de protección contra escritura. Ahora conectar la unidad USB al ordenador.
Esta actividad tiene la intención de presentar a la herramienta ProDiscover básico. procedimientos adecuados
NOTE
de análisis forense requieren Protección contra escritura de cualquier medio de prueba, de manera que se ' s
no alterado. En el capítulo 4, se aprende cómo utilizar métodos de escritura de bloqueo de hardware y
software.
2
2. Para iniciar ProDiscover Basic, haga clic Comienzo, apunta a Todos los programas, apunta a ProDiscover,
y haga clic ProDiscover básico. Si se abre el cuadro de diálogo de lanzamiento de diálogo (ver Figura 2-5), haga Cancelar.
Si tu ' re el uso de Windows Vista, haga clic en el icono del escritorio ProDiscover Basic (o elemento de menú
en el menú Todos los programas) y haga clic en Ejecutar como administrador. En el cuadro de mensaje de
UAC, haga clic en Continuar.
- •
Mew
Project
0&
Project
U
<&? £ & A °
B Q Project
Report
ffi % Add
X Remove *J
B O Contení View
0 Disks
B Q Cluster Vww
lrrÿs
m Disks
PRODISCOVER
•JJ View Log
M Seerch
3 Search RenJt |
New Project Open Project| Recent Project |
Vista de árbol Content Seaich ReaA*
H Ouster Search RenAs Protect Nunbet Project Ffe Name :
r
Descrpton
— f* Don't show thrs 4aiog n the tuture Open | Cancel | Htfr |

l k
For Help, pre« FI I ?

'NUMf ~r
Click here to disable the

display of this dialog box
Figura 2-5 La ventana principal de ProDiscover
Para mayor comodidad, puede desactivar la pantalla del cuadro de diálogo de lanzamiento de diálogo haciendo
clic en la casilla de verificación se indica en la Figura 2-5.

50 Capitulo 2
3. En la ventana principal, haga clic Acción, Captura de imagen en el menú.
4. En el cuadro de diálogo de captura de imagen se muestra en la Figura 2-6, haga clic en el unidad de origen lista
flecha y seleccione la unidad USB.
Capture Image *J
Source Drive |G:\ [FAT16] 0.098 GB d
Destination I
Image Format ¡PfoDiscover Formal (recommended) d
T otai sectors to capture
1
205569
ProOiscover Image
Technician Name j
Image Number
Description
Compression
T Yes
(• No
Password I
OK | Cancel |
Figura 2-6 El cuadro de diálogo Captura de imagen
5. Haga clic en el botón >> junto al cuadro de texto de destino. Cuando se abra el cuadro de diálogo Guardar como, navegue a la
carpeta de trabajo ( Trabajo\ Chap02 \ Capítulo) e introduzca un nombre para la imagen que ' re decisiones, tales como InChp-PRC. Hacer
clic Salvar para guardar el archivo.
6. A continuación, en el cuadro de diálogo de captura de imagen, escriba su nombre en el cuadro de texto Nombre y Técnico InChp-PRC-02 en
el cuadro de texto Número de Imagen (ver Figura 2-7). Hacer clic DE ACUERDO.
ProDiscover
NOTE básico, entonces adquiere una imagen de la unidad USB. Cuando ' s terminado, se
muestra un aviso para comprobar el archivo de registro creado durante la adquisición. Este
archivo de registro contiene información adicional si se producen errores durante la adquisición
de datos. ProDiscover también crea un archivo de salida hash MD5. En los capítulos 4 y 5, se
aprende cómo utilizar MD5 para el análisis forense y pruebas de validación.
7. Una vez finalizada ProDiscover, haga clic DE ACUERDO en el cuadro de mensaje de finalización. Hacer clic Archivo,
Salida en el menú para salir ProDiscover.

Capture Image XJ Llevar a cabo una investigación 51
Source Dnve |G:\ [FAT16] 0.098 GB 3

Destination |C \Work\lnChp-prac eve
Image Format (PfoDiscover Format (iecommended| a
1 2
T otal sectors to capture 205569
ProDiscover Image
T echrucian Name |JoeFriday
Image Number |lnChpprac-02
Description
Compression
C Yes
Password I
No
OK. Cancel |
Figura 2-7 El cuadro de diálogo Captura de imagen completa
Esta actividad completa su primer forense de adquisición de datos. A continuación, se aprende cómo localizar los datos en una adquisición.
El análisis de su Evidencia Digital

Cuando se analizan las pruebas digitales, su trabajo consiste en recuperar los datos. Si los usuarios han eliminado o sobrescrito archivos en un
disco, el disco contiene archivos borrados y fragmentos de archivos además de los archivos existentes. Recuerde que a medida que se eliminan los
archivos, el espacio que ocupaban se convierte en espacio libre - lo que significa que se puede utilizar para los nuevos archivos que se guardan o
archivos que se expanden a medida que se agregan datos a ellos. Los archivos que fueron borrados todavía están en el disco hasta que un nuevo
archivo se guarda en la misma ubicación física, sobrescribiendo el archivo original. Mientras tanto, los archivos aún se pueden recuperar. Medicina
forense herramientas como ProDiscover Basic puede recuperar archivos borrados para su uso como prueba.
En los pasos siguientes, se analizan George Montgomery ' s unidad USB. Antes de comenzar, extraer todos los archivos
comprimidos de la carpeta Chap02 en el libro ' s DVD a la carpeta de trabajo. La primera tarea se está cargando la imagen
adquirida en ProDiscover básico siguiendo estos pasos:
1. Iniciar ProDiscover básico, como lo hizo en la actividad anterior.
2. Para crear un nuevo caso, haga clic Archivo, Nuevo proyecto en el menú.
3. En el cuadro de diálogo Nuevo proyecto, escriba InChp02 en el cuadro de texto Número del Proyecto y
de nuevo en el cuadro Nombre del proyecto archivo de texto (ver Figura 2-8), y luego haga clic en DE ACUERDO.
4. En la vista de árbol de la ventana principal (ver Figura 2-9), haga clic para expandir el Añadir ít,
y haga clic Archivo de imagen.
New Projttl
52 Capitulo 2
Project Number jlr.i_><.UJ

Project Fite Name |lnChp02
Description
OK Cancel Help
Figura 2-8 El cuadro de diálogo Nuevo proyecto

B CD Project Ir£hp02
•
0 Report
'ÿ (fe Add
Remove
B CD Content View
Images
Disks
B CD Cluster View
Images
3 Disks
View Log
Search
0 *¡5? Search Results
Content Search Results
Cluster Search ResuMs
Figura 2-9 La vista de árbol en ProDiscover
5. En el cuadro de diálogo Abrir, vaya a la carpeta que contiene la imagen, haga clic en el
InChp02.eve archivo y haga clic Abierto. Hacer clic Sí en el cuadro de mensaje de suma de comprobación automática de la imagen, si
es necesario.
La siguiente tarea consiste en mostrar el contenido de los datos adquiridos. Realice los siguientes pasos:
1. En la vista de árbol, haga clic para expandir Ver el contenido, si necesario. Haga clic para ampliar imágenes,
haga clic en el nombre de archivo de ruta de la imagen C: \ Trabajo \ InChp02.eve ( la sustitución de su ruta de la carpeta de
“ Trabajo “- por ejemplo, C: \ Trabajo \ Chap02 \ Capítulo) y, a continuación, haga clic para expandir el camino.
2. A continuación, haga clic Todos los archivos bajo el nombre de archivo de ruta de la imagen. Cuando el cuadro de diálogo PRECAUCIÓN
se abre, haga clic Sí. El archivo InChp02.eve se carga entonces en la ventana principal, como se muestra en la figura 2-10.
3. En el panel superior derecho (área de trabajo), haga clic en el letter1 Archivo para ver su contenido en el
área de datos (véase la figura 2-11).
4. En el área de datos, ver los contenidos del archivo letter1. Continuar navegando a través de las áreas de trabajo y de datos e
inspeccionar el contenido de la evidencia recuperada. Nota Los archivos que muchos de estos archivos se eliminan ese
refugio ' t sido sobrescrito. Deja ProDiscover Basic que se ejecuta para la siguiente actividad.
Figura 2-11 Al seleccionar un archivo en el área de trabajo y la visualización de su contenido en el área de datos
Figura 2-10 El archivo cargado InChp02.eve

O'
!i QD
?z
3
CD
<$*<$ • t
<0
tríiv
ro
(|B¡3>
D ||D .
7
K
: 5
HI m
<S' *<S a CJ ID
m
£J y
m 0 ffo 3
J
ft
»sr* íuipíi i 3
f
o> IIHHM
II1 i,‘i1‘if 1
!' 5 I itte \
u ¿
£
I
I* f
I
¿ I»
?
- o-
í
?
Il
*- ••
lito
If 2 If® a
¡ lie
fc I
i !*< T
A
<S<ST<ST<Si Ifc
fa
* ijT
%a
t 33 í?»
4»
*
Q4QQQ4I Ife
a
i»
¡TS
¡J
izL 1
SI I •* ?
a»
<2
g
•-
I
4
a
flffis
i:
* I» r i* 2 C a
3 J.
J5 Io %
»*
o
O
I ir * ?
ri
o
?!g 1
2
J
i
li
«I
?
Ss8sss
Llevar a cabo una investigación

“I
M
3
fifis 3
a a
Islsi
& o*
i ffffff >r>
s
H
H
*/ÿ c/> wn
I i
O Q
0
N
o
b: *
t t
53
O $
SU
Ci>
Cu
O
X- IZL 6
2
fu
n> <T>
PJ fu
54 Capitulo 2
El siguiente paso es analizar los datos y la búsqueda de información relacionada con la queja. El análisis de datos puede ser la tarea
que consume más tiempo, incluso cuando se sabe exactamente lo que debe buscar en la evidencia. El método para la localización de
los artefactos de prueba es la búsqueda de valores específicos de datos conocidos. Los valores de datos pueden ser únicas palabras
o caracteres no imprimibles, como códigos hexadecimales. También hay códigos de caracteres imprimibles que puede ' t generarse a
partir de un teclado, tales como los derechos de autor (©) o una marca registrada ( ™) símbolos. Muchos programas de informática
forense pueden buscar cadenas de caracteres (letras y números) y los valores hexadecimales, como A9 para el símbolo de derechos
de autor o AE para el símbolo de marca registrada. Todos estos valores de datos de búsqueda se denominan “ palabras clave. ”
Con ProDiscover Basic, puede buscar palabras clave de interés en el caso. Para este caso, siga estos pasos para
buscar cualquier referencia al nombre de George:
1. En la vista de árbol, haga clic Buscar.
2. En el cuadro de diálogo Buscar, haga clic en el Búsqueda de contenido pestaña, si es necesario. Haga clic en el Seleccionar todo
partidos casilla de verificación, el ASCII botón de opción, y el Buscar el patrón (s) botón de opción, si aren ' t ya
seleccionada.
3. A continuación, en el cuadro de texto debajo de la búsqueda para el botón de opción de patrón (s), Tipo Jorge
(Véase la figura 2-12).
Sear til
*J
Content Seafch | Cluster Search |
P Search n Meta Files P Search in Selected Fie* only

W Select al matches
P ASÜI C Hex
P Case Sensitive
P Match whole word
P Search for files named
P Search for the pattern!:1 Load from file |
George
Li if*
Select the D«Ms) / Imagefs) you want to search in
C 'V'/oil MnCLipOL eve
P Filter files by Date(s)
MMDDYYTY
r Modeled
Files P seated •
between J
P Accessed and
J
OK Cancel Apply
Figura 2-12 Introduciendo una palabra clave en el cuadro de diálogo de búsqueda

c Llevar a cabo una investigación 55
You can list keywords separately or combine words with the Boolean logic operators
AND, OR, and NOT. Searching for a common keyword produces too many hits and
makes it difficult to locate evidence of interest to the case. Applying Boolean logic can
help reduce unrelated excessive hits, which are called “ golpes falsos positivos. ”
2
4. En Seleccionar el disco (s) / Imagen (s) que desea buscar, haga clic DO:\ Trabajo\ InChap02.eve
(Sustituyendo la ruta de la carpeta de trabajo), y luego haga clic en DE ACUERDO para iniciar la búsqueda. Deja ProDiscover Basic
que se ejecuta para la siguiente actividad.
Una vez finalizada la búsqueda, ProDiscover muestra los resultados en el panel de resultados de búsqueda en el área de trabajo. Tenga en cuenta
la pestaña Buscar 1 en la figura 2-13. Para cada búsqueda que realice en un caso, ProDiscover añade una nueva pestaña para ayudar a catalogar
ProDtscover BMK InCh|)0?
sus búsquedas.
Ne Action View Took Help
D
NS i
Proad Mi M Yÿ' 1 *ÿ s§, .
cS5T
M
Seated
H CD Pfowd IrOtftt
Report
Search 1 J
8 *3 Add *1
iff Captve & Add image
Search taint (AlPafteiru ~*1 Addtofleport | Pattern» | Selection j |
JT Image Fie
3 Pck
Select I FteNw _I Fouidn _ I
X Remove Gafe Client Womdb C:\Wcrt\JnOo02 ev*\
3 9 Confort View 09 BAng Letter doc C\W«k\JnChp02eveV
B Image 09 cortimafionfxt C Wort.MnQp02 eveV
B JP CVW«kMnChp02eve
Q AIFiet 09 MeO bd C\Wo.k\JnChp02evoV
3 Disks 09 Regret; áx C\Wo<k\JfOp02eveV
B 0 Ckittef View
a Images
0 Dekt
«2? View Log
M Scotch
8 Search Retdh
M Center* Search Rc:cA:
44 Oüste Search Results
>ÿ* ’•-* tw~ÿ| "
QO I
OlOe.tOa > 0 py 0 0 0 0 pyyy pyyy a
yvyymyyv>vwy>vv/yvv>y>yyyy>>yyyyvvm7>yyyyy>vyyv'yyy>y>‘yyyyyyvyvyyyyyyyyyyyvyyyyym'vyvyyyy>yvyyy
yvv*yyyvvvyyy>yyyyvyyyyyyvyyyyyyyvyyvyyyyyyyyyyyyyyyyyyyyyyyyyyyyyv > > ,/>-.>.. Y/mvywyykÿwvyvyyyyyyy
—
, y y>yy>V/yy>y jyvvvÿvyyyyy/yyyy>yyyy>v//yyvyyy’- . ... >nyyy‘sny->Y/yrvyy'jyyy'yY>rjyY/>yyyy*
yyjY/}yyyy/>Y/y/jYyy'/YY)Yfyr/Yrf/YyY/yYjy>&YyYyyY/wYYyYyyyyyYJYrYYy'/y/YY>Y>YYyYS)rir/YjYy/Yy/YY/)ryjyyy
yyy/yyy/yyyyyyyyyyyyyyyyyyyy
B o -flaoo AD-floaoo<inooD
00 00 OJO Id 00 a 0 *0A 0
oo DO "DO AOD
a
-ax* «“oa
\ p 0 Amelia Phillips
o xo# a o o " o
—
000*00 Ü0 10C yOOO OOA r I a 1 1 D £ yOOO 00* r 1 a 1 I 0 e yODO 00* r
1 a 1 1 0 £ yOOO OOA r 1 a 1 1 0 E 0 yOAO 0 00* p 1 a 1 1 0 6 0 0 M 0 00* r 1 a 1 000 0
o "$•'*. **o_):\C"1"#.#eo\)oo* o o “J"#,#eo_|;[Red]\C••$"#.##o\)oa,• o o
00 o ••
O_)oo. ) ) _(•
oo_T; iRed]\f"5'e.e#o. oo\)oo7 * 2 _C"r* •>, "*
\í#.#AO\);_C -•,_):_C#_)oo'' , : _(**'-• #,A#o.oo_):_rr • \C*,#PO.OO\):
_(• e.eep.oo_);_(• \CA.AAO.oo\D;_c« "--’Vt-COi o ,6y
a 0 0
6yd
6y o
Ado
t 1
A a o o
6yd
6y d
A A 0
A á o o
6yd
óy S
A A 0
A a Q o
6y 6
6y o
A A 0
A A 0
6y
*
o A A D dy c A A 0 6yd A A 0 6yd A A a 5y d
A A 0 6yd A A 0 A A a o dy A A 0 0 ) dy A A 0
.
0 A A
0 , 6y e A A a 0 •dy A A A 0 0 Gy e A A o o o a A A o a
o # o A A 0 m A A 0 , 0 0 A 00 OCOyOD OCO/'DO ocoyoo 0C0y"00
C y*'00 OCOy 00 0 0 «0 a January o Ho 0 February
a
t occuranew found MD5 i i kw [ r
Figura 2-13 El panel de resultados de búsqueda
Haga clic en cada archivo en el panel de resultados de búsqueda y examinar su contenido en el área de datos. Si encuentra un archivo
de interés que muestra los datos binarios (no imprimible) en el área de datos, puede hacer doble clic en el archivo para mostrar los datos
en el área de trabajo. A continuación, puede hacer doble clic en el archivo en el área de trabajo y un programa asociado, como Microsoft
Excel para una hoja de cálculo, se abre el archivo ' contenido s. Si desea extraer el archivo, puede hacer clic en él y haga clic en Copiar
archivo.
Para este ejemplo, una hoja de cálculo de Excel denominado Income.xls se muestra en el panel de resultados de búsqueda. La información
en el área de datos muestra los datos de caracteres ilegibles en su mayoría. Examinar
56 Capitulo 2
estos datos, puede exportar los datos a una carpeta de su elección, y luego abrirlo para su examen y análisis de
seguimiento. Para exportar el archivo Income.xls, realice los siguientes pasos:
1. En el panel de resultados de búsqueda, haga doble clic en el Income.xls archivo, lo que cambia la vista a
el área de trabajo.
2. En el área de trabajo, haga clic en el Income.xls Archivo y haga clic Copiar archivo.
3. En el cuadro de diálogo Guardar como, navegue a la carpeta que ' Ha seleccionado, y haga clic Salvar.
4. Ahora que el archivo Income.xls se ha copiado en una carpeta de Windows, inicie Excel (u otro programa de hoja de cálculo, como
OpenOffice Calc) para examinar el archivo ' contenido s. Figura 2-14 muestra el archivo extraído abierta en OpenOffice Calc.
Repita este examen de datos y archivo de proceso de exportación para el resto de archivos en el panel de resultados de
búsqueda. A continuación, cierre todas las ventanas abiertas, excepto ProDiscover básico para la siguiente actividad.
"3j Income - OpenOffice.org Cak
Fie Edt View Insert Formal look Data Window ti<*> X
j l ’ <3 a i® Ü 3 & i «
i» R 3 F° 3 B/U £
|D6 U foo 2 = fisó
A B c _L I_£ F G A
i January Cash Flow

2
3 Income Setup Contact Confirmation Total
4 Laura Roper $45000 $7500 $150 00 $675 00
5 Earnest Bell $450.00 $250.00 S 1 50 00 $850.00
6 Frank Harón $575 00 $75.00 [ $150 001 $800 00
7 Thomas George $450.00 $120.00 $150 00 $720.00
8 Randall Watson $575.00 $17500 $150 00 $900 00
9
10 Grand Total $3,945 00
11
12
Va
ilLi I f\ January / February / March /
Sheet 1/3 ÍPageStybJanuary I 100% i STD i nr Sum- $150.00
ui>rJ
Figura 2-14 El archivo extraído Income.xls
con ProDiscover ' s función de búsqueda, también puede buscar para nombres de archivo específicos. Para utilizar esta función, haga clic en el “ Búsqueda
de archivos con el nombre ” botón de opción en el cuadro de diálogo de búsqueda. Cuando tú ' re hacer frente a una gran unidad con varios miles
de archivos, esta característica útil minimiza el error humano en el estudio de los datos.
Después de completar el examen y el análisis detallado, a continuación, puede generar un informe de sus actividades. Varios programas de
informática forense proporcionan un generador de informes o archivo de las acciones tomadas durante un examen de registro. Estos
informes y registros suelen ser archivos de texto o HTML. Los archivos de texto son por lo general en texto plano o formato de texto
enriquecido (RTF). ProDiscover Basic ofrece un generador de informes que produce un archivo de texto plano que una mayoría de los
procesadores de texto pueden leer RTF o.
También puede seleccionar elementos específicos y añadirlos al informe. Por ejemplo, para seleccionar un archivo en el área de trabajo, haga clic
en la casilla de verificación de la columna Seleccionar junto al archivo para abrir el cuadro de diálogo Agregar comentario. Introduzca una
descripción y haga clic en OK. El comentario descriptivo es entonces
añadido al informe ProDiscover básico. Para crear un informe en ProDiscover básico, realice los siguientes pasos:
1. En la vista de árbol, haga clic Informe. A continuación el informe se muestra en el panel de la derecha, como se muestra
en la figura 2-15.
ProOiMover D«tb InClipOZ
H» fletan v*w Tooh Htlp _
.!ÿ( x|
2
r»
á¡L M, M< & fte

COM
Ml
M
Se*Ch
t>
B C) Pro»oc* InOoOZ
BReport Evidence Report tor Project: InChp02
0 ¿3 Add
(ft Captue & Add Image Project Number lnChp02
9 linage Fie Project Description:
¿a Disk
X Remove Image Files:
B Comen View flip Name: C:\Worfc\lnChp02.eve
3 9 Images Image File Type: OFT Image
m 9 C \WokMnChp02 eve File Number JnChap02
£# Dak.: Technician Name: Joe Fnday
E« Qurte» View Date: 07/29/2006
3 9 Image: Time: J2:09:05
Disk» Checksum: al17773&cflfc88ec0ab8e0a349fbbcb
Checksum Validated Yes
*2? Vwwlog Compressed image: No
M Seatch Time Zone Information:
E 9? Search Result
M Corlen Search Result Time Zone: (GMT-OB:00) Paafic Time (US B Canada): Tijuana (Pacific Standard Time)
M Oudei Seaich Result Daylight savings (summertime) was in effect; Yes
Time Zone information obtained automatically from remote system/image.
Hard Disk: A:\

Volume Name:
File System: FAT12
Bytes Per Sector: 512
Total Clusters: 2847
Sectors per cluster: l
Total Sectors: 2880
Hidden Sectors: 0
Total Capacity. 1440 KB
Start Sector: 0
End Sector 0
Disks:
Evidence of Interest:
Total Evidence Items of Interest: 6
z\
For Hek>, P»MS Ft i k©5 MJM
Figura 2-15 Un informe ProDiscover
2. Para imprimir el informe, haga clic Archivo, Imprimir informe en el menú.
3. En el cuadro de diálogo Imprimir, haga clic DE ACUERDO.
Si el informe tiene que ser guardado en un archivo, se utiliza ProDiscover básico ' s característica de exportación y elija RTF o texto plano
para el formato de archivo. Para exportar el informe a un archivo, haga lo siguiente:
1. En la vista de árbol, haga clic Informe.
2. Haga clic Acción, la exportación en el menú.
3. En el cuadro de diálogo Exportar, haga clic en el Formato RTF o Formato de texto botón de opción, el tipo
f.
InChp02 en el cuadro de texto Nombre de archivo y, a continuación, haga clic DE ACUERDO.
Para hacer el informe en una carpeta diferente, haga clic en el botón Examinar y navegue a la carpeta en la
que desea guardar el informe. Haga clic en Guardar y, a continuación, haga clic en Aceptar en el cuadro de
diálogo Exportar.
4. Revisar el informe y, a continuación, haga clic Archivo, Salir en el menú para salir ProDiscover básico.
58 Capitulo 2
Esta actividad se completa el análisis de la unidad USB. En la siguiente sección, se aprende cómo llevar a cabo el caso. En
capítulos posteriores, se aprende cómo aplicar más técnicas de búsqueda y análisis.
Completando el Caso
Después de analizar el disco, puede recuperar archivos borrados, e-mail, y los artículos que se han ocultado a propósito, lo que
usted hace en los capítulos 9, 10 y 12. Los archivos en George ' s unidad USB indican que estaba llevando a cabo un negocio
secundario en su ordenador de la empresa. Ahora que ha recuperado y analizado los datos, es necesario encontrar las
respuestas a las siguientes preguntas para escribir el informe final:
• ¿Cómo George ' gerente s adquirir el disco?

