Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMPUTER FORENSICS
RND INVESTIGATIONS
THIRD EDITION
| PREPARING TOMORROW S |
INFORMATION
SECURITY
PROFESSIONALS
j11110101011010101010100011111lb.
111000011101101010100010101000001111b.
0000111011010101000101010110011110000.
11010110101010101000111111010111101010.
1101010100010101000001111000011101
0101000101010110011110000111011
01111110101111010101101
010 01111000011101101
1111000011101101c
Guiar
Guiar aa 11101010110101
100001110110V
Informática100Ub*1l
Informática Forense
Forenseee 1110000111* 101
Investigaciones
Investigaciones11 010 <1 311110101011010
it -or y 1100001110110101
OO l 11000011101101010k
V01I ,110 1111010101101010101
Cuarta edición % 01/ 1111000011101*ÿ010100
n<* 01111000011101.*.. r\r
y COURSE TECHNOLOGY
CENGAGE Learning
Australia • Brazil • Japan • Korea • Mexico • Singapore • Spain • United Kingdom • United States
* COURSE TECHNOLOGY
*%ÿ CENGAGE Learning'
Vicepresidente, Carrera y Profesional editorial: de almacenamiento y recuperación de información, con excepción de lo permitido en la Sección 107 o 108
de la Ley de Derechos de autor de Estados Unidos 1976, sin la previa autorización por escrito del editor.
Dave Garza editor ejecutivo Stephen helba Jefe de
Redacción: Marah Bellegarde Gerente Senior de
Producto: Michelle Ruelos Cannistraci
permissionrequest@cengage.com
Director de Marketing: Deborah S. Yarnell Superior
Marketing: Erin Coordinador Ataúd de marketing: Biblioteca del Congreso de control el número: 2009929885
Shanna Gibbs Director de producción: Carolyn Miller
Tecnología curso
20 Canal Center Street Boston, MA
cubierta o de la ilustración: Shutterstock Cengage Learning es un proveedor líder de soluciones de aprendizaje personalizadas con
oficinas en todo el mundo, incluyendo Singapur, Reino Unido, Australia, México, Brasil y Japón.
Producción Tecnología Analista: Tom Stover Localizar su oficina local en: international.cengage.com/region
Coordinador de fabricación: Julio productos de Cengage Learning están representados en Canadá por Nelson Educación, Ltd
Esperas
Microsoft y el logotipo Office son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y / o otros países.
Tecnología curso, una parte de Cengage Learning, es una entidad independiente de la Microsoft Corporation, y no afiliado con Microsoft de ninguna manera.
Cualquier dato de ficción relacionados con personas o empresas o URL que se utilizan en este libro está destinado sólo para fines de instrucción. En el
momento de impresión de este libro, cualquiera de esos datos era ficticia y que no pertenece a ninguna persona o sociedades. Course Technology y el logotipo
de Course Technology son marcas registradas utilizadas bajo licencia. Tecnología curso, una parte de Cengage Learning, se reserva el derecho de revisar esta
publicación y hacer cambios de vez en cuando en su contenido sin previo aviso. Los programas de este libro son sólo para fines de instrucción. Ellos han sido
probados con cuidado, pero no están garantizados para cualquier propósito particular, más allá de los propósitos educativos. El autor y el editor no ofrecen
garantías ni representaciones, ni aceptan ninguna responsabilidad con respecto a los programas.
1
1/011 ,1u 111101010110-101010
<11 mr i
* UN
'
Prefacio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
CAPÍTULO 1
Informática Forense e Investigaciones como una profesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
CAPITULO 2
La comprensión de investigaciones de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
CAPÍTULO 3
el Investigador ' s de oficinas y laboratorios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
CAPÍTULO 4
Adquisición de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
CAPÍTULO 5
Crime procesamiento y escenas incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
CAPÍTULO 6
Trabajando con Windows y DOS Sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
CAPÍTULO 7
Actuales herramientas forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
CAPÍTULO 8
Procesos Macintosh y Linux Boot y sistemas de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
CAPÍTULO 9
Análisis forense y validación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
CAPÍTULO 10
La recuperación de archivos de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
CAPÍTULO 11
Máquinas Virtuales, Red de medicina forense, y adquisiciones en vivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
CAPÍTULO 12
Las investigaciones de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
CAPÍTULO 13
Teléfono celular y análisis forense de dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
CAPÍTULO 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
CAPÍTULO 15
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
CAPÍTULO 16
Ética para el testigo experto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
APÉNDICE A
Referencias prueba de certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
APÉNDICE B
Informática Forense Referencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
iv Breve Tabla de Contenidos
APÉNDICE C
Consideraciones de Informática Forense de laboratorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
ANEXO D
DOS archivo de sistema y Forense Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
ÍNDICE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
JU UUUU IUIUIUI
1
1/011 ,1u 111101010110-101010
<11 mr * UN i '
Tabla de contenido
Prefacio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
CAPÍTULO 1
Informática Forense e Investigaciones como una profesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
La comprensión de la informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Informática Forense frente a otras disciplinas relacionadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Una breve historia de la informática forense. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 jurisprudencia entendimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . 8 El desarrollo de Informática Forense Recursos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
CAPITULO 2
La comprensión de investigaciones de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
La preparación de una investigación de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . 28
Una visión general de un delito informático. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Configuración de la estación de trabajo para la informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Completando el Caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
CHAPTER 3
The Investigator ' s de oficinas y laboratorios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Descripción de los requisitos de certificación laboratorio forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
La identificación de Funciones del Director de Laboratorio y personal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Laboratorio de Planificación
del Presupuesto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 La adquisición de Certificación y Capacitación. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
La preparación de un caso de negocio para un laboratorio de informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Review Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
CAPÍTULO 4
Adquisición de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
La comprensión de Formatos de almacenamiento de evidencia digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Formato RAW. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 formatos propietarios. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Formato forense avanzada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
La adquisición de datos con un CD de arranque de Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Captura de una imagen con
ProDiscover básico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Captura de una imagen con AccessData FTK Imager. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . 123
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
. 139
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
CAPÍTULO 5
Crime procesamiento y escenas incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
La identificación de evidencia digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Descripción de las reglas de comprobación científica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
. . . . . . . 161
La comprensión de conceptos y términos utilizados en warrants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Securing a Computer Incident or Crime Scene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Seizing Digital Evidence at the Scene . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Preparing to Acquire Digital Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Processing an Incident or Crime Scene . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Processing Data Centers with RAID Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173 Using a Technical Advisor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
viii Tabla de contenido
. . . . . . . . . . . . . . . . . . 179
Sample Civil Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Sample Criminal Investigation . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Reviewing Background Information for a Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Identifying the Case Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Planning the Investigation . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Conducting the Investigation: Acquiring Evidence withAccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . .
183
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
CAPÍTULO 6
Trabajando con Windows y DOS Sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
La comprensión de los sistemas de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
La comprensión de la secuencia de inicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Unidades de disco comprensión. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
CAPÍTULO 7
Actuales herramientas forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Evaluating Computer Forensics Tool Needs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Types of Computer Forensics Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Tasks Performed by Computer Forensics Tools. . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Tool Comparisons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Other Considerations for Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
De línea de comandos Herramientas forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . 274 Otros GUI Forense Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
CAPÍTULO 8
Procesos Macintosh y Linux Boot y sistemas de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
La comprensión de la estructura de archivos y proceso de arranque de Macintosh. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
La comprensión de Mac OS 9 volúmenes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 Exploración de Tareas Macintosh de
arranque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Uso de Macintosh Software Forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . 303
El examen de las estructuras de UNIX y Linux de disco y los procesos de arranque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
UNIX and Linux Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Understanding Inodes . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 Understanding UNIX and Linux Boot Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Understanding Linux Loader and GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Understanding UNIX and Linux Drives and Partition
Schemes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Examining UNIX and Linux Disk Structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
x Tabla de contenido
. . . 344
CAPÍTULO 9
Análisis forense y validación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Determinación de los datos para recopilar y analizar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Al acercarse Informática Forense casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Uso de AccessData Forensic Toolkit para analizar
datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
CAPÍTULO 10
La recuperación de archivos de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Entendiendo Los derechos de autor con los gráficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Resumen del capítulo. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Tabla de contenido xi
CAPÍTULO 11
Máquinas Virtuales, Red de medicina forense, y adquisiciones en vivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Máquinas Virtuales general. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Red Forense general. . . . . . . . . . . 428
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
CAPÍTULO 12
Las investigaciones de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Exploran el papel de e-mail en las investigaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452 Exploración de las funciones de los cliente y
servidor de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 investigación de los delitos de correo electrónico y Violaciónes. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Examining E-mail Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Viewing E-mail Headers . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 Examining E-mail Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Examining Additional E-mail Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Tracing an E-mail Message . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Using Network E-mail Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
xii Tabla de contenido
CAPÍTULO 13
Teléfono celular y análisis forense de dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
CAPÍTULO 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
La comprensión de la importancia de los informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
La limitación de un informe de detalles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517 Tipos de informes. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
CAPÍTULO 15
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Preparación para el testimonio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Preparación de la documentación y la evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 Revisión de su papel como Expert
Consulting o un testigo experto. . . . . . . . . . . . . . . . . . . . . . . . . . . . 544 Creación y Mantenimiento de la CV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . 544 Preparación de definiciones técnicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 Preparación para tratar con
los medios de noticias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
CAPÍTULO 16
Ética para el testigo experto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
La aplicación de Ética y Códigos de peritos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Examinadores de Informática Forense ' Roles en testificar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 Consideraciones de la descalificación. . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578 trampas para incautos Expertos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 579 La determinación de la admisibilidad de las pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
International Society of Forensic Computer Examiners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 International High Technology Crime Investigation
Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 International Association of Computer Investigative Specialists. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 582 American Bar Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 American Medical Association. . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 American Psychological Association. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
584
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
APÉNDICE A
Referencias prueba de certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
NIST Informática Forense Prueba de herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603 Tipos de Informática Forense
certificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Organizaciones de Certificación Profesional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604 empresas certificadoras proveedor de la
aplicación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605 Informática forense Grupos de formación públicos y privados. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . 605
APÉNDICE B
Informática Forense Referencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Informática Forense libros de referencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607 MS-DOS libros de referencia. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
xiv Tabla de contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
APÉNDICE C
Consideraciones de Informática Forense de laboratorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
incendios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
ANEXO D
DOS archivo de sistema y Forense Herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Descripción general de las estructuras de directorio FAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619 Secuencias de comandos de DOS
muestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
Configuración de la estación de trabajo para la informática forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
ÍNDICE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
J10110101010101000111111U.
111000011101101010100010101000001111o.
10000111011010101000101010110011110000.
01010110101010101000111111010111101010.
1101101010100010101000001111000011101
jni000101010110011110000111011v
01111110101111010101101
11111000011101101
111000011101101C
I 11101010110101
J00011101101Í
100bi/1i 11110000111ÿ 101
11 010 ’1 011110101011010
11 >oo y 11100001110110101
(> OO i 110000111011010101
Prefacio \ I/01L .10 31111010101101010101v
oí 01/ inoooomorÿoioioo
f\
* 10011110000111011V iv
f\r
El rápido avance de la tecnología ha cambiado e influenciado la forma en que pensamos acerca de la obtención de pruebas digitales. Poco después de
los ataques contra el World Trade Center de la ciudad de Nueva York el 11 de septiembre,
2001, muchos hombres y mujeres jóvenes se ofrecieron para servir al país de diferentes maneras. Para aquellos que no eligieron los
militares, las opciones incluyen posiciones con la policía y las organizaciones de seguridad de la empresa. En última instancia, la
combinación de un renovado énfasis en la seguridad nacional, junto con la popularidad de los principales programas de televisión, tales
como CSI, Archivos Forenses, y NCIS,
ha creado una enorme demanda de especialistas altamente educados en la disciplina de la informática forense. Esta demanda está siendo
satisfecha por el advenimiento de la ciencia forense cursos especializados en los colegios, universidades y escuelas, incluso altos en los Estados
Unidos.
informática forense, sin embargo, de ninguna manera es un nuevo campo de actividad. Durante la década de 1990, mientras que actúa como un agente
especial con el Servicio de Investigación Criminal Naval (NCIS), me di cuenta de que los ordenadores personales y, más específicamente, los ordenadores
personales no garantizados suponían una amenaza potencial para la seguridad nacional. Comencé a participar en la realización de investigaciones
forenses relacionados con la delincuencia de cuello blanco, intrusiones en la red, y el fraude de las telecomunicaciones. Recientemente, el gobierno de
Estados Unidos ha dado pasos importantes para mejorar la calidad y la sofisticación del país ' s capacidades forenses informáticos, incluyendo la formación
del Comando Cibernético de Estados Unidos (CYBERCOM) en el Departamento de Defensa. Hoy en día, la mayoría de los nuevos especialistas en
informática forense puede esperar a estar involucrados en una amplia variedad de investigaciones, incluyendo contrainteligencia el terrorismo, los
problemas de fraude financiero, el robo de propiedad intelectual, las brechas de seguridad de datos, y el descubrimiento de datos electrónicos.
El conjunto de habilidades especialistas en informática forense deben haber son variadas. Como mínimo, deben tener un conocimiento
profundo de los sistemas del sistema de justicia criminal, hardware y software, y
xvi Prefacio
protocolos de investigación y obtención de pruebas. La próxima generación de “ detectives digitales ” tendrá que poseer el conocimiento, las
habilidades y la experiencia para llevar a cabo exámenes forenses complejas, con muchos datos relacionados con diversos sistemas
operativos, plataformas y tipos de archivos con conjuntos de datos en el rango multipleterabyte. A medida que pasa el tiempo, el “ disciplina
híbrida ” de la informática forense está evolucionando lentamente en una “ ciencia híbrida “- la ciencia de la medicina forense digital. Muchos
colegios y universidades en los Estados Unidos y el Reino Unido han creado planes de estudios multidisciplinares que ofrecen grados de
licenciatura y posgrado en medicina forense digital. Guía para la informática forense e investigaciones, ahora en su cuarta edición, se ha
convertido en un texto de referencia significativo para el ordenador y forenses digitales comunidades. Eso ' Es mi creencia de que este libro,
diseñado para ser utilizado principalmente en un entorno académico con un facilitador entusiasta y bien, hará que para un fascinante curso
de la instrucción. Hoy en día, ' No es sólo los ordenadores que albergan el código binario de 1s y 0s, sino una infinita variedad de dispositivos
digitales personales. Si uno de estos dispositivos conserva evidencia de un crimen, será hasta recién entrenado y educado detectives
digitales para encontrar la evidencia digital de una manera válida a efectos legales. Este libro ayudará a los estudiantes y profesionales en el
cumplimiento de este objetivo. Respetuosamente, John A. Sgromolo
Como agente especial, John fue uno de los miembros fundadores de la Crime Investigations Grupo NCIS ordenador. John dejó el
servicio del gobierno para ejecutar su propia compañía, Forense Digital, Inc., y ha enseñado a cientos de aplicación de la ley y
estudiantes corporativos en todo el país el arte y la ciencia de la investigación informática forense. Actualmente, John sirve como el
examinador forense de alto nivel para las investigaciones forenses digitales en Verizon.
J10110101010101000111111U.
111000011101101010100010101000001111o.
10000111011010101000101010110011110000.
01010110101010101000111111010111101010.
1101101010100010101000001111000011101
jni000101010110011110000111011v
01111110101111010101101
11111000011101101
111000011101101C
I 11101010110101
J00011101101Í
100bi/1i 11110000111ÿ 101
11 010 ’1 011110101011010
11 >oo y 11100001110110101
(> OO i 110000111011010101
Introducción\I/01L .10 31111010101101010101v
oí 01/ inoooomorÿoioioo
f\
* 10011110000111011V iv
f\r
Computer forensics has been a professional field for many years, but most well-established experts in the field have been
self-taught. The growth of the Internet and the worldwide proliferation of computers have increased the need for computing
investigations. Computers can be used to commit crimes, and crimes can be recorded on computers, including company policy
violations, embezzlement, e-mail harassment, murder, leaks of proprietary information, and even terrorism. Law enforcement,
network administrators, attorneys, and private investigators now rely on the skills of professional computer forensics experts to
investigate criminal and civil cases.
Este libro no está destinado a proporcionar una formación integral en informática forense. Lo hace, sin embargo, le dará una base sólida
mediante la introducción de la informática forense para aquellos que son nuevos en el campo. Otros libros sobre informática forense se orientan
a los expertos; Este libro está dirigido a los principiantes que tienen una base sólida en redes informáticas y conceptos básicos.
La nueva generación de expertos forenses informáticos necesita más formación inicial porque las herramientas de sistemas operativos, hardware,
software y los forenses están cambiando más rápidamente. Este libro cubre los sistemas operativos actuales y pasados y una amplia gama de equipos
de computación, desde estaciones de trabajo básicas a los servidores de red de gama alta. Aunque este libro se centra en unas pocas herramientas de
software forense, también revisa y discute otras herramientas disponibles en la actualidad.
El propósito de este libro es para guiarlo hacia convertirse en un experto en informática forense investigador. Un objetivo secundario es para
ayudarle a pasar los exámenes de certificación correspondientes. Como el campo de la informática forense e investigaciones madura, tener en
cuenta que las certificaciones van a cambiar. Puede encontrar más información sobre las certificaciones en el capítulo 3 y el apéndice A.
xviii Introducción
Público destinatario
Aunque este libro puede ser utilizado por personas con una amplia gama de antecedentes, se ' s destinado a aquellos con una A + y
Network + certificación o equivalente. Un fondo de las redes es necesaria para que pueda entender cómo los PCs operan en un
entorno de red y puede trabajar con un administrador de red cuando sea necesario. Además, debe saber cómo utilizar un ordenador
desde la línea de comandos y el uso de los sistemas operativos más populares, incluyendo Windows, Linux y Mac OS, y su
hardware relacionado.
Este libro se puede utilizar en cualquier nivel educativo, desde las escuelas técnicas superiores y colegios de la comunidad a los estudiantes
graduados. profesionales actuales en los sectores públicos y privados también pueden utilizar este libro. Cada grupo se acercará a problemas de
investigación desde una perspectiva diferente, pero todos se beneficiará de la cobertura.
Capítulo 1, “ Informática forense e investigaciones como profesión, ” una introducción a la historia de la informática forense y explica
cómo se desarrolló el uso de pruebas electrónicas. También introduce cuestiones legales y compara los casos de los sectores público
y privado.
Capitulo 2, “ La comprensión de investigaciones de equipos, ” es una introducción a las herramientas utilizadas a lo largo del libro y que muestra
cómo aplicar técnicas científicas para un caso de investigación. Además, cubre los procedimientos para investigaciones corporativas, como los
casos de terminación de los empleados y el espionaje industrial.
Capítulo 3, “ el Investigador ' s de oficinas y laboratorios, ” describe los requisitos físicos y equipos para laboratorios de informática forense, desde pequeños
investigadores privados ' laboratorios para el laboratorio regional del FBI. También cubre las certificaciones para el cálculo de los investigadores y la
construcción de un modelo de negocio para un laboratorio forense.
Capítulo 4, “ Adquisición de datos, ” explica cómo preparar para adquirir datos de un sospechoso ' s unidad y discute disponibles de línea de comandos y
herramientas de adquisición de interfaz gráfica de usuario. En este capítulo también se analiza la adquisición de datos de los sistemas RAID y le da una visión
general de las herramientas para las adquisiciones remotas.
Capítulo 5, “ Crime procesamiento y escenas de incidentes, ” explica órdenes de registro y la naturaleza de un caso típico de la informática
forense. Se discute cuándo utilizar profesionales externos, cómo armar un equipo, y cómo evaluar un caso y explica los procedimientos
adecuados para la búsqueda y apoderarse de pruebas. En este capítulo también se introduce en el cálculo de valores hash para verificar los
datos que recopila.
Capítulo 6, “ Trabajando con Windows y DOS Systems, ” discute los sistemas operativos más comunes. Se aprende lo que sucede y
Introducción xix
sistema trata espacio eliminado y holgura. Además, se ha añadido una nueva sección en el trabajo con máquinas
virtuales.
Capítulo 7, “ Actuales herramientas forenses, ” explora el software de informática forense actuales y herramientas de
hardware, incluidos los que podrían no estar disponibles, y evalúa sus fortalezas y debilidades.
Capítulo 8, “ Procesos Macintosh y Linux Boot y sistemas de archivos, ” continúa la discusión del sistema operativo Capítulo 6
mediante el examen de los sistemas operativos Macintosh y Linux. También cubre CDs, DVDs y discos SCSI, IDE / EIDE y
SATA.
Capítulo 9, “ Análisis forense y validación, ” cubre determinar qué datos se recopilan y analizan los planes de investigación y de
refinación. También explica la validación con los editores hexagonales y software de análisis forense, técnicas de ocultación de datos y
técnicas para adquisiciones remotas.
Capítulo 10, “ La recuperación de archivos de gráficos, ” explica cómo recuperar archivos de gráficos y examina la compresión de datos, los datos de talla,
Capítulo 11, “ Máquinas virtuales, análisis forense de red, en vivo y Adquisiciones ” cubre las herramientas y métodos para la adquisición de
máquinas virtuales, la realización de investigaciones de red, realizar adquisiciones en vivo, y la revisión de los registros de la red de pruebas.
También se analiza el uso de herramientas de UNIX / Linux y el Proyecto Honeynet ' s recursos.
Capítulo 12, “ Las investigaciones de correo electrónico, ” cubre el correo electrónico e Internet fundamentos y examina los delitos de correo electrónico y
violaciónes. También se examinan algunas de correo electrónico herramientas especializadas de medicina forense.
Capítulo 13, “ Teléfono celular y análisis forense de dispositivos móviles, ” cubre técnicas de investigación y procedimientos de adquisición de datos
para la recuperación de los teléfonos móviles y dispositivos móviles. También proporciona orientación sobre cómo tratar con estas tecnologías en
constante cambio.
Capítulo 14, “ Redacción de informes de investigaciones de alta tecnología, ” discute la importancia de la escritura de informes de exámenes
forenses informáticos; ofrece directrices sobre el contenido del informe, la estructura y la presentación; y explica cómo generar resultados del
informe con herramientas de software forense.
Capítulo 15, “ El testimonio experto en investigaciones de alta tecnología, ” explora el papel de un experto o testigo técnico / científica,
incluyendo el desarrollo de un curriculum vitae, la comprensión del proceso de ensayo, y la preparación de la medicina forense evidencia de
testimonio. También ofrece pautas para testificar en la corte y en las deposiciones y audiencias.
Capítulo 16, “ Ética para el perito, ” proporciona orientación sobre los principios y la práctica de la ética para los investigadores de
informática forense y examina otras organizaciones profesionales ' códigos de ética.
Apéndice A, “ Referencias prueba de certificación, ” proporciona información sobre el Instituto Nacional de Estándares y procesos de
pruebas Tecnología (NIST) para la validación de herramientas de informática forense y cubre informáticos forenses certificaciones y
programas de formación.
Apéndice B, “ Referencias informática forense, ” listas de libros, revistas, listas de correo electrónico y sitios web recomendados para obtener
información adicional y un mayor estudio.
Apéndice C, “ Consideraciones Forense laboratorio de computación, ” proporciona más información sobre las consideraciones para laboratorios
forenses, incluyendo certificaciones, la ergonomía, el diseño estructural, y sistemas de comunicación y de extinción de incendios.
xx Introducción
Apéndice D, “ DOS File System y Forense Herramientas, ” revisiones de archivos FAT conceptos básicos del sistema y explica el uso de DOS
herramientas forenses, la creación de un medio de arranque forense, y el uso de scripts. También se examinan los comandos DriveSpy y X-Ways
réplica.
Caracteristicas
Para ayudarle a comprender plenamente la informática forense, este libro incluye muchas características diseñadas para mejorar su experiencia de aprendizaje:
• Objetivos del capítulo - Cada capítulo comienza con una lista detallada de los conceptos que hay que dominar en ese capítulo. Esta
lista le da una referencia rápida al capítulo ' s contenidos y es una ayuda útil estudio.
• Las figuras y tablas - Capturas de pantalla se utilizan como guía para pasar a través de los comandos y herramientas de análisis forense. Para
las herramientas no se incluye en el libro o que Aren ' t ofrecido en versiones libres de demostración, las cifras se han añadido para ilustrar la
herramienta ' interfaz s. Las tablas se utilizan en todo el libro para presentar información de una manera organizada, de fácil alcance.
• resumen de los capítulos - cada capítulo ' material de s es seguido por un resumen de los conceptos introducidos en ese
capítulo. Estos resúmenes son una forma útil revisar las ideas cubiertas en cada capítulo.
• Términos clave - Tras el resumen del capítulo, una lista de todos los nuevos términos introducidos en el capítulo con el texto en
negrita están reunidos en la lista de términos clave, con definiciones completas para cada término. Esta lista fomenta una
comprensión más completa del capítulo ' s conceptos clave y es una referencia útil.
• Preguntas de revisión - La evaluación final de capítulo comienza con un conjunto de preguntas de repaso que refuerzan los
conceptos principales de cada capítulo. Estas preguntas le ayudarán a evaluar y aplicar el material que ha aprendido.
• Proyectos prácticos - Aunque la comprensión de la teoría detrás de la tecnología informática es importante, nada puede mejorar la
experiencia del mundo real. Con este fin, cada capítulo ofrece varios proyectos prácticos con el software suministrado con este libro
o descargas libres. Puede explorar una variedad de maneras de adquirir e incluso ocultar las pruebas. Para los capítulos
conceptuales, se proporcionan los proyectos de investigación.
• proyectos de casos - Al final de cada capítulo hay varios proyectos de casos, incluyendo un ejemplo de caso de desarrollo
utilizado en todo el libro. Para completar estos proyectos, debe basarse en el sentido común del mundo real, así como su
conocimiento de los temas técnicos cubiertos a ese punto en el libro. Su meta para cada proyecto es encontrar respuestas a
problemas similares a los que ' ll cara como la informática forense investigador de trabajo.
• Tutoriales en vídeo - El libro ' s DVD incluye instrucciones de audio y vídeo para ayudar con el aprendizaje de las herramientas necesarias para llevar a
cabo actividades en el capítulo. Cada tutorial es un archivo .wmv que se pueden reproducir en la mayoría de los sistemas operativos. Las habilidades
aprendidas a partir de estos tutoriales pueden ser aplicados a proyectos prácticos al final de cada capítulo.
• archivos de datos de software y de los estudiantes - Este libro incluye un DVD que contiene los archivos de datos de los estudiantes y los
paquetes de demostración de software libre para su uso con las actividades y los proyectos en los capítulos. (Demostraciones de software
adicionales o gratuita puede descargarse para su uso en algunos proyectos.) Cuatro compañías de software han accedido amablemente para
permitir que incluye sus productos con este libro: Caminos Tecnología (ProDiscover Básico), AccessData (Forensic Toolkit, Registro de Visor, y
FTK Imager) , X-Ways (WinHex demo), y en tiempo de ejecución del software (DiskExplorer para FAT,
Introducción xxi
DiskExplorer para NTFS, y HDHOST). Para comprobar si hay nuevas versiones o información adicional, visite Caminos
Technology, LLC al www.techpathways.com, AccessData Corporation al
www.accessdata.com, X-Ways Software Technology en www.x-ways.net, y software de tiempo de ejecución en www.runtime.org.
El icono
NOTE Nota llama su atención sobre el material adicional útil en relación con el sujeto que está siendo
cubierto.
Consejos sobre la base de los autores ' experiencia ofrecen información adicional sobre cómo atacar un problema
o qué hacer en situaciones del mundo real.
Los iconos
CAUTION advertencias le advierten acerca de los errores o problemas potenciales y explican
cómo evitarlos.
HANDS-ON PROJECTS
'
Cada proyecto práctico en este libro es precedido por el icono de Hands-On y una descripción del
ejercicio que sigue.
Estos iconos
CASE PROJECTS marcan proyectos de casos, que son asignaciones basadas en escenarios. En estos ejemplos de casos
extensos, se ' re pedido para aplicar de forma independiente lo que ha aprendido.
• instructor electrónica ' s Manual - El instructor ' s manual que acompaña a este libro incluye material didáctico adicional para ayudar en la
preparación de clases, incluyendo sugerencias para temas de conferencia, actividades de laboratorio recomendadas, consejos sobre la
creación de un laboratorio para proyectos prácticos y soluciones a todos los materiales al final de su capítulo.
• Banco de prueba ExamView - Este software de pruebas basado en Windows de vanguardia de diseño ayuda a instructores y administrar exámenes y
pruebas preliminares. Además de generar pruebas que se pueden imprimir y administrados, este programa con todas las funciones tiene un
componente de las pruebas en línea que permite a los estudiantes para tomar pruebas en el equipo y tienen sus exámenes calificadas de forma
automática.
xxii Introducción
• presentaciones de PowerPoint - Este libro viene con un conjunto de diapositivas de PowerPoint de Microsoft para cada capítulo. Estas diapositivas
están destinados a ser utilizados como medio de enseñanza para presentaciones en clase, para ser puesto a disposición de los estudiantes en la red
para su revisión capítulo, o para ser impreso para su distribución en el aula. Los instructores también están en libertad de añadir sus propias
diapositivas para otros temas introducidos.
• archivos de la figura - Todas las cifras en el libro se reproducen en el instructor ' s CD de recursos. Al igual que en las presentaciones de
PowerPoint, se ' re incluido como un medio de enseñanza para la presentación en clase, para poner a disposición de los estudiantes para su
revisión, o para ser impreso para su distribución en el aula.
• compañero Guía de Informática Forense e Investigaciones, cuarta edición. Este manual de laboratorio provee a los
estudiantes con más experiencia práctica.
Laboratorios basadas en Web para la Guía de Informática Forense e Investigaciones (ISBN: 1-4354-9886-0)
• El uso de un entorno de laboratorio real a través de Internet, los estudiantes pueden iniciar sesión en cualquier momento y lugar a través de un
navegador web para ganar experiencia práctica esencial en el uso de la informática forense laboratorios de
Requisitos de laboratorio
Los proyectos prácticos en este libro ayudará a aplicar lo que ha aprendido acerca de las técnicas informáticas forenses. Las siguientes
secciones se enumeran los requisitos mínimos para completar todos los proyectos en este libro. Además de los elementos mencionados, debe
ser capaz de descargar e instalar versiones de demostración de software.
• Al menos un ordenador Macintosh con Mac OS X (aunque la mayoría de los proyectos se llevan a cabo en Windows o Linux /
Unix)
• Un externa USB, FireWire o SATA duro más grande que un típico USB 512 MB conducir Los proyectos en este libro están diseñados
con los siguientes requisitos de hardware y software en mente. El laboratorio en el que la mayor parte del trabajo se lleva a cabo debe ser
un laboratorio de formación de red típica con una variedad de sistemas operativos y ordenadores disponibles.
XP o Vista
Utilice una instalación estándar de Windows XP o Vista. El equipo que ejecuta Windows XP o Vista debe ser un modelo
bastante corriente que cumpla con los siguientes requisitos mínimos:
• puertos USB
• CD-ROM / DVD-ROM
Introducción xxiii
• VGA o de mayor
• partición del disco duro de 10 GB o más
• Teclado
• Al menos 512 MB de RAM (se recomienda más)
Linux
Para este libro, ' s que supone ' re utilizando un Ubuntu, Red Hat Linux 9, o una instalación estándar de Fedora, aunque otras distribuciones de Linux
trabajarán con modificaciones menores. Además, algunos proyectos de uso especializado “ vivir ” distribuciones de Linux, como BackTrack. Algunos
pasos opcionales requieren el editor de gráficos GIMP, que se debe instalar por separado en Red Hat Linux 9. Linux puede ser instalado en un
equipo con inicio dual, siempre y cuando una o más particiones de al menos 2 GB están reservados para el sistema operativo Linux.
•
SÚK
Otros requisitos de hardware son los mismos que los indicados para ordenadores Windows
Este libro contiene un DVD de doble capa con archivos de datos, software de demostración, y
CAUTION
tutoriales en vídeo. Algunos equipos más antiguos y unidades de DVD pueden tener
dificultades para leer datos de este tipo de DVD. Si usted tiene algún problema, asegúrese de
que el ordenador tiene una unidad de DVD capaz de leer DVD de doble capa, y copiar los
datos a una unidad externa USB o FireWire antes de transferirlo a su ordenador.
Debido
NOTEa que las direcciones de sitios Web cambian con frecuencia, utilizar un motor de búsqueda para
encontrar los siguientes programas en línea si las direcciones URL ya no son válidas. Se han hecho
esfuerzos para proporcionar información que ' s actual en el momento de la escritura, pero las cosas
cambian constantemente en la Web. Aprender a usar herramientas de búsqueda para encontrar lo que
necesita es una habilidad valiosa que ' ll utilizar como investigador forense.
• BlackBag Tecnologías Macintosh Software Forense: Descargar una versión de prueba desde www.
blackbagtech.com/support/downloads.html. ( Tenga en cuenta que usted debe enviar por correo electrónico un nombre de usuario y
contraseña antes de poder descargar el software. Además, este URL ha cambiado recientemente de la dada en el capítulo 8.)
• Microsoft Virtual PC: Descarga desde www.microsoft.com/virtualpc. ( Consulte con su instructor sobre el uso de una imagen
ISO que la Alianza Académica Microsoft proporciona a las escuelas.)
Además, se utiliza Microsoft Office Word (o software de procesamiento de textos) y Excel (hoja de cálculo u otro software), así como un
navegador Web. También necesita tener un software de correo electrónico instalado en el ordenador, como se explica en el capítulo 12.
Amelia Phillips Es graduado del Instituto de Tecnología de Massachusetts con una licenciatura en ingeniería astronáutica y la arqueología y
un MBA en gestión de la tecnología. Después de servir como ingeniero en el Jet Propulsion Lab, trabajó con los sitios Web de comercio
electrónico y comenzó su formación en informática forense para evitar los números de tarjetas de crédito de ser robados de las bases de
datos de comercio electrónico sensibles. Ella diseñó programas de certificación y autorización previa para los colegios comunitarios en el
comercio electrónico, seguridad de redes, la informática forense y recuperación de datos. Actualmente está titular en Highline Community
College en Seattle, Washington. Amelia es un becario Fulbright que enseñó en la Politécnica de Namibia en 2005 y 2006.
Christopher Steuart es un abogado en ejercicio manteniendo una práctica general litigios, con experiencia en seguridad de sistemas de
información de una compañía Fortune 50 y el Ejército de Estados Unidos. También es Asesor General de Informática Los investigadores del
Noroeste (CTIN). Ha presentado seminarios de informática forense en los foros regionales y nacionales, incluyendo la Sociedad Americana
de Seguridad Industrial (ASIS), Ágora, tecnología de la computación Seminario de Análisis Criminal Noroeste (NCT), y CTIN.
Expresiones de gratitud
El equipo desea expresar su reconocimiento a las adquisiciones Editor Steve Helba, que nos ha dado una gran cantidad de apoyo
moral. Nos gustaría agradecer a todo el personal de producción editorial y por su dedicación y fortaleza durante este proyecto,
incluyendo Michelle Ruelos Cannistraci, Senior Product Manager, y Jessica McNavich, Gerente de Proyectos contenido. Nuestro
especial agradecimiento a Lisa Señor, el editor de desarrollo. También apreciamos la lectura cuidadosa y sugerencias reflexivas
de la
Introducción xxv
Editor Técnico, John Bosco. Nos gustaría agradecer a los revisores: Dean Farwood, Heald College, y Michael Goldner, ITT Technical
Institute. También nos gustaría dar las gracias a Franklin Clark, un investigador de la Fiscalía del condado de Pierce en Tacoma,
Washington, por su entrada, y Mike Lacey por sus fotos.
Bill Nelson
Quiero expresar mi agradecimiento a mi esposa, Tricia, por su apoyo durante las largas horas dedicadas a la escritura, junto con
mi madre, Celia, y en memoria de mi padre, Harry por su aliento estos últimos años. También quisiera expresar el reconocimiento
a mis coautores, junto con nuestros editores para el esfuerzo del equipo en la producción de este libro. Y un agradecimiento
especial por el apoyo y el aliento de mis colegas informáticos forenses: Franklin Clark del Fiscal del Condado de Pierce ' s Oficina,
Tacoma, Washington; El detective Mike McNown, retirado, Wichita PD; Scott Larson y Don Allison de STOZ Friedberg, LLC;
Detectives Brian Palmer, Barry Walden, y Melissa Rogers del Sheriff del Condado de King ' s Oficina, Seattle, Washington; John
Sgromolo de Verizon; Arte digital Ehuan de Primera; Brett Shavers de e3Discovery; Clint Baker, del RCMP; Colin Cree de
Recuperación de Datos Forenses, Inc .; Chris Brown de modalidades de tecnología; Gordon Ross, ex integrante de Net Nanny; y
Gordon Mitchell del futuro Focus, Inc.
Amelia Phillips
Mi más profundo agradecimiento a mi coautor Bill Nelson. Quiero reiterar las gracias a Steve y Lisa helba Señor por su paciencia y apoyo.
Nuestro reconocimiento a mis estudiantes que ayudaron con la investigación sobre la determinación de lo que puede y puede ' t hacer con un
teléfono celular: Ron “ Freír ” Frymier, Rachel Sundstrom, Anne Weingart, Dave Wilson, Casey Draper, y Lynne Bowen. Agradecimientos
también a la fabuloso grupo de estudiantes que han organizado el proyecto caso firestarter / incendiario utilizado en el libro. También me
gustaría dar las gracias a los estudiantes de las PD y las corporaciones que me dio un montón de historias de casos y la visión del área de
Seattle. Gracias también a Teressa Mobley, detective Melissa Rogers, y Deb Buser que me ayudó con varios casos y el software del
teléfono celular. Nuestro agradecimiento a mis amigos por su apoyo y agradecimiento especial a mis tías, que son todos grandes maestros
y un excelente ejemplo para mí.
Christopher K. Steuart
Me gustaría expresar mi agradecimiento a mi esposa, Josefina, hijo, Alexander, y su hija, Isobel, por su entusiasta apoyo
de mi compromiso con Guía para la informática forense e investigaciones,
Me gustaría expresar mi reconocimiento a los Boy Scouts de América por darme la primera de muchas oportunidades de
liderazgo en mi vida. I want to recognize Lieutenant General (then Captain) Edward Soriano for seeing the potential in me
as a young soldier and encouraging me in learning the skills required to administer, communicate with, and command an
organization within the structure of law, regulation, and personal compromiso.
Créditos fotográficos
11
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y
Informática forensee e
InformáticaO forense
OOi
100001110110101
10000111011010101
investigaciones
investigaciones como
1l>1010como
,'10 1111010101101010101
profesión
profesión
O'I 01/
rv* 01111000011101 ...
11000011101 —010100
-
»*• t* Í— »!“'•«« lwh
*•»•* - ji) 2 o»*'* 4 jjr'Jj.* A »:
«$«*• |&| >•*> l**"“
* ** 3 <>*
±
fflgmfc j
I»
FBI LABORATORY
COMPUTER ANALYSIS AND RESPONSE TEAM
Ttm Ccfaa» *flíyn «nd Patiom* T. pwtaa HIM}*NR* to fBI Mtf nAcat *i
tha ***rrn and aainsa :< campidat *»t>nr* II VM« M (acanale aiamkianaoa *nd
!*iimc*l j-ppod Hit Ft# tnmujaliva Wi •>« aKludti a tlata-cit**- */•. kr*«K
ladaraton» eumonaadrf íimwn apaciaial» and tmh*om o»v*i»#<l and *qwfi>*<
*
laaaaxir nirnun •»MJO»3 to mot» trvan S) tatd :H<«
In 1999 in* ln*d cyn*j-i*J 2.400 ai»t»t*lio»,» of comm** «manta and »tvn9*u
t*-.v<c*i i-ÿpotl in t*m ,r»*i:.g«i>3m »<3 pnaaacidtcn ci caí*i <»•»} t'j<h «injanra
•
Tha Una ait o PMW al CAPT LMxcAn'. a anmata *M ?!> panaid nf FBI h*ld
aimnat Mlh th* praralaai* tMir al lha Ajflnm Mart Camodar EtarwudKin Spatam
(ACES). *A»c1i t «**•<«* adoncad (miipolai luneta and tn4w«i* Is «nduii man»
mam» m a tad docwrnamin*, aidomaaad mathed M FBI laid dnitcna
-I mean* ACES kT I"* and id •!« .« u 2UÜÜ In cwparaOgn mh tlia Untad SUIad
Aflomay'i C*ca and n«> <d*»r Mad. «da anl local la* «•rfoftan-anl ajanr tha
Ult/ aiiathiAa-1 in* S*n D*ap; Snwiiromm/*» Fmantic LmoralSTf Thia luxvatnrr
n arfad hpiadMicrf* ttrt*M«w and CAPT laditailpaiMnAal machad >y ti»
paltcoalrip ajamyaa
Documentos mantenidos en un equipo que están cubiertos por normas diferentes, dependiendo de la naturaleza de los documentos.
Muchos casos judiciales en los tribunales estatales y federales han desarrollado y aclarado cómo se aplican las reglas de la evidencia
digital. los cuarta Enmienda a la Constitución de los Estados Unidos (y cada estado ' s Constitución) protege a todos ' derechos de que
sean seguros en su persona, residencia, y la propiedad de búsqueda y captura, por ejemplo. Continuando con el desarrollo de la
jurisprudencia de esta modificación ha desempeñado un papel en la determinación de si la búsqueda de evidencia digital ha
establecido un precedente diferente, por lo separe órdenes de registro podría no ser necesario. Sin embargo, cuando se preparan
para buscar pruebas en un caso criminal, muchos investigadores
La comprensión de la informática forense 3
todavía incluyen el sospechoso ' s ordenador y sus componentes en el orden de registro para evitar problemas de admisibilidad posteriores.
1
En un caso significativo, la Corte Suprema de Pensilvania dirigida expectativas de privacidad y si la evidencia es admisible
(ver Commonwealth v. Copenhefer, 587 A.2d 1353, 526 Pa. 555 [1991]). Las investigaciones iniciales por el FBI, la policía
estatal y la policía local como resultado el descubrimiento de una serie de notas e instrucciones generadas por ordenador,
cada uno lleva a otro, que se había escondido en lugares escondidos en los alrededores de Corry, Pensilvania. La
investigación también produjo varios posibles sospechosos, entre ellos David Copenhefer, que era dueño de una librería
cercana y al parecer tenía malas relaciones personales con la víctima y su marido. El examen de la basura descartada
Copenhefer ' s tienda de revelado borradores de la nota de rescate y las instrucciones. búsqueda posteriores dieron lugar a
órdenes de incautación de pruebas en su contra. Copenhefer ' s ordenador contenía varios borradores y enmiendas del texto
de la llamada telefónica a la víctima el jueves la llamada telefónica a la víctima ' s marido el viernes la nota de rescate, la
serie de notas ocultos, y un plan para todo el esquema de secuestro ( Copenhefer, pag. 559). En la apelación directa, el
Tribunal Supremo de Pennsylvania concluyó que la evidencia física, incluyendo la evidencia informática forense, era
suficiente para soportar el dueño de la librería ' s convicción. Copenhefer ' s argumento era que “[ A] unque su equipo fue
válidamente tomó en virtud de una orden judicial, su intento de eliminación de los documentos en cuestión creado una
expectativa de privacidad protegido por la Cuarta Enmienda. Por lo tanto, según él, en virtud de Katz v. Estados Unidos, 389
Estados Unidos 347, 357, 88 S.Ct. 507, 19 L.Ed.2d 576 (1967), y su progenie, Agente Johnson ' s recuperación de los
documentos, sin antes obtener otra orden de registro, no era razonable bajo la Cuarta Enmienda y los documentos
incautados por lo tanto debería haber sido suprimida ”( Copenhefer, pag. 561).
La Suprema Corte de Pensilvania rechazó este argumento, afirmando “ Un acusado ' s intento de segregar evidencia de un crimen no es
sinónimo de una expectativa legalmente cognoscible de la privacidad. Una mera esperanza de mantener el secreto no es una
expectativa jurídicamente protegido. Si lo fuera, sería necesario órdenes de registro en un gran número de casos en los que las
órdenes no son claramente necesarias ”
( Copenhefer, pag. 562).
Casi todos los Estados Unidos jurisdicción tiene ahora la jurisprudencia en relación con la admisibilidad de las pruebas recuperado de
ordenadores. derecho penal canadiense es principalmente federales y generalmente forzada en corte provincial.
ElNOTE
Departamento de Justicia de Estados Unidos ofrece una guía útil para buscar y
procedimientos de incautación de ordenadores y equipo de pruebas www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm.
Esta guía incluye la actualización de 2006 de órdenes de registro y declaraciones.
En general, la informática forense investiga los datos que se pueden recuperar desde un ordenador ' s disco duro o en otro medio
de almacenamiento. Como un arqueólogo excavando un sitio, los investigadores informáticos recuperar información desde un
ordenador o sus partes componentes. La información se recupera podría estar ya en la unidad, pero puede que no sea fácil de
encontrar o descifrar. En contraste, análisis forense de red permite obtener información acerca de cómo un autor o un atacante
tuvo acceso a una red.
Red forense investigadores utilizan archivos de registro para determinar cuando los usuarios inician sesión y determinar qué
usuarios acceder a URLs, cómo iniciar una sesión en la red, y por lo que la ubicación. Tenga en cuenta, sin embargo, que los
análisis forense de red también trata de determinar qué pistas o archivos nuevos se quedaron atrás en una víctima ' se hicieron s
equipo y qué cambios. en el capítulo
11, que explora cómo y cuándo análisis forense de red se deben utilizar en su investigación. Informática forense también es diferente
de recuperación de datos, que consiste en la recuperación de información de un equipo que se ha eliminado por error o perdido en un
accidente de subida de tensión o un servidor, por ejemplo. En la recuperación de datos, por lo general sabe lo que ' re buscando.
Informática forense es tarea de la recuperación de datos que los usuarios han ocultos o borrados, con el objetivo de asegurar que los
datos recuperada es válida para que pueda ser utilizado como evidencia. La evidencia puede ser inculpatoria ( en los casos penales, la
expresión es “ incriminatorio “) o justificante, lo que significa que podría despejar el sospechoso. Los investigadores examinan a menudo
un disco de computadora sin saber si contiene pruebas. Ellos deben buscar medios de almacenamiento, y si encuentran datos, pieza
juntos para producir pruebas. herramientas de software de análisis forense se pueden utilizar para la mayoría de los casos. En casos
extremos, los investigadores pueden usar microscopios electrónicos y otros equipos sofisticados para recuperar información de las
máquinas que han sido dañadas o reformateado a propósito. Este método es por lo general un costo prohibitivo, que va desde un
extremo inferior de US $ 3.000 a más de US $ 20.000, por lo que ' s no se utiliza normalmente.
Al igual que las empresas especializadas en la recuperación de datos, empresas especializadas en recuperación de desastres utilizar técnicas de
informática forense para recuperar información de sus clientes han perdido. La recuperación de desastres también implica la prevención de la pérdida
de datos mediante el uso de copias de seguridad, dispositivos de suministro de energía ininterrumpida (UPS), y el monitoreo fuera del sitio.
Los investigadores a menudo trabajan como un equipo para hacer que las computadoras y las redes de seguridad en una organización. La
función de investigación de computación es uno de tres en una tríada que compone la seguridad de computación. En un entorno de red de la
empresa, la tríada se compone de las partes siguientes (que se muestran en la Figura 1-2):
• investigaciones de equipos
$
9 %
&
-Jr
&
Intrusion Response
Cada lado de la tríada en la Figura 1-2 representa un grupo o departamento responsable de realizar las tareas asociadas. Aunque
cada función funciona de forma independiente, los tres grupos atraen entre sí cuando se está llevando a cabo una investigación de 1
computación a gran escala. Mediante la combinación de estos tres grupos en un equipo, todos los aspectos de una investigación de
alta tecnología se abordan sin llamar a especialistas externos. El termino entorno de red empresarial se refiere a los grandes sistemas
informáticos corporativos que podrían incluir sistemas dispares o anteriormente independientes. En las empresas más pequeñas, un
grupo podría realizar las tareas que se muestran en la tríada investigaciones, o una pequeña empresa puede contratar con otras
empresas para estos servicios. Cuando se trabaja en el evaluación de la vulnerabilidad y gestión de riesgos grupo, probar y verificar la
integridad de las estaciones de trabajo y servidores de red independientes. Esta comprobación de integridad cubre la seguridad física
de los sistemas y la seguridad de los sistemas de operación (OSS) y aplicaciones. Las personas que trabajan en este grupo de
prueba en busca de vulnerabilidades conocidas de los sistemas operativos y las aplicaciones utilizadas en la red. Este grupo también
lanza ataques en la red y sus estaciones de trabajo y servidores para evaluar las vulnerabilidades. Por lo general, las personas que
realizan esta tarea cuentan con varios años de experiencia en UNIX y Windows administración.