• George no realizar el trabajo en un ordenador portátil, que es de su propiedad? Si es así, ¿se realice transacciones
comerciales en su descanso o durante su hora de almuerzo?
• ¿En qué momentos del día fue George usando los archivos no relacionados con el trabajo? ¿Cómo recuperar esa
información?
• ¿Qué políticas de empresa se aplican?
• ¿Hay otros elementos que deben tenerse en cuenta?
Cuando se escribe su informe, el estado lo que hizo y lo que ha encontrado. El informe que ha generado en ProDiscover
que da cuenta de los pasos que siguió. Como parte de su informe final, dependiendo de la orientación de la gestión o
asesor legal, incluya el archivo de informe ProDiscover para documentar su trabajo. En cualquier investigación de
computación, debe ser capaz de repetir los pasos realizados y producir los mismos resultados. Esta capacidad se denomina resultados
repetibles; Sin ella, su producto de trabajo no tiene valor como prueba.
Keep a written journal of everything you do. Your notes can be used in court, so be mindful of what you write or e-mail, even
to a fellow investigator. Often these journals start out as handwritten notes, but you can transcribe them to electronic format
periodically. Basic report writing involves answering the six Ws: who, what, when, where, why, and how. In addition to these
basic facts, you must also explain computer and network processes. Typically, your reader is a senior personnel manager,
a lawyer, or occasionally a judge who might have little computer knowledge. Identify your reader and write the report for that
person. Provide explanations for processes and how systems and their components work. Your organization might have
templates to use when writing reports. Depending on your organization ' s necesidades y requisitos, su informe deben
describir los resultados de su análisis. El informe generado por ProDiscover enumera los hallazgos de la exploración y
recuperación de datos. Otras herramientas de informática forense generar un archivo de registro de todas las acciones
tomadas durante su examen y análisis. La integración de un informe de la informática forense de estas otras herramientas
de registro puede mejorar su informe final. Al describir los hallazgos, que no escribe su relato primero y luego colocar la
salida del registro al final del informe, con referencias a ella en la narrativa principal. Capítulo 14 cubre la redacción de
informes finales para las investigaciones en más detalle. En el caso de nombres de dominio, que desea mostrar evidencia
concluyente de que George tenía su propio negocio de registrar nombres de dominio y la lista de los nombres de sus
clientes y sus ingresos de esta
Resumen del capítulo 59
=
negocio. También quiere mostrar cartas que escribió a los clientes sobre sus cuentas. Los sellos de fecha y hora en que los archivos
están en horas de trabajo, por lo que deben incluir esta información, también. Con el tiempo, de entregar el expediente de prueba a
su supervisor o a Steve, George ' gestor de s, que entonces decide sobre un curso de acción.
Crítica de la Caja
Después de cerrar el caso y presenta su informe final, que necesita para cumplir con su departamento o un grupo de
compañeros investigadores y criticar el caso, en un esfuerzo para mejorar su trabajo. Hágase preguntas de evaluación tales
como los siguientes:
• ¿Cómo podría mejorar su rendimiento en el caso?

• ¿Se esperaba los resultados que has encontrado? ¿El caso se desarrollan en formas que no esperaba?
• Era la documentación tan completa como podría haber sido?
• ¿Qué respuesta ha sido recibida de la fuente que solicita?

• ¿Descubrió algún problema nuevo? Si es así, ¿Que son?
• ¿Ha utilizado nuevas técnicas en el caso o durante la investigación? Tomar notas a sí mismo en su diario acerca de
las técnicas o procesos que pueden necesitar ser cambiados o tratados en futuras investigaciones. A continuación, guardar su
diario en un lugar seguro.

■ Siempre use un enfoque sistemático para sus investigaciones. Siga la lista de comprobación en este capítulo como
guía para su caso.
■ Cuando se planifica un caso, tener en cuenta la naturaleza del caso, las instrucciones de la solicitante, qué
herramientas adicionales y experiencia que pueda necesitar, y cómo va a adquirir la evidencia.
■ Los casos criminales y violaciónes de política corporativa deben ser tratados de la misma manera para que las pruebas
de calidad se presenta. Ambos casos criminales y violaciónes de política corporativa pueden acudir a los tribunales.
■ Cuando se inicia un caso, puede haber problemas imprevistos que no estaban ' t obvio cuando la aplicación de un enfoque
sistemático para el plan de investigación. Para todas las investigaciones, es necesario planificar para las contingencias de
cualquier problema inesperado que pueda encontrar.
■ Debe crear una forma de custodia pruebas estándar para realizar un seguimiento de la cadena de custodia de la evidencia para su
caso. Hay dos tipos de formularios: un formulario de varias pruebas y una forma de una sola evidencia.
■ investigaciones de Internet y medios de fuga requieren el examen de los datos de registro del servidor.
■ Para los casos privilegio abogado-cliente, toda la comunicación escrita debe tener una etiqueta de cabecera que
indica que se ' Comunicación privilegiada y un producto de trabajo confidencial.
60 Capitulo 2
■ Una copia flujo de bits es un duplicado de bit a bit del disco original. Debe utilizar el duplicado, siempre que
sea posible, al analizar las pruebas.
■ Siempre mantener un diario para guardar notas sobre exactamente lo que hizo cuando el tratamiento de pruebas.
■ Siempre debe crítica de su propio trabajo para determinar cuáles son las mejoras que haya realizado durante
cada caso, lo que se podría haber hecho de otra manera, y cómo aplicar lo aprendido a casos futuros.
Términos clave
contenedor seguro aprobado Un recipiente a prueba de fuego bloqueado por una tecla o combinación.
privilegio abogado-cliente (ACP) La comunicación entre un abogado y su cliente acerca de cuestiones legales se protege
como comunicaciones confidenciales. El propósito de tener comunicaciones confidenciales es promover el diálogo
honesto y abierto entre un abogado y su cliente. Esta información confidencial no debe ser compartida con personas no
autorizadas.
copia flujo de bits Un duplicado bit por bit de datos en el medio de almacenamiento original. Este proceso se suele denominar “ la
adquisición de una imagen ” o “ hacer una imagen. ”
imagen flujo de bits El archivo donde se almacena la copia de flujo de bits; normalmente se conoce como una
“ imagen, ”“ guardar la imagen, ” o “ archivo de imagen. ”
cadena de custodia La evidencia ruta lleva desde el momento en que el investigador obtiene hasta que el caso está cerrado o va a
la corte.
bolsas de pruebas bolsas no estáticos utilizados para el transporte de medios extraíbles, discos duros y otros componentes del sistema.
formulario de custodia pruebas Un formulario impreso que indica que se ha cerrado la sesión y estado en posesión física de las pruebas.
copia forense Otro nombre de la imagen de un flujo de bits de.
estación de trabajo forense Una estación de trabajo establecido para permitir la copia de las pruebas forenses, ya sea en un disco duro, unidad
USB, CD o disco Zip. Por lo general, tiene un software precargado y listo para usar.
interrogatorio El proceso de tratar de obtener un sospechoso a confesar un incidente o delito específico.
entrevista Una conversación llevó a cabo para recopilar información de un testigo o sospecha sobre hechos específicos relacionados
con una investigación.
formulario de varias pruebas Una forma de custodia evidencia utilizada para listar todos los elementos asociados a un caso.
Ver también formulario de custodia pruebas.
de violación de contraseñas de software Software utilizado para que coincida con los patrones de hash de contraseñas o simplemente para averiguar las
contraseñas mediante el uso de combinaciones comunes o algoritmos estándar.
contraseña protegida El método de requerir una contraseña para limitar el acceso a ciertos archivos y áreas de soporte de
almacenamiento; este método evita el uso no intencionado o no autorizado.
resultados repetibles Ser capaz de obtener los mismos resultados cada vez que a partir de un examen forense.
forma de una sola evidencia Una forma que se dedica una página de cada artículo recuperado para un caso. Se permite a los investigadores a =
añadir más detalles sobre exactamente lo que se hizo a la evidencia cada vez que se tomó del armario de almacenamiento. Ver también formulario
de custodia pruebas.
Preguntas de revisión
1. ¿Cuáles son algunas evaluaciones iniciales que debe hacer una investigación de computación?
2. ¿Cuáles son algunas maneras de determinar los recursos necesarios para una investigación?
3. Haga una lista de tres elementos que deberían estar en una forma de evidencia custodia.
4. ¿Por qué debe hacer una evaluación de riesgo estándar para prepararse para una investigación?
5. Siempre debe probar las alegaciones de la persona que lo contrató. ¿Verdadero o falso?
6. Para las pruebas digitales, una bolsa de pruebas se hace típicamente de un material antiestático. ¿Verdadero o falso?
7. ¿Quién debe tener acceso a un contenedor seguro?
a. Sólo el investigador principal

segundo. Sólo los investigadores en el grupo
do. Todo el mundo en el piso
re. Sólo la gestión de alto nivel
8. Para los casos de terminación de los empleados, qué tipos de investigaciones es lo que normalmente encuentras?
9. ¿Por qué debe ser protegido contra sus medios de pruebas?
10. Lista de tres elementos que deben estar en su informe de caso.
11. ¿Por qué debe criticar su caso después de que se ' s terminado?
12. ¿Cómo se llama una lista de personas que han tenido la posesión física de la evidencia?
13. ¿Qué dos tareas es un oficial responsable de adquisiciones en la escena del crimen?
14. ¿Cuáles son algunas razones por las que un empleado puede filtrar información a la prensa?
15. Cuando una entrevista podría convertirse en un interrogatorio?
16. ¿Cuál es el punto más importante a recordar cuando se asigna a trabajar en un caso attorneyclient privilegio?
17. ¿Cuáles son las pautas básicas cuando se trabaja en un caso privilegio abogado-cliente?
18. Los datos recogidos antes de un abogado emite un memorando para un caso privilegio abogado-cliente está protegido por la
regla del producto de trabajo confidencial. ¿Verdadero o falso?
62 Capitulo 2
En los siguientes proyectos prácticos, seguir trabajando en la estación de trabajo se configura en este
capítulo. Extraer los archivos comprimidos de la carpeta Chap02 \ Projects en el libro ' s DVD a su Trabajo\ Chap02
carpeta \ Projects. (Si es necesario, cree esta carpeta en su sistema para almacenar sus archivos.)
Si NOTE
es necesario, consulte las instrucciones de este capítulo y en el manual de usuario
ProDiscover, que se encuentra en C: \ Archivos de programa \ Caminos Tecnología \
ProDiscover por defecto.

HANDS-ON PROJECTS
El caso de este proyecto implica una muerte sospechosa. Joshua Zarkan encontró a su novia ' s cuerpo
muerto en su apartamento y lo reportó. El agente de la ley primera respuesta tomó una unidad USB.
Una evidencia de la escena del crimen técnico experto en la adquisición de datos hizo una estatua de
la unidad USB con ProDiscover y la llamó C2Prj01.eve. Tras la adquisición, el técnico transportado y
aseguró la unidad USB y la puso en un armario de pruebas segura en la estación de policía. Usted ha
recibido el archivo de imagen del detective asignado a este caso. Él le dirige a examinarlo e identificar
cualquier artefacto de prueba que podrían estar relacionados con este caso. Para procesar este caso,
siga estos pasos para evaluar lo ' s en la imagen de la unidad USB:
1. Iniciar ProDiscover básico. (Si tu ' re el uso de Windows Vista, haga clic en el
ProDiscover icono del escritorio y haga clic Ejecutar como administrador.)
2. En el cuadro de diálogo de lanzamiento de diálogo, haga clic en el Nuevo proyecto pestaña, si es necesario.
Introduzca un número de proyecto. Si su empresa doesn ' t tiene un esquema de numeración estándar,
puede utilizar la fecha seguido por el número que representa el caso de que el día en secuencia, tales
como 20090129_1.
3. Introduzca C2Prj01 como el nombre del proyecto, introduzca una breve descripción del caso,
y haga clic Abierto.
4. Para añadir un archivo de imagen, haga clic Acción en el menú, seleccione Añadir, y haga clic
Archivo de imagen.
5. Vaya a la carpeta de trabajo, haga clic C2Prj01.eve, y haga clic Abierto. Si

Se abre el cuadro de mensaje de suma de comprobación automática de la imagen, haga clic Sí.
6. En la vista de árbol, haga clic para expandir Ver el contenido. Haga clic para ampliar imágenes,
y luego haga clic en el nombre de ruta que contiene el archivo de imagen. En el área de trabajo, observe los archivos
que se enumeran.
7. Haga clic en cualquier archivo y haga clic Ver para iniciar el programa asociado, tales como
Word o Excel. Ver el archivo, y luego salir del programa.
8. Si decide exportar un archivo, haga clic en el archivo y haga clic Copiar archivo. ( Nota:
Proyectos prácticos 63
organizada.) En el cuadro de diálogo Guardar como que se abre, vaya a la ubicación en la que desea guardar el
archivo y, a continuación, haga clic Salvar.
9. Para guardar el proyecto para ver más tarde, haga clic Archivo, Guardar proyecto en el menú.
El nombre del proyecto por defecto es el que ha introducido en el paso 3. Seleccione la unidad y la carpeta ( Trabajo\ 2
Chap02 \ Projects, por ejemplo), y luego haga clic en Salvar.
Una vez que haya terminado de examinar los archivos, salga ProDiscover básico y guardar el proyecto de
nuevo, si se le solicita.
Es necesario exportar los archivos en esta imagen y presentarlos al investigador. Además, escribir un
informe breve (no más de dos párrafos) incluyendo todos los hechos de los contenidos de los datos
recuperados.
En ProDiscover Basic, debe salir del programa antes de comenzar

NOTE
un nuevo caso.
Hands-On proyecto 2-2

En este proyecto, se trabaja para una corporación grande ' Lo s empresa de seguridad. Sus funciones
incluyen la realización de investigaciones forenses informáticas internas y exámenes sobre los sistemas de
la compañía de computación. Un asistente legal del Departamento de Derecho de la Sra. Jones, le pide que
examine una unidad USB que pertenece a un empleado que dejó la compañía y ahora trabaja para la
competencia. El Departamento de Derecho le preocupa que el ex empleado podría poseer los datos
confidenciales de la empresa. Sra. Jones quiere saber si el dispositivo USB contiene nada significativo.
Además, se le informa que los ex empleado podría haber tenido acceso a documentos confidenciales porque
un compañero de trabajo vio acceso a su manager ' s del ordenador en su último día de trabajo. Estos
documentos confidenciales constan de 24 archivos con el texto “ libro. ” Ella quiere localizar cualquier
ocurrencia de estos archivos en la unidad USB ' imagen flujo de bits s.
Para procesar este caso, asegúrese de que ha extraído el archivo C2Prj02.eve a su carpeta de trabajo, y
después de seguir estos pasos:
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, el nombre del
proyecto C2Prj02, y una descripción del proyecto y haga clic Abierto.
Eso ' es una buena idea adquirir el hábito de guardar el proyecto de inmediato, así que haga clic Archivo,
Guardar proyecto en el menú, y guardar el archivo en la carpeta de trabajo ( Trabajo\ Chap02 \ Projects).
2. Haga clic Acción en el menú, seleccione Añadir, y haga clic Archivo de imagen. Navegar
y haga clic en C2Prj02.eve en la carpeta de trabajo y, a continuación, haga clic Abierto. Si se abre el cuadro de mensaje
de suma de comprobación automática de la imagen, haga clic Sí.
3. En la vista de árbol, haga clic para expandir Ver el contenido. Haga clic para ampliar imágenes,
y luego haga clic en el nombre de ruta que contiene el archivo de imagen. En el área de trabajo, examinar los archivos
que se enumeran.
4. Para buscar la palabra clave “ libro, ” haga clic en el Buscar botón de la barra de herramientas (el
64 Capitulo 2
5. Haga clic en el Búsqueda de contenido lengüeta. Si es necesario, haga clic en el ASCII botón de opción
y el Buscar el patrón (s) botón de opción. Tipo libro en el cuadro de lista de palabras clave de búsqueda. En
Seleccione el disco (s) / Imagen (s) que desea buscar en, haga clic en la unidad que ' Esta buscando (ver Figura
2-16), y luego haga clic en DE ACUERDO.
Search
Content Seatch | Clustet Seatch |
m
r Seatch In Meta Files r Search n Selected Files only
r Select a» matches
<•ASCII C Hen
r Case Sensitive
r Match whole wotd
Seatch lot liles named

Seatch lot the pattein(s) LoadltomHe I
book
>
Select the Diskls) / Imagelsl you want to seatch in
F:\Case lmages\C2Pfj02 eve
r FStet files by Date{s)
MM DO - YYYY
Files C
Modified
between | J
f* Accessed and [ J
OK Cancel |_
Figura 2-16 Introducción de los valores de búsqueda
6. En la vista de árbol, haga clic para expandir Resultados de la búsqueda, si es necesario, y luego
hacer clic Resultados de la búsqueda de contenido para especificar el tipo de búsqueda. Figura 2-17 muestra el
panel de resultados de búsqueda.
7. A continuación, abra el cuadro de diálogo de búsqueda de nuevo, haga clic en el Buscar Cluster pestaña, y
correr la misma búsqueda. Tenga en cuenta que se tarda más tiempo porque cada grupo en la unidad se busca.
8. En la vista de árbol, haga clic Resultados de la búsqueda de racimo, y ver los resultados de búsqueda
cristal. Recuerde que debe guardar el proyecto y salir ProDiscover básico antes de iniciar el siguiente
caso.
ProDiscover Basic - C2Proj2-2
Proyectos prácticos sesenta y cinco
Elle &ctJon looIs yelp
£ A
Project Project Mx sS .Ha
'¡SU SMK»I
Q
- O Project C2Ptoi2 ? Search 1 |

B
Report
•Ife Add *J
X Remove Search terms |AI Pattemt" ~~H
| Patiesnt | ¿«techon |
Add to Report |
- CD Corteo! View Sctecl l FteNerno _I Found n _ I
2
- ¿¡? lrr>age:
Interview d: F SCate lmaget\C2P»i02 eve\
F \Case lmages\C2Prj02 eve
•¿J Disks
- D dudes View
• ¿} Image:
¿9 Dicks
«2? V«wLog
M Search
- «5? Search RetuHt
•PS Cortert Search RenJs
M duties SearchRe:u*s
For Help, press Pi MD5
Figura 2-17 Visualización de los resultados de la búsqueda
Cuando tú ' re terminado, escribir una nota a la señora Jones con la siguiente información: los nombres de archivo en el
que se ha encontrado una coincidencia de la palabra clave y, si el golpe se produjo en el espacio no asignado, el
número de clúster.

Sra. Jones le notifica que el ex empleado ha utilizado una unidad adicional. Ella le pide que
examine esta nueva unidad para determinar si contiene un número de cuenta que el empleado
podría haber tenido acceso. El número de cuenta,
461.562, pertenece al vicepresidente y se usa para acceder a la empresa ' s servicio de banca
por Internet.
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, el nombre del
proyecto C2Prj03, y una breve descripción, y haga clic Abierto.
Guardar el proyecto en su carpeta de trabajo haciendo clic Archivo, Guardar proyecto en el menú.
2. Para añadir la evidencia, haga clic Acción en el menú, seleccione Añadir, y haga clic
Archivo de imagen. Vaya a su carpeta de trabajo, haga clic en el C2Prj03.dd presentar y haga clic Abierto. Hacer clic Sí en
el cuadro de mensaje de suma de comprobación automática de la imagen, si es necesario. Observe que el archivo es un
archivo de imagen .Dd, no un archivo .EVE. Como la mayoría de las herramientas de análisis forense, ProDiscover puede
leer archivos de imagen .Dd UNIX estándar.

66 Capitulo 2
3. Para ayudar en su investigación, es posible que desee ver los archivos gráficos en la unidad. Para ello, haga clic para
expandir Ver el contenido en la vista de árbol, haga clic para expandir imágenes, y luego haga clic en el nombre de
ruta que contiene el archivo de imagen.
4. Haga clic Ver, Ver Galería en el menú. Desplazarse a través de los archivos de gráficos
en la imagen del disco. Tú ' ll necesidad de buscar a través de todas las carpetas, que puede tomar algún tiempo. Si un
archivo es de interés, haga clic en la casilla de verificación junto a él en la columna Seleccionar. En el cuadro de diálogo
Agregar comentario que se abre, introduzca una descripción y haga clic DE ACUERDO. Estas notas se añaden al
informe ProDiscover.
5. Esta unidad está relacionado con el caso en el Hands-On Proyecto 2-2, por lo que ' re todavía
buscando apariciones de la palabra “ libro. ” Abrir el cuadro de diálogo de búsqueda, y repita los pasos 5 a 8 de
Hands-On Proyecto 2-2 para esta imagen de unidad. Al ver los resultados de búsqueda, haga clic para
seleccionar los archivos de interés (como se describe en el paso 4), que abre el cuadro de diálogo Agregar
comentario donde se puede introducir notas.
6. A continuación, busque el número de cuenta de la señora Jones le dio. Haga clic en el Buscar
botón de la barra de herramientas. Haga clic en el Búsqueda de contenido pestaña, si es necesario, y el tipo
461562 como la palabra clave de búsqueda. Haga clic para seleccionar la unidad que ' Esta buscando y, a continuación,
haga clic DE ACUERDO. Haga clic en el Buscar Cluster pestaña, y repetir la búsqueda del número de cuenta. Recuerde
seleccionar cualquier archivo de interés y escribir notas en el cuadro de diálogo Agregar comentario.
Recuerde que el texto se puede encontrar en los archivos de gráficos, así como en los documentos.
7. Cuando ' re terminado, haga clic Informe en la vista de árbol. Desplazarse por la
informar a asegurarse de que todos los elementos que se enumeran encontrado.
8. A continuación, haga clic en el Exportar botón de la barra de herramientas. En el cuadro de diálogo Exportar, haga clic en el
Formato RTF botón de opción, el tipo Ch2Prj03Report en el cuadro de texto Nombre de archivo y, a
continuación, haga clic DE ACUERDO. ( Si desea guardar el informe en una carpeta diferente, haga clic Vistazo y
vaya a la nueva ubicación.)
9. Escribir una breve nota para resumir lo que ha encontrado. Guarde el proyecto y salga ProDiscover
básico.

A veces, las demandas de descubrimiento de bufetes de abogados requieren que usted pueda recuperar datos sólo
asignados desde un disco. Este proyecto muestra cómo extraer sólo los archivos que remanso ' t sido borrado de una
imagen.
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, breve
descripción y el nombre del proyecto C2Prj04, y haga clic Abierto.
2. En la vista de árbol, haga clic para expandir Añadir, y haga clic Archivo de imagen. Navegar
a su carpeta de trabajo, haga clic en el C2Prj04.eve presentar y haga clic Abierto. Hacer clic
Sí en el cuadro de mensaje de suma de comprobación automática de la imagen, si es necesario. Guardar el
proyecto en la carpeta de trabajo.