Los profesionales en el grupo de evaluación de la vulnerabilidad y la gestión del riesgo también deben tener conocimientos de detección
de intrusiones de red y respuesta a incidentes. Este grupo detecta ataques de intrusos utilizando herramientas automatizadas y
seguimiento de registros del cortafuegos de red manualmente. Cuando se detecta un ataque externo, el equipo de respuesta de
seguimiento, localiza, e identifica el método de intrusión de y niega aún más el acceso a la red. Si un intruso lanza un ataque que cause
daño o daño potencial, este equipo recoge las pruebas necesarias, que puede ser utilizado para casos de litigio civil o criminal contra el
intruso. Litigio es el proceso legal de establecer la responsabilidad penal o civil en el tribunal. Si un usuario interno se dedica a actos
ilegales, el grupo de respuesta de detección de intrusiones de red y incidente responde mediante la localización del usuario y el bloqueo
de su acceso. Por ejemplo, alguien en un colegio comunitario envía correos electrónicos inflamatorias a otros usuarios en la red. El
equipo de la red se da cuenta de que los correos electrónicos son procedentes de un nodo de la red interna y distribuye un equipo de
seguridad para la ubicación. el personal de evaluación de la vulnerabilidad a menudo contribuyen de manera significativa a las
investigaciones de computación. los investigaciones de equipos grupo gestiona y lleva a cabo investigaciones de análisis forense de
sistemas sospechosos de contener evidencia relacionada con un incidente o un crimen. Para trabajo de casos complejos, el grupo de
investigaciones de equipos se basa en los recursos de los que participan en la evaluación de la vulnerabilidad, la gestión de riesgos, y la
detección de intrusiones de red y respuesta a incidentes. Este grupo resuelve o termina todas las investigaciones de casos.
Por la década de 1970, los delitos electrónicos están aumentando, sobre todo en el sector financiero. La mayoría de los ordenadores de esta época
fueron los mainframes, utilizado por personas capacitadas con conocimientos especializados que trabajaban en las finanzas, la ingeniería y el mundo
académico. fraude de cuello blanco comenzó cuando la gente en estas industrias vieron una forma de ganar dinero mediante la manipulación de los
crímenes conocidos de la era mainframe es el crimen de medio centavo. Los bancos seguimiento comúnmente dinero en cuentas
para el tercer decimal o más. Ellos usaron y todavía usan el “ redondeando ” contabilidad método cuando el pago de intereses. Si el
interés aplicado a una cuenta resultó en una fracción de un centavo, de que se usó la fracción en el cálculo para la próxima cuenta
hasta que el total resultó en conjunto un centavo. Se suponía que tarde o temprano cada cliente se beneficiaría. Algunos
programadores informáticos dañados este método mediante la apertura de una cuenta por sí mismos y escribir programas que
desvían todos los fondos en sus cuentas fraccionadas. En los bancos pequeños, esta práctica fue de sólo unos pocos cientos de
dólares al mes. En los grandes bancos con muchas sucursales, sin embargo, la cantidad llegó a cientos de miles de dólares.
Durante este tiempo, la mayoría de los agentes de la ley dejase ' t sabe lo suficiente sobre las computadoras para hacer las
preguntas correctas o para preservar las pruebas para el juicio. Muchos comenzaron a asistir a los programas de formación Centro
Federal de Aplicación de la Ley (FLETC) diseñados para capacitar a las fuerzas del orden en la recuperación de datos digitales.
A medida que los ordenadores se hicieron populares y comenzaron a sustituir a los ordenadores centrales en la década de 1980, muchos
diferentes sistemas operativos surgió. Apple lanzó el 2E Apple en 1983 y luego el Macintosh en 1984. Los equipos tales como el TRS-80
y el Commodore 64 fueron las máquinas de la época. máquinas M CP /, como el Kaypro y Zenith, estaban también en la demanda.
Sistema operativo de disco (DOS) estaba disponible en muchas variedades, incluyendo PC-DOS, QDOS, DR-DOS, IBM-DOS y MS-DOS. Los
forenses herramientas en ese momento eran simples, y la mayoría fueron generados por agencias gubernamentales, tales como la Real Policía
Montada de Canadá (RCMP, que tenía sus propias herramientas de investigación) y el Servicio de Impuestos Internos (IRS). La mayoría de las
herramientas fueron escritos en C y lenguaje ensamblador y weren ' t disponibles para el público en general. A mediados de la década de 1980,
una nueva herramienta, Xtree oro, apareció en el mercado. Reconoció tipos de archivos y recuperar archivos perdidos o eliminados. Norton
DiskEdit pronto siguió y se convirtió en la herramienta preferida para la búsqueda de archivos borrados. Se podría utilizar estas herramientas
en los ordenadores más potentes de la época; ordenadores compatible con IBM tenían 10 MB discos duros y dos unidades de disquete, como
* r4 a
w
En 1987, Apple produjo el Mac SE, un Macintosh con un disco duro EasyDrive externo con 60 MB de almacenamiento (véase la
figura 1-4). En este momento, el Commodore 64 populares todavía se utiliza cintas de audio estándar para registrar los datos, por 1
lo que el Mac SE representó un importante avance en la tecnología informática.
Mac SE
*
Floppy drives
¿>
EasyDrive
*
A comienzos de 1990, herramientas especializadas para la informática forense estaban disponibles. los Asociación Internacional de
Especialistas en Investigación Informática (SIAL) formación introducido en el software para las investigaciones forenses, y los programas
de búsqueda de warrants IRS creados. Sin embargo, no hay software GUI comercial para la informática forense estaba disponible hasta
ASR datos creados testigo experto para Macintosh. Este software puede recuperar archivos borrados y fragmentos de archivos borrados.
Uno de los socios de ASR de datos más adelante a la izquierda y desarrollaron EnCase, que se ha convertido en una popular herramienta
informática forense.
A medida que la tecnología informática continuó evolucionando, se desarrolló más programas de informática
forense. La introducción de grandes discos duros plantea nuevos problemas para los investigadores. La mayoría
didn software basado en DOS ' T reconocen un disco duro más de 8 GB. Dado que los equipos actuales tienen
discos duros de 200 GB y más grande, se necesitan cambios en el software de análisis forense. Más adelante
en este libro, que explora los retos de usar software antiguo y hardware. AccessData Forensic Toolkit (FTK) se
ha convertido en un producto comercial popular que realiza tareas similares en la aplicación de la ley y los
mercados civiles, y utilizarlo en varios proyectos en este libro.
A medida que las empresas de software se vuelven más conocedores de la informática forense e investigaciones, que están publicando más
herramientas de análisis forense para mantener el ritmo de la tecnología. Este libro analiza tantas herramientas como sea posible. También debe
referirse a las publicaciones comerciales y sitios Web, tales como www. ctin.org ( La tecnología informática Los investigadores de la red) y www.usdoj.gov
( Departamento de Justicia de Estados Unidos), para estar al día.
8 Capítulo 1
Jurisprudencia de la comprensión
La tecnología de los ordenadores y otros dispositivos digitales está evolucionando a un ritmo exponencial. leyes y estatutos existentes
pueden ' t mantenerse al día con la tasa de cambio. Por lo tanto, cuando los estatutos o reglamentos Don ' t existe, se utiliza la
jurisprudencia. La jurisprudencia permite a un abogado para casos de uso anteriores similares a la actual y se dirige a la ambigüedad en
las leyes. Cada nuevo caso es evaluado por sus propios méritos y problemas. La Universidad de Rhode Island ( http: // DFC. cs.uri.edu) cita
muchos casos en los que los problemas ocurridos en el pasado. Un ejemplo en el sitio web se trata de un investigador visualización de
archivos de computadora mediante el uso de una orden de registro relacionada con el tráfico de drogas. Mientras ve los archivos, que
corrió a través de imágenes de pornografía infantil. En lugar de esperar a una nueva orden, que siguió buscando. Como resultado, se
excluyó todas las pruebas en relación con las imágenes. Los investigadores deben estar familiarizados con los recientes fallos para
evitar cometer errores similares. Tenga en cuenta que la jurisprudencia doesn ' t implican la creación de nuevos tipos penales, sin
embargo.
Unirse a grupos de usuarios de ordenador en los sectores públicos y privados. En el noroeste del Pacífico, por ejemplo, Los
investigadores red de ordenadores Tecnología (CTIN) se reúne mensualmente para discutir los problemas que la policía y las
empresas se enfrentan. Esta organización sin fines de lucro también lleva a cabo la formación gratuita. Probablemente se puede
localizar a un grupo similar en su área, tales como el Asociación de Alta Tecnología de Investigación Criminal (HTCIA), una
organización que intercambia información acerca de las técnicas relacionadas con las investigaciones informáticas y de seguridad.
(Para más información visite www.htcia.org). Además, construir su propia red de expertos informáticos forenses y otros
profesionales, y mantenerse en contacto a través de correo electrónico. Cultivar relaciones profesionales con personas que se
especializan en áreas técnicas diferentes de su propia especialidad. Si tu ' re un experto en Windows, por ejemplo, mantener el
contacto con los expertos en Linux, UNIX y Macintosh.
Los grupos de usuarios pueden ser especialmente útiles cuando se necesita información sobre los sistemas operativos oscura. Por ejemplo, un grupo
1996. Los sospechosos instalado cámaras de vídeo a través de su casa, que se sirve alcohol para intoxicar a las mujeres jóvenes a
ellos, y secretamente filmados jugando póker de la tira. Cuando fue acusado de abusar sexualmente de un niño, la policía confiscó
sus ordenadores y otras pruebas físicas. El investigador descubrió que los ordenadores utilizados CoCo DOS, un sistema operativo
que había estado fuera de uso durante años. El investigador en contacto con un grupo de usuarios locales, que suministra los
comandos estándar y otros datos necesarios para obtener acceso al sistema. En el sospechoso ' s equipo, el investigador encontró un
diario que detalla el sospechoso ' s de las acciones en los últimos 15 años, incluyendo el abuso sexual de más de 400 mujeres
jóvenes. Como resultado, el sospechoso recibió una sentencia más larga que si hubiera sido condenado por abusar sexualmente de
un solo hijo.
Preparación para investigaciones de equipos 9
Los expertos externos pueden proporcionar información detallada que necesita para recuperar la evidencia digital. Por ejemplo, un
caso de asesinato reciente es el de un esposo y una esposa que poseía una tienda de Macintosh. Cuando la mujer fue encontrado 1
muerto, aparentemente asesinada, los investigadores encontraron que había querido dejar a su marido, pero dejase ' t debido a sus
creencias religiosas. La policía obtuvo una orden de allanamiento y confiscó los ordenadores domésticos y de oficina. Cuando el
detective en el caso examinado el hogar Macintosh, se encontró con que el disco duro había sido comprimido y borrado. Se puso
en contacto un ingeniero de Macintosh, que determina los dos programas de software utilizados para comprimir la unidad. Con este
conocimiento, el detective podría recuperar información del disco duro, incluyendo archivos de texto que indican que el marido
gastó $ 35,000 en fondos de la empresa para la compra de servicios de la cocaína y la prostitución. Esta evidencia fue crucial en lo
que es posible condenar el marido de asesinato premeditado.
Aprovechar los grupos de noticias, listas de correo electrónico, y servicios similares dedicados a la informática forense para
solicitar el asesoramiento de expertos. En un caso, los investigadores couldn ' t acceso al disco duro de un ordenador Intel
contiene pruebas digitales sin la contraseña, que fue modificable en la placa base. Cuando empezaron a quedarse sin
opciones y tiempo, se registró una descripción del problema en una lista de correo. Un miembro de la lista les dijo que un
dongle (dispositivo mecánico) pasaría por alto el problema de contraseña. Como resultado, los investigadores fueron capaces
de reunir pruebas para condenar al agresor.
casos más recientes incluyen ordenadores portátiles con formas especialmente diseñadas de acceder físicamente a los discos
duros. A veces, el fabricante ganó ' t decirle a la persona promedio que llama a la manera de acceder a un ordenador portátil ' s disco
duro. Varios investigadores han tenido que ir a través de los contactos de la ley para obtener esta información - otro ejemplo de la
importancia de desarrollar buenas relaciones con la gente en todos los aspectos de la industria digital, no sólo a otros
investigadores.
investigaciones públicas implican las agencias gubernamentales responsables de las investigaciones y el procesamiento. Las agencias
gubernamentales van desde locales, del condado, y estado o departamentos de policía provinciales a las fuerzas federales de
regulación. Estas organizaciones deben observar las directrices legales, como el artículo 8 de la Carta de los Derechos de Canadá, la
Ley de Procedimiento Penal de la República de Namibia, y los problemas de Estados Unidos de la Cuarta Enmienda búsqueda y
captura ( véase la figura 1-6).
La ley de la búsqueda y captura protege los derechos de todas las personas, incluyendo (y quizás especialmente) las personas
sospechosas de delitos; como investigador equipo, debe estar seguro de seguir estas leyes. El Departamento de Justicia (DOJ)
actualiza la información sobre el equipo de búsqueda e incautación de forma regular (ver www.usdoj.gov/criminal/cybercrime/).
investigaciones públicas por lo general implican casos criminales y agencias gubernamentales; investigaciones privadas o corporativas, sin
embargo, hacer frente a las empresas privadas, agencias gubernamentales no aplicación de la ley, y los abogados. Estas organizaciones
privadas aren ' t gobernado directamente por derecho penal
o problemas de la Cuarta Enmienda, sino por las políticas internas que definen el comportamiento del empleado y la conducta esperada en el
lugar de trabajo. investigaciones corporativas privadas también pueden incluir un litigio.
Private or corporate organizations
10 Capítulo 1
Company policy violations
Litigation disputes
Government agencies
Article 8 in the Charter of Rights of Canada
U.S. Fourth Amendment search
and seizure rules
IIII
IAI
kk
Figura 1-5 investigaciones públicas y privadas
Aunque las investigaciones privadas se realizan normalmente en los casos civiles, un caso civil puede convertirse en un caso
criminal, y un caso criminal puede tener implicaciones que conducen a un caso civil. Si usted sigue los buenos procedimientos 1
forenses, la evidencia encontrada en sus investigaciones puede hacer la transición entre los casos civiles y penales.
Leyes,
NOTE incluidas las normas de procedimiento, varían según la jurisdicción y pueden ser muy diferentes. Por
lo tanto, este libro señala cuando los artículos aceptados en tribunales don ' t se levantan en otros tribunales.
Últimamente, un problema importante ha sido la Unión Europea las leyes de privacidad (UE) en oposición a
Como resultado, las investigaciones internas de la empresa pueden incluir leyes de varios países.
Los ordenadores y las redes podrían ser únicas herramientas utilizadas para cometer delitos y son, por lo tanto, no es diferente de
la ganzúa un ladrón utiliza para entrar en una casa. Por esta razón, muchos estados han añadido lenguaje específico para los
códigos penales para definir los delitos relacionados con las computadoras. Por ejemplo, han ampliado la definición de las leyes de
delitos como el robo a incluir la toma de datos desde un ordenador sin que el propietario ' s permiso, por lo que el robo de equipo es
ahora a la par con el hurto o robo de automóviles. Otros estados han establecido leyes penales específicas que abordan los delitos
relacionados con la informática, pero por lo general don ' t incluye temas relacionados con la informática en la transgresión estándar,
robo, vandalismo o robo leyes. El Computer Fraud and Abuse Act fue aprobada en 1986, pero las leyes estatales específicas Weren '
t formulated until later. To this day, many state laws on computer crime have yet to be tested in court.
Las computadoras están involucrados en muchos delitos graves. El más notorio son los relacionados con la explotación sexual de
menores. Las imágenes digitales se almacenan en los discos duros, discos Zip, disquetes, unidades USB, discos duros extraíbles, y otros
medios de almacenamiento y circulan en Internet. Otros delitos informáticos preocupación la desaparición de niños y adultos porque la
información sobre personas desaparecidas se encuentra a menudo en ordenadores. Los traficantes de drogas a menudo mantienen
información sobre las transacciones en sus ordenadores o asistentes digitales personales (PDA). Esta información es especialmente útil
porque ayuda a los agentes del orden condenar a la persona que detuvieron y localizar proveedores de drogas y otros distribuidores.
Además, en casos de acoso, eliminado el correo electrónico, fotos digitales, y otras pruebas almacenados en un ordenador puede ayudar
a resolver el caso.
12 Capítulo 1
Complaint
á k Investigation Prosecution
Una investigación criminal sólo puede comenzar cuando alguien encuentra evidencia de un acto ilegal o testigo de un acto
ilegal. El testigo o víctima (a menudo referido como el “ querellante “) hace una
alegación a la policía, una acusación o suposición de que un crimen ha sido cometido.
Un oficial de policía entrevistas del demandante y escribe un informe sobre el crimen. El departamento de policía procesa el informe, y
la gestión decide iniciar una investigación o registrar la información en una crónica roja. los crónica roja proporciona un registro de pistas
para los crímenes que se han cometido con anterioridad. Los delincuentes suelen repetir las acciones en sus actividades ilegales, y
estos hábitos pueden ser descubiertos mediante el examen de ficheros policiales. Este conocimiento histórico es útil al realizar
investigaciones, especialmente en los delitos de alta tecnología. Papel secante ahora son generalmente archivos electrónicos, a
menudo bases de datos, por lo que se pueden buscar con mayor facilidad que los viejos papeles secantes de papel.
No cada oficial de policía es un experto en informática. Algunos son principiantes equipo; otros podrían ser entrenados para
reconocer lo que pueden recuperar de un disco de computadora. Para diferenciar los responsables de la formación y la
experiencia han, CTIN ha establecido tres niveles de experiencia de la ley:
• Nivel 1 - La adquisición y la incautación de pruebas digitales, normalmente realizada por un oficial de policía en la escena.
• Nivel 2 - La gestión de las investigaciones de alta tecnología, enseñar a los investigadores qué pedir, y la comprensión de
la terminología informática y lo que puede y puede ' t ser recuperado de la evidencia digital. Los detectives asignados
normalmente manejan el caso.
• Nivel 3 - La formación de especialistas en la recuperación de evidencia digital, normalmente llevada a cabo por una recuperación de
datos o análisis forense experto en informática, medicina forense experto en redes, o investigador de fraudes de Internet. Esta persona
también podría ser calificado para manejar un caso, en función de sus antecedentes.
Preparación para investigaciones de equipos 13
Si tu ' re un investigador asignado al caso, reconocer el nivel de conocimientos de los agentes de policía y otras personas
involucradas en el caso. Usted debe tener una formación de nivel 3 para llevar a cabo la investigación y la gestión de los 1
aspectos de la informática forense el caso. Se empieza por evaluar el alcance del caso, que incluye el equipo ' s OS, el hardware
y los dispositivos periféricos. A continuación, determinar si los recursos están disponibles para procesar todas las pruebas. Por
ejemplo, la recopilación de pruebas es más difícil cuando la información se almacena en PDAs, teléfonos celulares y otros
dispositivos móviles. Determinar si tiene las herramientas adecuadas para recoger y analizar pruebas y si es necesario recurrir a
otros especialistas para ayudar en la recolección y procesamiento de pruebas. Después de haber reunido los recursos que
necesita, su papel es el de delegar, recopilar y procesar la información relacionada con la queja.
Después de construir un caso, la información es entregada al fiscal. Su trabajo está terminado cuando se han utilizado
todos los métodos conocidos y disponibles para extraer datos de la evidencia digital que fue capturado. Como investigador,
a continuación, debe presentar las pruebas recogidas con un informe al gobierno ' s abogado. Dependiendo de la comunidad
y de la naturaleza del delito, el fiscal puede ser un fiscal, fiscal de distrito, abogado del estado, fiscal del condado, el
abogado de la Corona, o el abogado de Estados Unidos.
En un caso criminal o público, si tiene suficiente información para apoyar una orden de registro, el fiscal podría dirigir a presentar una declaración
jurada. Esta declaración jurada de apoyo de los hechos sobre o evidencia de un crimen es sometido a un juez con la solicitud de una
orden de registro antes de apoderarse de pruebas. Figura 1-8 muestra una declaración jurada típico. Eso ' Es tu responsabilidad de
escribir la declaración jurada, que debe incluir exposiciones ( pruebas) que apoyan la alegación para justificar la orden. A continuación,
debe tener la declaración jurada notarial bajo juramento para verificar que la información en la declaración jurada es verdadera. (Se
aprende más sobre las declaraciones juradas en el capítulo 14.)
Date --
Después de un juez aprueba y firma una orden de registro, se ' S listo para ser ejecutado, lo que significa que puede
obtener pruebas según lo definido por la orden. Después de recopilar los datos, procesar y analizar para determinar si un
crimen ocurrido realmente. La evidencia puede ser presentada en la corte en una audiencia o juicio. Un juez o un juez
administrativo a continuación, rinde un juicio o un jurado dicta una veredicto ( después de lo cual el juez puede dictar un
fallo).
Malversación de fondos es un delito informático común, especialmente en las pequeñas empresas. Normalmente, el propietario está ocupado y
confía en una persona, tales como el gerente de la oficina, para manejar las transacciones diarias. Cuando el director de la oficina hojas, el
propietario descubre que algunos clientes se overbilled, otros no eran ' t factura a todo, algunos de los pagos no eran ' t acreditado, o existen
cuentas falsas. La reconstrucción de la papel y rastro electrónico puede ser tedioso. La recogida de pruebas suficientes para presentar cargos
podría estar más allá del propietario ' s capacidades.
sabotaje corporativo es más a menudo cometido por un empleado descontento. Por ejemplo, un empleado decide tomar un
trabajo en un competidor ' s firme y recopila los archivos confidenciales en una unidad de disco o USB antes de salir. Este tipo de
delito también puede conducir a espionaje industrial, que aumenta cada año.
Los investigadores pronto será capaz de llevar a cabo investigaciones digitales en el lugar sin un laboratorio y sin interrupción de los
empleados ' trabajar en un ordenador. Supongamos que un centro de atención asistida tiene un empleado involucrado en una estafa de
seguros que está cobrando de la compañía de seguros y luego canalizar el dinero en su cuenta bancaria. La instalación ' s servidor de
red mantiene un registro de pagos de los pacientes y la información crítica, tales como medicamentos, condiciones médicas y
tratamientos, para cada paciente. Tomando ese sistema fuera de línea durante más de un breve periodo de tiempo puede resultar en
daño a los pacientes. Por esta razón, los investigadores pueden ' t aprovechar la evidencia; en cambio, adquieren una imagen de disco
y cualquier otra información pertinente y permiten al sistema para volver en línea tan pronto como sea posible.
Las organizaciones pueden ayudar a prevenir y tratar estos delitos mediante la creación y distribución de políticas adecuadas, por lo que los
empleados tomen conciencia de las políticas y la aplicación de políticas.
i
un línea de autoridad para que una empresa para llevar a cabo las investigaciones internas. La línea de los estados de autoridad que
tiene el derecho legal de iniciar una investigación, que puede tomar posesión de pruebas, y quién puede tener acceso a las pruebas. 1
políticas bien definidas dan investigadores informáticos y examinadores forenses la autoridad para llevar a cabo una investigación. Las
políticas también demuestran que una organización tiene la intención de ser mentalidad justa y objetiva sobre la forma en que trata a los
empleados y establecen que la organización va a seguir el debido proceso para todas las investigaciones. ( “ Debido al proceso ” se refiere a
la justicia bajo la ley y está destinado a proteger a los inocentes.) Sin políticas definidas, una empresa corre el riesgo de exponerse a
juicios por parte de los empleados actuales o anteriores. La persona o comité encargado de mantenimiento de las políticas de las
empresas también deben mantenerse al día con las leyes locales, que pueden variar dependiendo de la ciudad, estado y país.
•x US Government Facility *J
OK
Un mensaje de advertencia se establece el derecho a realizar una investigación. Al mostrar un mensaje de advertencia fuerte, bien
redactada-, una organización poseer equipos informáticos doesn ' t necesidad de obtener una orden de allanamiento o una corte según
lo dispuesto en la Cuarta Enmienda de búsqueda y captura reglas para aprovechar el equipo. En una empresa con una política bien
definida, este derecho de inspeccionar o buscar a voluntad se aplica tanto a la actividad política de la empresa y violaciónes penal.
Tenga en cuenta, sin embargo, de que su país ' s leyes pueden ser diferentes. Por ejemplo, en algunos países, a pesar de que la
empresa tiene el derecho de tomar las computadoras en cualquier momento, si los empleados son sospechosos de un acto criminal,
deben ser informados en ese momento.
dieciséis Capítulo 1
los usuarios del sistema de ordenador pueden incluir a los empleados o invitados. Los empleados pueden acceder a la intranet, y los
huéspedes normalmente sólo pueden acceder a la red principal. Las empresas pueden utilizar dos tipos de banderas de advertencia: una
para el acceso de los empleados internos (acceso a la página web de la intranet) y otro para el acceso de visitantes externa (Internet acceso
a la página web). La siguiente lista recomienda frases para incluir en todas las banderas de advertencia. Antes de utilizar estas advertencias,
consultar con la organización ' Servicio Jurídico para otros avisos legales necesarios para su área de trabajo o departamento. Dependiendo
del tipo de organización, el siguiente texto puede ser utilizado en las banderas de advertencia internos:
• El uso de este sistema implica el consentimiento a seguimiento por parte del propietario.
• Los usuarios no autorizados o ilegales de este sistema o red estarán sujetos a la disciplina o el enjuiciamiento.
El NOTE
documento del Departamento de Justicia en www.usdoj.gov/criminal/cybercrime/ s y
Una organización como un colegio comunitario podría simplemente que los sistemas y redes están sujetas a la observación y
el seguimiento en cualquier momento porque los miembros de la comunidad local que aren ' t personal o los estudiantes
podrían utilizar las instalaciones. Una organización sin fines de lucro, por el contrario, podría tener información de propiedad
en su red y usar todas las frases sugeridas de la lista anterior.
Los clientes, como empleados de socios empresariales, podrían estar autorizados a utilizar el sistema. El texto que ' s visualiza
cuando un invitado intenta conectarse pueden incluir advertencias similares a los siguientes:
• Este sistema es sólo para uso autorizado; acceso no autorizado es una violación de la ley y los infractores serán
procesados.
• Toda la actividad, el software, el tráfico de red y comunicaciones están sujetas a supervisión. Como un investigador
informático corporativo, asegúrese de que una empresa muestra un mensaje de advertencia bien definido. Sin una bandera, su
autoridad para inspeccionar podría entrar en conflicto con el usuario ' s expectativa de privacidad, y un tribunal podría tener que
determinar la cuestión de la autoridad para inspeccionar. Las leyes estatales varían en la expectativa de privacidad, pero todos los
estados aceptan el concepto de una renuncia a la expectativa de privacidad. Además, la UE y sus países miembros imponen multas
estrictas para la información que cruza las fronteras nacionales sin que la persona ' s consentimiento. Así que si su empresa está
llevando a cabo una investigación en una subsidiaria en la UE, que podría no ser capaz de adquirir una unidad de red sin notificar a
ciertas partes o hacer formularios de consentimiento estén en su lugar.
Algunos podrían argumentar que las políticas escritas son todos los que están fuera necesario. Sin embargo, en el procesamiento real de casos,
las banderas de advertencia han sido críticos en la determinación de que un usuario del sistema didn ' t tiene una expectativa de privacidad de la
información almacenada en el sistema. Una advertencia
Preparación para investigaciones de equipos 17
bandera tiene la ventaja adicional de ser más fácil de presentar en el juicio como prueba de un manual de políticas. Las agencias
gubernamentales, tales como el Departamento de Energía, Argonne National Labs, y Lawrence Livermore Labs, ahora requieren 1
banderas de advertencia en todos los terminales de ordenador en sus sistemas. Muchas empresas también requieren banderas de
advertencia como parte del proceso de inicio de sesión / inicio.
• Auditoría interna
Todos los otros grupos, tales como el Departamento de Recursos Humanos, deben coordinar sus solicitudes a través del grupo de
investigaciones de seguridad corporativa. Esta política separa el proceso de investigación del proceso de disciplina de los
empleados.
• abuso de E-mail
• abuso de Internet
La mayoría de las investigaciones de un ordenador en el sector privado implican el uso indebido de los activos informáticos. Típicamente, este mal
uso se conoce como “ empleado violación de normas de la empresa. ” Informática quejas de abuso a menudo se centran en el correo electrónico y el
mal uso de Internet por los empleados, pero podría involucrar a otros recursos de computación, tales como el uso de software de la compañía para
producir un producto con fines de lucro personal. El alcance de una investigación de correo electrónico va desde el uso excesivo de una empresa ' s
e-mail
18 Capítulo 1
sistema para su uso personal para hacer amenazas o acoso a otros a través de correo electrónico. Algunos abusos de correo electrónico común
que se transmitan los mensajes ofensivos. Estos tipos de mensajes pueden crear una
ambiente de trabajo hostil que puede dar lugar a un empleado de presentar una demanda civil en contra de una empresa que no hace nada
para evitarlo (en otras palabras, condona implícitamente los abusos e-mail). investigadores informáticos también examinan el abuso de
Internet. Empleados ' abuso de los privilegios de Internet varía de un uso excesivo, como pasar todo el día la navegación por Internet, a la
visualización de imágenes pornográficas en la Web, mientras que en el trabajo. Un ejemplo extremo de abuso de Internet está viendo
contrabando (ilegales) imágenes pornográficas, tales como la pornografía infantil. Visualización de imágenes de contrabando es un delito
en la mayoría de las jurisdicciones, y los investigadores de informática debe manejar esta situación con el más alto nivel de
profesionalismo. Mediante la aplicación de la política de manera consistente, una empresa minimiza su riesgo de responsabilidad. El papel
de un examinador de la informática forense es dar a la gestión de información completa y precisa para que puedan verificar y corregir los
problemas de abuso en una organización. (En capítulos posteriores, se aprenden los procedimientos para la realización de este tipo de
investigaciones.)
Asegúrese de distinguir entre una empresa ' s abuse problems and potential criminal violations. Abuse problems
violate company policy but might not be illegal if performed at home. Criminal violations involve acts such as
industrial espionage, embezzlement, and murder. However, actions that seem related to internal abuse could also
have criminal or civil liability. Because any civil investigation can become a criminal investigation, you must treat
all evidence you collect with the highest level of security and accountability. Later in this book, you learn the
Federal Rules of Evidence (processes to ensure the chain of custody) and how to apply them to computing
investigations.
Del mismo modo, su investigación privada de la empresa podría parecer implicar un asunto civil, no criminal, pero a
medida que avanza a través de su análisis, es posible identificar un asunto penal, también. Debido a esta posibilidad,
siempre recuerde que su trabajo puede estar bajo el escrutinio del sistema legal civil o criminal. Las Reglas Federales
de Evidencia son los mismos para los asuntos civiles y penales. Mediante la aplicación de las normas a todas las
investigaciones de manera uniforme, se elimina cualquier preocupación. Estas normas se enfatizan lo largo de este
libro. Las empresas pueden aplicar un principio similar a la doctrina plata plato ( ya no está en vigor entre la aplicación de
la ley del estado y el gobierno federal) cuando un agente de investigación civil o corporativo proporciona evidencia a un
oficial de policía. Recuerde que un agente de policía es un agente de la ley. Un investigador corporativa ' s trabajo es
minimizar el riesgo de la empresa. Después de la vuelta a la evidencia de la policía y de comenzar a trabajar bajo su
dirección, se convierte en un agente de aplicación de la ley, sujeto a las mismas restricciones a la búsqueda y captura
como un agente de la ley. Sin embargo, un agente de la policía puede ' t pido que, como ciudadano privado, para obtener
elementos que requiere una orden judicial. Las reglas que controlan el uso de las pruebas presentadas por particulares
varían según la jurisdicción, a fin de comprobar la ley si ' re investigando un caso fuera de los Estados Unidos.
El litigio es costoso, así que después de que se han reunido pruebas, los empleados suelen ser ofensivos disciplinar o despedir
con un mínimo de fanfarria. Sin embargo, cuando se descubre que un acto criminal que involucra a una víctima de terceros se
ha comprometido, por lo general tiene una obligación legal y moral de convertir la información a las autoridades legales. En la
siguiente sección, se aprende acerca de las situaciones en las que la evidencia criminal debe ser separado de cualquier
información de propiedad corporativa.
El mantenimiento de Conducta Profesional 19
Supongamos ahora que la empresa dio al empleado la PDA como parte de un bono de vacaciones. ¿Pueden los derechos de
reclamación a la empresa el PDA? Cuestiones similares surgen cuando un empleado trae en una computadora portátil personal y lo
conecta a la red de la empresa. ¿Qué normas se aplican? A medida que las computadoras se vuelven más arraigada en la vida diaria, ' ll
encontrar estos temas más a menudo. Estas preguntas todavía se debaten, y las empresas están estableciendo sus propias políticas
para manejarlos. La política de seguridad es no permitir que los dispositivos de propiedad personal que va a conectar a los recursos
propiedad de la compañía, lo que limita la posibilidad de que se mezclen los datos personales y de empresa. Esta política puede ser
contraproducente; Sin embargo, los riesgos deben ser identificados y tratados en políticas de la empresa. Otras compañías se limitan a
afirmar que si se conecta un dispositivo personal a la red corporativa, que cae bajo las mismas reglas que la propiedad corporativa. En
el momento de escribir estas líneas, esta política aún no se ha probado en los tribunales.
Mantener la objetividad significa que debe formar y sostener opiniones imparciales de sus casos. Evitar hacer conclusiones
acerca de sus hallazgos hasta que haya agotado todos los cables razonables y consideró los datos disponibles. Su última
responsabilidad es encontrar evidencia digital para apoyar o refutar la alegación. Debe ignorar los prejuicios externos para
mantener la integridad de su determinación de los hechos en todas las investigaciones. Por ejemplo, si ' re empleado por un
abogado, no permita que el abogado ' s programa para dictar el resultado de su investigación. Su reputación y medios de vida a
largo plazo dependen de ser objetivo en todos los asuntos. También debe mantener una investigación ' s credibilidad
manteniendo el caso confidencial. Discutir el caso sólo con las personas que necesitan saber acerca de ella, como otros
investigadores involucrados en el caso o alguien en la línea de autoridad que pide una actualización. Si necesita
asesoramiento de otros profesionales, analizar sólo los términos generales y hechos sobre el caso sin mencionar detalles.
Todas las investigaciones que conducta debe ser confidenciales, hasta que se ' re designado como testigo o requerido por el
fiscal o el tribunal a conocer un informe.
20 Capítulo 1
En el entorno corporativo, la confidencialidad es crítica, especialmente cuando se trata de empleados que han sido despedidos.
El acuerdo entre la empresa y el empleado podría haber sido para representar la terminación como un despido o renuncia a
cambio de que no hay malas referencias. Si usted le da los detalles del caso y el empleado ' s nombre a los demás, su empresa
podría ser responsable por incumplimiento de contrato.
En algunos casos, su caso corporativa podría convertirse en un caso criminal tan grave como el asesinato. Debido al
sistema legal, que podrían pasar años antes de que el caso vaya a juicio. Si un investigador habla de la evidencia digital con
otros, el caso podría resultar dañado a causa de publicidad antes del juicio. Cuando se trabaja por un abogado en una
investigación, el fiscal del producto del trabajo regla y el privilegio abogado-cliente se aplican a todas las comunicaciones.
Esto significa que puede discutir el caso sólo con el abogado u otros miembros del equipo de trabajo con el abogado. Toda
la comunicación sobre el caso a otras personas requiere el abogado ' la aprobación s. Además de mantener la objetividad y
la confidencialidad, puede mejorar su conducta profesional, continuando su formación. El campo de la investigación forense
de ordenadores y está cambiando constantemente. Usted debe mantenerse al día con los últimos cambios técnicos en
hardware y software, redes y herramientas forenses. También debe conocer las últimas técnicas de investigación que
puede utilizar en sus casos.
Una manera de enriquecer su conocimiento de las investigaciones de equipos es para registrar sus métodos de investigación en una
revista. Un diario puede ayudarle a recordar cómo realizar tareas y procedimientos y el uso de herramientas de hardware y software.
Asegúrese de incluir las fechas y detalles importantes que sirven como disparadores de memoria. Desarrollar una rutina de revisar su
diario con regularidad para mantener sus logros anteriores fresco en su mente.
Para continuar con su formación profesional, debe asistir a talleres, conferencias y cursos de proveedores. También podría ser
necesario para continuar su educación formal. Usted mejorar su posición profesional si tiene al menos una licenciatura en
informática o un campo relacionado. Si tu no ' t tiene un grado avanzado, tenga en cuenta los estudios de posgrado en un área
complementaria de estudio, como derecho de los negocios o el comercio electrónico. Varios colegios y universidades ofrecen
ahora asociado ' s, licenciatura ' s, y el maestro ' s grados y programas de certificación en informática forense. Muchas empresas
están dispuestas a reembolsar sus gastos de educación, aunque algunos requieren el compromiso de un cierto período de
empleo a cambio.
Además de la educación y la formación, la pertenencia a organizaciones profesionales se suma a sus credenciales. Estas
organizaciones patrocinan a menudo ofrecen formación y el intercambio de información de las últimas mejoras técnicas y tendencias
en investigaciones de equipos. Además, mantenerse al día con los últimos libros y leer tanto como sea posible acerca de las
investigaciones de computación y medicina forense. Como una investigación forense informático y profesional, ' re espera mantener la
honestidad y la integridad. Debe conducirse con los más altos niveles de integridad en todos los aspectos de su vida. Cualquier
acción indiscretas pueden avergonzarte y dar oportunidades de abogados opuestos a desacreditar a usted durante su testimonio en
los tribunales o en las deposiciones.
■ Para ser un éxito informática forense investigador, debe estar familiarizado con más de una plataforma de 1
computación. Para complementar sus conocimientos, desarrollar y mantener el contacto con la computadora, la red y
los profesionales de investigación.
■ investigaciones informáticas públicas y privadas difieren, en que las investigaciones públicas suelen requerir una orden de
registro antes de apoderarse de la evidencia digital. La Cuarta Enmienda de la Constitución de Estados Unidos y la legislación
similar en otros países se aplican a la búsqueda e incautación gubernamental. Durante las investigaciones públicas, que la
búsqueda de evidencia para apoyar las alegaciones criminales. Durante las investigaciones privadas, que la búsqueda de
evidencia para apoyar las alegaciones de abuso de los activos y, en algunos casos, quejas criminales.
■ banderas de advertencia se deben utilizar para recordar a los empleados y visitantes de política de la empresa en el ordenador, el correo
electrónico y el uso de Internet.
■ Las empresas deben definir y limitar el número de solicitantes autorizados que pueden iniciar una investigación.
■ informática forense investigadores deben mantener una conducta profesional para proteger su credibilidad.
Términos clave
declaración jurada El documento, dado bajo pena de perjurio, que los investigadores crean a los detalles de sus hallazgos. Este documento se utiliza a
menudo para justificar la emisión de una orden judicial o para hacer frente a los abusos en una corporación.
alegación Un cargo hecho contra alguien o algo antes de la prueba ha sido encontrado.
solicitante autorizado En un entorno corporativo, la persona que tiene el derecho a solicitar una investigación,
como el jefe de seguridad o el director de inteligencia.
informática forense El proceso de aplicación de métodos científicos para recopilar y analizar datos e información que puede
ser utilizada como prueba.
investigaciones de equipos La realización de análisis forense de sistemas sospechosos de contener evidencia relacionada con un
incidente o un crimen.
Los investigadores red de ordenadores Tecnología (CTIN) Un grupo sin fines de lucro con sede en Seattle -
Tacoma, WA, compuesto por miembros del orden, los profesionales de seguridad privada corporación, y otros
profesionales de la seguridad, cuyo objetivo es mejorar la calidad de las investigaciones de alta tecnología en el
noroeste del Pacífico.
recuperación de datos Un campo de especialidad en la que las empresas recuperar archivos que fueron borrados accidentalmente o
intencionadamente.
recuperación de desastres Un campo de especialidad en la que las empresas realizan copias de seguridad en tiempo real, el seguimiento,
entorno de red empresarial Un gran sistema informático corporativo que puede incluir sistemas anteriormente
independientes.
22 Capítulo 1
cuarta Enmienda La Cuarta Enmienda de la Constitución de Estados Unidos en la Declaración de Derechos dicta que el gobierno y
sus agentes deben tener una causa probable para la búsqueda y captura.
Asociación de Alta Tecnología de Investigación Criminal (HTCIA) Una asociación sin fines de lucro para la resolución de delitos
informáticos internacionales.
ambiente de trabajo hostil Un entorno en el que los empleados no pueden realizar sus funciones asignadas a causa de las acciones de los
demás. En el lugar de trabajo, estas acciones incluyen el envío de correo electrónico amenazante o degradante o un compañero de
trabajo ver sitios pornográficos o de odio.
acusador La evidencia indica que un sospechoso es culpable del delito que se le imputa.
Asociación Internacional de Especialistas en Investigación Informática (SIAL) Una organización creada para proporcionar formación y
software para la aplicación de la ley en el campo de la informática forense.
línea de autoridad El orden en el que las personas o posiciones son notificados de un problema; estas personas o posiciones
tienen el derecho legal de iniciar una investigación, tomar posesión de las pruebas, y tienen acceso a las pruebas.
litigio El proceso legal que conduce a un proceso con el fin de probar la responsabilidad penal o civil.
detección de intrusiones de red y de respuesta a incidentes La detección de ataques de intrusos mediante el uso de herramientas
automatizadas; también incluye el proceso manual de registros del cortafuegos de la red de monitoreo.
notarial Después de haber presenciado un documento y una persona claramente identificada como el firmante por un notario público.
crónica roja Un registro de la actividad criminal que las fuerzas del orden pueden utilizar para revisar los tipos de delitos que
se cometen actualmente.
conducta profesional Comportamiento que se espera de un empleado en el lugar de trabajo o en otro entorno profesional.
derecho de privacidad Los empleados tienen la creencia de que sus transmisiones en el trabajo están protegidos.
búsqueda y captura El acto jurídico de adquisición de pruebas para una investigación. Ver también Cuarta Enmienda.
órdenes de registro Los documentos legales que permiten a la policía para buscar una oficina, un lugar de negocios, u otra configuración
regional para las pruebas relacionadas con un presunto delito.
doctrina plata plato Una ya no está en efecto que permitía a un agente de la ley del estado para pasar las pruebas obtenidas
de forma ilegal al gobierno federal y permitió el enjuiciamiento federal el uso de pruebas de que la política.
evaluación de la vulnerabilidad y gestión de riesgos El grupo que determina los puntos más débiles en un sistema. Cubre la
seguridad física y la seguridad de los sistemas operativos y aplicaciones.
bandera de advertencia Texto que aparece en la pantalla del ordenador cuando la gente se conecta a un ordenador de la empresa;
este texto establece la propiedad del equipo y especifica el uso adecuado de la máquina o el acceso a Internet.
Preguntas de revisión 23
Preguntas de revisión 1
1. Lista dos organizaciones mencionadas en el capítulo que proporcionan formación en informática forense.
2. Informática forense y recuperación de los datos se refieren a las mismas actividades. ¿Verdadero o falso?
3. La policía en los Estados Unidos deben utilizar procedimientos que se adhieren a cuál de las siguientes?
a. tercera Enmienda
6. Un investigador social debe seguir las normas de la Cuarta Enmienda al llevar a cabo una investigación.
¿Verdadero o falso?
10. banderas de advertencia son a menudo más fácil de presentar en la corte de manuales de políticas son. ¿Verdadero o falso?
12. Lista de dos tipos de investigaciones de equipos realizan normalmente en el entorno corporativo.
15. Las leyes y los procedimientos para PDA son cuál de las siguientes?
a. bien establecida
segundo. Todavía se debate
16. ¿Por qué las empresas nombrar a un solicitante autorizado para investigaciones de equipos?
Proyectos prácticos
o dos páginas que resumen los dos artículos e identificar las características clave de las decisiones que usted encuentra en su
búsqueda.
Sabe usted está tomando un curso de informática forense. Preguntar lo que la unidad ' políticas y
procedimientos son s, y luego escribir una o dos páginas que resume sus hallazgos. 1
%
Proyectos de casos
22
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y
ordenador
ordenador O OOi
100001110110101
10000111011010101
comprensión
comprensión1l>1010 ,'10 1111010101101010101
O'I 01/
investigaciones rv* 01111000011101...
11000011101 —010100
• Explicar los requerimientos para las estaciones de trabajo de recuperación de datos y software
En este capítulo se ofrece una visión general de cómo manejar una investigación de la computación. Tú
aprender acerca de los problemas y retos examinadores forenses se enfrentan a la hora de preparar e
investigaciones de procesamiento, incluyendo las ideas y preguntas que deben considerar.
Como un usuario básico de la computadora, puede resolver la mayoría de problemas de software, trabajando con una herramienta de interfaz gráfica
de usuario. Un profesional de la medicina forense, sin embargo, tiene que interactuar con los niveles primario del sistema operativo que son más
fundamentales que lo que se puede acceder con la interfaz gráfica de usuario. Algunas herramientas de software de informática forense implican
trabajar en la línea de comandos, y usted debe aprender a utilizar estas herramientas ya que en algunos casos, la línea de comandos es su única
opción. Apéndice D incluye ejemplos de cómo utilizar las herramientas de análisis forense de DOS.
En este capítulo, se trabaja con imágenes de disco forenses de pequeñas unidades USB para realizar las actividades y proyectos en este
capítulo. Después de saber cómo buscar y encontrar datos en un dispositivo de almacenamiento de pequeño, puede aplicar las mismas
técnicas para un disco grande.
Di Ay
2
,I
El detective principal en el caso de que quiera examinar el equipo para buscar y organizar los datos que podrían ser evidencia
de un crimen, como los archivos que contiene los nombres del vendedor de drogas ' s contactos. El oficial de adquisiciones le da
la documentación de los artículos oficiales investigadores recogieron con el ordenador, incluyendo una lista de otros medios de
almacenamiento, como discos extraíbles y CD. El oficial de adquisiciones también señala que el equipo es un sistema de
Windows XP y la máquina estaba funcionando cuando se descubrió. Antes de apagar el ordenador, el funcionario de
adquisiciones fotografías todas las ventanas abiertas en el escritorio de Windows, incluyendo uno que muestra el Explorador de
Windows, y le da las fotos. (Antes de apagar el ordenador, una adquisición en vivo se debe hacer para capturar la memoria
RAM, también. Este procedimiento se discute en el capítulo 11.)
Como un investigador de la informática forense, que ' re agradecidos a los oficiales siguieron el procedimiento adecuado durante la
obtención de pruebas. Con la evidencia digital, se ' Es importante darse cuenta de la facilidad con que los datos clave, como la última fecha
de acceso, pueden ser alterados por un investigador que overeager ' s por primera vez en la escena. El Departamento de Justicia (DOJ)
tiene un documento se puede descargar que revisa la adquisición adecuada de pruebas electrónicas, incluyendo la búsqueda y captura de
los ordenadores ( www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm). Si este enlace ha cambiado debido a las actualizaciones del
sitio, utilice la función de búsqueda.
En su evaluación preliminar, se asume que los medios de almacenamiento en disco y duros incluyen archivos intactos, tales como
mensajes de correo electrónico, archivos eliminados, y los archivos ocultos. Una gama de software está disponible para su uso en su
investigación; su oficina utiliza la herramienta de Caminos Tecnología ProDiscover.
Este
NOTEcapítulo es una introducción a los principios aplicados a la informática forense. En el
capítulo 7, se aprende las fortalezas y debilidades de varios paquetes de software.
30 Capitulo 2
Debido a que algunos casos se trata de equipos que ejecutan sistemas operativos legado, las versiones
anteriores de herramientas a menudo necesitan ser utilizado en investigaciones forenses. Por ejemplo, Norton
DiskEdit es una herramienta antigua que era la última disponible en el Norton System Works 2000 CD.
Después de su evaluación preliminar, a identificar los retos potenciales en este caso. Debido a que los traficantes de drogas Don ' t
suele hacer que la información sobre sus cómplices disponibles, los archivos en el disco que ha recibido son probablemente contraseña
protegida. Puede que tenga que adquirir
de violación de contraseñas de software o encontrar un experto que puede ayudar a descifrar un archivo. Más tarde, realizar los pasos
necesarios para investigar el caso, incluyendo la forma de abordar los riesgos y obstáculos. A continuación, puede comenzar la investigación y
El entrenador Steve Billings ha estado recibiendo quejas de los clientes sobre el rendimiento en el trabajo de uno de sus
representantes de ventas, George Montgomery. George ha trabajado como representante durante varios años. Él ' Ha sido
ausentarse del trabajo durante dos días, pero hasn ' t se reportó enfermo o le dijo a nadie por qué wouldn ' t estar en el trabajo. Otro
empleado, Martha, también está desaparecido y hasn ' t informó a nadie de la razón de su ausencia. Steve le pide al Departamento
de Tecnología de la confiscación de George ' s disco duro y todos los medios de almacenamiento en su área de trabajo. Quiere
saber si existe ' s ninguna información sobre George ' s ordenador y medios de almacenamiento que podrían ofrecer una pista a
George ' s paradero y los problemas de rendimiento de trabajo. Para ayudar a determinar George y Martha ' s paradero, se debe
adoptar un enfoque sistemático, que se describe en la siguiente sección, para examinar y analizar los datos que se encuentran en
George ' s escritorio.