Proyectos prácticos 67
3. En la vista de árbol, haga clic para expandir Ver el contenido, haga clic para ampliar imágenes,
y luego haga clic en el nombre de ruta que contiene el archivo de imagen. Observe los archivos visibles en el área de
trabajo.
Select4. Haga1 clic en el encabezadoI de

Fie Name FielaExtension
columna suprimido
I See para ordenarIlos archivos en
Attnbutes sí y no los grupos
I Deleted I Created Date I Modified Date 2
(Véase la figura 2-18). doc
MagnaCt 5017S bytes a-- NO 06/23/2004 22: 36 06/23/2004 21
Gettysbg ipg 58927 bytes a NO 06/23/2004 22:36 06/23/2004 21
LINC3 GIF 17939 bytes a NO 06/23/2004 22: 36 06/23/2004 21
Lnjomb ipg 9950 bytes a NO 06/23/2004 22:36 06/23/2004 21
USConst doc 73728 bytes a NO 06/23/2004 22:36 06/23/2004 21
USDedar doc 29696 bytes a NO 06/23/2004 22:36 06/23/2004 21
Botany doc 19968 bytes a NO 06/23/2004 22:38 06/23/2004 22
USAmmend doc 87040 bytes a YES 06/23/2004 22:36 06/23/2004 21
Lncoh ipg 18553 bytes a YES 06/23/2004 22:36 06/23/2004 21
«£> Gettysburg ipg 58927 bytes a YES 06/23/2004 22:36 06/23/2004 21
* THE UNITED STAT

Magna Caita
doc
doc
73728 bytes
50176 bytes
a
a
YES
YES
06/23/2004 22:36
06/23/2004 22:36
06/23/2004 21
06/23/2004 21
Amendments to the doc 87040 bytes a YES 06/23/2004 22:36 06/23/2004 21
THE DECIARATIO doc 29696 bytes a YES 06/23/2004 22:36 06/23/2004 21
<] I
Deleted files
Figura 2-18 Los archivos borrados que se muestran en el área de trabajo
5. Para extraer los archivos asignados a partir de la imagen en su carpeta de trabajo, RightClick cada archivo que
contiene NO en la columna eliminar y haga clic Copiar archivo.
(Nótese que en ProDiscover básica, algunos ' hay forma de seleccionar varios archivos a la vez. Debe copiar
cada archivo asignado por separado). Cuando se ' re terminado, guardar el proyecto y salida ProDiscover
básico.

Este proyecto es una continuación del proyecto anterior; tú ' ll crear un informe que enumera toda la no asignado
(suprimido) Archivos ProDiscover encuentra.
1. Iniciar ProDiscover básico. Haga clic en el Proyecto abierto pestaña, y vaya a su

carpeta de trabajo.
2. Haga clic en el C2Prj04.dft Archivo y haga clic Abierto. Hacer clic Sí en la Imagen Auto
cuadro de mensaje de suma de comprobación, si es necesario.
3. Si es necesario, ordenar los archivos en el área de trabajo de nuevo haciendo clic en el suprimido columna-
UMN cabecera. Haga clic en la casilla de verificación de la columna Seleccionar al lado de todos los archivos no
asignados (suprimido), como se muestra en la figura 2-19. Al hacer clic en cada casilla de verificación, se abre el cuadro
de diálogo Agregar comentario, donde se puede introducir una descripción de cada archivo.
4. En el apartado de comentarios de texto Investigador, añadir un comentario señalando que se elimina el archivo y
que indica su tipo de archivo, como un documento de Word o un archivo de imagen (.jpeg o .gif, por ejemplo).
Asegúrese de introducir algo significativo examinando el archivo primero.
5. Cuando se ' re terminado, haga clic Informe en la vista de árbol. Si tu ' re satisfecho,
exportar el informe haciendo clic en el Exportar botón de la barra de herramientas. En la exportación
Click check box next to file
68 Capitulo 2 i i
ProDfecuvcr 0o«k C2PtJ04l -IPI x[

Pie Action vWn took Help
píoííKt F?oÿct Pf$!ct Sÿoge*

*1 o
Í nap» DS? Search
S O Proted C2Pt(04! _ elect 1 Fia Name ' | FfcExtanaon I See | Attribute! I Deleted
0 Report ÍpZI AlFles NO
Add
8
±
& Amendnerts to the doc 87040 bytet a VtS
X Remove 18553 bÿre
B CD Content V«w
B Image* _ a*> Magna Carta doc 50176 byte: a VES
S & C \WaVAC2Pf|04/ eye
S> THE DECLARATIO doc 29696 byte: a YES
Botany doc 19968bytw a NO
® _j AI Ffct
Dakt Ge«y:bg in 58927 byte: a NO
S CD Quíte» View a YES
Add Comment *J
PH a¡? Images Q& a YES
mSTDakt Fo» FJe/Folde» C \Wo<V\C2Pr|04t eveUjncoln pg e NO
View Log a NO
*e> NO
- *«2? Search
Search Resulj
M Content Search ReuiUi
*>
Investigator comments
Unaloeated deleted tile named Lncdn pg|
a
a
a
YES
NO
Cluster Search ResrAs a NO
* P Apr>v fu‘ eti Itemi 2J

OK I Cancel |
>Cya OJFIF 0000,0,
00000
000
yO C
3
0000
000000#aX$M0*' li*7/4,)4) l"OAl«9;»>K.OIC<H7->;y0 CO
I
; oooOocoo" OOOOODVA D oooao
o ooooaooyA oooaao u ooooo '0i2AQD0DRaqr,0"30 i**Afis’o#8s4SCb,$ Aeooxc«rtyA
FO OODOOO
ao 0000 .o oooooo o oo
ooooooyA ooooooi < AQ0023e“aaocoRgyd aao oooo ? j c
Beit «ftOVSl 060<l0kbO-a40/Fwbl0V‘a' «0(EDí;í-’<i0b%$Fn0n2|3A*;ü0)’,fqt6w»Hp5l00<l0I<,
t. 2pARn u )«y%*;ü0i"fQrógoy*ftYl>*5l0fq,dgóyví»YÍ«$l0Pn0-Nlb74o3u<Nr¥QáQéI1ó*'í’,XD,2Pn0
NFhtaYnYíh Fofo. ftnftAPíi FHVW Ni7n--.«ih-t 7n T.nhl nv* -rtf n. rwnxdKfi < THPnnN?ht4*:fi<Al« zJ
15 Objects) (1 FoHer(s), 14 Fle<s)) MD5 NJM
Figura 2-19 Al seleccionar un archivo para incluir en un informe
cuadro de diálogo, seleccione la opción de formato que desee, el tipo C2Prj05Report en el cuadro de texto
Nombre de archivo y, a continuación, haga clic DE ACUERDO. Guarde el proyecto y salga ProDiscover básico.

En este proyecto, otro investigador le pide que examine una imagen y buscar todas las apariciones de
las siguientes palabras clave:
• ANTONIO
• HUGH EVANS
• HORACIO
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, una breve descripción y el
nombre del proyecto y, a continuación, haga clic Abierto.
2. En la vista de árbol, haga clic para expandir Añadir, y haga clic Archivo de imagen. Navegar a
la carpeta de trabajo, haga clic en el C2Prj06.eve archivo y haga clic Abierto. Hacer clic Sí en el cuadro de mensaje de
suma de comprobación automática de la imagen, si es necesario. Guardar el proyecto en la carpeta de trabajo.
3. Haga clic en el Buscar botón de la barra de herramientas. En el cuadro de diálogo Buscar, escriba todas las palabras clave
el cuadro de lista (colocando cada uno en una línea separada), haga clic para seleccionar la unidad que contiene la
imagen y haga clic DE ACUERDO.
4. Examinar los archivos en el panel de resultados de búsqueda. Seleccionar las que le parezcan interesantes y 2
escribir notas en el cuadro de diálogo Agregar comentario.
5. Generar un informe y exportarlo, como se explica en proyectos anteriores. Guarde el proyecto y

salga ProDiscover básico.
mm
Proyectos de casos
Caso 2-1 Proyecto

CASE PROJECTS
Una compañía de seguros ha pedido a su empresa de informática forense para revisar un caso
para una investigación de incendios. El presunto pirómano ya ha sido detenido, pero la compañía
de seguros quiere determinar si hay ' s cualquier negligencia por parte de las víctimas. Dos archivos
se extrajeron a su carpeta de trabajo para este proyecto. La primera, CasePrj0201a.doc, es una
nota sobre el caso del departamento de policía. El segundo, CasePrj0201b.doc, es una carta de la
compañía de seguros explicando lo que debe ser investigado. Revisar estos archivos, y decidir el
curso de acción que su empresa tiene que tomar. Escribir un esbozo de cómo su empresa debe
abordar el caso.
Caso 2-2 Proyecto

Jonathan Simpson es propietario de una empresa de construcción. Un día, un subcontratista lo llama,
diciendo que necesita un cheque de reemplazo para el trabajo que completó en 1437 Maple Avenue West.
Jonathan busca el trabajo en su programa de contabilidad y se compromete a volver a emitir el cheque por
$ 12,750. El subcontratista dice que el cheque original era por sólo $ 10,750. Jonathan se ve alrededor de
la oficina, pero puedo ' t encuentra el talonario de cheques de la empresa o del libro mayor. Sólo otra
persona tiene acceso al programa de contabilidad. Jonathan le llama a investigar. ¿Cómo proceder?
Escribir un informe de una página que detalla los pasos Jonathan necesita tomar para reunir las pruebas
necesarias y proteger a su empresa.
Caso 2-3 Proyecto

Usted es el investigador informática forense para un bufete de abogados. La firma adquirió un nuevo cliente,
un joven que fue despedida de su trabajo para archivos inapropiados descubiertos en su computadora. Jura
que nunca se accede a los archivos. ¿Qué preguntas debe hacer y cómo debe proceder? Escribir un
informe de una a dos páginas que describe el ordenador del cliente que se utiliza, quién más tenía acceso a
ella, y cualesquiera otros hechos relevantes que deben ser investigados.
Caso 2-4 Proyecto

Un empleado llama desesperada porque se ha borrado accidentalmente archivos importantes de su disco
duro y puede ' t recuperarlos de la papelera de reciclaje. ¿Cuáles son sus opciones? Escribe una o dos
páginas explicando sus capacidades y enumerando las preguntas que debe preguntarle sobre su sistema.
1010110101010101000111111o .
1111000011101101010100010101000001111o.
1000111011010101000101010110011110000.
101010110101010101000111111010111101010.
33
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y 100001110110101
Investigador
O OOi ' s de
el Investigador ' s de 10000111011010101
oficinas
oficinas yy laboratorios
laboratorios
1l>1010 ,'10 1111010101101010101
O'I 01/
rv* 01111000011101 ...
11000011101 —010100

• Describir los requisitos de certificación para laboratorios de informática forense
• Han sido los requerimientos físicos para un laboratorio de informática forense
• Explicar los criterios para la selección de una estación de trabajo forense básica
• Describir los componentes utilizados para construir un modelo de negocio para el desarrollo de un laboratorio
forense
72 Capítulo 3
En este capítulo se detalla algunas opciones para configurar un análisis forense informático eficaces
laboratorio.
Descripción de los requisitos de certificación laboratorio forense

UN laboratorio de informática forense es donde se llevan a cabo investigaciones, tienda de pruebas, y hace la mayor parte de su trabajo. Se
utiliza el laboratorio para albergar sus instrumentos, software actual y el legado, y estaciones de trabajo forenses. En general, se necesita una
variedad de análisis forense informático de hardware y software para hacer su trabajo.
También es necesario que las políticas de seguro de que se hayan definido, los procesos y los procedimientos prescritos antes de
comenzar cualquier trabajo de casos para garantizar la integridad de un análisis y sus resultados. Un número de organizaciones han
elaborado directrices para la elaboración de sus propios procesos y procedimientos. Qué ' s más importante es que siga las políticas y
procedimientos que ha creado para garantizar la coherencia en su salida.
Asegúrese
NOTE de investigar a fondo los organismos de certificación antes de proseguir con las certificaciones.
Muchas certificaciones son ofrecidos por los proveedores de software; otros son específicos para la
aplicación de la ley o iniciado por grupos locales.
los Sociedad Americana de Directores de Laboratorios Crime (ASCLD; www.ascld.org) proporciona directrices a los miembros para la
gestión de un laboratorio forense y la adquisición de la certificación de laboratorio de criminalística y medicina forense. ASCLD también
certifica informática forense laboratorios que analizan la evidencia digital como lo hacen otras pruebas penal, tales como huellas dactilares
y muestras de ADN. Esta certificación se basa en la certificación de laboratorio del crimen original, ASCLD / LAB ( www.ascld-lab.org), el
cual regula cómo se organizan y gestionan los laboratorios forenses. El programa ASCLD / LAB incluye auditorías específicas sobre todas
las funciones para asegurar que los procedimientos de laboratorio se están realizando correctamente y consistentemente para todos
trabajo de casos. Estas auditorías deben realizarse en informática forense laboratorios para mantener la calidad y la integridad de análisis.
Las siguientes secciones discuten varias directrices clave del programa / LAB ASCLD que se puede aplicar a la gestión, la configuración y
la auditoría de su laboratorio forense.
Funciones de la identificación de Lab Manager y Personal

El ASCLD establece que cada laboratorio debe tener un conjunto específico de objetivos que una organización de padres y el laboratorio ' s
director o administrador determinan. El gerente de laboratorio establece los procesos para la gestión de los casos y los revisa con regularidad.
Además de realizar las tareas de administración generales,
Descripción de los requisitos de certificación laboratorio forense 73
tales como promover el consenso del grupo en la toma de decisiones, mantener la responsabilidad fiscal para las necesidades de laboratorio, y
hacer cumplir las normas éticas (cubierto en los capítulos 15 y 16) entre los miembros del personal, el gerente de laboratorio planea versiones de
laboratorio, tales como las nuevas adquisiciones de hardware y software.
El gerente de laboratorio también se establece y promueve los procesos de garantía de calidad para el laboratorio ' s personal a seguir, como
indica de qué hay que hacer cuando un caso llega, la tala pruebas, especificando quién puede entrar en el laboratorio, y el establecimiento de
directrices para la presentación de informes. Para garantizar el laboratorio ' s eficiencia, el gerente de laboratorio también establece programas de
3
producción razonables para el trabajo de procesamiento. Un caso típico de una investigación interna de la empresa consiste en apoderarse de
un disco duro, hacer copias forenses de la misma, valoración de la prueba, y la presentación de un informe. Un análisis forense de un disco 200
GB, por ejemplo, puede tomar varios días y a menudo implica el software de imágenes ejecuta durante la noche y los fines de semana. Esto
significa que una de las estaciones de trabajo forense en el laboratorio está ocupado por ese tiempo, que puede ser de 20 horas o más. Sobre la
base de la experiencia pasada, el gerente de laboratorio puede estimar el número de casos cada investigador puede manejar y cuándo esperar
un informe preliminar y final para cada caso.
El gerente de laboratorio crea y supervisa las políticas de laboratorio para el personal y proporciona un lugar de trabajo seguro para el personal y
pruebas. Por encima de todo, el director del laboratorio responsable de todas las actividades del laboratorio ' s personal lleva a cabo para completar su
trabajo. Seguimiento de casos como el abuso de correo electrónico, el uso indebido de Internet, y las actividades ilícitas pueden justificar los fondos
gastados en un laboratorio.
Los miembros del personal en un laboratorio forense del ordenador deben tener una formación suficiente para realizar sus tareas. habilidades
necesarias incluyen el hardware y el conocimiento de software, incluyendo el sistema operativo y los tipos de archivo, y el razonamiento deductivo.
Su trabajo es revisada periódicamente por el administrador de laboratorio y sus pares para asegurar la calidad. Los miembros del personal también
son responsables de la formación continua técnica para actualizar sus habilidades de investigación y de la computadora y el mantenimiento de un
registro de la formación que han completado. Muchos proveedores y organizaciones realizan seminarios de formación anuales o trimestrales que
ofrecen exámenes de certificación.
El sitio Web ASCLD resume los requisitos de la gestión de un laboratorio de informática forense, el manejo y preservación de pruebas,
la realización de los procedimientos de laboratorio, el establecimiento de requisitos de personal, y fomentar el desarrollo profesional. El
sitio también ofrece una licencia de usuario para los manuales impresa y electrónica de las directrices de gestión de laboratorio.
ASCLD hace hincapié en que cada laboratorio debe mantener una biblioteca actualizada de los recursos en su campo. Para la
informática forense, estos recursos incluyen software, información de hardware y revistas técnicas.
Laboratorio de Planificación del Presupuesto

Para llevar a cabo una investigación de la informática profesional, es necesario comprender el costo de su operación de laboratorio.
los costos de laboratorio se pueden desglosar en los gastos diarios, trimestrales y anuales. Cuanto mejor comprenda estos gastos,
mejor podrá delegar recursos para cada investigación. Utilizando un programa de hoja de cálculo le ayuda a mantener un registro de
gastos de investigación anteriores para que pueda extrapolar los costes futuros esperados. Recuerde, los gastos incluyen hardware
y software, el espacio de las instalaciones y personal capacitado.
Al crear un presupuesto, comience por estimar el número de cajas de ordenadores espera su laboratorio para examinar e identificar
los tipos de equipos que ' re probable que examinar, como Windows PC o estaciones de trabajo Linux. Por ejemplo, suponga que
trabaja para una agencia de la policía estatal que ' la planificación s de ofrecer un computo servicios de investigación para todo el
estado. Se podría empezar por
74 Capítulo 3
que recogen las estadísticas de criminalidad del estado para el año en curso y años anteriores para determinar
cuántos ordenadores se utilizaron para cometer un crimen y los tipos de equipos que se utilizan en estos
crímenes. El comportamiento criminal a menudo refleja las tendencias de ventas para ciertos sistemas
informáticos. Debido a que más del 90% de los consumidores utilizan Intel y AMD PC, y el 90% de estos equipos
ejecutan Microsoft Windows, las mismas estadísticas son probablemente cierto de las computadoras usadas en
crímenes. Verificar esta tendencia mediante la determinación de la frecuencia de uso de cada tipo de sistema en
un crimen. Anote el número de delitos cometidos utilizando DOS / Windows, Linux / UNIX, y los ordenadores
Macintosh. Si puedes ' Además de los datos históricos se compila, se determinarán las tendencias futuras que
podrían afectar a su laboratorio, tales como una nueva versión de un sistema operativo o un aumento en el
número de equipos implicados en el crimen. Uniforme Crime Report que identifica el número de tipos de disco
duro, tales como IDE o SCSI, y el sistema operativo utilizado para cometer crímenes. Uniform Crime Reports
anuales se generan en las, estatales y federales niveles locales para mostrar los tipos y frecuencia de los
crímenes cometidos. Para informes federales, véase www.fbi.gov/ucr/ucr.htm, y para un resumen de los crímenes
cometidos en los distintos niveles, véase www.ojp.usdoj.gov/bjs/dtd.htm.
También puede identificar el software especializado que se utiliza con ciertos delitos. Por ejemplo, si encuentra
una herramienta de software de facturación escritura utilizado en un gran número de casos de falsificación, se
debe considerar la adición de este software especializado para su inventario. Si tu ' re preparando para establecer
un laboratorio de informática forense para una empresa privada, se puede determinar sus necesidades más
fácilmente porque ' Para empezar, la obtención de un inventario de todos los sistemas y aplicaciones de
computación conocidos utilizados en el negocio.
A continuación, consulte a su Administración, Recursos Humanos, y los departamentos de seguridad para determinar los tipos de
quejas y problemas reportados en el último año. La mayoría de las empresas que utilizan las conexiones a Internet, por ejemplo,
reciben quejas sobre los empleados el acceso a Internet en exceso o para uso personal, que generan las investigaciones sobre el uso
indebido de Internet. Asegúrese de distinguir las investigaciones sobre el uso excesivo de Web inadecuado acceso al sitio Web y
dirección de correo acoso.
Su presupuesto también debe tener los futuros desarrollos en la tecnología de la computación en cuenta porque las capacidades de
almacenamiento en disco mejoran constantemente. Al examinar un disco, se necesita un disco de destino a la que copia los datos de la
evidencia. Este disco debe ser de al menos un año y medio
Intel PC Platform Apple Platform
WinNT MS OS Total
IDE SCSI /2k/ Other 9.x & UNIX Other Systems Total HDD
Drive Drive Win9x XP O/S Linux older OSX H/W H/W Examined Examined
Arson 5 3 3 1 1 5 8
Assault
Aggravated
— 47
78 5 31 1 14 1 83
Assault-
Simple 180 3 77 6 1 32 44 2 1 163 183
Bribery 153 153 153 153
Burglary 1746 1487 259 1746 1746
3
Counterfeiting
& Forgery 1390 4 543 331 309 21 186 1390 1394
Destruction,
Damage. &
Vandalism 976 48 142 45 29 127 325 90 217 1 976 1024
Drug, Narcotic 1939 24 1345 213 158 213 10 1939 1963
Embezzlement 1023 320 549 23 87 41 3 1023 1023
Extortion &
Blackmail 77 2 61 10 3 1 77 77
Fraud 2002 638 932 9 173 55 190 5 2002 2002
Gambling 4910 5 1509 2634 136 138 498 4915 4915
Homicide 36 5 11 9 1 3 7 36 36
Kidnapping &
Abduction 2 1 1 2 2
Larceny Theft 7342 56 2134 3093 5 935 127 982 1 21 7298 7398
Motor Vehicle
Theft 1747 231 1508 5 1 2 1747 1747
Child Porn 593 2 98 162 68 105 160 2 595 595
Robbery 33 23 7 2 1 33 33
Sex Offense —
Forcible 80 21 45 1 5 8 80 80
Sex Offense—
Non-Forcible 900 324 437 6 90 43 900 900
Stolen
Property
Offenses 2711 10 800 1634 3 169 53 37 1 9 2706 2721
Weapons
Violations 203 1 43 89 2 11 28 31 204 204
Totals Per
System 28126 161 9930 12018 59 2179 1300 2289 222 40 28037 28287
HDD
Mac
O/S
HDD X/Linux/
FAT/NTFS 22007 UNIX 2511
Figura 3-1 Uniformes estadísticas informe del crimen
veces el tamaño del disco de pruebas (sospechoso). Por ejemplo, un laboratorio equipado con 100 discos GB puede analizar de
forma eficaz los discos de hasta 66 GB. Si su empresa actualiza sus computadoras a 200 GB discos, sin embargo, es necesario
discos que son 300 GB o más grande o un servidor seguro central con al menos 1 TB de almacenamiento. (Varios servidores
forenses en el mercado son en el 20 TB y más alto rango.) Muchos negocios reemplazar sus sistemas de computación de escritorio
cada 18 meses a tres años. Debe recibir información de actualizaciones de equipo y otros cambios en el entorno informático para
que pueda preparar y presentar su presupuesto para los recursos necesarios.
76 Capítulo 3
Al igual que el hardware, los sistemas operativos cambian periódicamente. Si su herramienta informática forense actual doesn ' t trabajo con la
próxima versión de un sistema operativo o un archivo de sistema de Microsoft, debe actualizar sus herramientas de software. También debe
controlar el desarrollo de productos de proveedores para aprender acerca de las actualizaciones. Los sistemas de archivos cambian, también.
herramientas forenses tuvieron su nacimiento en el DOS, y con los años, los discos duros de Windows se desarrollaron en una variedad de
sistemas de archivos, incluyendo FAT16, FAT32, Nuevo Sistema de Tecnología de archivos (NTFS), y el sistema de archivos de Windows. La
mayoría de las herramientas basadas en DOS puede ' t leer los discos NTFS. Ahora los investigadores también deben abordar Vista, lo que ha
provocado problemas incluso con herramientas de análisis forense de Windows. Además, la popularidad y la prevalencia de la Xbox requiere que
los investigadores estén familiarizados con el sistema de archivos FATX. La gestión del tiempo es una cuestión importante al elegir software y
hardware para la compra. Por ejemplo, ' hemos decidido comprar ocho máquinas para su laboratorio. Muchos paquetes de software de análisis
forense comerciales requieren un adaptador USB para operar o tener una licencia de sitio de cinco usuarios concurrentes. Usted o el administrador
de presupuesto debe decidir si ' re el uso de todas las máquinas o necesita sólo dos copias con licencia de cada paquete de software. Como otro
ejemplo, puede tener una herramienta de línea de comandos se ejecuta durante la noche para obtener imágenes de la unidad; mientras ' s en
ejecución; los investigadores pueden utilizar un paquete comercial o freeware para evaluar una unidad. Usted opciones dependen de qué
herramientas que haya verificado y lo ' s necesario para su trabajo de casos.
Otra opción es utilizar la hélice (un Live CD de Linux, discutido en el capítulo 4) para ver los sistemas de archivos, ya que doesn ' t
montar el disco duro de forma automática y, por lo tanto, doesn ' t escribir en la unidad. (Un bloqueador de escritura de hardware todavía
se recomienda para evitar los errores causados por el técnico forense, si nada más.) El examen de los PDA, unidades USB y teléfonos
móviles es ahora rutina en casos de investigaciones penales a las demandas de descubrimiento de litigio civil. investigadores
informáticos deben estar preparados para hacer frente al cambio constante en estos dispositivos y saber qué herramientas están
disponibles para extraer de forma segura datos de ellos para una investigación. En el capítulo 13, se aprende cómo adquirir datos de
estos dispositivos.
La adquisición de Certificación y Capacitación