• Realizar una evaluación inicial sobre el tipo de caso que usted ' re investigar - Para evaluar el tipo de caso que usted ' re
manejo, hablar con otras personas involucradas en el caso y hacer preguntas sobre el incidente. Tienen aplicación de la
ley o de seguridad de la empresa ya los oficiales confiscaron el ordenador, discos y otros componentes? Qué se necesita
para visitar una oficina o en otro lugar? Fue la computadora utilizada para cometer un delito, o contiene evidencia acerca
de otro crimen?
• Determinar un diseño preliminar o enfoque para el caso - Delinear los pasos generales que debe seguir para investigar
el caso. Si el sospechoso es un empleado y lo que necesita para adquirir su sistema, determinar si puede hacerse con
el equipo durante las horas de trabajo o tienen que esperar hasta la noche o los fines de semana. Si tu ' la preparación
de un nuevo
Tomando un enfoque sistemático 31
=
caso criminal, determinan lo que los agentes del orden la información que ya se han reunido.
• Crear una lista detallada - Refinar el esquema general mediante la creación de una lista detallada de los pasos y una cantidad
estimada de tiempo para cada paso. Este esquema le ayuda a mantenerse en el camino durante la investigación. 2
• Determinar los recursos que necesita - Basado en el sistema operativo del ordenador que ' re investigar, enumerar el software que
va a utilizar para la investigación, tomando nota de cualquier otro software o herramientas que pueda necesitar.
• Obtener y copiar una unidad de pruebas - En algunos casos, es posible que apoderarse de varios equipos, junto
con los discos Zip, Jaz, CD, unidades USB, PDAs y otros medios extraíbles. (Para los ejemplos de este
capítulo, ' re utilizando sólo las unidades USB.) Haga una copia forense del disco.
• Identificar los riesgos - Enumerar los problemas que normalmente se esperaría en el tipo de caso que usted ' volver a la manipulación. Esta
lista se conoce como una evaluación de riesgo estándar. Por ejemplo, si el sospechoso parece bien informado acerca de las
computadoras, él o ella podría haber establecido un esquema de inicio de sesión que se apaga el ordenador o sobrescribe los datos del
disco duro cuando alguien trata de cambiar la contraseña de inicio de sesión.
• Mitigar o reducir al mínimo los riesgos - Identificar cómo puede minimizar los riesgos. Por ejemplo, si ' volver a trabajar con
un equipo en el que el sospechoso es probable que haya passwordprotected el disco duro, puede hacer varias copias de
los medios originales antes de comenzar. A continuación, si se destruye una copia durante el proceso de recuperación
de la información del disco, que tiene copias adicionales.
• Probar el diseño - Revisar las decisiones que ' he hecho y los pasos que ' he completado. Si ya ha copiado los medios
originales, una parte estándar de probar el diseño consiste en comparar los valores hash (que se analizan en los
capítulos 4 y 5) para asegurarse de que ha copiado el medio original correctamente.
• Analizar y recuperar la evidencia digital - El uso de las herramientas de software y otros recursos le ' he recogido, y
asegurarse de que ' hemos abordado los riesgos y obstáculos, examine el disco para encontrar la evidencia digital.
• Investigar los datos que se recupere - Ver la información recuperada desde el disco, incluyendo los archivos existentes, archivos
borrados, y el correo electrónico, y organizar los archivos para ayudar a probar el sospechoso ' s culpabilidad o inocencia.
• Completar el informe del caso - Escribir un informe completo que detalla lo que hizo y lo que ha encontrado.
• Criticar el caso - La autoevaluación es una parte esencial del crecimiento profesional. Después de completar un
caso, lo examinará para identificar las decisiones y acciones de éxito y determinar cómo se podría haber mejorado
su rendimiento.
La cantidad de tiempo y esfuerzo que puso en cada paso varía, dependiendo de la naturaleza de la investigación. Por ejemplo, en
la mayoría de los casos, es necesario crear un plan de investigación simple para que usted don ' t dan ningún paso. Sin embargo, si
un caso tiene que ver con muchas computadoras cuestiones complejas para identificar y examinar, un plan detallado con la revisión
periódica y actualizaciones es esencial. Un enfoque sistemático ayuda a descubrir la información que necesita para su caso, y se
debe reunir la mayor cantidad de información posible.
32 Capitulo 2
Para todas las investigaciones de computación, debe estar preparado para lo inesperado, lo que siempre debe tener un plan de
contingencia para la investigación. Un plan de contingencia puede consistir en cualquier cosa para ayudarle a completar la
investigación, de las herramientas de software y hardware alternativa a otros métodos de aproximación a la investigación.
La evaluación de la Caja
Como se ha mencionado, la identificación de requisitos del caso consiste en determinar el tipo de caso que usted ' re investigar. Si lo
hace, significa que debe perfilar los detalles del caso de manera sistemática, incluyendo la naturaleza del caso, el tipo de evidencia
disponible, y la ubicación de las pruebas. En el caso de violación de empresa-política, se le ha pedido que investigue George
Montgomery. Steve Billings tenía el Departamento de TI confiscar todas George ' medios de almacenamiento s que podrían contener
información sobre su paradero. Después de hablar con George ' s compañeros de trabajo, Steve supo que George ha estado llevando
a cabo un negocio personal en el lado usando computadoras de la compañía. Por lo tanto, el enfoque del caso ha pasado de ser una
persona desaparecida a un posible abuso de los empleados de los recursos corporativos. Puede comenzar a evaluar este caso de la
siguiente manera:
• Naturaleza del caso - negocio secundario a cabo sobre el empleador ' s ordenador.
• Detalles del caso - Según los informes, el empleado está llevando a cabo un negocio secundario en su patrón ' s equipo que implica
el registro de nombres de dominio para los clientes y la creación de sus sitios web en los ISPs locales. Los compañeros de trabajo
se han quejado de que él ' s pasado demasiado tiempo en su propio negocio y no realizar sus tareas de trabajo asignadas. política
de la compañía afirma que todos los activos informáticos propiedad de la compañía están sujetos a la inspección de gestión de la
empresa en cualquier momento. Los empleados tienen ninguna expectativa de privacidad cuando se opera los sistemas
informáticos de la compañía.
• Localización de pruebas - Una unidad USB recuperado del empleado ' s equipo asignado.
Sobre la base de estos datos, puede determinar los requisitos del caso. Ahora ya sabe que la naturaleza del caso implica abuso de los
empleados de los activos de la empresa y tiene ' re buscando evidencia de que un empleado estaba llevando a cabo un negocio
secundario utilizando su patrón ' s de computadoras. En la unidad USB recuperado de George ' s ordenador, ' re buscando cualquier
información relacionada con los sitios Web, ISP, o nombres de dominio. Usted sabe que el sistema operativo del ordenador es Windows
XP y la unidad USB utiliza el sistema de archivos FAT16. Para duplicar la unidad USB y encontrar los archivos borrados y ocultos, se
necesita una herramienta informática forense fiable. Debido a que la unidad USB ya se ha recuperado, usted no ' t necesidad de
aprovechar la unidad usted mismo.
Se llama a este caso el caso de nombres de dominio y determina que su tarea consiste en recopilar datos de los medios de
almacenamiento incautados a confirmar o negar la afirmación de que George está llevando a cabo un negocio secundario en horas de
trabajo y ordenadores. Recuerde que él ' s sospecha solamente del abuso de activos, y la evidencia se obtiene puede ser exculpatoria - lo
que significa que podría demostrar su inocencia. Siempre hay que mantener una perspectiva imparcial y ser objetivo en sus
FACT-hallazgos. Si usted es sistemática y exhaustiva, se ' re mayor probabilidad de producir resultados fiables.
Tomando un enfoque sistemático 33
Planificación de la Investigación
Ahora que ha identificado las necesidades de cada caso de nombres de dominio, usted puede planear su investigación.
Usted ya ha determinado el tipo de pruebas que necesita; Ahora usted puede identificar los pasos específicos para reunir las
pruebas, establecer una cadena de custodia, y llevar a cabo el análisis forense. Estos pasos se convierten en el plan básico 2
para su investigación e indican lo que debe hacer y cuándo. Para investigar el caso de nombres de dominio, debe realizar los
siguientes pasos generales. La mayoría de estos pasos se explican con más detalle en las siguientes secciones.
7. Haga una copia forense de la unidad de pruebas (en este caso, la unidad USB).
El contenedor seguro aprobado que necesita en el paso 4 debe ser una, armario ignífugo
bloqueado o armario que tiene un acceso limitado. El acceso limitado significa que sólo
usted y otro personal autorizado puede abrir el contenedor de pruebas.
La primera regla para todas las investigaciones es el de preservar la evidencia, lo que significa que no debe ser alterado o
contaminado. Debido a que el personal del Departamento de TI confiscó los medios de almacenamiento, tiene que ir a ellos para
la evidencia. El gerente del Departamento de TI confirma que el soporte de almacenamiento se ha encerrado en un armario
seguro ya que se recupera de George ' s escritorio. Tenga en cuenta que a pesar de que este caso es un asunto de política
corporativa, muchos casos son expulsados debido a que la cadena de custodia puede ' t ser probado o se ha roto. Cuando esto
sucede, hay ' s la posibilidad de que las pruebas se ha visto comprometida.
Para documentar la evidencia, grabar detalles acerca de los medios de comunicación, incluidos los que se recuperó la evidencia y
cuándo y quién la poseía y cuándo. utilice una formulario de custodia pruebas, también llamada una forma de cadena de pruebas, lo
que le ayuda a documentar lo que tiene y no se ha hecho con la evidencia original y las copias de las pruebas forenses. Dependiendo
de si se ' volver a trabajar en la aplicación de la ley o de seguridad privada de la empresa, puede crear un formulario de custodia
pruebas para adaptarse a su medio ambiente. Esta forma debe ser fácil de leer y usar. Puede contener información para una o varias
piezas de evidencia. Considerar la creación de una
forma de una sola evidencia ( que enumera cada elemento de prueba en una página separada) y una forma multievidence ( véase la
Figura 2-2), en función de las necesidades administrativas de su investigación. Si es necesario, documentar cómo utilizar el formulario
de custodia de pruebas. instrucciones claras ayudan a los usuarios siguen siendo coherentes al rellenar el formulario y asegurar que
todo el mundo utiliza las mismas definiciones para objetos recogidos. La estandarización ayuda a mantener una calidad constante para
todas las investigaciones y evitar confusiones y errores acerca de la evidencia recoja.
Corporation X
34 Capitulo 2 Security ln\f.ti»aliuiii
Thu form i* to he uÿcd lot one to ten pieces of evidence
C**c No Invert looting
Organi/alio»
Invcnigtfor
Naluro of tW.
I/.«cation wtvcrc
CMtlctKC WAN
«framed
Unonption of c\ ¡deuce Vendor Nan* Model No Serial No.
Item =1
Item *2
Item
Item «4
Item »?
Item ~i>
Item =7
Item =8
Item =*?
Item =10
t\ idciwe »atc& Time:
Recovered by
Evidence fíate & Time:
li ved in Ixvker
Tage ol
Figura 2-2 Una forma de múltiples pruebas de la muestra utilizada en un entorno corporativo
• La investigación de la organización - El nombre de su organización. En las grandes empresas con instalaciones globales,
varias organizaciones podrían ser la realización de investigaciones en diferentes áreas geográficas.
• Investigador - El nombre del investigador asignado al caso. Si se asignan muchos investigadores, especificar el
investigador principal ' nombre de.
• Naturaleza de los argumentos - Una breve descripción del caso. Por ejemplo, en el entorno corporativo, podría ser “ La
recuperación de datos para los litigios corporativos ” o “ política empleado caso de violación. ”
• se obtuvo evidencia de ubicación - El lugar exacto donde se recogió la evidencia. Si tu ' re el uso de
formularios de varias pruebas, una nueva forma debe ser creado para cada ubicación.
• Descripción de las pruebas - Una lista de los elementos de las pruebas, tales como “ disco duro, 20 GB ”
o “ una unidad USB, 128 MB. ” En una forma de múltiples pruebas, escribir una descripción de cada una de las
pruebas que adquiera.
• Nombre del vendedor - El nombre del fabricante de la prueba informática. Lista de un disco duro de 20 GB, por ejemplo,
como Maxtor 20 GB de disco duro, o describir una unidad USB como una
Tomando un enfoque sistemático 35
=
Agregado de 1 GB PNY Technologies unidad. En capítulos posteriores, se ve cómo las diferencias entre los fabricantes pueden
afectar la recuperación de datos.
• número de modelo o número de serie - Detalle el número de modelo o de serie (si está disponible) del componente de la
computadora. Muchos componentes del ordenador, incluyendo discos duros, chips de memoria y tarjetas de ranura de 2
expansión, tienen números de modelo, pero no números de serie.
• La evidencia recuperada por - El nombre del investigador que se recuperó la evidencia. La cadena de custodia
de pruebas comienza con esta información. Si inserta su nombre, por ejemplo, ' re declarando que ha tomado
el control de las pruebas. Eso ' Ahora es su responsabilidad asegurarse de que nada daña la evidencia y nadie
interfiera con ella. La persona que coloca su nombre en esta línea es responsable de la conservación, el
transporte, y la obtención de las pruebas.
• Fecha y hora - La fecha y hora de la prueba fue detenido. Esta información establece exactamente
cuando la cadena de custodia se inicia.
• Evidencia colocado en el armario - Especifica que aprobaron contenedor seguro se utiliza para almacenar las pruebas y
cuando las pruebas se colocó en el recipiente.
• Artículo # / Evidencia procesado por / Disposición de pruebas / Fecha / Hora - Cuando usted u otro
investigador autorizado, recupera la evidencia del armario de pruebas para el procesamiento y análisis,
enumerar el número de artículo y su nombre, y luego describir lo que se hizo a la evidencia.
• Página - Los formularios utilizados para catalogar todas las pruebas para cada lugar deben tener números de página.
Enumerar el número de página, e indicar el número total de páginas para este grupo de pruebas. Por ejemplo, si recogido
15 piezas de evidencia en una ubicación y su forma tiene sólo 10 líneas, es necesario llenar dos formularios de varias
pruebas. La primera forma se observa como “ Página 1 de 2, ” y la segunda página se observa como “ Página 2 de 2. ”
La Figura 2-3 muestra una forma de una sola evidencia, que enumera sólo una pieza de evidencia por página. Esta forma le da
más flexibilidad en el seguimiento de piezas separadas de pruebas para su registro chainof custodia. También dispone de más
espacio para las descripciones, lo cual es útil al finalizar la investigación y la creación de un informe del caso. Con esta forma, se
puede explicar con precisión lo que se hizo a la evidencia y lo que se encontró. Utilizar formas de evidencia como una referencia
para todas las acciones tomadas durante su análisis de investigación.
Se puede utilizar tanto de múltiples pruebas y formas de una sola evidencia en su investigación. Mediante el uso de dos formas, se puede
mantener la forma de un solo pruebas con las pruebas y la forma de múltiples pruebas en su expediente informe. Dos formas también
proporcionan redundancia que puede ser utilizado como un control de calidad para sus pruebas.
Seguridad de su Evidencia
El cálculo de la demanda de las investigaciones que ajuste sus procedimientos para adaptarse al caso. Por ejemplo, si la evidencia para
un caso incluye un sistema informático completo y los medios de almacenamiento asociados, tales como disquetes, Zip y cartuchos Jaz,
4 mm DDS cinta de audio digital (DAT), y unidades USB, debe ser flexible cuando su cuenta para todos estos artículos. Alguna evidencia
es lo suficientemente pequeño como para caber en una bolsa de pruebas. Otros elementos, como el gabinete de CPU, monitor, teclado
e impresora, son demasiado grandes.
Para proteger y catalogar las pruebas contenidas en los componentes de ordenadores grandes, puede utilizar grandes bolsas de
evidencia, cintas, etiquetas, etiquetas y otros productos de alimentación de la policía
Metropolis Police Bureau
36 Capitulo 2 High-tech Investigations Unit
11113! fomi is ID be used for only one pieoc of evidence.
I ill HIi ii MTixir.iic Min for each piece of evidence
IWMn.:
* l'ml Number:
Invtuijmtiir:
Nature of C *e.
Locaiiun where
CVHÍCIRV WÜ»
licm
n> * I'Xwcriptiiin «it evidence: Vcwdie Same Nhilcl No/Scml No.
vendors or office supply stores. When gathering products to secure your computer evidence, make sure they are
safe and effective to use on computer components. Be cautious when handling any computer component to avoid
damaging the component or coming into contact with static electricity, which can destroy digital data. For this
reason, make sure you use antistatic bags when collecting computer evidence. Consider using an antistatic pad
with an attached wrist strap, too. Both help prevent damage to computer evidence. Be sure to place computer
evidence in a well-padded container. Padding prevents damage to the evidence as you transport it to your secure
evidence locker, evidence room, or computer lab. Save discarded hard drive boxes, antistatic bags, and packing
material for computer hardware when you or others acquire computer devices.
Porque no puede ser que haya todo lo necesario para asegurar su evidencia, hay que improvisar. Asegurar evidencia requiere a
menudo la construcción de contenedores seguros. Si el componente de equipo es grande y contenida en su propia carcasa, como
un gabinete de CPU, puede utilizar la cinta de pruebas para sellar todas las aberturas en el gabinete. La colocación de cinta de
evidencia con más compartimientos de unidades, ranuras de inserción de cables de alimentación y cables USB, y cualquier otra
abertura garantiza la seguridad de las pruebas. Como práctica estándar, usted debe escribir sus iniciales en la cinta antes de
aplicarlo a la evidencia. Esta práctica hace que sea posible probar en corte que la evidencia hasn ' t sido manipulado porque el
couldn carcasa ' t se han abierto ni podría eléctricas han sido suministrado a la carcasa cerrada con esta cinta en su lugar. Si la cinta
había sido reemplazado, sus iniciales wouldn ' t estar presente, lo que indicaría la manipulación. Si transporta un caso de la CPU,
colocar nuevos discos en las unidades de disco para reducir posibles daños unidad mientras ' volver a desplazar el ordenador.
Procedimientos para las investigaciones-corporativo de alta tecnología 37
s:
Los componentes del equipo requieren intervalos de temperatura y humedad específicas. Si se ' S, componentes informáticos, caliente, húmedo o
demasiado fríos y los medios magnéticos pueden estar dañados. Incluso los asientos de coche con calefacción pueden dañar los medios digitales, y
la colocación de una computadora en la parte superior de una radio de coche de dos vías en el maletero pueden dañar los medios magnéticos. Al
2
recoger evidencias ordenador, asegúrese de que tiene un ambiente seguro para el transporte y almacenamiento hasta un recipiente de pruebas
seguro está disponible.
• Su herramienta de análisis forense ordenador preferido (ProDiscover, Forensic Toolkit, EnCase, X-Ways
Forense, y así sucesivamente)
1. Utilizar las técnicas de análisis forenses estándar y procedimientos descritos en este libro para el examen de la unidad
de disco.
2. El uso de herramientas tales como DataLifter o Forensic Toolkit ' s opción de búsqueda de palabras clave de Internet,
3. Póngase en contacto con el administrador de firewall de red y solicitar un registro del servidor proxy, si ' s
disponibles, del equipo sospechoso ' s nombre del dispositivo de red o la dirección IP para las fechas de interés.
Consulte con su organización ' s administrador para confirmar que la red
38 Capitulo 2
estos registros se mantienen y el tiempo que el tiempo de vida (TTL) está fijado para la red ' s asignaciones de direcciones IP
que utilizan el protocolo de configuración dinámica de host (DHCP).
4. Comparar los datos recuperados de análisis forense a los datos de registro del servidor proxy para confirmar que
coinciden.
5. Si los datos de URL coincide con el registro del servidor proxy y el examen forense de disco, Continuar con el análisis del
ordenador sospechoso ' s de datos de transmisión, y recogen las imágenes inapropiadas descargados relevantes o páginas Web
que soportan la acusación. Si no hay ninguna coincidencia entre los registros del servidor proxy y el examen forense no muestra
evidencia contribuyendo, informar que la acusación es infundada. Antes de investigar un caso de abuso de Internet, la investigación
de su estado o país ' s leyes de privacidad. Muchos países tienen leyes de privacidad únicas que restringen el uso de los datos de
registro del ordenador, como los registros del servidor proxy o archivos de caché de disco, para cualquier tipo de investigación.
Algunas leyes estatales o federales podrían reemplazar a su organización ' políticas s empleados. Siempre consulte con su
organización ' s abogado. Para las empresas con operaciones comerciales internacionales, la jurisdicción es un problema; lo que es
legal en los Estados Unidos, tales como el examen y la investigación de un registro del servidor proxy, podría no ser legal en
Alemania, por ejemplo. Para las investigaciones en las que doesn el registro de servidor proxy ' t coincide con el análisis forense
encontró que los datos inapropiados, continuar con el examen de la computadora sospechoso ' la unidad de disco s. Determinar
cuando los datos inapropiada fue descargado en el ordenador y si fue a través de una organización ' s conexión de intranet a
Internet. Los empleados podrían haber utilizado su empleador ' s computadoras portátiles para conectarse a sus propios
proveedores de Internet para descargar contenido web inapropiado. Para estas situaciones, es necesario consultar a su
organización ' directrices de política s empleado para lo ' s considerado el uso apropiado de la organización ' s activos informáticos.
• Una copia electrónica de la dirección de correo infractor que contiene datos de cabecera del mensaje; consulte con el administrador del
• Si, correo electrónico registros de registro del servidor disponibles; consulte con el administrador del servidor de correo electrónico para ver
si están disponibles
• Para los sistemas de correo electrónico que almacenan los usuarios ' mensajes en un servidor central, el acceso al servidor; consulte con el
administrador del servidor de correo electrónico
• Para los sistemas de correo electrónico que almacenan los usuarios ' mensajes en una computadora como un .pst de Outlook o un archivo
.ost, por ejemplo, el acceso a la computadora para que puedan realizar un análisis forense en él
1. Para los archivos de datos de correo electrónico basados en computadoras, como Outlook archivos .pst o .ost, utilice las técnicas de
análisis forenses estándar y procedimientos descritos en este libro para el examen de accionamiento.
Procedimientos para las investigaciones-corporativo de alta tecnología 39
=
2. Para los archivos de datos de correo electrónico basados en el servidor, póngase en contacto con el administrador del servidor de correo
electrónico y obtener una copia electrónica del sospechoso y la víctima ' s carpeta de correo electrónico o los datos.
3. Para las investigaciones de correo electrónico basados en web, como Hotmail o Gmail, utilizar herramientas como Forensic Toolkit ' opción de
búsqueda por palabra clave s de Internet para extraer toda la información relacionada con la dirección de e-mail. 2
4. Examinar los datos de cabecera de todos los mensajes de interés para la investigación.
Many attorneys like to have printouts of the data you have recovered, but printouts can present problems when you
have log files with several thousand pages of data or CAD drawing programs that can be read only by proprietary
programs. You need to persuade and educate many attorneys on how digital evidence can be viewed
electronically. In addition, learn how to teach attorneys and paralegals to sort through files so that you can help
them efficiently analyze the huge amount of data a forensic examination produces.
También puede encontrar problemas si encuentra datos en forma de archivos binarios, como los dibujos CAD. El examen de estos
archivos requiere el uso del programa de CAD que los creó. Además, las empresas de ingeniería a menudo tienen programas
especializados de redacción. demandas de descubrimiento para demandas relacionadas con un producto que causaron lesiones o la
muerte requiere la extracción de los planes de diseño para los abogados y peritos para su revisión. Tú ' re responsable de la
localización de los programas para estos planes de diseño para que los abogados y peritos pueden ver los archivos de evidencia.
La siguiente lista muestra los pasos básicos para la realización de un caso ACP:
1. Solicitud de un memorando del abogado que le indica que comience la investigación. El memorando debe
indicar que la investigación es la comunicación privilegiada y añada su nombre y cualquier otro asociados ' nombres
asignados al caso.
3. Después de haber recibido el memorándum, iniciar la investigación y el análisis. Cualquier resultado que haya realizado
antes de recibir el memorándum están sujetos al descubrimiento por el abogado contrario.
4. Para los exámenes de accionamiento, hacer que dos imágenes flujo de bits (que se analizan más adelante en este capítulo) de la unidad
mediante una herramienta diferente para cada imagen, como EnCase para la primera y ProDiscover o SafeBack para la segunda. Si
tiene unidades de almacenamiento lo suficientemente grandes, que cada imagen flujo de bits sin comprimir de manera que si se
corrompe, todavía se pueden examinar las áreas no corrompidos con su herramienta de análisis forense preferido.
5. Si es posible, comparar los valores hash de todos los archivos en los discos originales y re-creado. Por lo general, los abogados quieren
ver todos los datos, incluso si ' s no relevante para el caso. Muchas herramientas de análisis forense GUI realizar esta tarea durante la
exploración flujo de bits de la unidad.
40 Capitulo 2
6. Examinar metódicamente cada parte de la unidad (ambas áreas de datos asignados y no asignados) y extracto de todos los
datos.
7. realizar búsquedas de palabras clave en el espacio de disco asignado y no asignado. Seguimiento de los resultados de búsqueda para
determinar si los resultados de la búsqueda contienen información que es compatible con el caso.
8. Para Windows Oss, utilizar herramientas especiales para analizar y extraer los datos del registro, tales como AccessData
Visor del registro o un programa de visor de Registro (discutido en más detalle en el capítulo 6). Utilice la edición, Encuentra
opción de menú en el Editor del Registro, por ejemplo, para buscar palabras clave de interés para la investigación.
9. Para los archivos binarios tales como dibujos CAD, busque el programa correcto y, si es posible, hacer impresiones del contenido del
archivo binario. Si los archivos son demasiado grandes, cargar el programa de especialidad en una estación de trabajo
independiente con los archivos binarios recuperados para que el abogado pueda verlas.
10. Para los datos no asignados (de espacio de archivos de holgura o espacio libre, que se explica en el capítulo 6) de recuperación, utilice una
herramienta que elimina o reemplaza los datos no imprimibles, tales como X-Ways Forense Especialista Reunir función de texto.
11. Consolidar todos los datos recuperados de la imagen flujo de bits los datos en carpetas y subcarpetas wellorganized.
Almacenar la salida de datos recuperada, usando un método de almacenamiento lógico y fácil de seguir para el abogado o
asistente legal. Aquí están algunas otras pautas a tener en cuenta para los casos ACP:
• Minimizar todas las comunicaciones escritas con el abogado; usar el teléfono cuando se necesita para hacer preguntas o
proporcionar información relacionada con el caso.
• Cualquier documentación escrita al fiscal debe contener una cabecera que indica que se ' s
“ La comunicación privilegiada legal - Confidencial Producto trabajo, ” como se define en la regla
abogado-trabajo-producto.
• Ayudar al abogado y asistente legal en el análisis de los datos. Si tiene dificultades para cumplir con las direcciones o Don ' entiendo
las directivas del memorando, en contacto con el abogado y explicar el problema. Siempre mantenga una línea abierta de
comunicación verbal con el abogado durante este tipo de investigaciones. Si tu ' re comunicación a través de correo electrónico,
utilizar el cifrado (como PGP) u otro servicio de correo electrónico seguro para todos los mensajes.
• Examinar el correo electrónico, tanto para la organización ' s servidores de correo electrónico y cuentas de correo electrónico privado
=
• Examinar los foros de Internet, y buscar en Internet para cualquier información sobre la compañía o producto. Utilizar los
motores de búsqueda de Internet para realizar búsquedas de palabras clave relacionadas con la empresa, producto o
información filtrada. Por ejemplo, es posible buscar
“ piñón de la bicicleta de grafito-composite ” para un fabricante de bicicletas que fue víctima de una fuga de los medios de comunicación
sobre un nuevo producto en el desarrollo.
2
• Examinar los registros del servidor proxy para comprobar si las actividades de registro que podría demostrar el uso de los servicios
gratuitos de correo electrónico, tal como Gmail. Rastrear de nuevo a las estaciones de trabajo específicas en las que se originaron estos
mensajes y realizar un análisis forense en las unidades para ayudar a determinar lo que se comunica.
• Examine sospechosos conocidos ' estaciones de trabajo, realizan exámenes forenses informáticos en personas de interés, y
se desarrollan otras pistas sobre posibles asociados.
• Examinar todos los registros telefónicos de empresa para cualquier llamada a las organizaciones de medios conocidos. La siguiente
1. Entrevista gestión privada para obtener una lista de los empleados que tienen conocimiento directo de los datos sensibles.
3. Los registros telefónicos compañía revisión para ver que podrían haber tenido contacto con el servicio de noticias.
4. Obtener una lista de palabras clave relacionadas con la fuga de los medios de comunicación.
6. Llevar a cabo discretamente adquisiciones de disco forenses y análisis de los empleados de interés.
7. A partir de los exámenes forenses de disco, analizar toda la correspondencia por correo electrónico y rastrear los mensajes sensibles
a otras personas que remanso ' t sido catalogado como tener conocimiento directo de los datos sensibles.
8. Ampliar la adquisición de disco forense discreta y análisis de las nuevas personas de interés.
9. Consolidar y revisar sus hallazgos periódicamente para ver si las nuevas pistas pueden ser descubiertos.
10. hallazgos informe a la dirección de forma rutinaria, y discutir cuánto más para continuar la investigación.
“ Legislación de exportación. ”
A diferencia de las otras investigaciones corporativas cubren en esta sección, todos los casos de espionaje industrial sospechosos
deben ser tratados como investigaciones criminales. Las técnicas descritas aquí son
42 Capitulo 2
para entornos de redes privadas y las investigaciones internas que remanso ' sin embargo t ha informado de que las fuerzas del orden.
Asegúrese de que usted no ' t convertirse en un agente de cumplimiento de la ley mediante la presentación de una denuncia de un presunto
caso de espionaje antes de fundamentar la acusación. La siguiente lista incluye al personal que pueda necesitar en la planificación de una
investigación de espionaje industrial. Esta lista ISN ' t exhaustiva, por lo que utilizar su conocimiento para mejorar en estas recomendaciones:
• El especialista en tecnología que tenga conocimientos sobre los datos técnicos comprometida sospecha
• El especialista en redes que pueden realizar análisis de registro y configurar monitores de red para la comunicación de red
trampa de posibles sospechosos
• El especialista en la evaluación de amenazas (por lo general un abogado) que esté familiarizado con las leyes y reglamentos
federales y estatales relacionados con ITAR o la oreja y el espionaje industrial Además, tenga en cuenta las siguientes directrices a la
• Determinar si esta investigación implica un posible incidente de espionaje industrial, y luego determinar
si cae bajo ITAR o el oído.
• Consultar con los abogados de las empresas y la administración superior si las investigaciones deben llevarse a cabo discretamente.
• Generar una lista de palabras clave para el análisis forense de disco y supervisión de la red.
• Determinar el objetivo y el alcance de la investigación; consultar con la administración y la empresa ' Los abogados de
la cantidad de trabajo que debe hacer.
• Iniciar la investigación después de la aprobación de la gestión, y hacer informes periódicos de sus actividades y
conclusiones.
Los siguientes son consideraciones para la planificación de las investigaciones de espionaje industrial:
• Examinar todo el correo electrónico de los empleados sospechosos, ambos proporcionados por la empresa de correo electrónico y
servicios basados en la web gratuito.
• Buscar grupos de noticias o foros de discusión de los envíos relacionados con el incidente.
• Iniciar la vigilancia física con cámaras en las personas o cosas de interés para la investigación.
• Si está disponible, examinar todos los registros de acceso física de las instalaciones para las zonas sensibles, que podrían incluir áreas
seguras donde se usan insignias inteligentes o grabaciones de video vigilancia.
• Sí hay ' sa sospechoso, determinar su ubicación en relación con el activo vulnerables que se vea
comprometida.
• Reunir todos los registros de llamadas entrantes y salientes para ver si alguno de los lugares no habituales que fueron llamados.
Procedimientos para las investigaciones-corporativo de alta tecnología 43
=
Al llevar a cabo un caso de espionaje industrial, siga estos pasos básicos:
1. Reunir todo el personal asignado a la investigación y informarles sobre el plan y cualquier preocupación.
4. reúnen discretamente las pruebas adicionales, tales como el sospechoso ' s duro del ordenador, y
realizar una imagen del flujo de bits para el examen de seguimiento.
5. Recoger todos los datos de registro de redes y servidores de correo electrónico, y examinarlas para los artículos únicos que podrían estar
7. Revisar la investigación ' s alcance con la administración y las empresas para determinar los abogados
mina de si necesita ser ampliado y ha añadido más recursos.
Su papel como investigador de la computación es instruir al investigador que realiza la entrevista en qué preguntas hacer y cuáles
son las respuestas deben ser. A medida que construye una relación con el investigador, él o ella puede pedirle que interrogar al
sospechoso. Ver a un interrogador experto es una experiencia de aprendizaje en habilidades para las relaciones humanas. Si tu ' re
pedido para ayudar en una entrevista o interrogatorio, prepárese contestando las siguientes preguntas:
• ¿Qué preguntas tengo que preguntar al sospechoso para obtener la información vital sobre el caso?
• ¿Sé lo que me ' estoy hablando, o voy a tener que investigar el tema o la tecnología relacionada con la
investigación?
• ¿Necesito preguntas adicionales para cubrir otros aspectos indirectos relacionados con la investigación?
44 Capitulo 2
errores de entrevista e interrogatorio comunes incluyen no estar preparado para la entrevista o interrogatorio y no tener las
preguntas correctas o preguntas suficientes para aumentar su profundidad de conocimiento. Asegúrese de que usted no ' t
quedado sin temas de conversación; que necesita para mantener la conversación amigable para ganar el sospechoso ' s confianza.
Evitar dudar de sus propias habilidades, que podrían mostrar que el sospechoso le falta confianza en su capacidad. Ingredientes
para una entrevista exitosa o el interrogatorio requerimos lo siguiente:
• ser tenaz
Para llevar a cabo su investigación y análisis, debe tener un PC configurado de manera especial conocido como estación de trabajo forense, que
es un equipo cargado de bahías adicionales y software de análisis forense. Dependiendo de sus necesidades, la mayoría de la informática
forense de trabajo se puede realizar en los siguientes sistemas operativos Microsoft:
• MS-DOS 6.22
• Windows Vista
Los capítulos 3 y 7 cubren los recursos de software que necesita y el laboratorio forense y la
estación de trabajo en detalle. Visitar www.digitalintel.com para examinar las especificaciones de
la recuperación forense de la unidad de dispositivo indicador (FRED) o www.forensicpc.com para
examinar la ForensicPC doble XeonWorkstation y otros productos actuales.
La comprensión de las estaciones de trabajo de recuperación de datos y software 45
Además
NOTEde los sistemas operativos de Windows en la lista, puede utilizar Linux o UNIX para llevar a cabo su
análisis. Varios de código abierto y herramientas de software están disponibles para este propósito. Algunas
herramientas de análisis forense más recientes, como AccessData FTK, ahora requieren procesadores de
2
doble núcleo.
Si inicia Windows mientras ' re examinar un disco duro, Windows altera el disco pruebas escribiendo datos a la papelera de
reciclaje y corrompe la calidad y la integridad de las pruebas que ' estamos tratando de conservar. Capítulo 6 cubiertas qué
archivos de Windows se actualiza automáticamente en el arranque. Los sistemas Windows XP y Vista también registran los
números de serie de los discos duros y CPU en un archivo, que puede ser difícil de recuperar.
De todos los sistemas operativos Microsoft, al menos intrusiva (en términos de cambio de datos) a los discos es de MS-DOS
6.22. Con la continua evolución de los sistemas operativos Microsoft, se ' No siempre es práctico utilizar plataformas más antiguas de
MS-DOS, sin embargo. Formatos del sistema de archivos más recientes, como NTFS, son accesibles - es decir, legibles - sólo a partir de
Windows NT o posterior operativos. Puede usar uno de varios writeblockers que le permiten arrancar a Windows sin escribir datos en la
unidad de pruebas. En el capítulo 4, a aprender más sobre bloqueadores de escritura y algunas de las alternativas de bajo costo para la
preservación de datos durante una adquisición.
Hay muchos bloqueadores de escritura de hardware en el mercado. Algunos se insertan entre el controlador de disco y el disco
duro; otros se conectan a los puertos USB o FireWire. Varios vendedores ofrecen bloqueadores de escritura, incluyendo
modalidades de tecnología NoWrite FPU; Inteligencia Digital Ultra-Kit, UltraBlock, luciérnaga, firechief 800 y USB Escribir
Bloqueador; WiebeTech DriveDock forense; Orientación FastBloc2 Software; Paralan ' s SCSI Escribir Bloqueadores; y Soluciones
de Computación Inteligentes ( www.ics-iq.com) Imagen del estuche rígido Forense LinkMaSSter.
Muchas herramientas de adquisición de más edad informática forense trabajan en el entorno MS-DOS. Estas herramientas pueden operar desde
una ventana de MS-DOS en Windows 98 o desde la línea de comandos en Windows 2000 y versiones posteriores. Algunas de sus funciones son
discapacitados o generar mensajes de error cuando se ejecuta en estos sistemas operativos, sin embargo.
los productos de Windows se están desarrollando que hacen que realizan análisis forense de discos más fácil. Sin embargo, debido a que
Windows tiene limitaciones en la realización de análisis forense de disco, puede que tenga que desarrollar habilidades en la adquisición de datos
con MS-DOS y Linux. En capítulos posteriores, a aprender más acerca del uso de estas herramientas. Tenga en cuenta que ninguna herramienta
informática forense puede recuperar todo. Cada herramienta y el sistema operativo tiene sus propias fortalezas y debilidades, para desarrollar
habilidades con tantas herramientas como sea posible para convertirse en un investigador de computación efectiva. Apéndice D tiene más
información sobre el uso de MS-DOS para la adquisición de datos.
• Una unidad de destino para recibir la fuente o los datos del disco sospechosos
• puertos USB
• tarjeta SCSI
En el capítulo 3, a aprender más sobre cómo instalar y configurar un ordenador para ser una estación de trabajo forense.
• recipiente Evidencia para los medios de almacenamiento, como una bolsa de pruebas
• herramienta de imagen flujo de bits; en este caso, la utilidad básica de adquisición ProDiscover
1. Haga arreglos para cumplir con el administrador de TI para entrevistarlo y recoger los medios de almacenamiento.
2. Después de entrevistar a la gerente de TI, rellenar el formulario de pruebas, haga que lo firme, y luego firmar por sí mismo.
3. Tienda el soporte de almacenamiento en una bolsa de pruebas, y luego transportarlo a sus instalaciones forense. 2
4. Llevar a la evidencia para un contenedor seguro, tal como un armario, gabinete, o seguro.
de un disco. software de copia de seguridad sólo se puede copiar o comprimir los archivos que se almacenan en una carpeta o son de un tipo de
archivo conocido. software de copia de seguridad puede ' t copia de archivos eliminados y correos electrónicos o recuperar los fragmentos de archivo.
UN imagen flujo de bits es el archivo que contiene la copia de flujo de bits de todos los datos en una partición de disco o disco. Para simplificar, se ' s
Algunos fabricantes también se refieren a ella como una copia forense. Para crear una imagen exacta de un disco de pruebas, la copia de
la imagen en un disco de destino que ' s idéntico al disco evidencia es preferible (véase la figura 2-4). El disco de destino ' s fabricante y el
modelo, en general, debe ser el mismo que el disco original ' s fabricante y el modelo. Si el disco de destino es idéntica a la original, el
tamaño en bytes y sectores de ambos discos también debe ser la misma. Algunas herramientas de adquisición de imágenes pueden
alojar a un disco de destino que ' sa tamaño diferente que el original. Estas herramientas de imágenes se discuten en el Capítulo 4. Los
mayores informática forense herramientas diseñadas para MS-DOS sólo funcionan en un disco copiado. herramientas gráficas actuales
pueden trabajar tanto en una unidad de disco y los datos copiados establece que muchos fabricantes se refieren como “ imagen salva. ”
Creating an image
transfers each bit
si SI M of data from the original
disk to the same spot
on the image disk
yT y- YÁyyJ
Original disk Image disk Target disk
De vez en cuando, los mapas de la pista y del sector de los discos originales y de destino don ' t
partido, aunque utilice discos de exactamente el mismo tamaño que son diferentes marcas o
modelos. Herramientas tales como la orientación EnCase y NTI SafeBack ajustan a la unidad
de destino ' s geometría. Otras dos herramientas, X-Ways WinHex Especialista Edition y
Tecnología Caminos ProDiscover, pueden copiar sector por sector para discos del mismo
tamaño o más grandes sin necesidad de forzar cambios en el disco de destino ' s geometría.
ElNOTE
DVD que acompaña a este libro incluye ProDiscover básico. El programa de instalación
incluye un manual de usuario, ProDiscoverManual.pdf, en la carpeta C: \ Archivos de programa \
Caminos Tecnología \ ProDiscover (si se utilizan los valores predeterminados de instalación).
Leer el manual del usuario para obtener instrucciones, e instalar ProDiscover Basic en el equipo
antes de realizar la siguiente actividad.
Esta actividad antes de empezar, es necesario crear una carpeta de trabajo en el equipo para el almacenamiento de datos y otros archivos
relacionados ProDiscover crea cuando la adquisición y análisis de pruebas. Se puede utilizar cualquier ubicación y el nombre de la carpeta de
trabajo, pero ' ll ver que se hace referencia en actividades como C: \ Trabajo o simplemente “ la carpeta de trabajo. ” Para mantener sus archivos
organizados, también debe crear subcarpetas para cada capítulo. Para este capítulo, crear una Trabajo\ Chap02 carpeta \ Capítulo para
almacenar archivos de las actividades en cada capítulo. Tenga en cuenta que es posible que vea los nombres de ruta de la carpeta de trabajo
en las capturas que son ligeramente diferentes de su propia ruta.
Los siguientes pasos muestran cómo adquirir una imagen de una unidad USB, pero se pueden aplicar a otros medios, tales
como discos duros y disquetes. Se puede utilizar cualquier unidad USB que ya contiene archivos para ver cómo ProDiscover
adquiere datos. Para realizar una adquisición en una unidad USB con ProDiscover Basic, siga estos pasos:
1. En primer lugar, en la unidad USB, localice el interruptor de protección contra escritura (si está disponible) y coloque la unidad en el modo
de protección contra escritura. Ahora conectar la unidad USB al ordenador.
Llevar a cabo una investigación 49
Esta actividad tiene la intención de presentar a la herramienta ProDiscover básico. procedimientos adecuados
NOTE
de análisis forense requieren Protección contra escritura de cualquier medio de prueba, de manera que se ' s
software.
2
2. Para iniciar ProDiscover Basic, haga clic Comienzo, apunta a Todos los programas, apunta a ProDiscover,
y haga clic ProDiscover básico. Si se abre el cuadro de diálogo de lanzamiento de diálogo (ver Figura 2-5), haga Cancelar.
Si tu ' re el uso de Windows Vista, haga clic en el icono del escritorio ProDiscover Basic (o elemento de menú
en el menú Todos los programas) y haga clic en Ejecutar como administrador. En el cuadro de mensaje de
- •
Mew
Project
0&
Project
U
<&? £ & A °
B Q Project
Report
ffi % Add
X Remove *J
B O Contení View
0 Disks
B Q Cluster Vww
lrrÿs
m Disks
PRODISCOVER
•JJ View Log
M Seerch
3 Search RenJt |
New Project Open Project| Recent Project |
Vista de árbol Content Seaich ReaA*
H Ouster Search RenAs Protect Nunbet Project Ffe Name :
r
Descrpton
Para mayor comodidad, puede desactivar la pantalla del cuadro de diálogo de lanzamiento de diálogo haciendo
4. En el cuadro de diálogo de captura de imagen se muestra en la Figura 2-6, haga clic en el unidad de origen lista
flecha y seleccione la unidad USB.
Capture Image *J
Source Drive |G:\ [FAT16] 0.098 GB d
Destination I
Image Format ¡PfoDiscover Formal (recommended) d
T otai sectors to capture
1
205569
ProOiscover Image
Technician Name j
Image Number
Description
Compression
T Yes
(• No
Password I
OK | Cancel |
5. Haga clic en el botón >> junto al cuadro de texto de destino. Cuando se abra el cuadro de diálogo Guardar como, navegue a la
carpeta de trabajo ( Trabajo\ Chap02 \ Capítulo) e introduzca un nombre para la imagen que ' re decisiones, tales como InChp-PRC. Hacer
clic Salvar para guardar el archivo.
6. A continuación, en el cuadro de diálogo de captura de imagen, escriba su nombre en el cuadro de texto Nombre y Técnico InChp-PRC-02 en
el cuadro de texto Número de Imagen (ver Figura 2-7). Hacer clic DE ACUERDO.
ProDiscover
NOTE básico, entonces adquiere una imagen de la unidad USB. Cuando ' s terminado, se
muestra un aviso para comprobar el archivo de registro creado durante la adquisición. Este
archivo de registro contiene información adicional si se producen errores durante la adquisición
de datos. ProDiscover también crea un archivo de salida hash MD5. En los capítulos 4 y 5, se
aprende cómo utilizar MD5 para el análisis forense y pruebas de validación.
7. Una vez finalizada ProDiscover, haga clic DE ACUERDO en el cuadro de mensaje de finalización. Hacer clic Archivo,
ProDiscover Image
T echrucian Name |JoeFriday
Image Number |lnChpprac-02
Description
Compression
C Yes
Password I
No
OK. Cancel |
Esta actividad completa su primer forense de adquisición de datos. A continuación, se aprende cómo localizar los datos en una adquisición.
En los pasos siguientes, se analizan George Montgomery ' s unidad USB. Antes de comenzar, extraer todos los archivos
comprimidos de la carpeta Chap02 en el libro ' s DVD a la carpeta de trabajo. La primera tarea se está cargando la imagen
adquirida en ProDiscover básico siguiendo estos pasos:
2. Para crear un nuevo caso, haga clic Archivo, Nuevo proyecto en el menú.
3. En el cuadro de diálogo Nuevo proyecto, escriba InChp02 en el cuadro de texto Número del Proyecto y
de nuevo en el cuadro Nombre del proyecto archivo de texto (ver Figura 2-8), y luego haga clic en DE ACUERDO.
4. En la vista de árbol de la ventana principal (ver Figura 2-9), haga clic para expandir el Añadir ít,
y haga clic Archivo de imagen.
New Projttl
52 Capitulo 2
OK Cancel Help
0 Report
'ÿ (fe Add
Remove
B CD Content View
Images
Disks
B CD Cluster View
Images
3 Disks
View Log
Search
0 *¡5? Search Results
Content Search Results
Cluster Search ResuMs
5. En el cuadro de diálogo Abrir, vaya a la carpeta que contiene la imagen, haga clic en el
InChp02.eve archivo y haga clic Abierto. Hacer clic Sí en el cuadro de mensaje de suma de comprobación automática de la imagen, si
es necesario.
La siguiente tarea consiste en mostrar el contenido de los datos adquiridos. Realice los siguientes pasos:
1. En la vista de árbol, haga clic para expandir Ver el contenido, si necesario. Haga clic para ampliar imágenes,
haga clic en el nombre de archivo de ruta de la imagen C: \ Trabajo \ InChp02.eve ( la sustitución de su ruta de la carpeta de
“ Trabajo “- por ejemplo, C: \ Trabajo \ Chap02 \ Capítulo) y, a continuación, haga clic para expandir el camino.
2. A continuación, haga clic Todos los archivos bajo el nombre de archivo de ruta de la imagen. Cuando el cuadro de diálogo PRECAUCIÓN
se abre, haga clic Sí. El archivo InChp02.eve se carga entonces en la ventana principal, como se muestra en la figura 2-10.
3. En el panel superior derecho (área de trabajo), haga clic en el letter1 Archivo para ver su contenido en el
área de datos (véase la figura 2-11).
4. En el área de datos, ver los contenidos del archivo letter1. Continuar navegando a través de las áreas de trabajo y de datos e
inspeccionar el contenido de la evidencia recuperada. Nota Los archivos que muchos de estos archivos se eliminan ese
refugio ' t sido sobrescrito. Deja ProDiscover Basic que se ejecuta para la siguiente actividad.
Figura 2-11 Al seleccionar un archivo en el área de trabajo y la visualización de su contenido en el área de datos
3
CD
<$*<$ • t
<0
tríiv
ro
(|B¡3>
D ||D .
7
K
: 5
HI m
<S' *<S a CJ ID
m
£J y
m 0 ffo 3
J
ft
»sr* íuipíi i 3
f
o> IIHHM
II1 i,‘i1‘if 1
!' 5 I itte \
u ¿
£
I
I* f
I
¿ I»
?
- o-
í
?
Il
*- ••
lito
If 2 If® a
¡ lie
fc I
i !*< T
A
<S<ST<ST<Si Ifc
fa
* ijT
%a
t 33 í?»