Varias organizaciones han desarrollado o están desarrollando programas de certificación para la informática
forense que por lo general se prueba después de haber completado una o más sesiones de entrenamiento con
éxito.
Antes de alistarse en un programa de certificación, investigar a fondo los requisitos, el costo y la aceptabilidad en su área elegida
de empleo. La mayoría de los programas de certificación requieren créditos de educación continua o re-examen de los candidatos '
habilidades, que pueden llegar a ser costoso.
Asociación Internacional de Especialistas en Investigación Informática (SIAL)

Creado por los agentes de policía que querían formalizar las credenciales en las investigaciones de computación, IACIS es una de las
organizaciones profesionales de informática forense más antiguas. Asimismo, se restringe la pertenencia a las fuerzas del orden
jurados o empleados del gobierno que trabajan como examinadores de informática forense. Esta restricción puede cambiar, así que
visite el sitio Web IACIS ( www.iacis
. com) para verificar los requisitos.
IACIS lleva a cabo un curso anual de capacitación de dos semanas para los miembros calificados. Los
estudiantes deben interpretar y rastrear el correo electrónico, adquirir evidencia adecuada, identificar los
sistemas operativos, recuperar datos, y entender la teoría de encriptación y otros temas. Los estudiantes deben
pasar un examen escrito antes de pasar al siguiente nivel. Aprobar el examen gana el estado de Especialista
Certificado Colección Pruebas Electrónicas (PECO). Otros temas incluyen los datos de ocultar, la determinación
de los tipos de archivo de los archivos encubiertas, y acceder a los archivos protegidos con contraseña. Un
informe detallado que demuestra los procedimientos aceptados y control de la evidencia debe ser presentada 3
con cada disco antes de proceder a la siguiente. Certificada Forense Informática Forense (CFCE). El proceso
CFCE cambia a medida que cambia la tecnología. La descripción que aquí está vigente a partir de este escrito.
IACIS requiere recertificación cada tres años para demostrar el trabajo continua en el campo de la informática
forense. La recertificación es menos intensa que la certificación original, pero no los examinadores de la prueba
para asegurarse de que ' re continuar su educación y también está garantizada en el campo de la informática
forense. Para obtener la última información sobre IACIS y la solicitud de certificación CFCE o la pertenencia a
IACIS, visite el sitio Web IACIS.
High-Tech Red Transnacional (HTCN) los High-Tech Red Transnacional (HTCN) También ofrece varios niveles de certificación. A
diferencia de IACIS, sin embargo, HTCN requiere una revisión de toda la formación relacionada, incluida la formación en uno de sus
cursos aprobados, una prueba escrita para la certificación específica, y una revisión de la candidata ' s historial de trabajo. certificación
HTCN está abierto a cualquier persona que satisfacen los criterios en la profesión de las investigaciones de computación. En el
momento de escribir estas líneas, el sitio Web HTCN ( www.htcn.org) especifica los requisitos para los niveles de certificación
discutidos en los párrafos siguientes. Los requisitos se actualizan sin previo aviso, por lo que asegúrese de revisar el sitio
periódicamente.
Certificado Computer Crime Investigador, Nivel Básico
• Los candidatos deben tener tres años de experiencia directamente relacionados con la investigación de incidentes o delitos
relacionados con la informática.
• Los candidatos han completado con éxito 40 horas de formación de una agencia, organización o empresa
de formación aprobado.
• Los candidatos deben presentar la documentación de por lo menos 10 casos en los que participaron.
Certificado Computer Crime Investigador, Nivel Avanzado
• Los candidatos deben tener cinco años de experiencia directamente relacionados con la investigación de incidentes o delitos
relacionados con la informática.
• Los candidatos han completado con éxito 80 horas de formación de una agencia, organización o
empresa homologada.
78 Capítulo 3
• Los candidatos han servido como investigador principal en al menos 20 casos durante los últimos tres años y han participado
en por lo menos otros 40 casos como investigador principal o supervisor o en una capacidad de apoyo. Los candidatos tienen
al menos 60 horas de participación en los casos en los últimos tres años.
Computadora certificado técnico forense, Básico
• Los candidatos deben tener tres años de experiencia en investigaciones de la policía o casos empresariales de
computación.
• Los candidatos deben haber completado 40 horas de formación en informática forense de una organización
aprobada.
• Los candidatos deben presentar la documentación de al menos 10 investigaciones de computación.
Computadora certificado técnico forense, avanzada
• Los candidatos deben tener cinco años de experiencia práctica en las investigaciones forenses informáticos para
hacer cumplir la ley o los casos corporativos.
• Los candidatos deben haber completado 80 horas de formación en informática forense de una organización
aprobada.
• Los candidatos deben haber sido el principal investigador de la informática forense en 20 o más
investigaciones en los últimos tres años y en 40 o más investigaciones adicionales de computación como
el plomo técnico en informática forense, supervisor o colaborador. El candidato debe haber completado al
menos 60 investigaciones en los últimos tres años.
EnCase Certificado Forense (ENCE) Certificación Guidance Software, el creador de EnCase, patrocina el
programa de certificación de ENCE. certificación ENCE está abierto a los sectores público y privado y es
específico a utilizar y el dominio de EnCase análisis forense.
Los requisitos para tomar el examen de certificación ENCE Don ' t dependen de tomar los cursos de formación Guidance
Software EnCase. Los candidatos a este certificado para tener una copia con licencia de EnCase. Para obtener más
información sobre los requisitos de certificación ENCE, visita
www.encase.com o www.guidancesoftware.com.
AccessData Certificado Forense (ACE) AccessData, el creador del último juego de herramientas, patrocina el programa de
certificación de la ECA. certificación ACE está abierto a los sectores público y privado y es específico a utilizar y el dominio de
AccessData último kit de herramientas. Los requisitos para tomar el examen de ACE incluyen la finalización de los cursos
forenses AccessData BootCamp y Windows. El examen consta de una evaluación base de conocimiento (KBA) y una evaluación
de habilidades prácticas (PSA), que es opcional. Para obtener más información sobre esta certificación, la visita www.accessdata.com/acepreparation.html.
Otros Formación y Certificaciones Otras organizaciones están considerando certificaciones o han relacionado con los programas
de formación. organizaciones sin fines de lucro de alta tecnología para los sectores público y privado investigaciones que ofrecen la
certificación y la formación son los siguientes:
• Asociación de Alta Tecnología de Investigación Criminal (HTCIA), www.htcia.org

La determinación de los requisitos físicos para un Laboratorio de Informática Forense 79
• Los investigadores red de ordenadores Tecnología (CTIN), www.ctin.org
• New Technologies, Inc. (NTI), www.forensics-intl.com
• Instituto Ciberdelincuencia sureste de la Universidad Estatal de Kennesaw,

www.certifiedcomputerexaminer.com
Las organizaciones que ofrecen formación y certificación para el personal policial o personal del gobierno civil
cualificado incluyen los siguientes: 3
• Centro Federal de Aplicación de la Ley de Formación (FLETC), www.fletc.gov
• Collar Centro Nacional de Corrupción (NW3C), www.nw3c.org
La determinación de los requisitos físicos para un Laboratorio de Informática Forense
Después de tener el entrenamiento para convertirse en un investigador de la informática forense, que realizar la mayor parte de sus
investigaciones en un laboratorio. En esta sección se describen los requisitos físicos para un laboratorio de informática forense. Abordar
estos requisitos puede facilitar un laboratorio seguro, más seguro y más productivo.
Sus instalaciones de laboratorio debe estar físicamente seguro, de forma que la evidencia ISN ' t perdido, dañado o destruido. Al igual que con
los costos de hardware y software, debe tener en cuenta lo ' s necesario para mantener un entorno seguro y protegido para determinar los
gastos de laboratorio físicos. También debe utilizar métodos de control de inventario para realizar un seguimiento de sus activos informáticos,
lo que significa que debe mantener un inventario completa y actualizada de todos los principales elementos de hardware y software en el
laboratorio. Para los artículos de consumo, tales como cables y soportes de almacenamiento, mantener un inventario para que sepa cuándo
pedir más artículos.
La identificación de las necesidades de seguridad de laboratorio

Todos los laboratorios forenses informáticos necesitan una habitación cerrada, donde una estación de trabajo forense puede ser configurado. No
deberías ' t utilizar un cubículo abierto, ya que permite un fácil acceso a sus pruebas. Necesitas una habitación puede bloquear para controlar sus
pruebas y dar fe de su integridad. En particular, el laboratorio debe ser seguro durante el análisis de los datos, incluso si se lleva varias semanas
para analizar una unidad de disco. Para preservar la integridad de las pruebas, el laboratorio debe funcionar como un armario o pruebas de
seguridad, por lo que es una instalación segura o un almacenamiento seguro seguro. Los siguientes son los requisitos mínimos para un
laboratorio de informática forense de cualquier tamaño:
• Pequeña habitación con paredes verdaderas del suelo al techo
• de acceso de la puerta con un mecanismo de bloqueo, que puede ser una cerradura de llave regular o cerradura de combinación; la
tecla o combinación deben limitarse a los usuarios autorizados
• contenedor seguro, como un archivador de seguridad o de servicio pesado con un candado de calidad que impide la apertura de
los cajones
• Visitante ' s de usuarios una lista de todas las personas que han accedido al laboratorio
Para la producción de trabajo diario, varios examinadores pueden trabajar juntos en una gran área abierta, siempre y cuando todos ellos tienen el
mismo nivel de autoridad y necesidad de acceso. Esta área también debe tener paredes floorto techo y una puerta de cierre. En muchas
organizaciones públicas y privadas, varios investigadores comparten una puerta al laboratorio que requiere una tarjeta de identificación y el código
80 Capítulo 3
Informática investigadores forenses y examinadores deben ser informados sobre el laboratorio ' política de seguridad s. Compartir
información sobre una investigación del caso sólo con otros examinadores y personal que necesita saber acerca de la investigación.
Llevar a cabo investigaciones de alto riesgo

Estos dispositivos pueden recoger cualquier cosa que escriba en su ordenador.
La mayoría de los dispositivos electrónicos emiten radiación electromagnética (EMR). Ciertos tipos de equipos pueden interceptar
EMR, que se puede utilizar para determinar los datos que el dispositivo está transmitiendo o que exhiben. El EMR de un monitor de
ordenador puede ser recogido tan lejos como a media milla. Durante la Guerra Fría, se exigió a los contratistas de defensa para
proteger los sistemas informáticos importantes y evitar el espionaje electrónico de cualquier emisión de ordenador. El Departamento
de Defensa de Estados Unidos llama a esto un blindaje especial de emisión de ordenador TEMPESTAD. ( Para una breve descripción
de la tempestad, ver el Programa Nacional de Seguridad Industrial Manual de funcionamiento [NISPOM]. DoD 5220.22-M, Capítulo
11, Sección 1, Tempest, http://nsi.org/Library/Govt/Nispom.html.
Otro sitio es una lista de fuentes fiables www.eskimo.com/~joelm/tempestintro.html).
To protect your investigations, you might consider constructing a TEMPEST-qualified lab, which requires lining the
walls, ceiling, floor, and doors with specially grounded conductive metal sheets. Typically, copper sheeting is used
because it conducts electricity well. TEMPEST facilities must include special filters for electrical power that prevent
power cables from transmitting computer emanations. All heating and ventilation ducts must have special baffles to
trap emanations. Likewise, telephones inside the TEMPEST facility must have special line filters. A TEMPEST
facility usually has two doors separated by dead space. The first exterior door must be shut before opening the
interior door. Each door also has special copper molding to enhance electricity conduction.
Debido a una instalación de laboratorio TEMPEST-calificado es caro y requiere una inspección y análisis de rutina, debe ser considerada
sólo para los grandes laboratorios de informática forense regionales que exigen una seguridad absoluta de escuchas ilegales. Para evitar
estos costos, algunos vendedores han construido estaciones de trabajo de bajo emana en lugar de las instalaciones de tempestad. Estas
estaciones de trabajo son más caras que las estaciones de trabajo promedio, pero menos costoso que un laboratorio TEMPEST.
El uso de contenedores en la evidencia

recipientes de almacenamiento de pruebas, también conocidas como pruebas armarios, deben ser seguros para que ninguna persona no autorizada
pueda acceder a sus pruebas con facilidad. Debe utilizar las cerraduras de alta calidad, tales como candados, con distribución limitada de clave
duplicada. También, de forma rutinaria inspeccionar el contenido de los recipientes de almacenamiento de pruebas para asegurarse de que sólo la
evidencia actual se almacena. Las formas pruebas de custodia deben indicar qué ' todavía en el armario. La evidencia de los casos cerrados debe ser
trasladado a un lugar externo seguro.
NISPOM Capítulo 5, Sección 3 ( http://nsi.org/Library/Govt/Nispom.html) describe las características de un recipiente de

almacenamiento seguro. Consulte con su gestión de la instalación o al asesor legal, tales como abogados corporativos o fiscales,
para determinar que su laboratorio debe hacer para mantener la integridad de las pruebas. Los siguientes son recomendaciones
para proteger los recipientes de almacenamiento:
• El contenedor de pruebas debe estar ubicado en un área restringida que ' s accesible sólo para el personal de laboratorio.
3
• El número de personas autorizadas para abrir el contenedor pruebas debe mantenerse al mínimo. Mantener
registros sobre quién ' s autorizado para acceder a cada recipiente.
• Todos los contenedores en la evidencia deben permanecer cerrada cuando aren ' t bajo la supervisión directa de una
persona autorizada.
Si se utiliza una combinación de sistema de bloqueo para su contenedor de pruebas, siga estas prácticas:
• Proporcionar el mismo nivel de seguridad para la combinación como para el envase ' s contenidos. Almacenar la
combinación en otro recipiente igualmente protegidos.
• Destruir todas las combinaciones anteriores después de la creación de una nueva combinación.
• Permitir que sólo el personal autorizado para cambiar combinaciones de cierre.
• Cambiar la combinación cada seis meses, cuando cualquier personal autorizado dejan la organización, e
inmediatamente después de encontrar un recipiente sin garantía - es decir, uno que ' s abierta y sin vigilancia. Si tu ' re
utilizando un candado con llave, siga estas prácticas:
• Designar a un depositario clave que ' s responsable de la distribución de claves.
• Estampar números secuenciales en cada copia de la llave.
• Mantener una lista de registro que se asigna tecla a la persona autorizada.

• Llevar a cabo una auditoría mensual para asegurar que ninguna persona autorizada ha perdido una llave.
• Hacer un inventario de todas las teclas cuando el custodio cambios.
• Coloque las llaves en un recipiente con cierre accesible sólo para el administrador de laboratorio y custodio tecla designada.
• Mantener el mismo nivel de seguridad para las llaves como para los contenedores en la evidencia.
• Cambiar las cerraduras y llaves al año; si una clave no está presente, sustituir todos los bloqueos asociados y la clave.
• No utilice una llave maestra para varias cerraduras.
El recipiente de almacenamiento o gabinete deben estar hechos de acero e incluyen una cerradura del gabinete interno o candado externo. Si
es posible, comprar un seguro, que ofrece una seguridad superior y protege su evidencia de daño por fuego. Busque cajas fuertes
especializadas, llamadas cajas fuertes medios de comunicación, destinadas a proteger a los medios electrónicos. cajas fuertes de los medios
se clasifican por el número de horas que se necesita antes de daños de fuego el contenido. Cuanto mayor sea la calificación, mejor será la caja
fuerte protege pruebas.
Una sala de almacenamiento evidencia también es conveniente, especialmente si ' s parte de su laboratorio forense. Seguridad para una sala
de pruebas debe integrar la misma construcción y dispositivos de sujeción como el laboratorio general no. Las grandes operaciones de
informática forense también necesitan un custodio de pruebas
82 Capítulo 3
y un contador de servicio con una ventana enrollable de metal que puede fijarse para controlar pruebas. Con una sala de pruebas seguro,
puede almacenar grandes componentes de la computadora, tales como ordenadores, monitores y otros dispositivos periféricos.
Asegúrese de mantener un registro de email cada vez que un contenedor de pruebas se abre y cierra. Cada vez que se
accede al contenedor, el registro debe indicar la fecha en que se abrió y las iniciales de la persona autorizada. Estos
registros deben mantenerse durante al menos tres años o más, según lo prescrito por su perseguir o abogados corporativos.
Los registros se analizan con más detalle en el capítulo 5.
Supervisar el mantenimiento de instalaciones

Su laboratorio debe mantenerse correctamente en todo momento para garantizar la seguridad y la salud del personal de laboratorio.
Cualquier daño al suelo, paredes, techos, muebles o debe ser reparado inmediatamente. También, asegúrese de acompañar a los
equipos de limpieza en la instalación y el monitor mientras trabajan.
Debido a que la electricidad estática es un problema importante al manipular piezas de la computadora, considere colocar almohadillas
antiestáticas torno a mesas de trabajo electrónicos y estaciones de trabajo. Además, los pisos y las alfombras deben limpiarse al menos una vez a
la semana para ayudar a minimizar el polvo que puede causar electricidad estática.
Mantener dos contenedores de basura separados, uno para almacenar artículos no relacionadas con la investigación, tales como CDs
desechados o cintas magnéticas, y el otro para material sensible que requiere un manejo especial para asegurarse de que ' s destruidos. El
uso de contenedores de basura separados mantiene la integridad de los procesos de investigación criminal y protege los secretos
comerciales y las comunicaciones privilegiadas entre abogado y cliente en una empresa privada. Varias empresas adheridas
comercialmente se especializan en la eliminación de materiales sensibles, y usted debe contratar a uno para ayudar a mantener la
integridad de sus investigaciones.
Teniendo en cuenta las necesidades de seguridad física

Además de su laboratorio ' el diseño y la construcción física s, es necesario mejorar la seguridad mediante el establecimiento de políticas
de seguridad. ¿Cuánta seguridad física se implementa depende de la naturaleza de su laboratorio. Un laboratorio de la delincuencia
informática regional tiene altas necesidades de seguridad física a causa de los riesgos de perder, o evidencia perjudicial corruptor. Las
necesidades de seguridad física de una gran corporación no son probablemente tan alta debido a que el riesgo de pérdida de pruebas o
compromiso es mucho menor. Determinar el riesgo para su organización dicta la cantidad de seguridad que integrar en su laboratorio de
informática forense.
AlNOTE
considerar las necesidades de seguridad digitales, muchas empresas descuidan la seguridad física.
Independientemente del riesgo de seguridad para su laboratorio, mantener un registro de papel o electrónico de inicio de sesión para todos los
visitantes. El registro debe enumerar el visitante ' Nombre s, fecha y hora de llegada y salida, el patrón ' Nombre s, el propósito de la visita, y el
nombre del miembro del laboratorio que recibe al visitante. Considere cualquier persona que ' s no asignado al laboratorio para ser un visitante,
incluyendo los equipos de limpieza, personal de mantenimiento de instalaciones, amigos y familia. Todos los visitantes deben estar acompañados
por un asignada
miembro del personal autorizado durante su visita al laboratorio para asegurar que ellos no ' t accidental o intencionalmente juegue con una
investigación o pruebas. Como precaución adicional, utilice una alarma visible o audible, tal como una tarjeta de visitante, para que todos los
investigadores saben que el visitante se encuentra en la zona. Si es posible, contratar a un guardia de seguridad o un sistema de alarma de
intrusión con un guardia para asegurar su laboratorio ' s de seguridad. Los sistemas de alarma con guardias también se pueden utilizar después
de horas de oficina para monitorear su laboratorio.
3
Auditoría de un Laboratorio de Informática Forense
Para que las políticas de seguridad seguras y se siguen las prácticas, realizar inspecciones de rutina para auditar sus contenedores de
almacenamiento de laboratorio y pruebas. Las auditorías deben incluir, pero aren ' t limitan a, los siguientes componentes y prácticas de
instalación:
• Inspeccionar el laboratorio ' s techo, suelo, techo y paredes exteriores al menos una vez al mes, en busca de algo inusual
o nueva.
• Inspeccionar las puertas para asegurarse de que cerrar y bloquear correctamente.
• Compruebe que los seguros para ver si necesitan ser reemplazado o cambiado.
• troncos opinión de los visitantes para ver si ' re siendo utilizado correctamente.
• hojas de registro de revisión de contenedores evidencia para determinar cuando se han abierto y cerrado.
• Al final de cada día de trabajo, asegurar ninguna evidencia de que ' s no ser procesado en una estación de trabajo
forense.
La determinación de los planos de planta para la medicina forense Laboratorios de Computación

¿Cómo se configura el área de trabajo para sus análisis forense informático del laboratorio depende de su presupuesto, la
cantidad de espacio disponible, y el número de ordenadores que se asigna a cada investigador de computación. Por una
pequeña manejar dos o tres casos al mes operación, una estación de trabajo forense debe ser suficiente para manejar la
carga de trabajo. Una estación de trabajo requiere sólo el espacio de un escritorio promedio ocupa. Si tu ' re el manejo de
muchos más casos al mes, es probable que pueda procesar dos o tres investigaciones a la vez, lo que requiere más de una
estación de trabajo. La configuración ideal para múltiples estaciones de trabajo es tener dos estaciones de trabajo forenses,
además de una estación de trabajo nonforensic con acceso a Internet.
Estos laboratorios suelen tener más espacio de la biblioteca de software y hardware de almacenamiento.
84 Capítulo 3
Cabinets * /<*
Internet/
intranet PC
a _ _J\
+
Forensic PC
0
-
|/ÉüSr Bench
Figura 3-2 pequeña para el laboratorio o en el hogar
Cabinet Cabinet
rw
\ /
'
Jr
Workbench
Forensic workstations Internet/

intranet
B B B Ml
«
a a it a «ÿ¡8
Figura 3-3 De tamaño medio en informática forense de laboratorio
aplicación de la ley estatal o el FBI por lo general se ejecuta más grandes o regionales informáticos laboratorios forenses. Como se
muestra en la Figura 3-4, estos laboratorios tienen una sala de pruebas independiente, lo cual es típico en las investigaciones policiales,
excepto que esta habitación está limitado a la evidencia digital. Uno o más custodios podrían ser asignados para gestionar y controlar el
tráfico dentro y fuera de la sala de pruebas. Como se señaló anteriormente, la sala de pruebas debe ser seguro. El laboratorio debe tener
al menos dos salidas controladas y sin ventanas. oficinas separadas para los supervisores y cubículos para investigadores son más
prácticos en esta configuración. Recuerde que las estaciones de trabajo forenses están conectados a una LAN aislada, y sólo unas
pocas máquinas están conectadas a un exterior WAN o red de área metropolitana (MAN).
Ah
vy % ffii
Selección de una estación de trabajo forense básico
ft Oft
A
85
;•
Workbench
2 forensic
/
2 forensic 2 forensic
<cÿ/ s workstations workstations workstations
-!l« 'll Conference

3
Internet/
table
*
Evidence
room \ intranet t=i
PCs
Offices
or <=ir *
Library
/¡jjÿ* Si
'* Dna
BE
Figura 3-4 Regional laboratorio de informática forense
Selección de una estación de trabajo forense básico

La computadora utiliza como un sistema de análisis forense depende de su presupuesto y necesidades específicas. Muchas estaciones de
trabajo forenses bien diseñados están disponibles que pueden manejar la mayoría de las necesidades de investigación de computación. Sin
embargo, cuando se empieza a procesar un caso, se utiliza una estación de trabajo para la duración del examen. Utilizar las estaciones de
trabajo de menor potencia para las tareas cotidianas y estaciones de trabajo multiusos para las tareas de análisis de alta gama.
Selección de estaciones de trabajo para los laboratorios de policía

Los departamentos de policía en las principales ciudades tienen probablemente las más diversas necesidades de computación herramientas de
investigación debido a que las comunidades que sirven utilizan una amplia variedad de sistemas de computación. No todos los usuarios de
ordenador tienen la última tecnología, por lo que los departamentos de policía por lo general necesitan máquinas y software más antiguos, como un
Commodore 64, una Osbourne I, o una Kaypro correr CP / M o Minix, para que coincida con lo ' s utilizado en su comunidad. Para los departamentos
de policía locales de pequeño tamaño, sin embargo, la mayor parte del trabajo consiste en sistemas de PC con Windows y Apple Macintosh. Un
pequeño departamento de policía ' s laboratorio de informática forense podría limitarse a una estación de trabajo forense de usos múltiples con una o
dos estaciones de trabajo básicas.
Una forma de investigar los sistemas de computación de mayor edad e inusuales es no perder de vista grupos specialinterest (SIG) que
todavía utilizan estos sistemas. SIG, que se pueden encontrar a través de una búsqueda en Internet, pueden ser una fuente valiosa de
apoyo para la recuperación y el análisis de sistemas no comunes. También puede coordinar con o subcontratar a grandes informáticos
laboratorios forenses. Me gusta
86 Capítulo 3
large police departments, a regional computer forensics lab must have diverse systems to serve its community and
often receives work from smaller labs involving unusual computers or OSs.
El cálculo de sistemas en un laboratorio debe ser capaz de procesar los casos típicos de una manera oportuna. El tiempo que se tarda en
procesar un caso por lo general depende del tamaño y tipo de industrias de la región. Por ejemplo, supongamos que su laboratorio está
ubicado en una región con una empresa de fabricación grande que emplea a 50.000 personas. Sobre la base de los informes del crimen le ' he
consultado, el 10% de los empleados podría estar involucrado en el comportamiento criminal, es decir, 5000 empleados van a cometer delitos
como el fraude, la malversación, y así sucesivamente. Estas estadísticas pueden ayudar a estimar cuánto tiempo está involucrado en el
procesamiento de este tipo de casos.
Hasta hace poco, la regla general era al menos un investigador informático aplicación de la ley por cada 250.000
personas en una región geográfica. Por ejemplo, si su comunidad tiene
1.000.000 personas, lo regional laboratorio forense de computadoras deben tener al menos cuatro investigadores informáticos, cada uno con al
menos una estación de trabajo forense de usos múltiples y una estación de trabajo generalpurpose. Esta regla está cambiando rápidamente,
sin embargo, como la cantidad de datos almacenados en los dispositivos digitales aumenta.
Selección de estaciones de trabajo para los laboratorios privados y corporativos

For the private sector, such as a business conducting internal investigations or a commercial business providing
computer forensics services to private parties, equipment resources are generally easy to determine.
Commercial businesses providing computer forensics analysis for other companies can tailor their services to specific
markets. They can specialize in one or two platforms, such as an Intel PC running a Microsoft OS. They can also gather a
variety of tools to meet a wider market. The type of equipment they need depends on their specialty, if any. For general
computer forensics facilities, a multipurpose forensic workstation is sufficient. Private companies conducting their own
internal computing investigations can determine the type of forensic workstation they need based on the types of computers
they use. If a company uses only Windows PCs, internal investigators don ' t necesidad de una amplia variedad de equipos
especializados. Si una empresa utiliza muchos tipos de computadoras, el Departamento de Investigación de la informática
interna de las necesidades de los sistemas y equipos que soportan el mismo tipo de ordenadores. Con algunos programas
de informática forense, se puede trabajar desde un PC con Windows y examinar tanto las unidades de disco de Windows y
Macintosh.
Stocking periféricos de hardware

Además de las estaciones de trabajo y software, todos los laboratorios deben tener una amplia variedad de cables y tarjetas de ranura de expansión
de repuesto. Considere el almacenamiento de su laboratorio de informática forense con los siguientes dispositivos periféricos:
• 40 pines cables IDE de 18 pulgadas y 36 pulgadas, tanto ATA-33 y ATA-100 o más rápido
• Los cables planos para los disquetes
• tarjetas SCSI adicionales, preferiblemente ultra-ancha
• tarjetas gráficas, tanto de interconexión de componentes periféricos (PCI) y puerto de gráficos acelerado
(AGP)
Selección de una estación de trabajo forense básico 87
• cables de alimentación adicionales
• Una variedad de unidades de disco duro (todas las que puede pagar y en una variedad tan amplia como sea posible)
• Al menos dos adaptadores de 2,5 pulgadas de IDE cuaderno unidades de disco duro IDE a estándar / unidades ATA,
SATA, etc.
• herramientas de la mano del ordenador, tales como destornilladores Phillips y cabeza plana, una llave de tubo, y una pequeña 3
linterna
El mantenimiento de los sistemas operativos y los inventarios de software

Los sistemas operativos son una parte esencial de su laboratorio ' s inventario. Debe mantener copias con licencia de la mayor
cantidad posible legado de los sistemas operativos para manejar los casos de sistemas inusuales. Microsoft debe incluir sistemas
operativos Windows XP, 2000, NT 4.0, NT 3.5, 9x, 3.11, 6.22 y DOS. Macintosh OS debe incluir Mac OS X, 9.x, y 8 o más. SOs
Linux Fedora puede incluir, Caldera Open Linux, Slackware y Debian. El más reciente de los sistemas operativos, como Windows
Vista, también debe ser incluido.
Aunque la mayoría de las herramientas de informática forense de gama alta puede abrir o archivos de datos de pantalla creados con
programas populares, que don ' t apoyar todos los programas. Su inventario de software debe incluir las versiones actuales o más de los
siguientes programas. Si usted se ocupa de los dos PCs con Windows y los sistemas Macintosh, debe tener programas para ambos.
• Microsoft Office (incluyendo las versiones actuales y anteriores)
• Quicken (si se maneja una gran cantidad de investigaciones financieras)
• Los lenguajes de programación, como Visual Basic y Visual C ++
• espectadores especializados, como QuickView, ACDSee, ThumbsPlus, y IrfanView
• Corel Office Suite
• StarOffice / OpenOffice
• aplicaciones de contabilidad Peachtree
El uso de un plan de recuperación de desastres

Además de la planificación de las necesidades de equipo, es necesario planificar para desastres, tales como accidentes de disco duro, la caída
de rayos, y cortes de energía. Un plan de recuperación de desastres asegura que se puede restaurar sus estaciones de trabajo y servidores de
archivos a su estado original si se produce un fallo catastrófico.
Un plan de recuperación de desastres también especifica cómo reconstruir una estación de trabajo forense después de que ha sido severamente
contaminada por un virus de una unidad que ' volver a analizar. Fundamental para cualquier plan de recuperación de desastres es un sistema de copia
de seguridad de equipos de investigación. Las herramientas como Norton Ghost son útiles para la restauración de archivos directamente. Como
precaución general, considere la posibilidad de realizar copias de seguridad de su estación de trabajo una vez a la semana. Puede restaurar los
programas de los discos o CDs originales, pero la recuperación de datos perdidos y sin hasta a la fecha de copias de seguridad es difícil.
Almacenar las copias de seguridad del sistema donde sean fácilmente accesibles. Debe tener al menos una copia de las copias de seguridad en el
lugar y un duplicado o una copia previa de copias de seguridad almacenadas en una caja fuerte instalación externa. copias de seguridad fuera de las
instalaciones son por lo general giran en un horario que varía de acuerdo a sus necesidades, como cada día, semana o mes.
88 Capítulo 3
Además, registrar todos los cambios que realice en su estación de trabajo mediante un proceso llamado gestión de la configuración. Algunas
actualizaciones de las compañías discográficas en una base de datos de gestión de configuración para mantener el cumplimiento con la política
de laboratorio. Cada vez que añada o actualizar software en su estación de trabajo, introduzca el cambio en la base de datos o en un simple bloc
de notas escritas a mano con las entradas para documentar el cambio.
Un plan de recuperación de desastres también puede abordar cómo restaurar una estación de trabajo reconfigurado para una investigación
específica. Por ejemplo, si instala un conjunto de aplicaciones, puede que no tenga suficiente espacio en disco para las necesidades
normales de procesamiento, por lo que podría tener problemas durante reconfiguraciones o incluso simples actualizaciones. El plan de
recuperación de desastres debe describir cómo desinstalar el software y eliminar todos los archivos del programa de desinstalación Hasn ' t
quita para que pueda restaurar el sistema a su configuración original.
Para los laboratorios que utilizan servidores RAID de gama alta (como Digital Inteligencia FREDC o
FREDM), se debe tener en cuenta los métodos para la restauración de grandes conjuntos de datos. Estos servidores a gran finales deben tener
sistemas de copia de seguridad de datos adecuados disponibles en caso de un fallo importante de más de una unidad. Cuando se planifica un
procedimiento de cobro de servidores RAID, considere si la cantidad de tiempo de inactividad que se necesita para restaurar los datos de copia de
seguridad es aceptable para el funcionamiento del laboratorio.
La planificación de Mejoras del equipo

Gestión de riesgos implica determinar el riesgo howmuch es aceptable para cualquier proceso u operación, tales como la sustitución de equipos.
Identificar el equipo de su laboratorio depende de, y crear un calendario para reemplazar ese equipo. También, identificar el equipo que se
puede sustituir en caso de que falle. componentes informáticos están diseñados para durar 18 a 36 meses en las operaciones comerciales
normales, y las nuevas versiones de los sistemas operativos y las aplicaciones que ocupan más espacio en disco se lanzan con frecuencia. Por
lo tanto, los sistemas necesitan periódicamente más memoria RAM, espacio en disco y la velocidad de procesamiento. Para mantener su actual
laboratorio con actualizaciones en tecnología de hardware, programar reemplazos de hardware al menos cada 18 meses y, preferentemente,
cada 12 meses.
El uso de estaciones de trabajo forenses portátiles

Los recientes avances importantes en la tecnología de hardware ofrecen más flexibilidad en la informática forense. Ahora puede utilizar un
PC portátil con FireWire (IEEE 1394B), USB 2.0, o PCMCIA discos duros SATA para crear una estación de trabajo forense ligero, móvil. La
velocidad de producción mejoradas de transferencia de datos en las computadoras portátiles también hacen que sea más fácil para crear
imágenes de unidades sospechosas.
Sin embargo, las computadoras portátiles son todavía limitados como estaciones de trabajo forenses. Incluso con la mejora de las tasas de
transferencia de datos, la adquisición de datos con una herramienta de imagen de compresión de datos, tales como EnCase o SafeBack, crea un
cuello de botella. La velocidad del procesador determina la rapidez con que puede adquirir una imagen de un disco duro. Cuanto más rápido el
procesador en su ordenador portátil (u otro PC), el más rápido de una imagen se crea en un modo comprimido.
La construcción de un caso de negocio para el desarrollo de un laboratorio forense
Antes de poder configurar un laboratorio de informática forense, debe contar con el apoyo de los administradores y otros miembros del equipo.
Para ello, se construye una caso de negocio, un plan que puede utilizar para vender su
La construcción de un caso de negocio para el desarrollo de un laboratorio forense 89
servicios para la gestión o clientes. En el caso de negocio, justificas la adquisición de nuevos y mejores recursos para investigar los
casos de informática forense.
¿Cómo se desarrolla un modelo de negocio depende de la organización que apoya. Si tu ' re the sole proprietor,
creating a business case is fairly simple. If you need money to buy tools, you can save your money for the purchase
or negotiate with your bank for a loan. For a public entity such as a police department, business requirements can
change drastically because budgets are planned a year or more in advance. Public agency department managers
present their budget proposals to upper management. If the proposal is approved, upper management makes money
3
available to acquire resources outlined in the budget. Some public organizations might have other funds available that
can be spent immediately for special needs. Managers can divert these funds for emergency or unforeseen needs.
Keep in mind that a private-sector business, especially a large corporation, is motivated by the need to make money.
A business case should demonstrate how computing investigations could save money and avoid risks that can
damage profits, such as by preventing litigation involving the company. For example, recent court decisions have
defined viewing pornographic images in the workplace as creating a hostile environment for other employees, which
is related to employee harassment and computer misuse. An employer is responsible for preventing and
investigating harassment of employees and non-employees associated with the workplace. A company is also liable
if it doesn ' t actively prevent the creation of a hostile workplace by providing employee training and investigating
allegations of computer misuse. A lawsuit, regardless of who wins, can cost an employer several hundred thousand
dollars. In your business case, compare the cost of training and conducting computing investigations with the cost of
a lawsuit.
Por ejemplo, Unos meses más tarde, mejor monopatín introduce un producto similar a la del monopatín Gwen
había estado investigando en el SI.
SI podría demandar mejor monopatín y el descubrimiento de la demanda en los documentos internos. Debido a Gwen y mejor monopatín
correspondió a través de correo electrónico, un investigador de la computación tiene que encontrar los datos
90 Capítulo 3
en relación con la contratación y la ingeniería de investigación en mejor monopatín. Mejor monopatín también puede exigir el descubrimiento
de la IS ' s registros de investigación para determinar si las discrepancias en el diseño del producto podrían refutar la demanda. En este
ejemplo, las investigaciones informáticas pueden permitir que una sola empresa para generar ingresos de un nuevo producto y prevenir que la
otra empresa que lo hagan. La información relacionada con pérdidas y ganancias presenta un argumento convincente en un caso de negocio.
La preparación de un caso de negocio para un Laboratorio de Informática Forense

Eso ' s importante entender la necesidad de una planificación en la creación y el mantenimiento continuo de un laboratorio de informática forense.
La razón de esto es la demanda de los constantes esfuerzos de reducción de costes de gestión superior. Debido a las organizaciones ' tendencias
para reducir constantemente los costes, debe planificar con antelación para asegurarse de que el dinero está disponible para las instalaciones,
herramientas, equipos, y la formación de su laboratorio forense. Las siguientes secciones describen algunos elementos clave para la creación de
un caso forense equipo de negocios. Eso ' es una buena idea para mantener un modelo de negocio con actualizaciones anuales.
Justificación Antes de empezar, es necesario justificar a la persona que controla el presupuesto de la razón se necesita un
laboratorio. Este paso requiere la justificación de las siguientes preguntas:
• ¿Qué tipo de servicio de investigación de la computación se necesita para su organización?
• Quiénes son los clientes potenciales para este servicio, y cómo va a ser presupuestados - como una operación interna
(departamento de policía o al departamento de seguridad de la empresa, por ejemplo) o una operación externa (un
negocio con fines de lucro)?
• ¿Cómo va a anunciar sus servicios a los clientes?

• ¿Qué técnicas de gestión del tiempo va a utilizar?
• De dónde saldrá el presupuesto inicial y el mantenimiento de las operaciones comerciales vienen? No importa qué tipo de
organización para la que trabaja - un organismo público o una empresa privada -

el funcionamiento de un laboratorio de informática forense con éxito requiere un esfuerzo constante para comunicar, o hacer publicidad, el
laboratorio ' s servicios a los clientes y clientes anteriores, actuales y futuros. Mediante el uso de marketing para atraer a nuevos clientes o
clientes, se puede justificar los presupuestos futuros para el laboratorio ' s operación y el personal.
Desarrollo del presupuesto El presupuesto debe incluir todos los elementos que se describen en las siguientes secciones.
Usted debe ser lo más exacto posible al determinar la verdadera costo de estos artículos. Cometer un error podría causar
retrasos y posible pérdida de la oportunidad de iniciar o mejorar su laboratorio.
Facility Cost Para un nuevo laboratorio de informática forense, los costos de inicio pueden tomar la mayor parte del presupuesto. Dependiendo de
qué tan grande es el laboratorio, primero debe determinar la cantidad de espacio de suelo que se necesita. Como se ha mencionado, una buena
regla de oro es de 150 pies cuadrados por persona. Esta cantidad de espacio puede parecer un poco más grande de lo necesario, pero tenga en
cuenta la cantidad de espacio de almacenamiento necesario para preservar las pruebas y tener suficientes suministros en stock. Consulte con su
organización ' gestor de instalación s en los costos por pies cuadrados para su área o edificio. Éstos son algunos ejemplos de preguntas para
contestar a empezar a trabajar en el cálculo de un presupuesto:
• ¿Cuántas equipo forense examinadores se necesita?
• ¿Cuánto entrenamiento será cada examinador requerirá al año?
• Va a necesitar más de un laboratorio?

La construcción de un caso de negocio para el desarrollo de un laboratorio forense 91
• ¿Cuántas equipo forense examinadores usarán cada laboratorio? Habrá una necesidad de acomodar otros
nonexaminers temporalmente para inspeccionar evidencia recuperada?
• ¿Cuáles son los costos para la construcción de un laboratorio de seguro?
• ¿Hay una habitación adecuada que se puede convertir en un laboratorio?
• ¿La habitación designada tiene suficiente energía eléctrica y de calefacción, ventilación y sistemas de aire
acondicionado (HVAC)? 3
• Hace el cuarto designado cuenta con líneas telefónicas existentes y los cables de red? Si no es así, ¿cuánto será el costo
de instalar estos elementos adicionales?
• ¿Hay una cerradura adecuada en la habitación designada ' puerta s?
• ¿Cuáles serán los costos de los muebles?
• ¿Será necesario instalar un sistema de alarma?
• ¿Hay otros costos de las instalaciones, tales como honorarios por los servicios de limpieza y servicios de mantenimiento de
instalaciones?
Requerimientos de hardware La determinación de los tipos de investigaciones y datos que serán analizadas en el laboratorio de
informática forense determina qué equipo hardware que necesita. Si su organización está usando PCs basados en Intel con Windows
XP, por ejemplo, la estación de trabajo forense debe ser un PC basado en Intel de gama alta, también. Para un pequeño departamento
de policía, la determinación de los tipos de computadoras los usos públicos es más difícil. La diversidad de una comunidad ' sistemas
informáticos s requiere un departamento de policía para ser más versátil en las herramientas necesarias para llevar a cabo las
investigaciones. Para determinar las necesidades presupuestarias de hardware de computadora, aquí hay algunas cuestiones a
considerar en su planificación:
• ¿Qué tipos de investigaciones y recuperación de los datos se llevará a cabo en el laboratorio?
• ¿Cuántas investigaciones se puede esperar al mes de la operación?
• Habrá investigaciones sensibles al tiempo que exigen un rápido análisis de los datos del disco?
• ¿En qué tamaños y cuántas unidades serán necesarios para apoyar una investigación típica?
• ¿Será necesario un sistema de copia de seguridad de alta velocidad, tales como copia de seguridad de cinta o DVD quemadores?
• ¿Cuál es el tipo predominante de sistema informático va a investigar?
• Lo que va a utilizar para almacenar las pruebas digitales? ¿Cuánto tiempo necesita para almacenarlo?
Requisitos de Software En los últimos años, muchas más herramientas de informática forense se han hecho disponibles. Para el sector
privado, el costo de estas herramientas varía desde alrededor de $ 300 y más. Para el sector público, muchos proveedores de software de
informática forense ofrecen descuentos. Sin embargo, al igual que selecciona hardware del sistema laboratorio forense para adaptarse a
las necesidades específicas, primero debe determinar qué tipo de sistemas operativos y aplicaciones serán investigadas y luego hacer las
compras que se ajustan. Tenga en cuenta que cuanto más se gasta en un paquete de software de informática forense, el más funciones y
flexibilidad estarán disponibles. Para determinar las necesidades presupuestarias de software de ordenador, he aquí algunas preguntas a
tener en cuenta en su planificación:
• ¿Qué tipos de sistemas operativos serán examinados?
• Por menos popular, raro, o más sistemas operativos (como Mac OS 9.x, OS / 2, y CP / M), con qué frecuencia habrá
una necesidad de investigar ellos?
92 Capítulo 3
• ¿Cuáles son las necesidades mínimas de herramientas de software forense? Por ejemplo, se necesitarán cuántas copias de cada
herramienta? ¿Con qué frecuencia cada herramienta se use en una semana promedio?
• ¿Qué tipos de sistemas operativos serán necesarios para llevar a cabo los exámenes de rutina?
• Habrá una necesidad de un software especializado, como QuickBooks o Peachtree?
• ¿Existe un presupuesto para la compra de más de una herramienta de software forense, como EnCase, FTK, o
ProDiscover?
• ¿Qué herramienta de edición de disco debe ser seleccionado para el análisis de datos generales?
Necesidades de costes misceláneos Para esta sección del presupuesto, es necesario intercambiar ideas sobre otros artículos, herramientas y
suministros para considerar la compra para el laboratorio, de suministros de oficina en general a las necesidades específicas de las operaciones
diarias. Para determinar las necesidades presupuestarias varios, aquí hay algunas cuestiones a considerar en su planificación:
• Habrá una necesidad de errores y omisiones seguros para el laboratorio ' s operación y el personal?
• Va a necesitar un presupuesto para equipos de oficina?
Aprobación y Adquisición La fase de aprobación y la adquisición de un laboratorio de informática forense es una función de
gestión. Eso ' s your responsibility to create a business case with a budget to present to upper management for approval. As part
of the approval process, you should include a risk analysis describing how the lab will minimize the risk of litigation, which is a
persuasive argument for supporting the lab. You also need to make an educated guess of how many investigations are
anticipated and how long they will take to complete on average. Remember, part of the approval process requires using
negotiation skills to justify the business case. You might need to revise your case as needed to get approval. As part of the
business case, acquisition planning requires researching different products to determine which one is the best and most cost
effective. You need to contact several vendors ' el personal de ventas y los ingenieros de diseño para aprender más acerca de
cada producto y servicio. Otro factor es investigar los costos anuales de mantenimiento. Es necesario hacer un presupuesto
para este gasto, también, así que usted puede conseguir apoyo si llegas a tener problemas durante una investigación. Un
elemento adicional a la investigación de otros en la profesión es el proveedor ' s historial de mantenimiento. Hacer otras
informática forense laboratorios utilizan el mismo producto, y tienen que tenían ningún problema para conseguir apoyo para los
problemas que encuentran? Otra consideración es vendedores ' estructuras de precios. ISN fijación de precios del proveedor ' t
basado en el costo de crear CDs y DVDs y empaquetarlas. precios de los productos se basan en el precio para el desarrollo, las
pruebas, la documentación de apoyo, el transporte y la investigación y el desarrollo para futuras mejoras. Además, los
proveedores son organizaciones con fines de lucro; los inversores tienen que pagar, también. Tenga en cuenta que para los
vendedores a estar alrededor del próximo año para proporcionar productos y servicios para usted, que necesitan para ganar
dinero.
Implementación Después de la aprobación y la adquisición, es necesario planificar la implantación de instalaciones y herramientas. Como
parte de su modelo de negocio, describa cómo se procesará la aplicación de todos los artículos aprobados. Una línea de tiempo que
muestra las fechas de entrega o de instalación previstos y las fechas de finalización prevista debe ser incluido. Usted también debe tener
un plan de coordinación para las fechas y horas de entrega de los materiales y herramientas. La inspección de la construcción de
instalaciones,
Resumen del capítulo 93
equipos (incluyendo los muebles y bancos), y herramientas de software deben ser incluidos en el programa. Asegúrese de
programar las fechas de inspección, también, para garantizar que lo que pedimos llegó y es funcional.
Test de aceptación Después de la programación de la ejecución y la inspección, es necesario desarrollar un plan de prueba de
aceptación para el laboratorio de informática forense para asegurarse de que todo funciona correctamente. Al escribir el plan de pruebas
de aceptación, tenga en cuenta los siguientes elementos:
3
• Inspeccionar las instalaciones para ver si cumple con los criterios de seguridad para contener y controlar las pruebas digitales.
• Probar todas las comunicaciones, tales como las conexiones telefónicas y de red, para asegurarse de que funcionan como se esperaba.
• Probar todo el hardware para verificar que funciona correctamente; por ejemplo, probar un equipo para asegurarse de que se
inicie Windows.
• Instalar e iniciar todas las herramientas de software; asegurarse de que todo el software se puede ejecutar en los equipos y sistemas
operativos que tiene en el laboratorio.
Corrección de Aceptación Cuanto mejor se planea para su laboratorio, menor será la probabilidad ' ll tiene problemas. Sin embargo, cualquier
operación de laboratorio tiene algunos problemas durante el arranque. Su modelo de negocio debe anticiparse a los problemas que pueden
causar retrasos en la producción de laboratorio. En el caso de negocio, es necesario desarrollar contingencias para hacer frente a los fallos del
sistema o instalación. Por ejemplo, idear soluciones para problemas tales como las cerraduras equivocadas siendo instalados en las puertas de
laboratorio o de energía eléctrica que necesitan un filtrado adicional.
Producción Después de haber realizado todas las correcciones esenciales, su laboratorio de informática forense puede entonces entrar en
producción. En este momento, a implementar los procedimientos de las operaciones de laboratorio que se han descrito en este capítulo.
Para
NOTEobtener información adicional sobre cómo escribir un caso de negocio, consulte
www.sba.gov/smallbusinessplanner/plan/writeabusinessplan/index.html.