4»
*
Q4QQQ4I Ife
a
i»
¡TS
¡J
izL 1
SI I •* ?
a»
<2
g
•-
I
4
a
flffis
i:
* I» r i* 2 C a
3 J.
J5 Io %
»*
o
O
I ir * ?
ri
o
?!g 1
2
J
i
li
«I
?
Ss8sss
3
fifis 3
a a
Islsi
& o*
i ffffff >r>
s
H
H
*/ÿ c/> wn
I i
O Q
0
N
o
b: *
t t
53
O $
SU
Ci>
Cu
O
X- IZL 6
2
fu
n> <T>
PJ fu
54 Capitulo 2
El siguiente paso es analizar los datos y la búsqueda de información relacionada con la queja. El análisis de datos puede ser la tarea
que consume más tiempo, incluso cuando se sabe exactamente lo que debe buscar en la evidencia. El método para la localización de
los artefactos de prueba es la búsqueda de valores específicos de datos conocidos. Los valores de datos pueden ser únicas palabras
o caracteres no imprimibles, como códigos hexadecimales. También hay códigos de caracteres imprimibles que puede ' t generarse a
partir de un teclado, tales como los derechos de autor (©) o una marca registrada ( ™) símbolos. Muchos programas de informática
forense pueden buscar cadenas de caracteres (letras y números) y los valores hexadecimales, como A9 para el símbolo de derechos
de autor o AE para el símbolo de marca registrada. Todos estos valores de datos de búsqueda se denominan “ palabras clave. ”
Con ProDiscover Basic, puede buscar palabras clave de interés en el caso. Para este caso, siga estos pasos para
buscar cualquier referencia al nombre de George:
2. En el cuadro de diálogo Buscar, haga clic en el Búsqueda de contenido pestaña, si es necesario. Haga clic en el Seleccionar todo
partidos casilla de verificación, el ASCII botón de opción, y el Buscar el patrón (s) botón de opción, si aren ' t ya
seleccionada.
3. A continuación, en el cuadro de texto debajo de la búsqueda para el botón de opción de patrón (s), Tipo Jorge
(Véase la figura 2-12).
Sear til
*J
Content Seafch | Cluster Search |
Li if*
Select the D«Ms) / Imagefs) you want to search in
C 'V'/oil MnCLipOL eve
MMDDYYTY
r Modeled
Files P seated •
between J
P Accessed and
J
OK Cancel Apply
You can list keywords separately or combine words with the Boolean logic operators
AND, OR, and NOT. Searching for a common keyword produces too many hits and
makes it difficult to locate evidence of interest to the case. Applying Boolean logic can
help reduce unrelated excessive hits, which are called “ golpes falsos positivos. ”
2
4. En Seleccionar el disco (s) / Imagen (s) que desea buscar, haga clic DO:\ Trabajo\ InChap02.eve
(Sustituyendo la ruta de la carpeta de trabajo), y luego haga clic en DE ACUERDO para iniciar la búsqueda. Deja ProDiscover Basic
que se ejecuta para la siguiente actividad.
Una vez finalizada la búsqueda, ProDiscover muestra los resultados en el panel de resultados de búsqueda en el área de trabajo. Tenga en cuenta
la pestaña Buscar 1 en la figura 2-13. Para cada búsqueda que realice en un caso, ProDiscover añade una nueva pestaña para ayudar a catalogar
ProDtscover BMK InCh|)0?
sus búsquedas.
Ne Action View Took Help
D
NS i
Proad Mi M Yÿ' 1 *ÿ s§, .
cS5T
M
Seated
H CD Pfowd IrOtftt
Report
Search 1 J
8 *3 Add *1
iff Captve & Add image
Search taint (AlPafteiru ~*1 Addtofleport | Pattern» | Selection j |
JT Image Fie
3 Pck
Select I FteNw _I Fouidn _ I
X Remove Gafe Client Womdb C:\Wcrt\JnOo02 ev*\
3 9 Confort View 09 BAng Letter doc C\W«k\JnChp02eveV
B Image 09 cortimafionfxt C Wort.MnQp02 eveV
B JP CVW«kMnChp02eve
Q AIFiet 09 MeO bd C\Wo.k\JnChp02evoV
3 Disks 09 Regret; áx C\Wo<k\JfOp02eveV
B 0 Ckittef View
a Images
0 Dekt
«2? View Log
M Scotch
8 Search Retdh
M Center* Search Rc:cA:
44 Oüste Search Results
>ÿ* ’•-* tw~ÿ| "
QO I
OlOe.tOa > 0 py 0 0 0 0 pyyy pyyy a
yvyymyyv>vwy>vv/yvv>y>yyyy>>yyyyvvm7>yyyyy>vyyv'yyy>y>‘yyyyyyvyvyyyyyyyyyyyvyyyyym'vyvyyyy>yvyyy
yvv*yyyvvvyyy>yyyyvyyyyyyvyyyyyyyvyyvyyyyyyyyyyyyyyyyyyyyyyyyyyyyyv > > ,/>-.>.. Y/mvywyykÿwvyvyyyyyyy
—
, y y>yy>V/yy>y jyvvvÿvyyyyy/yyyy>yyyy>v//yyvyyy’- . ... >nyyy‘sny->Y/yrvyy'jyyy'yY>rjyY/>yyyy*
yyjY/}yyyy/>Y/y/jYyy'/YY)Yfyr/Yrf/YyY/yYjy>&YyYyyY/wYYyYyyyyyYJYrYYy'/y/YY>Y>YYyYS)rir/YjYy/Yy/YY/)ryjyyy
yyy/yyy/yyyyyyyyyyyyyyyyyyyy
B o -flaoo AD-floaoo<inooD
00 00 OJO Id 00 a 0 *0A 0
oo DO "DO AOD
a
-ax* «“oa
\ p 0 Amelia Phillips
o xo# a o o " o
—
000*00 Ü0 10C yOOO OOA r I a 1 1 D £ yOOO 00* r 1 a 1 I 0 e yODO 00* r
1 a 1 1 0 £ yOOO OOA r 1 a 1 1 0 E 0 yOAO 0 00* p 1 a 1 1 0 6 0 0 M 0 00* r 1 a 1 000 0
o "$•'*. **o_):\C"1"#.#eo\)oo* o o “J"#,#eo_|;[Red]\C••$"#.##o\)oa,• o o
00 o ••
O_)oo. ) ) _(•
oo_T; iRed]\f"5'e.e#o. oo\)oo7 * 2 _C"r* •>, "*
\í#.#AO\);_C -•,_):_C#_)oo'' , : _(**'-• #,A#o.oo_):_rr • \C*,#PO.OO\):
_(• e.eep.oo_);_(• \CA.AAO.oo\D;_c« "--’Vt-COi o ,6y
a 0 0
6yd
6y o
Ado
t 1
A a o o
6yd
6y d
A A 0
A á o o
6yd
óy S
A A 0
A a Q o
6y 6
6y o
A A 0
A A 0
6y
*
o A A D dy c A A 0 6yd A A 0 6yd A A a 5y d
A A 0 6yd A A 0 A A a o dy A A 0 0 ) dy A A 0
.
0 A A
0 , 6y e A A a 0 •dy A A A 0 0 Gy e A A o o o a A A o a
o # o A A 0 m A A 0 , 0 0 A 00 OCOyOD OCO/'DO ocoyoo 0C0y"00
C y*'00 OCOy 00 0 0 «0 a January o Ho 0 February
a
t occuranew found MD5 i i kw [ r
Haga clic en cada archivo en el panel de resultados de búsqueda y examinar su contenido en el área de datos. Si encuentra un archivo
de interés que muestra los datos binarios (no imprimible) en el área de datos, puede hacer doble clic en el archivo para mostrar los datos
en el área de trabajo. A continuación, puede hacer doble clic en el archivo en el área de trabajo y un programa asociado, como Microsoft
Excel para una hoja de cálculo, se abre el archivo ' contenido s. Si desea extraer el archivo, puede hacer clic en él y haga clic en Copiar
archivo.
Para este ejemplo, una hoja de cálculo de Excel denominado Income.xls se muestra en el panel de resultados de búsqueda. La información
en el área de datos muestra los datos de caracteres ilegibles en su mayoría. Examinar
56 Capitulo 2
estos datos, puede exportar los datos a una carpeta de su elección, y luego abrirlo para su examen y análisis de
seguimiento. Para exportar el archivo Income.xls, realice los siguientes pasos:
1. En el panel de resultados de búsqueda, haga doble clic en el Income.xls archivo, lo que cambia la vista a
el área de trabajo.
2. En el área de trabajo, haga clic en el Income.xls Archivo y haga clic Copiar archivo.
3. En el cuadro de diálogo Guardar como, navegue a la carpeta que ' Ha seleccionado, y haga clic Salvar.
4. Ahora que el archivo Income.xls se ha copiado en una carpeta de Windows, inicie Excel (u otro programa de hoja de cálculo, como
OpenOffice Calc) para examinar el archivo ' contenido s. Figura 2-14 muestra el archivo extraído abierta en OpenOffice Calc.
Repita este examen de datos y archivo de proceso de exportación para el resto de archivos en el panel de resultados de
búsqueda. A continuación, cierre todas las ventanas abiertas, excepto ProDiscover básico para la siguiente actividad.
"3j Income - OpenOffice.org Cak
Fie Edt View Insert Formal look Data Window ti<*> X
j l ’ <3 a i® Ü 3 & i «
i» R 3 F° 3 B/U £
|D6 U foo 2 = fisó
A B c _L I_£ F G A
con ProDiscover ' s función de búsqueda, también puede buscar para nombres de archivo específicos. Para utilizar esta función, haga clic en el “ Búsqueda
de archivos con el nombre ” botón de opción en el cuadro de diálogo de búsqueda. Cuando tú ' re hacer frente a una gran unidad con varios miles
de archivos, esta característica útil minimiza el error humano en el estudio de los datos.
Después de completar el examen y el análisis detallado, a continuación, puede generar un informe de sus actividades. Varios programas de
informática forense proporcionan un generador de informes o archivo de las acciones tomadas durante un examen de registro. Estos
informes y registros suelen ser archivos de texto o HTML. Los archivos de texto son por lo general en texto plano o formato de texto
enriquecido (RTF). ProDiscover Basic ofrece un generador de informes que produce un archivo de texto plano que una mayoría de los
procesadores de texto pueden leer RTF o.
También puede seleccionar elementos específicos y añadirlos al informe. Por ejemplo, para seleccionar un archivo en el área de trabajo, haga clic
en la casilla de verificación de la columna Seleccionar junto al archivo para abrir el cuadro de diálogo Agregar comentario. Introduzca una
descripción y haga clic en OK. El comentario descriptivo es entonces
Llevar a cabo una investigación 57
añadido al informe ProDiscover básico. Para crear un informe en ProDiscover básico, realice los siguientes pasos:
1. En la vista de árbol, haga clic Informe. A continuación el informe se muestra en el panel de la derecha, como se muestra
en la figura 2-15.
ProOiMover D«tb InClipOZ
H» fletan v*w Tooh Htlp _
.!ÿ( x|
2
r»
Evidence of Interest:
Total Evidence Items of Interest: 6
z\
For Hek>, P»MS Ft i k©5 MJM
Si el informe tiene que ser guardado en un archivo, se utiliza ProDiscover básico ' s característica de exportación y elija RTF o texto plano
para el formato de archivo. Para exportar el informe a un archivo, haga lo siguiente:
3. En el cuadro de diálogo Exportar, haga clic en el Formato RTF o Formato de texto botón de opción, el tipo
f.
InChp02 en el cuadro de texto Nombre de archivo y, a continuación, haga clic DE ACUERDO.
Para hacer el informe en una carpeta diferente, haga clic en el botón Examinar y navegue a la carpeta en la
que desea guardar el informe. Haga clic en Guardar y, a continuación, haga clic en Aceptar en el cuadro de
diálogo Exportar.
4. Revisar el informe y, a continuación, haga clic Archivo, Salir en el menú para salir ProDiscover básico.
58 Capitulo 2
Esta actividad se completa el análisis de la unidad USB. En la siguiente sección, se aprende cómo llevar a cabo el caso. En
capítulos posteriores, se aprende cómo aplicar más técnicas de búsqueda y análisis.
Completando el Caso
Después de analizar el disco, puede recuperar archivos borrados, e-mail, y los artículos que se han ocultado a propósito, lo que
usted hace en los capítulos 9, 10 y 12. Los archivos en George ' s unidad USB indican que estaba llevando a cabo un negocio
secundario en su ordenador de la empresa. Ahora que ha recuperado y analizado los datos, es necesario encontrar las
respuestas a las siguientes preguntas para escribir el informe final:
• ¿En qué momentos del día fue George usando los archivos no relacionados con el trabajo? ¿Cómo recuperar esa
información?
Cuando se escribe su informe, el estado lo que hizo y lo que ha encontrado. El informe que ha generado en ProDiscover
que da cuenta de los pasos que siguió. Como parte de su informe final, dependiendo de la orientación de la gestión o
asesor legal, incluya el archivo de informe ProDiscover para documentar su trabajo. En cualquier investigación de
computación, debe ser capaz de repetir los pasos realizados y producir los mismos resultados. Esta capacidad se denomina resultados
repetibles; Sin ella, su producto de trabajo no tiene valor como prueba.
Keep a written journal of everything you do. Your notes can be used in court, so be mindful of what you write or e-mail, even
to a fellow investigator. Often these journals start out as handwritten notes, but you can transcribe them to electronic format
periodically. Basic report writing involves answering the six Ws: who, what, when, where, why, and how. In addition to these
basic facts, you must also explain computer and network processes. Typically, your reader is a senior personnel manager,
a lawyer, or occasionally a judge who might have little computer knowledge. Identify your reader and write the report for that
person. Provide explanations for processes and how systems and their components work. Your organization might have
templates to use when writing reports. Depending on your organization ' s necesidades y requisitos, su informe deben
describir los resultados de su análisis. El informe generado por ProDiscover enumera los hallazgos de la exploración y
recuperación de datos. Otras herramientas de informática forense generar un archivo de registro de todas las acciones
tomadas durante su examen y análisis. La integración de un informe de la informática forense de estas otras herramientas
de registro puede mejorar su informe final. Al describir los hallazgos, que no escribe su relato primero y luego colocar la
salida del registro al final del informe, con referencias a ella en la narrativa principal. Capítulo 14 cubre la redacción de
informes finales para las investigaciones en más detalle. En el caso de nombres de dominio, que desea mostrar evidencia
concluyente de que George tenía su propio negocio de registrar nombres de dominio y la lista de los nombres de sus
clientes y sus ingresos de esta
Resumen del capítulo 59
=
negocio. También quiere mostrar cartas que escribió a los clientes sobre sus cuentas. Los sellos de fecha y hora en que los archivos
están en horas de trabajo, por lo que deben incluir esta información, también. Con el tiempo, de entregar el expediente de prueba a
su supervisor o a Steve, George ' gestor de s, que entonces decide sobre un curso de acción.
Crítica de la Caja
Después de cerrar el caso y presenta su informe final, que necesita para cumplir con su departamento o un grupo de
compañeros investigadores y criticar el caso, en un esfuerzo para mejorar su trabajo. Hágase preguntas de evaluación tales
como los siguientes:
• ¿Ha utilizado nuevas técnicas en el caso o durante la investigación? Tomar notas a sí mismo en su diario acerca de
las técnicas o procesos que pueden necesitar ser cambiados o tratados en futuras investigaciones. A continuación, guardar su
■ Cuando se planifica un caso, tener en cuenta la naturaleza del caso, las instrucciones de la solicitante, qué
herramientas adicionales y experiencia que pueda necesitar, y cómo va a adquirir la evidencia.
■ Los casos criminales y violaciónes de política corporativa deben ser tratados de la misma manera para que las pruebas
de calidad se presenta. Ambos casos criminales y violaciónes de política corporativa pueden acudir a los tribunales.
■ Cuando se inicia un caso, puede haber problemas imprevistos que no estaban ' t obvio cuando la aplicación de un enfoque
sistemático para el plan de investigación. Para todas las investigaciones, es necesario planificar para las contingencias de
cualquier problema inesperado que pueda encontrar.
■ Debe crear una forma de custodia pruebas estándar para realizar un seguimiento de la cadena de custodia de la evidencia para su
caso. Hay dos tipos de formularios: un formulario de varias pruebas y una forma de una sola evidencia.
■ investigaciones de Internet y medios de fuga requieren el examen de los datos de registro del servidor.
■ Para los casos privilegio abogado-cliente, toda la comunicación escrita debe tener una etiqueta de cabecera que
indica que se ' Comunicación privilegiada y un producto de trabajo confidencial.
60 Capitulo 2
■ Una copia flujo de bits es un duplicado de bit a bit del disco original. Debe utilizar el duplicado, siempre que
sea posible, al analizar las pruebas.
■ Siempre mantener un diario para guardar notas sobre exactamente lo que hizo cuando el tratamiento de pruebas.
■ Siempre debe crítica de su propio trabajo para determinar cuáles son las mejoras que haya realizado durante
cada caso, lo que se podría haber hecho de otra manera, y cómo aplicar lo aprendido a casos futuros.
Términos clave
contenedor seguro aprobado Un recipiente a prueba de fuego bloqueado por una tecla o combinación.
privilegio abogado-cliente (ACP) La comunicación entre un abogado y su cliente acerca de cuestiones legales se protege
como comunicaciones confidenciales. El propósito de tener comunicaciones confidenciales es promover el diálogo
honesto y abierto entre un abogado y su cliente. Esta información confidencial no debe ser compartida con personas no
autorizadas.
copia flujo de bits Un duplicado bit por bit de datos en el medio de almacenamiento original. Este proceso se suele denominar “ la
adquisición de una imagen ” o “ hacer una imagen. ”
imagen flujo de bits El archivo donde se almacena la copia de flujo de bits; normalmente se conoce como una
“ imagen, ”“ guardar la imagen, ” o “ archivo de imagen. ”
cadena de custodia La evidencia ruta lleva desde el momento en que el investigador obtiene hasta que el caso está cerrado o va a
la corte.
bolsas de pruebas bolsas no estáticos utilizados para el transporte de medios extraíbles, discos duros y otros componentes del sistema.
formulario de custodia pruebas Un formulario impreso que indica que se ha cerrado la sesión y estado en posesión física de las pruebas.
estación de trabajo forense Una estación de trabajo establecido para permitir la copia de las pruebas forenses, ya sea en un disco duro, unidad
USB, CD o disco Zip. Por lo general, tiene un software precargado y listo para usar.
entrevista Una conversación llevó a cabo para recopilar información de un testigo o sospecha sobre hechos específicos relacionados
con una investigación.
formulario de varias pruebas Una forma de custodia evidencia utilizada para listar todos los elementos asociados a un caso.
Ver también formulario de custodia pruebas.
de violación de contraseñas de software Software utilizado para que coincida con los patrones de hash de contraseñas o simplemente para averiguar las
contraseña protegida El método de requerir una contraseña para limitar el acceso a ciertos archivos y áreas de soporte de
almacenamiento; este método evita el uso no intencionado o no autorizado.
resultados repetibles Ser capaz de obtener los mismos resultados cada vez que a partir de un examen forense.
Preguntas de revisión 61
forma de una sola evidencia Una forma que se dedica una página de cada artículo recuperado para un caso. Se permite a los investigadores a =
añadir más detalles sobre exactamente lo que se hizo a la evidencia cada vez que se tomó del armario de almacenamiento. Ver también formulario
de custodia pruebas.
Preguntas de revisión
1. ¿Cuáles son algunas evaluaciones iniciales que debe hacer una investigación de computación?
2. ¿Cuáles son algunas maneras de determinar los recursos necesarios para una investigación?
3. Haga una lista de tres elementos que deberían estar en una forma de evidencia custodia.
4. ¿Por qué debe hacer una evaluación de riesgo estándar para prepararse para una investigación?
5. Siempre debe probar las alegaciones de la persona que lo contrató. ¿Verdadero o falso?
6. Para las pruebas digitales, una bolsa de pruebas se hace típicamente de un material antiestático. ¿Verdadero o falso?
8. Para los casos de terminación de los empleados, qué tipos de investigaciones es lo que normalmente encuentras?
11. ¿Por qué debe criticar su caso después de que se ' s terminado?
12. ¿Cómo se llama una lista de personas que han tenido la posesión física de la evidencia?
13. ¿Qué dos tareas es un oficial responsable de adquisiciones en la escena del crimen?
14. ¿Cuáles son algunas razones por las que un empleado puede filtrar información a la prensa?
16. ¿Cuál es el punto más importante a recordar cuando se asigna a trabajar en un caso attorneyclient privilegio?
17. ¿Cuáles son las pautas básicas cuando se trabaja en un caso privilegio abogado-cliente?
18. Los datos recogidos antes de un abogado emite un memorando para un caso privilegio abogado-cliente está protegido por la
regla del producto de trabajo confidencial. ¿Verdadero o falso?
62 Capitulo 2
Proyectos prácticos
En los siguientes proyectos prácticos, seguir trabajando en la estación de trabajo se configura en este
capítulo. Extraer los archivos comprimidos de la carpeta Chap02 \ Projects en el libro ' s DVD a su Trabajo\ Chap02
carpeta \ Projects. (Si es necesario, cree esta carpeta en su sistema para almacenar sus archivos.)
Si NOTE
es necesario, consulte las instrucciones de este capítulo y en el manual de usuario
El caso de este proyecto implica una muerte sospechosa. Joshua Zarkan encontró a su novia ' s cuerpo
muerto en su apartamento y lo reportó. El agente de la ley primera respuesta tomó una unidad USB.
Una evidencia de la escena del crimen técnico experto en la adquisición de datos hizo una estatua de
la unidad USB con ProDiscover y la llamó C2Prj01.eve. Tras la adquisición, el técnico transportado y
aseguró la unidad USB y la puso en un armario de pruebas segura en la estación de policía. Usted ha
recibido el archivo de imagen del detective asignado a este caso. Él le dirige a examinarlo e identificar
cualquier artefacto de prueba que podrían estar relacionados con este caso. Para procesar este caso,
siga estos pasos para evaluar lo ' s en la imagen de la unidad USB:
1. Iniciar ProDiscover básico. (Si tu ' re el uso de Windows Vista, haga clic en el
ProDiscover icono del escritorio y haga clic Ejecutar como administrador.)
2. En el cuadro de diálogo de lanzamiento de diálogo, haga clic en el Nuevo proyecto pestaña, si es necesario.
Introduzca un número de proyecto. Si su empresa doesn ' t tiene un esquema de numeración estándar,
puede utilizar la fecha seguido por el número que representa el caso de que el día en secuencia, tales
como 20090129_1.
3. Introduzca C2Prj01 como el nombre del proyecto, introduzca una breve descripción del caso,
y haga clic Abierto.
4. Para añadir un archivo de imagen, haga clic Acción en el menú, seleccione Añadir, y haga clic
Archivo de imagen.
6. En la vista de árbol, haga clic para expandir Ver el contenido. Haga clic para ampliar imágenes,
y luego haga clic en el nombre de ruta que contiene el archivo de imagen. En el área de trabajo, observe los archivos
que se enumeran.
7. Haga clic en cualquier archivo y haga clic Ver para iniciar el programa asociado, tales como
Word o Excel. Ver el archivo, y luego salir del programa.
8. Si decide exportar un archivo, haga clic en el archivo y haga clic Copiar archivo. ( Nota:
Proyectos prácticos 63
organizada.) En el cuadro de diálogo Guardar como que se abre, vaya a la ubicación en la que desea guardar el
archivo y, a continuación, haga clic Salvar.
9. Para guardar el proyecto para ver más tarde, haga clic Archivo, Guardar proyecto en el menú.
El nombre del proyecto por defecto es el que ha introducido en el paso 3. Seleccione la unidad y la carpeta ( Trabajo\ 2
Chap02 \ Projects, por ejemplo), y luego haga clic en Salvar.
Una vez que haya terminado de examinar los archivos, salga ProDiscover básico y guardar el proyecto de
nuevo, si se le solicita.
Es necesario exportar los archivos en esta imagen y presentarlos al investigador. Además, escribir un
informe breve (no más de dos párrafos) incluyendo todos los hechos de los contenidos de los datos
recuperados.
un nuevo caso.
Para procesar este caso, asegúrese de que ha extraído el archivo C2Prj02.eve a su carpeta de trabajo, y
después de seguir estos pasos:
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, el nombre del
proyecto C2Prj02, y una descripción del proyecto y haga clic Abierto.
Eso ' es una buena idea adquirir el hábito de guardar el proyecto de inmediato, así que haga clic Archivo,
Guardar proyecto en el menú, y guardar el archivo en la carpeta de trabajo ( Trabajo\ Chap02 \ Projects).