■ Un laboratorio de informática forense es donde se llevan a cabo investigaciones, tienda de pruebas, y hace la mayor parte de su
trabajo. Se utiliza el laboratorio para albergar sus instrumentos, software actual y el legado, y estaciones de trabajo forenses. En
general, se necesita una variedad de análisis forense informático de hardware y software.
■ Para continuar una carrera en investigaciones y análisis forense de computación, necesita actualizar sus habilidades a través de la
formación. Varias organizaciones ofrecen programas de formación y certificación para la informática forense que se prueba después
de haber completado con éxito la formación. Algunas agencias gubernamentales estatales y federales también están considerando el
establecimiento de programas de certificación que se ocupan de las habilidades mínimas necesarias para llevar a cabo
investigaciones informáticas a diferentes niveles.
■ Sus instalaciones de laboratorio debe estar físicamente seguro, de forma que la prueba no se ha perdido, dañado o destruido.
94 Capítulo 3
■ Los departamentos de policía en las principales ciudades necesitan una amplia variedad de sistemas de computación, incluyendo
tecnología más antigua, obsoleta. La mayoría de las investigaciones de un ordenador en los departamentos de policía locales
pequeñas implican PC con Windows y sistemas Macintosh. Como regla general, debe haber por lo menos un investigador informático
aplicación de la ley por cada 250.000 personas en una región geográfica. servicios comerciales que proporcionan análisis de
informática forense para otras empresas pueden adaptar sus servicios a mercados específicos.
■ Una estación de trabajo forense debe tener suficiente memoria, almacenamiento y puertos para hacer frente a los tipos
comunes de casos que llegan a través de su laboratorio.
■ Antes de poder configurar un laboratorio de informática forense, debe conseguir el apoyo de sus gerentes y otros miembros del
equipo mediante la construcción de un modelo de negocio, un plan que puede utilizar para vender sus servicios a la administración
o clientes. En el caso de negocio, justificas la adquisición de nuevos y mejores recursos para investigar los casos de informática
forense.
Términos clave
Sociedad Americana de Directores de Laboratorios Crime (ASCLD) Una sociedad nacional que establece las normas, la gestión y los procedimientos de
auditoría para laboratorios utilizados en el análisis de delitos, incluidos los laboratorios forenses informáticos utilizados por la policía, el FBI
y otras organizaciones similares.
caso de negocio Un documento que proporciona una justificación a la alta dirección o de un prestamista para la compra de nuevos
equipos, software, u otras herramientas al actualizar sus instalaciones. En muchos casos, un caso de negocio muestra cómo las
mejoras beneficiarán a la empresa.
Certificados Colección Prueba Electrónica Especialista (PECO) Un certificado otorgado por IACIS al finalizar el examen
escrito.
Certificada Forense Examinador ordenador (CFCE) Un certificado otorgado por IACIS a la finalización de todas las partes del
examen.
laboratorio de informática forense Un laboratorio de computación dedicada a las investigaciones de computación; por lo general, tiene una variedad de
computadoras, sistemas operativos y software de análisis forense.
gestión de la configuración El proceso de hacer el seguimiento de todas las actualizaciones y parches que se aplican a su equipo ' s del sistema
operativo y las aplicaciones.
High Tech Red Transnacional (HTCN) Una organización nacional que proporciona la certificación para los investigadores de delitos
informáticos y técnicos en informática forense.
gestión de riesgos El proceso de determinar la cantidad de riesgo es aceptable para cualquier proceso u operación, tales como la
sustitución de equipos.
instalación segura Una instalación que se puede bloquear y permite un acceso limitado a la habitación ' s contenidos.
grupos de intereses especiales (SIG) Asociado con varios sistemas operativos, estos grupos mantienen listas de correo
electrónico y podrían reunirse para intercambiar información sobre los sistemas operativos actuales y heredados.
TEMPESTAD Un término que se refiere a las instalaciones que se han endurecido para que las señales eléctricas de los ordenadores, la
red de ordenadores y sistemas de teléfono puede ' t ser controlados o de fácil acceso por alguien fuera de la instalación.
Uniforme Crime Report La información recopilada en las, estatales y federales niveles locales para determinar los tipos y
frecuencias de los crímenes cometidos.
Preguntas de revisión
1. Un empleador puede ser considerado responsable por el acoso de correo electrónico. ¿Verdadero o falso?
2. La construcción de un modelo de negocio puede implicar cuál de las siguientes?
a. Los procedimientos para la obtención de pruebas

3
segundo. pruebas de software
do. Proteger los secretos comerciales
re. Todo lo de arriba
3. El ASCLD obliga a los procedimientos establecidos para un laboratorio de informática forense. ¿Verdadero o falso?
4. El gerente de un laboratorio de informática forense es responsable de cuál de las siguientes? (Elija todas las que
apliquen.)
a. cambios necesarios en los procedimientos de laboratorio y software
segundo. Asegurar que los miembros del personal tienen la formación suficiente para hacer el trabajo
do. Conocer los objetivos de laboratorio
5. Determinar los tipos de sistemas operativos necesarios en su laboratorio, lista de dos fuentes de información que podrían
utilizar.
6. ¿Qué elementos debe incluir su plan de negocio?
7. Lista de dos sistemas de certificación populares para la informática forense.
8. La Asociación Nacional de Formación de la ciberdelincuencia está disponible sólo para hacer cumplir la ley. ¿Verdadero o falso?
9. ¿Por qué es la seguridad física tan importante para los laboratorios forenses informáticos?
10. Si un visitante de su laboratorio de informática forense es un amigo personal, ' s no es necesario tener
él o ella señal de que el visitante ' s de usuarios. ¿Verdadero o falso?
11. ¿Qué tres elementos que deben investigar antes de alistarse en un programa de certificación?
12. Los grandes laboratorios de informática forense debe tener al menos _____ salidas.
13. Típicamente, un (n) _______ laboratorio tiene un área de almacenamiento separada o sala de pruebas.
14. Informática forense instalaciones siempre tienen ventanas. ¿Verdadero o falso?
15. El jefe de custodio de los contenedores de almacenamiento en la evidencia debe tener varias llaves maestras. ¿Verdadero o falso?
16. apagar los fuegos provocados en un laboratorio de computación por lo general requiere un extintor ______ nominal.
17. Una estación de trabajo forense siempre debe tener una conexión de banda ancha directa a Internet. ¿Verdadero o falso?
96 Capítulo 3
19. ¿Qué organización tiene pautas sobre cómo operar un laboratorio de informática forense?
20. ¿Qué término se refiere a los laboratorios construidos para proteger las emisiones de EMR?
HANDS-ON PROJECTS Hands-On Proyecto 3-1

Usted acaba de ser contratado para realizar investigaciones digitales y análisis forense para una empresa. Usted
encontrará que no hay políticas, procesos o procedimientos que están actualmente en vigor. Hacer una búsqueda en
Internet para encontrar información, y luego crear un documento de políticas y procesos para proporcionar la
estructura necesaria para su entorno de laboratorio. Asegúrese de citar sus fuentes en línea.

Como se mencionó anteriormente, constantemente se están ofreciendo nuevas certificaciones forenses.
certificaciones de investigación en línea y encontrar uno que no se discute en este capítulo. Escribir una breve
papel con lo que la organización ofrece la certificación, que avala la certificación, el tiempo que la organización ha
estado en el negocio, y así sucesivamente.

La seguridad física de un laboratorio siempre debe mantenerse. En su laboratorio aula, obtener el permiso para
realizar observaciones en diferentes momentos del día en que las clases son y aren ' t en sesión. Registro de
cuántas personas entran y salen durante un período. ¿Conoce todas las personas o se puede identificarlos? ¿Son
todos los estudiantes o profesores? ¿Quién controla el laboratorio cuando las clases aren ' t en la sesión? Se
bloquean las habitaciones? ¿Con qué frecuencia son las cosas robadas de los laboratorios? Escribe una o dos
páginas acerca de sus observaciones. Si se tratara de un laboratorio de informática forense, ¿qué cambios hay
que hacer?

Escribir un plan de recuperación de desastres de no más de tres páginas de una empresa ficticia ' s informática forense
laboratorio. Incluir horarios de copia de seguridad, tenga en cuenta los programas y sistema operativo instalado en cada
máquina, y la lista otra información que tendría que recuperarse después de un desastre. También debe tener en cuenta
donde se encuentran los discos originales y copias de seguridad.

Un bufete de abogados que ha contratado para ayudar en casos que involucran la evidencia digital divorcios. La
principal prueba consta de correo electrónico, hojas de cálculo y documentos. Antes de contratar a usted, la
empresa utiliza un grupo externo para realizar investigaciones. Usted tiene que decidir qué tipo de equipo y
software para la compra. ¿Qué haría usted para construir un plan de negocio que sería aprobado?
Hz
Proyectos de casos
Caso 3-1 Proyecto

Basado en su evaluación del caso incendios provocados en caso Proyecto 2-1, construir un caso de negocio
para los recursos que usted piensa ' ll necesidad de investigar por la compañía de seguros. Escribir un breve
3
i
documento sobre los recursos que ' ll necesario, y asegúrese de justificar sus necesidades.
Caso 3-2 Proyecto

Una nueva versión de Windows ha sido puesto en libertad. ¿Qué hay que hacer para estar listo en 6 a 10 meses cuando se
encuentra con casos relacionados con el nuevo sistema operativo? Incluir la investigación, grupos de usuarios, y otros que
necesita para ponerse en contacto. Escribir un artículo OnePage sobre los procedimientos que debe utilizar.
1010110101010101000111111o .
1111000011101101010100010101000001111o.
1000111011010101000101010110011110000.
101010110101010101000111111010111101010.
44
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y 100001110110101
O OOi 10000111011010101
Adquisición de
Adquisición de datos
datos,'10
1l>1010 1111010101101010101
O'I 01/
rv* 01111000011101...
11000011101 —010100

• formatos de almacenamiento de la evidencia digital lista
• Explicar formas de determinar el mejor método de adquisición
• Describir la planificación de contingencia para la adquisición de datos
• Explicar cómo usar herramientas de adquisición
• Describir la forma de validar las adquisiciones de datos
• Describir los métodos de adquisición de RAID
• Explicar cómo usar herramientas de adquisición de la red remota
• Lista de otras herramientas de análisis forense disponibles para adquisiciones de datos

100 Capítulo 4
La adquisición de datos es el proceso de copia de datos. Para la informática forense, se ' s la tarea de
recogida de pruebas digitales de los medios electrónicos. Hay dos tipos de adquisición de datos: adquisiciones estáticas y
adquisiciones en vivo. En este capítulo, aprenderá cómo realizar adquisiciones estáticas de los medios digitales.
El futuro de las adquisiciones de datos está cambiando hacia adquisiciones vivo por el uso de cifrado de disco
con los sistemas operativos más recientes (OSS). Además de las preocupaciones de cifrado, la recogida de los
datos que ' s activo en un sospechoso ' Los datos en el disco original no se altera, no importa cuántas veces se
realiza una adquisición.
Su objetivo en la adquisición de datos para una adquisición estática es preservar la evidencia digital. Muchas veces, usted tiene sólo una
oportunidad para crear una copia fiable de pruebas de disco con una herramienta de adquisición de datos. Aunque estas herramientas son
generalmente confiables, aún debe tomar medidas para asegurarse de que obtiene una imagen que puede ser verificada. Además, los fallos
pueden ocurrir y ocurren, por lo que debe aprender a utilizar varias herramientas y métodos de adquisición; se trabaja con algunas
herramientas diferentes en este capítulo. Otras herramientas de adquisición de datos que funcionan en Windows, MS-DOS
6.22, y Linux se describen brevemente en la sección anterior, pero la lista de proveedores y métodos no es en absoluto
concluyente. Usted debe buscar siempre nuevas y mejores herramientas para garantizar la integridad de sus adquisiciones
forenses.
*
para
NOTEadicional información sobre los métodos de adquisición de MS-DOS y
herramientas, véase el Apéndice D. Usted puede realizar la mayoría de las adquisiciones digitales para sus
investigaciones con una combinación de las herramientas descritas en este capítulo.
La comprensión de Formatos de almacenamiento de Evidencia Digital

Capítulo 2 introdujo el proceso de adquisición de datos desde una unidad USB y almacenarla en un archivo de datos. La
herramienta de adquisición que utilizó, ProDiscover básico, realiza una copia bit a bit (o del sector sectorby) de la unidad USB y
escribió en un archivo de imagen, que era un duplicado exacto del dispositivo de origen (la unidad USB).
Los datos de una herramienta de adquisición de la informática forense recoge se almacena como un archivo de imagen en uno de los tres
formatos. Dos formatos son de código abierto y el tercero es propietaria. Cada vendedor tiene características únicas, por lo que varios diferentes
formatos patentados están disponibles. Dependiendo del formato propietario, muchas herramientas de análisis forense de computadoras pueden
leer otros proveedores ' adquisiciones formateado.
Muchas herramientas de adquisición de la informática forense crear un archivo de disco a la imagen en un formato de código abierto más antiguo,
conocido como crudo, así como su propio formato propietario. El nuevo formato de código abierto, de formato avanzado Forense (AFF), está
empezando a obtener el reconocimiento de la informática forense
La comprensión de Formatos de almacenamiento de Evidencia Digital 101
examinadores. Debido a AFF es de código abierto, muchos vendedores deben ser incluidos en este formato pronto sus herramientas.
Cada formato de adquisición de datos tiene características únicas, junto con ventajas y desventajas. Las siguientes
secciones resumen cada formato para ayudarle a elegir cuál usar.
formato rAW
En el pasado, sólo había una forma práctica de la copia de datos con el fin de preservar las pruebas y exámenes. Examinadores
realizan una copia bit a bit de un disco a otro disco del mismo tamaño o más grande. Como una forma práctica para preservar la
4
evidencia digital, los vendedores (y algunas utilidades del sistema operativo, como el comando de Linux / UNIX dd) hicieron posible
la escritura de los datos de flujo de bits de archivos. Esta técnica crea copia archivos planos secuenciales simples de una unidad o
conjunto de datos sospechosa. La salida de estos archivos planos se conoce como una formato en bruto.
Este formato tiene ventajas únicas y desventajas a considerar al seleccionar un formato de adquisición.
Además, la mayoría de las herramientas de informática forense puede leer el formato RAW, lo que es un formato
de adquisición universal para la mayoría de las herramientas. Otra desventaja es que algunas herramientas de
formato primas, típicamente versiones freeware, podrían no cobrar (malo) los sectores marginales de la unidad
de origen, lo que significa que tienen un bajo umbral de reintento lee en los puntos medios de comunicación
débiles en una unidad. Muchas de las herramientas comerciales tienen un umbral mucho más alto de reintento
lee para asegurar que se recogen todos los datos.
Varias herramientas de adquisición comerciales pueden producir las adquisiciones de formatos primas y por lo general proporcionar una
comprobación de validación mediante el uso de comprobación de redundancia cíclica (CRC-32), Message Digest 5 (MD5), y el Secure Hash
Algorithm (SHA-1 o superior) hash funciones. Estas comprobaciones de validación, sin embargo, suelen crear un archivo separado que contiene
el valor hash.
Los formatos patentados

La mayoría de las herramientas de informática forense comerciales tienen sus propios formatos para la recolección de evidencia digital. formatos
propietarios suelen ofrecer varias características que complementan el vendedor ' herramienta de análisis s, tales como los siguientes:
• La opción para comprimir o no comprimir los archivos de imagen de un coche sospechoso, ahorrando así espacio en la unidad de
destino
• La capacidad de dividir una imagen en archivos segmentados más pequeños para el archivo de propósitos, tales como en CD o DVD,
con las comprobaciones de integridad de datos integrados en cada segmento
• La capacidad de integrar metadatos en el archivo de imagen, como la fecha y hora de la adquisición, valor hash
(para la auto-autenticación) del disco o medio original, el investigador o el examinador Nombre, y los
comentarios o detalles del caso
Informática
NOTE Forense examinadores tienen varias formas de referirse a la copia de datos en la evidencia para
los archivos de copia: flujo de bits, imagen flujo de bits, imagen, espejo, y la copia del sector, para nombrar
unos pocos. Para los propósitos de este libro, “ imagen ” se utiliza generalmente para referirse a todas las
adquisiciones forenses guardados en un archivo de datos.

102 Capítulo 4
Una desventaja importante de las adquisiciones formato propietario es la incapacidad de compartir una imagen entre
diferentes proveedores ' Las herramientas de análisis forense. Por ejemplo, la herramienta de imagen ILOOK IXimager
produce tres formatos propietarios - IDIF, IRBF y IEIF - que puede ser leído solamente por ILOOK. (Ver www.perlustro.com Para
información adicional sobre ILOOK, que está disponible actualmente sólo a las fuerzas del orden.) Si es necesario, puede
copiar formatos IXimager IDIF, IRBF y IEIF a un archivo de imagen de formato en bruto que puede ser leído por otras
herramientas.
Otro problema con los formatos propietarios y primas es una limitación de tamaño de archivo para cada volumen segmentado. Por lo general, las
herramientas de formato propietario producen un archivo segmentado de 650 MB. El tamaño del archivo se puede ajustar hacia arriba o hacia abajo,
con un tamaño máximo de archivo por segmento de no más de 2 GB. La mayoría de las herramientas de formato propietario subir a sólo 2 GB debido
a que muchos examinadores utilizan una unidad de destino formateado como FAT, que tiene un límite de tamaño de archivo de 2 GB.
De todos los formatos propietarios para adquisiciones de imágenes, el formato de testigo experto es actualmente el
estándar oficial. Este formato, el valor predeterminado de Orientación de software EnCase, produce dos archivos de
imagen comprimidos y sin comprimir. Estos archivos (o volúmenes) escribir una extensión a partir de .E01 e incrementando
por cada volumen de la imagen segmentada adicional.
Varias herramientas de análisis de informática forense pueden generar versiones genéricas del formato de Expertos de testigos y
analizarlo, incluyendo X-Ways Forense, AccessData Forensic Toolkit (FTK), y SMART. Para obtener más información sobre el
formato de testigos expertos, véase www.asrdata.com/ inteligente / whitepaper.html.
Formato forense avanzada

El Dr. L. Simson Garfinkel de Bases Technology Corporation ha desarrollado recientemente un nuevo formato de adquisición de código
abierto llamada Formato forense avanzado (AFF). Este formato tiene los siguientes objetivos de diseño:
• La creación de archivos de imagen comprimido o sin comprimir
• Sin restricción de tamaño para los archivos de disco a la imagen
• Proporcionar un espacio en el archivo de imagen o archivos segmentados para los metadatos
• Diseño simple con la extensibilidad
• de código abierto para múltiples plataformas informáticas y sistemas operativos
• Presente comprobaciones de coherencia internas para la auto-autenticación
Las extensiones de archivo incluyen .afd para archivos de imagen segmentados y .afm para metadatos AFF. Debido a AFF es de
código abierto, informática forense vendedores no tienen restricciones de implementación en este formato. AFF esperar para
convertirse en el futuro estándar para formatos de adquisición forense de sonido. Para obtener más información sobre la AFF, véase www.afflib.org
y www.basistech.com/digitalforensics/aff.html.
Para obtener más información sobre los formatos de archivo de adquisición, véase www.sleuthkit. org /
informante, Problemas # 19 y # 23.

La determinación del mejor método de adquisición 103
La determinación del mejor método de adquisición

Como se ha mencionado, hay dos tipos de adquisiciones: adquisiciones estáticas y adquisiciones en vivo.
Típicamente, una adquisición estática se realiza en una computadora incautada durante una incursión de la policía, por ejemplo. Si el
ordenador dispone de una unidad cifrada, una adquisición en vivo se realiza si la contraseña o frase de contraseña está disponible - que
significa que el ordenador está encendido y que ha iniciado la sesión en el sospechoso. adquisiciones estáticas son siempre la mejor
forma de recoger la evidencia digital. Sin embargo, ellos tienen limitaciones en algunas situaciones, como una unidad cifrada que ' s
legible sólo cuando el equipo está encendido o un equipo que ' s accesible sólo a través de una red.
4
EnNOTE
el capítulo 11, se aprende cómo realizar adquisiciones en vivo, incluyendo la recolección de los
medios digitales y la memoria dinámica / volátil (RAM) en un sistema informático.
Determinar el mejor método de adquisición depende de las circunstancias de la investigación.
Con este método, se puede hacer una o varias copias de una unidad sospechosa. Estos programas leen el
archivo de disco a la imagen como si fuera el disco original. A veces se puede ' t hacer un archivo de disco a la
imagen debido a errores de hardware o software o incompatibilidades. Este problema es más común cuando se
tiene que adquirir las unidades antiguas. Para estas unidades, puede que tenga que crear una copia de disco a
disco de la unidad sospechosa. Varias herramientas de imágenes se pueden copiar los datos con exactitud
desde un disco más para un disco nuevo. Estos programas pueden ajustar el disco de destino ' s geometría (su
cilindro, la cabeza y configuración de la pista) de modo que los datos copiados coincide con la unidad
sospechoso originales. Estas herramientas de imágenes incluyen EnCase y SafeBack ( www.forensics-Intl. com /
safeback.html). SafeBack debe ejecutar desde un sistema de MS-DOS. Ver los vendedores ' manuales de
instrucciones sobre cómo utilizar estas herramientas para realizar copias de disco a disco.
Para
NOTEobtener más información acerca de las unidades actuales y anteriores, véase www.t13.org.
La recogida de datos procedentes de un coche puede llevar varias horas. Si su tiempo es limitado, considere el uso de una adquisición
lógica o adquisición escasa copia de datos método. Una lógica de adquisición de captura sólo los archivos específicos de interés para el
caso o tipos específicos de archivos. Una adquisición escasa es similar, pero además contiene fragmentos de datos no asignado
(suprimido); utilizar este método sólo cuando usted no ' t necesidad de examinar toda la unidad. Un ejemplo de una adquisición lógico es
un e-mail
104 Capítulo 4
En el descubrimiento de electrónica para el propósito de un litigio, una adquisición de lógica está convirtiendo en
el método preferido, en especial con los sistemas de almacenamiento de datos de gran tamaño.
Si el disco de origen es muy grande, tal como 500 GB o más, asegúrese de que tiene un disco de destino que puede almacenar un archivo de
disco a la imagen del disco grande. Si tu no ' t tiene un disco de destino de volumen comparable, alternativas de revisión para reducir el tamaño de
los datos para crear una copia verificable de la unidad sospechosa. Edad avanzada herramientas de compresión de disco de Microsoft, como
DoubleSpace o DriveSpace, eliminan único espacio de disco holgura entre los archivos. Otros métodos utilizan un algoritmo de compresión para
reducir el tamaño del archivo. herramientas de archivo populares, tales como PKZIP, WinZip, WinRAR, y utilizan un algoritmo conocido como
compresión sin pérdidas. Los algoritmos de compresión de archivos de gráficos utilizan lo ' s llama compresión con pérdida, que puede cambiar los
datos. Por ejemplo, la compresión con pérdida se utiliza con archivos .jpeg para reducir el tamaño del archivo y doesn ' t afectar a la calidad de
imagen cuando se restaura el archivo y ver. Debido a la compresión con pérdida altera los datos originales, sin embargo, ISN ' t utiliza para el
análisis forense adquisiciones. Ambos métodos de compresión se analizan con más detalle en el capítulo 10.
La mayoría de las herramientas de imágenes tienen una opción para utilizar la compresión sin pérdidas para ahorrar espacio en disco, lo
que significa que la unidad de destino doesn ' t tiene que ser tan grande como la unidad sospechosa. Por ejemplo, si tiene un SATA de 1,5
TB unidad sospechosa, es posible que pueda utilizar la compresión sin pérdida para crear el archivo de disco a la imagen en una unidad
de destino 500 GB. Los archivos de imagen se pueden reducir hasta en un 50% del original. Si la unidad sospechosa ya contiene datos
comprimidos, tales como varios grandes archivos comprimidos, la herramienta de imagen puede ' t comprimir los datos más lejos, sin
embargo. Una manera fácil de probar la compresión sin pérdidas es llevar a cabo un MD5 o SHA-1 en un archivo antes y después de ella ' s
comprimidos. Si la compresión se realiza correctamente, ambas versiones tienen el mismo valor hash. Si los hashes don ' t partido, que
significa algo dañado el archivo comprimido, como por ejemplo un error de hardware o software. Como precaución adicional, realizar dos
hashes separadas con diferentes algoritmos, tales como MD5 y SHA-1. Esto no paso ' t obligatoria; De todos modos, eso ' sa buena manera
de establecer que nada ha cambiado durante el procesamiento de datos. Cuando se trabaja con unidades de gran tamaño, una alternativa
es usar sistemas de copia de seguridad en cinta, como una cinta de Super Digital Linear (SDLT) o cinta de audio digital / Digital Data
Storage (DAT / DDS). Del SnapBack y SafeBack tienen controladores de software especiales diseñados para escribir datos desde una
unidad sospechosa a un sistema de copia de seguridad de cinta a través de tarjetas SCSI PCI estándar. La ventaja de este tipo de
adquisición es que hay ' s hay límite en el tamaño de los datos que pueden ser adquiridos. La una gran desventaja, especialmente con
sistemas de microprocesador, es que puede ser lento y consume mucho tiempo. Si puedes ' t conservan la unidad de pruebas original y
debe devolver al propietario, al igual que en una solicitud de investigación por un caso de litigio civil, consulte con el solicitante, tales como
su abogado o supervisor, y pregunte si una adquisición lógico es aceptable. Si no es así, usted tiene que devolver el asunto a su abogado
o supervisor. Cuando se realiza una adquisición en estas condiciones, asegúrese de que tiene una buena copia porque la mayoría de las
demandas de descubrimiento le dan una sola oportunidad de capturar los datos. Además, asegúrese de que tiene una herramienta forense
fiable de que sabe cómo utilizar.
El uso de herramientas de adquisición 105
Planificación de contingencia para adquisiciones de imágenes

Porque tú ' volver a trabajar con datos electrónicos, es necesario tomar precauciones para proteger su evidencia digital. También
debe hacer planes de contingencia en caso de software o hardware doesn ' t funcionan o surge algún fallo durante una
adquisición. La técnica más común y requiere mucho tiempo para preservar la evidencia es la creación de un duplicado de su
I
archivo de disco a la imagen. Muchos investigadores informáticos Don ' t hacer duplicados de sus pruebas, ya que don ' t tiene
suficiente tiempo o recursos para hacer una segunda imagen. Sin embargo, si la primera copia doesn ' t trabajo correctamente,
tener un duplicado vale la pena el esfuerzo y los recursos. Asegúrese de tomar medidas para minimizar el riesgo de fracaso en
su investigación. 4
Como práctica estándar, realice al menos dos imágenes de la evidencia digital recoja. Si usted tiene más de una herramienta de
imagen, tales como ProDiscover, FTK, y X-Ways Forense, la primera copia con una sola herramienta y la segunda copia con la otra
herramienta. Si usted tiene sólo una herramienta, considere hacer dos imágenes de la unidad con la misma herramienta,
especialmente para las investigaciones críticas. Con herramientas como EnCase y ProDiscover, se puede realizar una copia sin
compresión y comprimir la otra copia. Recuerde que Murphy ' s ley se aplica a la informática forense, también: Si algo puede salir
mal, saldrá mal. Muchas herramientas de adquisición de Don ' t copiar datos en el área protegida de host (HPA) de una unidad de
disco. (Consulte el Capítulo 8 para obtener más información sobre las áreas protegidas de acogida.) Para estas situaciones,
considerar el uso de una herramienta de adquisición de hardware que se puede acceder a la unidad a nivel del BIOS, como
ProDiscover con el bloqueador de escritura NoWrite FPU, ImageMASSter Solo, o X -Formas réplica. Estas herramientas pueden
leer un disco ' s HPA. Microsoft ha añadido recientemente cifrado de disco completo en Windows Vista Ultimate y Enterprise Edition,
lo que hace que la realización de adquisiciones estáticas más difícil. (Utimaco SafeGuard Easy Software también utiliza el cifrado
de disco completo.) Como parte de la planificación de contingencia, debe estar preparado para hacer frente a las unidades cifradas.
Una adquisición estática en la mayoría de unidades de disco encriptadas toda la actualidad implica descifrar las unidades, lo que
requiere que el usuario ' s cooperación en proveer la clave de descifrado. La mayoría de las herramientas de cifrado de disco entero
por lo menos tienen un proceso manual para descifrar datos, que está convirtiendo el disco cifrado en un disco sin cifrar. Este
proceso puede tardar varias horas, dependiendo del tamaño del disco. Una cosa buena acerca del uso de la encriptación de datos
es que ISN ' t alterado, en que el espacio libre y la holgura aren ' t cambió. La mayor preocupación con el cifrado de disco completo
está recibiendo la clave de descifrado. En las investigaciones criminales, esto podría ser imposible porque si un disco contiene
evidencia que apoya el crimen, un sospechoso tiene una fuerte motivación no para suministrar la clave de descifrado.
Investigadores de la Universidad de Princeton han producido una técnica para recuperar contraseñas y frases de memoria RAM,
sin embargo; Para más información visite http: // CITP. princeton.edu/pub/coldboot.pdf.
El uso de herramientas de adquisición
Muchos proveedores de software informática forense han desarrollado herramientas de adquisición que se ejecutan en Windows. Estas
herramientas hacen que la adquisición de las pruebas de una unidad sospechosa más conveniente, especialmente cuando se utilizan con
dispositivos intercambiables en caliente, tales como USB-2, FireWire 1394A y 1394B, o SATA, para conectar discos a su estación de trabajo.
106 Capítulo 4
Sin embargo, las herramientas de adquisición de Windows tienen algunos inconvenientes. Debido a que Windows puede contaminar fácilmente la
unidad de pruebas, debe protegerlo con un dispositivo de hardware de bloqueo de escritura bien probado. (Capítulo 7 discute de bloqueo de
escritura dispositivos con más detalle.) Otro inconveniente es que la mayoría de las herramientas de Windows pueden ' t adquirir datos desde un
disco ' s anfitrión área protegida. Además, algunos países paraíso ' t sin embargo aceptó el uso de dispositivos de bloqueo de escritura para la
adquisición de datos. Consulte con su asesor legal para los estándares de la evidencia en su comunidad o país.
Windows XP protección contra escritura con dispositivos USB

Cuando actualiza Microsoft Windows XP con Service Pack 2 (SP2), una nueva característica se agregó al Registro: La función
de protección contra escritura bloques USB cualquier escritura a dispositivos USB. Esta característica está disponible en
Windows Vista SP1. El único dispositivo de hardware adicional necesario para una adquisición es una unidad externa USB o un
dispositivo de cable de conexión (ver Figura 4-1). En la estación de trabajo de adquisición, basta con conectar la unidad
sospechosa a la unidad externa USB o conector después de ' hemos modificado el registro de Windows para permitir la
protección contra escritura. La ventaja de esta modificación del registro es que usted no ' t necesidad de un writeblocker física
caros de hacer una adquisición de disco desde Windows. La desventaja es que necesita su unidad de destino para ser
conectado a un PATA interna (IDE), SATA, o controlador SCSI, no otra unidad externa USB.
Gu
ia iWijü
~fPÍYÍ?rSif|I.* SBB ..'
Figura 4-1 Un IDE típica barata USB conector externo / SATA
Para actualizar el Registro, es necesario realizar tres tareas. En primer lugar, haga una copia de seguridad del Registro en caso de que algo falla
mientras se ' re modificándolo. En segundo lugar, modificar el Registro con la característica WriteProtection. En tercer lugar, la creación de dos
iconos de escritorio para automatizar el cambio entre la activación y desactivación de escritura en el dispositivo USB.
Copia de seguridad del Registro Actividades para actualizar el registro se escriben para Windows Vista. Si tu ' re el uso de
Windows XP, ' ll notar ligeras diferencias en los cuadros de diálogo, y que ganó ' t ver el cuadro de mensaje de Control de cuentas
de usuario (UAC).
Antes de actualizar el Registro para la función de bloqueo de escritura o cualquier otra tarea, respaldándolo es crucial. Para realizar una copia de
seguridad del Registro, siga estos pasos:
1. Haga clic Comienzo, apunta a Todos los programas, apunta a Accesorios, apunta a Herramientas del sistema, y
hacer clic Restauración del sistema. Cuando se abra el cuadro de mensaje de UAC, haga clic Continuar.
2. En la primera ventana del Asistente para Restaurar sistema (véase la figura 4-2), haga clic en el abierto
Proteccion del sistema enlace para crear un punto de restauración. (Tenga en cuenta que si usted no ha ' t crea un punto de
k.L System
restauración Restoredebe hacer clic en el Proteccion del sistema enlazar.)
previamente,
Restore system files and settings

4
ZT
A
System Restore can help fix problems that might be making your
computer run slowly or stop responding.
System Restore does not affect any of your documents, pictures, or

other personal data, and the process is reversible. How does System
Restore work?
o Rerammÿdedjestore-
Select this option to undo the most recent update, driver,
or software installation if you think it is causing problems.
1/8/2009 9: 53:47 AM Install: Windows Vista Service Pa. ..

Current time zone: Pacific Standard Time
0 Choose a different restore point

To create a restore point, open System Protection.
< eack [ Next > ] | Cancel
Figura 4-2 El Asistente para Restaurar sistema
3. En el cuadro de diálogo Propiedades del sistema (véase la figura 4-3), haga clic en el Crear botón. En los Cre
comió una ventana de punto de restauración, introduzca un nombre para el punto (como Restaurar Primaria) Restore, haga clic Crear, y
haga clic DE ACUERDO dos veces. Hacer clic Cancelar en el Asistente para Restaurar sistema.
Modificar el registro para USB de bloqueo de escritura Después de haber creado un punto de restauración para el Registro,
realice los siguientes pasos para activar la función de bloqueo de escritura:
1. Haga clic Comienzo, tipo regedit en el cuadro de texto Iniciar búsqueda y, a continuación, pulse Entrar. Si el UAC
Se abre el cuadro de mensajes, haga clic Continuar. ( En Windows XP, haga clic Empieza a correr, tipo regedit
y haga clic DE ACUERDO.)
2. En el Editor del Registro, busque y haga clic para expandir el \ HKEY_LOCAL_MACHINE \

SYSTEM \ CurrentControlSet llave.
3. En el punto CurrentControlSet, haga clic en el Controlar subclave, seleccione Nuevo, y

a continuación, haga clic Llave.
108 Capítulo 4 System Properties 1*ÿ1
Computer Name ¡ Hardware ] Advanced System Protection Remote
Yqu can use reaore points to undo unwanted system changes. Howl
JFrC 1
-
v .
'
.
You can also use restore points to restore previous versions of files,
called shadow copies. How do I use previous versions7
System Restore helps you restore your computer's

system files to an earlier point in time. j System Restore.. |
Automatic restore points
Create restore points automatically on the selected disks:
Available Disks Most recent restore point

Otj.MapelOl (D:) None
[y| £ÿ Local Disk (C:) (System) 1/8/2009 9:53:47 AM
dL_* Storage (E:) None
IQ a Backups (F:> None
You can create a restore point right now for the

disks selected above Create...
Cancel ]| jppty
Figura 4-3 El cuadro de diálogo Propiedades del sistema
4. Editor del Registro continuación, le pide un nombre de clave. Tipo StorageDevicePolicies y

prensa Entrar.
5. Haga clic en el recién creado StorageDevicePolicies clave descendiente, seleccione Nuevo,

y haga clic Valor DWORD. ( Dependiendo de la versión de Vista que ' re correr, es posible que vea selecciones para un valor de
32 bits y un valor de 64 bits. Si es así, seleccione el valor de 32 bits).
6. Un nuevo mensaje aparece en el área de datos clave a la derecha. Tipo Protección contra escritura y pulse Entrar.
7. A continuación, en el área clave de datos, haga clic WriteProtect DWORD ( o solo Protección contra escritura,
dependiendo de la versión de Vista) y haga clic Modificar.
8. En el cuadro de diálogo Editar valor DWORD, cambie la configuración del valor de datos de 0 a 1,
y haga clic DE ACUERDO para activar el bloqueo de escritura a dispositivos USB. Mantener abierto el Editor del registro para la
siguiente tarea.
La automatización del USB de bloqueo de escritura Para minimizar los errores en la actualización del registro cada vez que se
necesita para escribir bloques de un dispositivo USB, la exportación del registro se recomienda. Para ello, se crea un archivo .reg y
guardarlo en su estación de trabajo ' s escritorio. Para que sea más fácil cambiar entre la escritura y modos de bloqueo para el registro, siga
estos pasos en el Editor del Registro:
1. Haga clic en el StorageDevicePolicies descendiente clave y haga clic Exportar.
2. En el cuadro de diálogo Exportar archivo del Registro, haga clic Escritorio en el cuadro de lista Guardar. En el archivo
nombre del cuadro de texto, escriba Protección contra escritura en un dispositivo USB, y haga clic Salvar.
3. En el Editor del Registro, haga clic StorageDevicePolicies. En el área de datos de claves, haga clic Escribir-
proteger DWORD y haga clic Modificar.
4. A continuación, en el cuadro de diálogo Editar valor DWORD, cambie la configuración del valor de datos de 1 a
0, y haga clic DE ACUERDO para desactivar el bloqueo de escritura a dispositivos USB.
5. Haga clic en el StorageDevicePolicies clave descendiente de nuevo y haga clic Exportar.
6. En el cuadro de diálogo Exportar archivo del Registro, haga clic Escritorio en el cuadro de lista Guardar. En el archivo
nombre del cuadro de texto, escriba Write Protect USB OFF, y haga clic Salvar. Cierre el Editor del Registro.
Ahora que ha realizado esta modificación del registro, verá que hay dos iconos del escritorio con nombre Write Protect USB ON.reg y de protección
4
contra escritura OFF.reg USB. Cuando es necesario configurar la estación de trabajo de modo que escribir bloques (escribe impide a los dispositivos
USB), haga doble clic en el USB de protección contra escritura en el icono. Cuando se abre un cuadro de diálogo que le pregunta si desea modificar
el Registro, haga clic en Aceptar y, a continuación, hacer clic en Aceptar en el cuadro de mensaje que indica el Registro se ha modificado
correctamente. Para deshacer de bloqueo de escritura (escribe permitir a los dispositivos USB), haga doble clic en el icono USB OFF de protección
contra escritura. Haga clic en OK para modificar el Registro y de nuevo en Aceptar para finalizar.
Para una mayor información sobre este procedimiento de modificación del registro y otras guías útiles,
hacer una búsqueda en Internet para “ Registro USB bloqueador de escritura. ”
La adquisición de datos con un CD de arranque de Linux

The Linux OS has many features that are applicable to computer forensics, especially data acquisitions. One
unique feature is that Linux can access a drive that isn ' En las adquisiciones estáticas, este acceso automático
corrompe la integridad de las pruebas. Con un sistema operativo Linux configurado correctamente, como un
forense de Linux Live CD, medios aren ' t accede automáticamente, lo que elimina la necesidad de un bloqueador
de escritura. Si es necesario adquirir una unidad USB que doesn ' t tiene un interruptor de bloqueo, utilice uno de
los forenses Live CDs de Linux (discutido en la siguiente sección) para acceder al dispositivo.
Tenga cuidado al trabajar con las nuevas distribuciones de Linux con KDE o Gnome interfaces
CAUTION
gráficas de usuario. Muchas distribuciones más nuevas montan la mayoría de los dispositivos
multimedia de forma automática. Si tu ' re utilizando una distribución Linux nonforensic, debe probarlo
antes de usarlo en pruebas reales
para ver cómo se maneja los dispositivos de almacenamiento conectados. En caso de duda, siempre use un writeblocker física para una
adquisición de Linux.
110 Chapter 4
El uso de Linux Live CD Distribuciones Varias distribuciones de Linux, como Knoppix ( www.knoppix.org), proporcionar una
imagen ISO que se puede grabar en un CD o DVD. imágenes ISO de Linux se denominan CD como en directo. La mayoría de estas
distribuciones de Linux son para la recuperación del sistema operativo Linux, no para la adquisición y análisis forense. Para obtener
una lista de los más actuales Live CDs de Linux, consulte www.frozentech.com.
A few Linux ISO images are specifically designed for computer forensics, however. These special Linux ISO
images contain additional utilities that aren ’ t typically installed in normal Linux distributions. They are also
configured not to mount, or to mount as read-only, any connected storage media, such as disk drives. This
feature protects the media ’ s integrity for the purpose of acquiring and analyzing data. To access media, you have
to give specific instructions to the Live CD boot session through a GUI utility or a shell command prompt.
Mounting drives from a shell gives you more control over them. See the man page for the mount command (by
typing
“ man mount ” at the shell prompt) to learn what options are available for your Linux distribution.
The man command displays pages from the online help manual for information on
Linux commands and their options.
Linux can read data from a physical device without having to mount it. As a usual practice, don ’ t mount a suspect
media device as a precaution against any writes to it. Later in this section, you learn how to make a forensics
acquisition in Linux without mounting the device.
The following are well-designed Linux Live CDs for computer forensics:
• Helix ( www.e-fense.com/helix/; English interface)
• Penguin Sleuth ( www.linux-forensics.com; English interface)
• FCCU ( www.d-fence.be; French interface)
You can download these ISO images to any computer, including a Windows system, and then burn them to
CD/DVD with burner software, such as Roxio or Nero. Creating a bootable image from an ISO file is different
from copying data or music files to a CD or DVD, however. If you aren ’ t familiar with how to do it, see the Help
menu in your burner software for instructions on creating a bootable CD or DVD. For example, Roxio Creator
Classic has a Burn from Disc Image File option in the File menu, and Nero Express has a Bootable CD option.
After creating a Linux Live CD, test it on your workstation. Remember to check your workstation ’ s BIOS to see
whether it boots first from the CD or DVD on the system. To test the Live CD, simply place it in the CD or DVD
drive and reboot your system. If successful, Linux loads into your computer ’ s memory, and a common GUI for
Linux appears on the screen. If you have problems with the video display on your workstation, try another
computer with a different video card. No one Live CD distribution has all video drivers. Linux Live CDs load the
OS into the computer ’ s RAM, so performance can be affected when you ’ re using GUI tools. The following
sections explain how to use Linux to make forensically sound data acquisitions.
Using Acquisition Tools 111
Preparing a Target Drive for Acquisition in Linux The Linux OS provides many tools that you can use to
modify non-Linux file systems. Current Linux distributions can create Microsoft FAT and NTFS partition tables.
Linux kernel version 2.6.17.7 and earlier can format and read only the FAT file system, although an NTFS driver,
ntfs-3g, is available that allows Linux to mount and write data only to NTFS partitions. You can download this
driver from www.linux-ntfs.org or www.ntfs-3g.org, where you can also find information about NTFS and
instructions for installing the driver. In this section, you learn how to partition and format a Microsoft FAT drive
from Linux so that you don ’ t have to switch OSs or computers to prepare a FAT target disk. After you make the
acquisition, you can then transfer the FAT disk to a Windows system to use a Windows analysis tool.
4
When
NOTEpreparing a drive to be used on a Linux system for forensics acquisition or
analysis, do it in a separate boot session with no suspect drive attached.
Linux/UNIX commands are case sensitive, so make sure you type commands exactly
as shown in this section ’ s steps.
Assuming you have a functioning Linux computer or one running with a Linux Live CD, perform the following
steps from a shell prompt:
1. First, boot Linux on your computer.

2. Connect the USB, FireWire, or SATA external drive to the Linux computer and power it on.
3. If a shell window isn ’ t already open, start one.