2. Haga clic Acción en el menú, seleccione Añadir, y haga clic Archivo de imagen. Navegar
y haga clic en C2Prj02.eve en la carpeta de trabajo y, a continuación, haga clic Abierto. Si se abre el cuadro de mensaje
3. En la vista de árbol, haga clic para expandir Ver el contenido. Haga clic para ampliar imágenes,
y luego haga clic en el nombre de ruta que contiene el archivo de imagen. En el área de trabajo, examinar los archivos
que se enumeran.
4. Para buscar la palabra clave “ libro, ” haga clic en el Buscar botón de la barra de herramientas (el
64 Capitulo 2
5. Haga clic en el Búsqueda de contenido lengüeta. Si es necesario, haga clic en el ASCII botón de opción
y el Buscar el patrón (s) botón de opción. Tipo libro en el cuadro de lista de palabras clave de búsqueda. En
Seleccione el disco (s) / Imagen (s) que desea buscar en, haga clic en la unidad que ' Esta buscando (ver Figura
2-16), y luego haga clic en DE ACUERDO.
Search
Content Seatch | Clustet Seatch |
m
r Seatch In Meta Files r Search n Selected Files only
r Select a» matches
<•ASCII C Hen
r Case Sensitive
r Match whole wotd
>
Select the Diskls) / Imagelsl you want to seatch in
F:\Case lmages\C2Pfj02 eve
MM DO - YYYY
Files C
Modified
between | J
f* Accessed and [ J
OK Cancel |_
6. En la vista de árbol, haga clic para expandir Resultados de la búsqueda, si es necesario, y luego
hacer clic Resultados de la búsqueda de contenido para especificar el tipo de búsqueda. Figura 2-17 muestra el
7. A continuación, abra el cuadro de diálogo de búsqueda de nuevo, haga clic en el Buscar Cluster pestaña, y
correr la misma búsqueda. Tenga en cuenta que se tarda más tiempo porque cada grupo en la unidad se busca.
8. En la vista de árbol, haga clic Resultados de la búsqueda de racimo, y ver los resultados de búsqueda
cristal. Recuerde que debe guardar el proyecto y salir ProDiscover básico antes de iniciar el siguiente
caso.
ProDiscover Basic - C2Proj2-2
Proyectos prácticos sesenta y cinco
Elle &ctJon looIs yelp
£ A
Project Project Mx sS .Ha
'¡SU SMK»I
Q
«2? V«wLog
M Search
- «5? Search RetuHt
•PS Cortert Search RenJs
M duties SearchRe:u*s
Cuando tú ' re terminado, escribir una nota a la señora Jones con la siguiente información: los nombres de archivo en el
que se ha encontrado una coincidencia de la palabra clave y, si el golpe se produjo en el espacio no asignado, el
número de clúster.
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, el nombre del
proyecto C2Prj03, y una breve descripción, y haga clic Abierto.
Guardar el proyecto en su carpeta de trabajo haciendo clic Archivo, Guardar proyecto en el menú.
2. Para añadir la evidencia, haga clic Acción en el menú, seleccione Añadir, y haga clic
Archivo de imagen. Vaya a su carpeta de trabajo, haga clic en el C2Prj03.dd presentar y haga clic Abierto. Hacer clic Sí en
el cuadro de mensaje de suma de comprobación automática de la imagen, si es necesario. Observe que el archivo es un
archivo de imagen .Dd, no un archivo .EVE. Como la mayoría de las herramientas de análisis forense, ProDiscover puede
3. Para ayudar en su investigación, es posible que desee ver los archivos gráficos en la unidad. Para ello, haga clic para
expandir Ver el contenido en la vista de árbol, haga clic para expandir imágenes, y luego haga clic en el nombre de
ruta que contiene el archivo de imagen.
4. Haga clic Ver, Ver Galería en el menú. Desplazarse a través de los archivos de gráficos
en la imagen del disco. Tú ' ll necesidad de buscar a través de todas las carpetas, que puede tomar algún tiempo. Si un
archivo es de interés, haga clic en la casilla de verificación junto a él en la columna Seleccionar. En el cuadro de diálogo
Agregar comentario que se abre, introduzca una descripción y haga clic DE ACUERDO. Estas notas se añaden al
informe ProDiscover.
5. Esta unidad está relacionado con el caso en el Hands-On Proyecto 2-2, por lo que ' re todavía
buscando apariciones de la palabra “ libro. ” Abrir el cuadro de diálogo de búsqueda, y repita los pasos 5 a 8 de
Hands-On Proyecto 2-2 para esta imagen de unidad. Al ver los resultados de búsqueda, haga clic para
seleccionar los archivos de interés (como se describe en el paso 4), que abre el cuadro de diálogo Agregar
comentario donde se puede introducir notas.
6. A continuación, busque el número de cuenta de la señora Jones le dio. Haga clic en el Buscar
botón de la barra de herramientas. Haga clic en el Búsqueda de contenido pestaña, si es necesario, y el tipo
461562 como la palabra clave de búsqueda. Haga clic para seleccionar la unidad que ' Esta buscando y, a continuación,
haga clic DE ACUERDO. Haga clic en el Buscar Cluster pestaña, y repetir la búsqueda del número de cuenta. Recuerde
seleccionar cualquier archivo de interés y escribir notas en el cuadro de diálogo Agregar comentario.
Recuerde que el texto se puede encontrar en los archivos de gráficos, así como en los documentos.
7. Cuando ' re terminado, haga clic Informe en la vista de árbol. Desplazarse por la
informar a asegurarse de que todos los elementos que se enumeran encontrado.
8. A continuación, haga clic en el Exportar botón de la barra de herramientas. En el cuadro de diálogo Exportar, haga clic en el
Formato RTF botón de opción, el tipo Ch2Prj03Report en el cuadro de texto Nombre de archivo y, a
continuación, haga clic DE ACUERDO. ( Si desea guardar el informe en una carpeta diferente, haga clic Vistazo y
vaya a la nueva ubicación.)
9. Escribir una breve nota para resumir lo que ha encontrado. Guarde el proyecto y salga ProDiscover
básico.
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, breve
descripción y el nombre del proyecto C2Prj04, y haga clic Abierto.
2. En la vista de árbol, haga clic para expandir Añadir, y haga clic Archivo de imagen. Navegar
a su carpeta de trabajo, haga clic en el C2Prj04.eve presentar y haga clic Abierto. Hacer clic
Sí en el cuadro de mensaje de suma de comprobación automática de la imagen, si es necesario. Guardar el
3. En la vista de árbol, haga clic para expandir Ver el contenido, haga clic para ampliar imágenes,
y luego haga clic en el nombre de ruta que contiene el archivo de imagen. Observe los archivos visibles en el área de
trabajo.
<] I
Deleted files
5. Para extraer los archivos asignados a partir de la imagen en su carpeta de trabajo, RightClick cada archivo que
contiene NO en la columna eliminar y haga clic Copiar archivo.
(Nótese que en ProDiscover básica, algunos ' hay forma de seleccionar varios archivos a la vez. Debe copiar
cada archivo asignado por separado). Cuando se ' re terminado, guardar el proyecto y salida ProDiscover
básico.
2. Haga clic en el C2Prj04.dft Archivo y haga clic Abierto. Hacer clic Sí en la Imagen Auto
cuadro de mensaje de suma de comprobación, si es necesario.
3. Si es necesario, ordenar los archivos en el área de trabajo de nuevo haciendo clic en el suprimido columna-
UMN cabecera. Haga clic en la casilla de verificación de la columna Seleccionar al lado de todos los archivos no
asignados (suprimido), como se muestra en la figura 2-19. Al hacer clic en cada casilla de verificación, se abre el cuadro
de diálogo Agregar comentario, donde se puede introducir una descripción de cada archivo.
4. En el apartado de comentarios de texto Investigador, añadir un comentario señalando que se elimina el archivo y
que indica su tipo de archivo, como un documento de Word o un archivo de imagen (.jpeg o .gif, por ejemplo).
Asegúrese de introducir algo significativo examinando el archivo primero.
5. Cuando se ' re terminado, haga clic Informe en la vista de árbol. Si tu ' re satisfecho,
exportar el informe haciendo clic en el Exportar botón de la barra de herramientas. En la exportación
Click check box next to file
68 Capitulo 2 i i
I
; oooOocoo" OOOOODVA D oooao
o ooooaooyA oooaao u ooooo '0i2AQD0DRaqr,0"30 i**Afis’o#8s4SCb,$ Aeooxc«rtyA
FO OODOOO
ao 0000 .o oooooo o oo
ooooooyA ooooooi < AQ0023e“aaocoRgyd aao oooo ? j c
Beit «ftOVSl 060<l0kbO-a40/Fwbl0V‘a' «0(EDí;í-’<i0b%$Fn0n2|3A*;ü0)’,fqt6w»Hp5l00<l0I<,
t. 2pARn u )«y%*;ü0i"fQrógoy*ftYl>*5l0fq,dgóyví»YÍ«$l0Pn0-Nlb74o3u<Nr¥QáQéI1ó*'í’,XD,2Pn0
NFhtaYnYíh Fofo. ftnftAPíi FHVW Ni7n--.«ih-t 7n T.nhl nv* -rtf n. rwnxdKfi < THPnnN?ht4*:fi<Al« zJ
15 Objects) (1 FoHer(s), 14 Fle<s)) MD5 NJM
cuadro de diálogo, seleccione la opción de formato que desee, el tipo C2Prj05Report en el cuadro de texto
Nombre de archivo y, a continuación, haga clic DE ACUERDO. Guarde el proyecto y salga ProDiscover básico.
• ANTONIO
• HUGH EVANS
• HORACIO
1. Iniciar ProDiscover básico. En la pestaña Nuevo proyecto, introduzca un número de proyecto, una breve descripción y el
nombre del proyecto y, a continuación, haga clic Abierto.
2. En la vista de árbol, haga clic para expandir Añadir, y haga clic Archivo de imagen. Navegar a
la carpeta de trabajo, haga clic en el C2Prj06.eve archivo y haga clic Abierto. Hacer clic Sí en el cuadro de mensaje de
suma de comprobación automática de la imagen, si es necesario. Guardar el proyecto en la carpeta de trabajo.
Proyectos de casos 69
3. Haga clic en el Buscar botón de la barra de herramientas. En el cuadro de diálogo Buscar, escriba todas las palabras clave
el cuadro de lista (colocando cada uno en una línea separada), haga clic para seleccionar la unidad que contiene la
4. Examinar los archivos en el panel de resultados de búsqueda. Seleccionar las que le parezcan interesantes y 2
escribir notas en el cuadro de diálogo Agregar comentario.
mm
Proyectos de casos
Una compañía de seguros ha pedido a su empresa de informática forense para revisar un caso
para una investigación de incendios. El presunto pirómano ya ha sido detenido, pero la compañía
de seguros quiere determinar si hay ' s cualquier negligencia por parte de las víctimas. Dos archivos
se extrajeron a su carpeta de trabajo para este proyecto. La primera, CasePrj0201a.doc, es una
nota sobre el caso del departamento de policía. El segundo, CasePrj0201b.doc, es una carta de la
compañía de seguros explicando lo que debe ser investigado. Revisar estos archivos, y decidir el
curso de acción que su empresa tiene que tomar. Escribir un esbozo de cómo su empresa debe
abordar el caso.
33
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y 100001110110101
Investigador
O OOi ' s de
el Investigador ' s de 10000111011010101
oficinas
oficinas yy laboratorios
laboratorios
1l>1010 ,'10 1111010101101010101
O'I 01/
rv* 01111000011101 ...
11000011101 —010100
• Explicar los criterios para la selección de una estación de trabajo forense básica
• Describir los componentes utilizados para construir un modelo de negocio para el desarrollo de un laboratorio
forense
72 Capítulo 3
En este capítulo se detalla algunas opciones para configurar un análisis forense informático eficaces
laboratorio.
También es necesario que las políticas de seguro de que se hayan definido, los procesos y los procedimientos prescritos antes de
comenzar cualquier trabajo de casos para garantizar la integridad de un análisis y sus resultados. Un número de organizaciones han
elaborado directrices para la elaboración de sus propios procesos y procedimientos. Qué ' s más importante es que siga las políticas y
procedimientos que ha creado para garantizar la coherencia en su salida.
Asegúrese
NOTE de investigar a fondo los organismos de certificación antes de proseguir con las certificaciones.
Muchas certificaciones son ofrecidos por los proveedores de software; otros son específicos para la
los Sociedad Americana de Directores de Laboratorios Crime (ASCLD; www.ascld.org) proporciona directrices a los miembros para la
gestión de un laboratorio forense y la adquisición de la certificación de laboratorio de criminalística y medicina forense. ASCLD también
certifica informática forense laboratorios que analizan la evidencia digital como lo hacen otras pruebas penal, tales como huellas dactilares
y muestras de ADN. Esta certificación se basa en la certificación de laboratorio del crimen original, ASCLD / LAB ( www.ascld-lab.org), el
cual regula cómo se organizan y gestionan los laboratorios forenses. El programa ASCLD / LAB incluye auditorías específicas sobre todas
las funciones para asegurar que los procedimientos de laboratorio se están realizando correctamente y consistentemente para todos
trabajo de casos. Estas auditorías deben realizarse en informática forense laboratorios para mantener la calidad y la integridad de análisis.
Las siguientes secciones discuten varias directrices clave del programa / LAB ASCLD que se puede aplicar a la gestión, la configuración y
la auditoría de su laboratorio forense.
tales como promover el consenso del grupo en la toma de decisiones, mantener la responsabilidad fiscal para las necesidades de laboratorio, y
hacer cumplir las normas éticas (cubierto en los capítulos 15 y 16) entre los miembros del personal, el gerente de laboratorio planea versiones de
laboratorio, tales como las nuevas adquisiciones de hardware y software.
El gerente de laboratorio también se establece y promueve los procesos de garantía de calidad para el laboratorio ' s personal a seguir, como
indica de qué hay que hacer cuando un caso llega, la tala pruebas, especificando quién puede entrar en el laboratorio, y el establecimiento de
directrices para la presentación de informes. Para garantizar el laboratorio ' s eficiencia, el gerente de laboratorio también establece programas de
3
producción razonables para el trabajo de procesamiento. Un caso típico de una investigación interna de la empresa consiste en apoderarse de
un disco duro, hacer copias forenses de la misma, valoración de la prueba, y la presentación de un informe. Un análisis forense de un disco 200
GB, por ejemplo, puede tomar varios días y a menudo implica el software de imágenes ejecuta durante la noche y los fines de semana. Esto
significa que una de las estaciones de trabajo forense en el laboratorio está ocupado por ese tiempo, que puede ser de 20 horas o más. Sobre la
base de la experiencia pasada, el gerente de laboratorio puede estimar el número de casos cada investigador puede manejar y cuándo esperar
El gerente de laboratorio crea y supervisa las políticas de laboratorio para el personal y proporciona un lugar de trabajo seguro para el personal y
pruebas. Por encima de todo, el director del laboratorio responsable de todas las actividades del laboratorio ' s personal lleva a cabo para completar su
trabajo. Seguimiento de casos como el abuso de correo electrónico, el uso indebido de Internet, y las actividades ilícitas pueden justificar los fondos
gastados en un laboratorio.
Los miembros del personal en un laboratorio forense del ordenador deben tener una formación suficiente para realizar sus tareas. habilidades
necesarias incluyen el hardware y el conocimiento de software, incluyendo el sistema operativo y los tipos de archivo, y el razonamiento deductivo.
Su trabajo es revisada periódicamente por el administrador de laboratorio y sus pares para asegurar la calidad. Los miembros del personal también
son responsables de la formación continua técnica para actualizar sus habilidades de investigación y de la computadora y el mantenimiento de un
registro de la formación que han completado. Muchos proveedores y organizaciones realizan seminarios de formación anuales o trimestrales que
ofrecen exámenes de certificación.
El sitio Web ASCLD resume los requisitos de la gestión de un laboratorio de informática forense, el manejo y preservación de pruebas,
la realización de los procedimientos de laboratorio, el establecimiento de requisitos de personal, y fomentar el desarrollo profesional. El
sitio también ofrece una licencia de usuario para los manuales impresa y electrónica de las directrices de gestión de laboratorio.
ASCLD hace hincapié en que cada laboratorio debe mantener una biblioteca actualizada de los recursos en su campo. Para la
informática forense, estos recursos incluyen software, información de hardware y revistas técnicas.
Al crear un presupuesto, comience por estimar el número de cajas de ordenadores espera su laboratorio para examinar e identificar
los tipos de equipos que ' re probable que examinar, como Windows PC o estaciones de trabajo Linux. Por ejemplo, suponga que
trabaja para una agencia de la policía estatal que ' la planificación s de ofrecer un computo servicios de investigación para todo el
estado. Se podría empezar por
74 Capítulo 3
que recogen las estadísticas de criminalidad del estado para el año en curso y años anteriores para determinar
cuántos ordenadores se utilizaron para cometer un crimen y los tipos de equipos que se utilizan en estos
crímenes. El comportamiento criminal a menudo refleja las tendencias de ventas para ciertos sistemas
informáticos. Debido a que más del 90% de los consumidores utilizan Intel y AMD PC, y el 90% de estos equipos
ejecutan Microsoft Windows, las mismas estadísticas son probablemente cierto de las computadoras usadas en
crímenes. Verificar esta tendencia mediante la determinación de la frecuencia de uso de cada tipo de sistema en
un crimen. Anote el número de delitos cometidos utilizando DOS / Windows, Linux / UNIX, y los ordenadores
Macintosh. Si puedes ' Además de los datos históricos se compila, se determinarán las tendencias futuras que
podrían afectar a su laboratorio, tales como una nueva versión de un sistema operativo o un aumento en el
número de equipos implicados en el crimen. Uniforme Crime Report que identifica el número de tipos de disco
duro, tales como IDE o SCSI, y el sistema operativo utilizado para cometer crímenes. Uniform Crime Reports
anuales se generan en las, estatales y federales niveles locales para mostrar los tipos y frecuencia de los
crímenes cometidos. Para informes federales, véase www.fbi.gov/ucr/ucr.htm, y para un resumen de los crímenes
cometidos en los distintos niveles, véase www.ojp.usdoj.gov/bjs/dtd.htm.
También puede identificar el software especializado que se utiliza con ciertos delitos. Por ejemplo, si encuentra
una herramienta de software de facturación escritura utilizado en un gran número de casos de falsificación, se
debe considerar la adición de este software especializado para su inventario. Si tu ' re preparando para establecer
un laboratorio de informática forense para una empresa privada, se puede determinar sus necesidades más
fácilmente porque ' Para empezar, la obtención de un inventario de todos los sistemas y aplicaciones de
computación conocidos utilizados en el negocio.
A continuación, consulte a su Administración, Recursos Humanos, y los departamentos de seguridad para determinar los tipos de
quejas y problemas reportados en el último año. La mayoría de las empresas que utilizan las conexiones a Internet, por ejemplo,
reciben quejas sobre los empleados el acceso a Internet en exceso o para uso personal, que generan las investigaciones sobre el uso
indebido de Internet. Asegúrese de distinguir las investigaciones sobre el uso excesivo de Web inadecuado acceso al sitio Web y
dirección de correo acoso.
Su presupuesto también debe tener los futuros desarrollos en la tecnología de la computación en cuenta porque las capacidades de
almacenamiento en disco mejoran constantemente. Al examinar un disco, se necesita un disco de destino a la que copia los datos de la
evidencia. Este disco debe ser de al menos un año y medio
Intel PC Platform Apple Platform
Descripción de los requisitos de certificación laboratorio forense 75
WinNT MS OS Total
IDE SCSI /2k/ Other 9.x & UNIX Other Systems Total HDD
Drive Drive Win9x XP O/S Linux older OSX H/W H/W Examined Examined
Arson 5 3 3 1 1 5 8
Assault
Aggravated
— 47
78 5 31 1 14 1 83
Assault-
Simple 180 3 77 6 1 32 44 2 1 163 183
Bribery 153 153 153 153
Burglary 1746 1487 259 1746 1746
3
Counterfeiting
& Forgery 1390 4 543 331 309 21 186 1390 1394
Destruction,
Damage. &
Vandalism 976 48 142 45 29 127 325 90 217 1 976 1024
Drug, Narcotic 1939 24 1345 213 158 213 10 1939 1963
Embezzlement 1023 320 549 23 87 41 3 1023 1023
Extortion &
Blackmail 77 2 61 10 3 1 77 77
Fraud 2002 638 932 9 173 55 190 5 2002 2002
Gambling 4910 5 1509 2634 136 138 498 4915 4915
Homicide 36 5 11 9 1 3 7 36 36
Kidnapping &
Abduction 2 1 1 2 2
Larceny Theft 7342 56 2134 3093 5 935 127 982 1 21 7298 7398
Motor Vehicle
Theft 1747 231 1508 5 1 2 1747 1747
Child Porn 593 2 98 162 68 105 160 2 595 595
Robbery 33 23 7 2 1 33 33
Sex Offense —
Forcible 80 21 45 1 5 8 80 80
Sex Offense—
Non-Forcible 900 324 437 6 90 43 900 900
Stolen
Property
Offenses 2711 10 800 1634 3 169 53 37 1 9 2706 2721
Weapons
Violations 203 1 43 89 2 11 28 31 204 204
Totals Per
System 28126 161 9930 12018 59 2179 1300 2289 222 40 28037 28287
HDD
Mac
O/S
HDD X/Linux/
FAT/NTFS 22007 UNIX 2511
veces el tamaño del disco de pruebas (sospechoso). Por ejemplo, un laboratorio equipado con 100 discos GB puede analizar de
forma eficaz los discos de hasta 66 GB. Si su empresa actualiza sus computadoras a 200 GB discos, sin embargo, es necesario
discos que son 300 GB o más grande o un servidor seguro central con al menos 1 TB de almacenamiento. (Varios servidores
forenses en el mercado son en el 20 TB y más alto rango.) Muchos negocios reemplazar sus sistemas de computación de escritorio
cada 18 meses a tres años. Debe recibir información de actualizaciones de equipo y otros cambios en el entorno informático para
que pueda preparar y presentar su presupuesto para los recursos necesarios.
76 Capítulo 3
Al igual que el hardware, los sistemas operativos cambian periódicamente. Si su herramienta informática forense actual doesn ' t trabajo con la
próxima versión de un sistema operativo o un archivo de sistema de Microsoft, debe actualizar sus herramientas de software. También debe
controlar el desarrollo de productos de proveedores para aprender acerca de las actualizaciones. Los sistemas de archivos cambian, también.
herramientas forenses tuvieron su nacimiento en el DOS, y con los años, los discos duros de Windows se desarrollaron en una variedad de
sistemas de archivos, incluyendo FAT16, FAT32, Nuevo Sistema de Tecnología de archivos (NTFS), y el sistema de archivos de Windows. La
mayoría de las herramientas basadas en DOS puede ' t leer los discos NTFS. Ahora los investigadores también deben abordar Vista, lo que ha
provocado problemas incluso con herramientas de análisis forense de Windows. Además, la popularidad y la prevalencia de la Xbox requiere que
los investigadores estén familiarizados con el sistema de archivos FATX. La gestión del tiempo es una cuestión importante al elegir software y
hardware para la compra. Por ejemplo, ' hemos decidido comprar ocho máquinas para su laboratorio. Muchos paquetes de software de análisis
forense comerciales requieren un adaptador USB para operar o tener una licencia de sitio de cinco usuarios concurrentes. Usted o el administrador
de presupuesto debe decidir si ' re el uso de todas las máquinas o necesita sólo dos copias con licencia de cada paquete de software. Como otro
ejemplo, puede tener una herramienta de línea de comandos se ejecuta durante la noche para obtener imágenes de la unidad; mientras ' s en
ejecución; los investigadores pueden utilizar un paquete comercial o freeware para evaluar una unidad. Usted opciones dependen de qué
Otra opción es utilizar la hélice (un Live CD de Linux, discutido en el capítulo 4) para ver los sistemas de archivos, ya que doesn ' t
montar el disco duro de forma automática y, por lo tanto, doesn ' t escribir en la unidad. (Un bloqueador de escritura de hardware todavía
se recomienda para evitar los errores causados por el técnico forense, si nada más.) El examen de los PDA, unidades USB y teléfonos
móviles es ahora rutina en casos de investigaciones penales a las demandas de descubrimiento de litigio civil. investigadores
informáticos deben estar preparados para hacer frente al cambio constante en estos dispositivos y saber qué herramientas están
disponibles para extraer de forma segura datos de ellos para una investigación. En el capítulo 13, se aprende cómo adquirir datos de
estos