4. At the shell prompt, type su and press Enter to log in as the superuser (root). Then
type the root password and press Enter.
If NOTE
you ’ re using one of the Live CDs listed previously, these distributions are typically
already in superuser (root) mode, so there ’ s no need to use the su command. Other
Linux Live CDs might have no password set and simply require pressing Enter.
5. To list the current disk devices connected to the computer, type fdisk -l ( lowercase L)
and press Enter. You should see output similar to the following:
-
Linux
NOTElists all IDE (also known as PATA) drives as hda, hdb, and so on. All SCSI,
SATA, FireWire, and USB connected drives are listed as sda, sdb, and so forth.
Disk /dev/hda: 40.0 GB, 40007761920 bytes 255 heads, 63

sectors/track, 4864 cylinders Units = cylinders of 16065 * 512 =
8225280 bytes
112 Chapter 4
Device Boot Start End Blocks Id System

/dev/hda1 * 1 13 104391 83 Linux
/dev/hda2 14 4864 38965657+ 8e Linux LVM
Disk /dev/sda: 6448 MB, 6448619520 bytes 199 heads, 62

6317056 bytes
Disk /dev/sda doesn't contain a valid partition table

*
•Si•
InNOTE
the preceding output, the /dev/sda device has no partition listed. These steps
show how to create a Microsoft FAT partition on this disk. If there ’ s a partition on
this drive, it can be deleted with the Linux fdisk utility. For additional information on
fdisk, refer to the man page.
6. Type fdisk /dev/sda and press Enter to partition the disk drive as a FAT file system.
You should see output similar to the following:
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disk label Building a new DOS disk label.
Changes will remain in memory only, until you decide to write them. After that, of course, the previous content won't be
recoverable.
Warning: invalid flag 0x0000 of partition table 4 will be corrected by write)
7. Display fdisk menu options by typing m and pressing Enter. You should see output
similar to the following:
Command action
a toggle a bootable flag b edit
bsddisklabel
c toggle the dos compatibility flag d delete a partition l list
known partition types m print this menu n add a new
partition
o create a new empty DOS partition table p print the partition

table q quit without saving changes s create a new empty Sun
disk label t change a partition's system id u change display/entry
units v verify the partition table w write table to disk and exit x
extra functionality (experts only)
8. Determine whether there are any partitions on /dev/sda by typing p and pressing
Enter. You should see output similar to the following:

6317056 bytes
InNOTE
this example, the disk has no previously configured partitions. If it did, there
would be data under each column heading describing each partition ’ s configuration.
9. Next, you create a new primary partition on /dev/sda. To use the defaults and select the entire drive, type n and
press Enter. To create a primary partition table, type p
and press Enter, and then type 1 ( the numeral) to select the first partition and press
Enter. At the remaining prompts, press Enter. Your output should be similar to the following:
Command action e
extended
p primary partition (1-4) p
Partition number (1-4): 1 First cylinder (1-1020,

default 1): Using default value 1
Last cylinder or +size or +sizeM or +sizeK (1-1020, default 1020): Using default value 1020
InNOTE
Linux, the first logical partition created after the primary and extended partitions is
numbered 5; any additional logical partitions are numbered 6, 7, and so on. For
example, the C partition is typically /dev/hda1, and the D partition is /dev/hda2.
10. List the newly defined partitions by typing p and pressing Enter, which produces the
following output:

6317056 bytes

/dev/sda1 1 1020 6292349 83 Linux
11. To list the menu again so that you can select the change partition ID, type m and
press Enter. You should see output similar to the following:
Command action
a toggle a bootable flag b edit
bsddisklabel
114 Chapter 4
c toggle the dos compatibility flag d delete a partition l list

known partition types m print this menu n add a new
partition
o create a new empty DOS partition table p print the partition

table q quit without saving changes s create a new empty Sun
disk label t change a partition's system id u change display/entry
units v verify the partition table w write table to disk and exit x
extra functionality (experts only)
12. To change the newly created partition to the Windows 95 FAT32 file system, first type t and press Enter, which
produces the following output:
Selected partition 1
Hex code (type L to list codes):
13. List available file systems and their code values by typing l ( lowercase L) and pressing
Enter. You should see output similar to the following:
0 Empty 1c Hidden W95 FAT3 70 DiskSecureMult bb Boot Wizard hid 1 FAT12

1e Hidden W95 FAT1 75 PC/IX be Solaris boot
2 XENIX root 24 NEC DOS 80 Old Minix c1 DRDOS/sec (FAT-
3 XENIXusr 39 Plan 9 81 Minix / old Lin c4 DRDOS/sec (FAT4 FAT16 <32M 3c PartitionMagic 82 Linux
swap c6 DRDOS/sec (FAT5 Extended 40 Venix 80286
83 Linux c7 Syrinx
6 FAT16 41 PPC PReP Boot 84 OS/2 hidden C: da Non-FS data 7 HPFS/NTFS 42 SFS
85 Linux extended db CP/M / CTOS / .
8 AIX 4d QNX4.x 86 NTFS volume set de Dell Utility
9 AIX bootable 4e QNX4.x 2nd part 87 NTFS volume set dfBootIt a OS/2 Boot Manag 4f QNX4.x 3rd
part 8e Linux LVM e1 DOS access b W95 FAT32 50 OnTrack DM
93 Amoeba e3 DOS R/O
c W95 FAT32 (LBA) 51 OnTrack DM6 Aux 94 Amoeba BBT e4 SpeedStor e W95 FAT16 (LBA) 52
CP/M 9f BSD/OS eb BeOS fs
f W95Ext ’ d (LBA) 53 OnTrack DM6 Aux a0 IBM Thinkpad hi ee EFI GPT 10 OPUS 54 OnTrackDM6 a5
FreeBSD ef EFI (FAT-12/16/
11 Hidden FAT12 55 EZ-Drive a6 OpenBSD f0 Linux/PA-RISC b 12 Compaqdiagnost 56 Golden Bow a7
NeXTSTEP f1 SpeedStor 14 Hidden FAT16 <3 5c PriamEdisk a8 Darwin UFS f4 SpeedStor 16 Hidden FAT16
61 SpeedStor a9 NetBSD f2 DOS secondary 17 Hidden HPFS/NTF 63 GNU HURD or Sys ab Darwin boot fd
Linux raid auto 18 ASTSmartSleep 64 Novell Netware b7 BSDI fsfeLANstep 1b Hidden W95 FAT3 65 Novell
Netware b8 BSDI swap ff BBT
14. Change the newly created partition to the Windows 95 FAT32 file system by typing c
and pressing Enter. Your output should look similar to the following:
Changed system type of partition 1 to b (W95 FAT32)
15. To display partitions of the newly changed drive, type p and press Enter, which pro-
duces the following output:

6317056 bytes
4
/dev/sda1 1 1020 6292349 b W95 FAT32
16. Save (write) the newly created partition to the /dev/sda drive by typing w and
pressing Enter. Your output should look similar to the following:
The partition table has been altered!
Calling ioctl() to re-read partition table.
WARNING: If you have created or modified any DOS 6.x partitions, please see the fdisk manual
page for additional information. Syncing disks.
Fdisk
NOTE exits back to the shell prompt after updating the partition table on the /dev/sda
drive.
17. Show the known drives connected to your computer by typing fdisk -l and pressing
Enter, which produces the following output:

8225280 bytes

/dev/hda1 * 1 13 104391 83 Linux

6317056 bytes

/dev/sda1 1 1020 6292349 b W95 FAT32
18. To format a FAT file system from Linux, type mkfs.msdos -vF32 /dev/sda1 and press
Enter, which produces the following output:
116 Chapter 4
mkfs.msdos 2.8 (28 Feb 2001) Selecting 8

sectors per cluster
/dev/sde1 has 33 heads and 61 sectors per track, logical sector size is
512,
using 0xf8 media descriptor, with 2047966 sectors; file system has 2 32-bit FATs
and 8 sectors per cluster. FAT size is 1997 sectors, and provides 255492 clusters.
Volume ID is 420781ea, no volume label.
Newer
NOTE Linux distributions automatically sync the newly created partition and format
the drive. The sync feature eliminates the need to reboot the computer, unlike with
Microsoft OSs.
19. Close the shell window for this session by typing exit and pressing Enter.
This drive can now be mounted and used to receive an image of a suspect drive. Later in this section, you learn
how to mount and write to this Microsoft FAT target drive.
Acquiring Data with dd in Linux A unique feature of a forensic Linux Live CD is that it can mount and read
most drives. To perform a data acquisition on a suspect computer, all you need are the following:
• A forensic Linux Live CD

• A USB, FireWire, or SATA external drive with cables
• Knowledge of how to alter the suspect computer ’ s BIOS to boot from the Linux Live CD
• Knowledge of which shell commands to use for the data acquisition
The dd command, available on all UNIX and Linux distributions, means “ data dump. ” This command, with many
functions and switches, can be used to read and write data from a media device and a data file. The dd command
is not bound by a logical file system ’ s data structures, meaning the drive doesn ’ t have to be mounted for dd to
access it. For example, if you list a physical device name, the dd command copies the entire device — all data
files, slack space, and free space (unallocated data) on the device. The dd command creates a raw format file
that most computer forensics analysis tools can read, which makes it useful for data acquisitions.
Sifir Use extreme

CAUTION caution with the dd command. Make sure you know which drives
are the suspect drive and target drive. Although you might not have mounted the
suspect drive, if you reverse the input field (if=) of the suspect and target drives
with the output field (of=), data is written to the wrong drive, thus destroying the
original evidence drive.
As powerful as this command is, it does have some shortcomings. One major problem is that it requires more
advanced skills than the average computer user might have. Also, because it doesn ’ t compress data, the target
drive needs to be equal to or larger than the suspect drive. It ’ s possible to divide the output to other drives if a
large enough
target drive isn ’ t available, but this process can be cumbersome and prone to mistakes when you ’ re trying to
keep track of which data blocks to copy to which target drive.
The dd command combined with the split command segments output into separate volumes. Use the split
command with the -b switch to adjust the size of segmented volumes the dd command creates. As a standard I
practice for archiving purposes, creating segmented volumes that fit on a 650 MB CD is convenient. For additional
information on dd and split, see their man pages.
Perform the following steps to make an image of an NTFS disk on a FAT32 disk by using the dd command:
4
1. Assuming that your workstation is the suspect computer and is booted from a Linux Live CD, connect the
USB, FireWire, or SATA external drive containing the FAT32 target drive, and turn the external drive on.
2. If you ’ re not at a shell prompt, start a shell window, switch to superuser (su) mode,
type the root password, and press Enter.
3. At the shell prompt, list all drives connected to the computer by typing fdisk -l and
pressing Enter, which produces the following output:

8225280 bytes

/dev/hda1 * 1 13 104391 83 Linux
Disk /dev/sda: 163.9 GB, 163928605184 bytes 255 heads, 63

8225280 bytes

/dev/sda1 1 12000 96389968+ b W95 FAT32
/dev/sda2 12001 19929 63689692+ 5 Extended
/dev/sda5 12001 19929 63689661 c W95 FAT32 (LBA)
Disk /dev/sdb: 6448 MB, 6448619520 bytes 199 heads, 62

6317056 bytes

/dev/sdb1 1 1020 6292349 7 HPFS/NTFS
4. To create a mount point for the USB, FireWire, or SATA external drive and partition, make a directory
in /mnt by typing mkdir /mnt/sda5 and pressing
Enter.
5. To mount the target drive partition, type mount -t vfat /dev/sda5 /mnt/sda5 and press
Enter.
118 Chapter 4
6. To change your default directory to the target drive, type cd /mnt/sda5 and press
Enter.
7. List the contents of the target drive ’ s root level by typing ls -al and pressing Enter.
Your output should be similar to the following:
total 40
drwxr-xr-x 2 root root 32768 Dec 31 1969 . drwxr-xr-x 5 root root 4096 Feb
6 17:22 ..
8. To make a target directory to receive image saves of the suspect drive, type mkdir
case01 and press Enter.
9. To change to the newly created target directory, type cd case01 and press Enter.
Don ’ t close the shell window.
Next, you perform a raw format image of the entire suspect drive to the target directory. To do this, you use the
split command with the dd command. The split command creates a two-letter extension for each segmented
volume. The -d switch creates numeric rather than letter extensions. As a general rule, if you plan to use a
Windows forensics tool to examine a dd image file created with this switch, the segmented volumes shouldn ’ t
exceed 2 GB each because of FAT32 file size limits. This 2 GB limit allows you to copy only up to 198 GB of a
suspect ’ s disk. If you need to use the dd command, it ’ s better to use the split command ’ s default of incremented
letter extensions and make smaller segments. To adjust the segmented volume size, change the value for the -b
switch from the 650 MB used in the following example to 2000 MB.
1. First, type dd if=/dev/sdb | split -b 650m - image_sdb. and press Enter. You should
see output similar to the following:
12594960+0 records in
12594960+0 records out
When using the split command, type a period at the end of the line as shown, with
no space between it and the filename. Otherwise, the extension is appended to the
filename with no “.” delimiter.
2. Now list the raw images that have been created from the dd and split commands by typing ls -l and
pressing Enter. You should see output similar to the following:
total 6297504
- rwxr-xr-x 1 root root 681574400 Feb 6 17:26 image_sdb.aa
- rwxr-xr-x 1 root root 681574400 Feb 6 17:28 image_sdb.ab
- rwxr-xr-x 1 root root 681574400 Feb 6 17:29 image_sdb.ac
- rwxr-xr-x 1 root root 681574400 Feb 6 17:30 image_sdb.ad
- rwxr-xr-x 1 root root 681574400 Feb 6 17:32 image_sdb.ae
- rwxr-xr-x 1 root root 681574400 Feb 6 17:33 image_sdb.af
- rwxr-xr-x 1 root root 681574400 Feb 6 17:34 image_sdb.ag
- rwxr-xr-x 1 root root 681574400 Feb 6 17:36 image_sdb.ah
- rwxr-xr-x 1 root root 681574400 Feb 6 17:37 image_sdb.ai

- rwxr-xr-x 1 root root 314449920 Feb 6 17:37 image_sdb.aj
3. To complete this acquisition, dismount the target drive by typing umount /dev/sda5
and pressing Enter.
I
Depending on the Windows forensics analysis tool you ’ re using, renaming each segmented volume ’ s extension
with incremented numbers instead of letters might be necessary. For example, rename image_sdb.aa as
image_sdb.01, and so on. Several Windows forensics tools can read only disk-to-image segmented files that
4
have numeric extensions. Most Linux forensics tools can read segments with numeric or lettered extensions.
Acquiring a specific partition on a drive works the same way as acquiring the entire drive. Instead of typing
/dev/sdb as you would for the entire drive, add the partition number to the device name, such as /dev/sdb1. For
drives with additional partitions, use the number that would be listed in the fdisk -l output. For example, to copy
only the partition of the previous NTFS drive, you use the following dd command:
dd if=/dev/sdb1 | split -b 650m - image_sdb1
Remember to use caution with the dd command in your forensics data acquisitions.
Acquiring Data with dcfldd in Linux The dd command is intended as a data management tool; it ’ s not
designed for forensics acquisitions. Because of these shortcomings, Nicholas Harbour of the Defense Computer
Forensics Laboratory (DCFL) developed a tool that can be added to most UNIX/Linux OSs. This tool, the dcfldd
command, works similarly to the dd command but has many features designed for computer forensics
acquisitions. The following are important functions dcfldd offers that aren ’ t possible with dd:
• Specify hexadecimal patterns or text for clearing disk space.
• Log errors to an output file for analysis and review.

• Use the hashing options MD5, SHA-1, SHA-256, SHA-384, and SHA-512, with logging and the option of
specifying the number of bytes to hash, such as specific blocks or sectors.
• Refer to a status display indicating the acquisition ’ s progress in bytes.
• Split data acquisitions into segmented volumes with numeric extensions (unlike dd ’ s limit of 99).
• Verify the acquired data with the original disk or media data.
When using dcfldd, you should follow the same precautions as with dd. The dcfldd command can also write to the
wrong device, if you aren ’ t careful.
The following examples show how to use the dcfldd command to acquire data from a 64 MB USB drive, although
you can use the command on a larger media device. All commands need to be run from a privileged root shell
session. To acquire an entire media device in one image file, you type the following command at the shell prompt:
dcfldd if=/dev/sda of=usbimg.dat

120 Chapter 4
If the suspect media or disk needs to be segmented, use the dcfldd command with the split command, placing split
before the output file field (of=), as shown here:
dcfldd if=/dev/sda split=2M of=usbimg hash=md5
This command creates segmented volumes of 2 MB each. To create segmented volumes that fit on a CD of 650
fi
MB, change the split=2M to split=650M. This command also displays the MD5 value of the acquired data.
For additional information on the dcfldd command, see http://dcfldd. sourceforge.net. Information
on how to download and install dcfldd is available for many UNIX, Linux, and
Macintosh OSs. You can also use the man page to find more information on dcfldd ’ s
features and switches.
Capturing an Image with ProDiscover Basic

In Chapter 2, you learned how to acquire an image of a USB drive. ProDiscover automates many acquisition
functions, unlike current Linux tools. Because USB drives are typically small, a single image file can be acquired
with no need to segment it. In this section, you learn how to make an image of a larger drive and use the Split
function in ProDiscover Basic to create segmented files of 650 MB each that can be archived to CDs.
Before
NOTE acquiring data directly from a suspect drive with ProDiscover Basic, always
use a hardware write-blocker device or the writeprotection method for

USB-connected drives described earlier in this chapter.
The following activity assumes you have removed the suspect drive and connected it to a USB or FireWire
write-blocker device connected to your forensic workstation. The acquisition is written to a work folder on your C
drive, assuming it has enough free space for the acquired data. Follow these steps to perform the first task of
connecting the suspect ’ s drive to your workstation:
1. Document the chain of evidence for the drive you plan to acquire.
2. Remove the drive from the suspect ’ s computer.
3. Configure the suspect drive ’ s jumpers as needed, if it ’ s a PATA (IDE) disk. ( Note: This
step doesn ’ t apply to SATA drives.)
4. Connect the suspect drive to the USB or FireWire write-blocker device.
5. Create a storage folder on the target drive. For this activity, you use your work folder (C:\ Work\ Chap04\Chapter),
but in real life, you ’ d use a folder name such as C:\Evidence.
The work folder shown in screenshots might differ from the work folder you ’ ve
NOTE
created for this chapter ’ s activities.

Using ProDiscover ’ s Proprietary Acquisition Format Follow these 11 steps to perform the second task,
starting ProDiscover Basic and configuring settings for the acquisition:
1. Start ProDiscover Basic. (Remember to select the Run as administrator option if you ’ re using Windows
Vista.) If the Launch Dialog dialog box opens, click Cancel.
2. In the ProDiscover Basic window, click Action, Capture Image from the menu.
3. In the Capture Image dialog box, click the Source Drive list arrow, and then click
PhysicalDrive1.
4
Selecting
NOTE PhysicalDrive1 assumes there ’ s only the system disk (drive
C) and the suspect drive connected to your workstation. If you have additional drives
connected, start the Computer Management utility from the Computer window, and
click Disk Management. Identify the target and suspect drive to determine the
physical disk numbers.
4. Click the >> button next to the Destination text box. In the Save As dialog box, navigate to the work folder
you set up. In the File name text box, type InChp041, and then click Save.
5. Click the Split button. In the Split Image dialog box shown in Figure 4-4, type 650 in
Spbl Image JSl
the Split into equal sized image of text box, click Split, and then click OK.
Size of the disk 1
1687232 sectors (814 08 MB)
Split rtfo equal sized mage of MB SpW
Define the He size».
Image.. | Sse|MB) | See (Seÿors)

1 G5000 1331200
2 164.08 336032
- Image Information - Merge

Image Number.
fó"
Image See |MBJ [Ó
Image Size (Sectasÿ [Ñ"
Update |
OK Cancel j
Figure 4-4 The Split Image dialog box
6. In the Capture Image dialog box, click the Image Format list arrow, and click
ProDiscover Format (recommended), if it ’ s not already selected.
7. In the Technician Name text box, type your name, and in the Image Number text box, type InChp04. If
you like, in the Description text box, type any comments related to the case (see Figure 4-5).
122 Chapter 4
Capture Image *1
Source Orive [PhysicalDnvel 3
Dei«naíion |C:\Work\lnChp04p eve
Image Format: |ProOiscover Format (recommended) d

T otal sectors to capture:
11S67232
ProOiscover Image
T echruoan Name |Joe Friday
Image Number |lnChp04
Description
In Chapter 4 exercise using ProOiscover Basic
Compression
r Yes
Password I
JLNo
OK Cancel
Figure 4-5 The Capture Image dialog box
8. If you need to save space on your target drive, click the Yes option button in the
Compression section.
9. If additional security is needed for the acquired image, click Password. In the Pass-
word dialog box, enter a new password once, type it again to confirm it, and then click OK.
10. When you ’ re finished entering information in the Capture Image dialog box, click
OK to begin the acquisition. ProDiscover then creates a segmented image file in your work folder. During
this acquisition, ProDiscover displays a status bar in the lowerright corner to show the progress for each
volume segment it ’ s creating.
11. When the acquisition is done, ProDiscover displays a message box instructing you to examine a log file for
errors. Click OK to complete the acquisition, and then exit ProDiscover Basic.
ProDiscover then creates image files (segmented volumes) with an .eve extension, a log file (.log extension) listing
any errors that occurred during the acquisition, and a special inventory file (.pds extension) that tells ProDiscover
how many segmented volumes were created. All these files have the prefix you specified in the Capture Image
dialog box. ProDiscover uses the .pds file to load all segmented volumes in the correct order for analysis. For this
activity, ProDiscover produced four files. Two are segments of the split image of the suspect drive, one is the log
file, and one is the .pds file. A larger drive would have more than two segmented volumes. The first segmented
volume (volume one) has the extension
. eve, and all other segmented volumes have the suffix -Split1, -Split2, -Split3, and so on

1 Investigations1 300-1-150.en - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1 Investigations1 300-1-150.en - Es

Cargado por

Copyright:

Formatos disponibles

GUIDE TO

BILL NELSON. AMELIA PHILLIPS.

Bill Nelson Amelia Phillips

Guía de Informática Forense e Investigaciones, C. 2010 Course Technology, Cengage Learning

Para obtener información de productos y asistencia tecnológica, contacte con nosotros en

Cengage LearningCustomer y salessupport, 1-800-354-9706

Marketing Profesional: Jennifer McAvey todas las solicitudes en línea en cengage.com/permissions

Otros permisos preguntas pueden ser enviadas por correo electrónico a

Producción: Andrew Crouth Gerente de Proyectos ISBN-13: 978-1-435-49883-9 ISBN-10:

Director de arte: Jack Pendleton Foto de la 02210

Corrector de estilo: Ruth Bloom corrector de pruebas:

Visita nuestra página web corporativa cengage.com.

Impreso en los Estados Unidos de América 1 2 3 4

Breve Tabla de Contenidos

Preparación para investigaciones de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Tomando un enfoque sistemático. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Procedimientos para las investigaciones-corporativo de alta tecnología. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Llevar a cabo una investigación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

El análisis de su Evidencia Digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

La determinación de los requisitos físicos de un laboratorio forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

La determinación del mejor método de adquisición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . 105 Uso de Herramientas de adquisición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Windows XP protección contra escritura con dispositivos USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

La validación de las adquisiciones de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Realizar adquisiciones de datos RAID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

El uso de herramientas de red remoto de adquisición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Resumen del capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Preguntas de repaso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. 141 proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 escenas Ley de Procesamiento de Aplicación crimen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 proceso y manejo Evidencia Digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

El almacenamiento de la evidencia digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Revisión de un caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Explorar estructuras de archivos de Microsoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Examining NTFS Disks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

La comprensión de Whole Disk Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228

Cómo funciona el registro de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

La comprensión de las tareas de inicio de Microsoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

La comprensión de MS-DOS tareas de inicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

La comprensión de las máquinas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Key Terms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

Hands-On Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Case Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Informática Forense Hardware Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

Validar y pruebas de software forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

Resumen del capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 Preguntas de repaso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. 284 Proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . .

La comprensión de otras estructuras de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

Resumen del capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Preguntas de revisión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 proyectos con manos. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Proyectos de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

La validación de datos forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351

Dirigiéndose a técnicas de Data-escondite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356

Realizar adquisiciones a distancia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Resumen del capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .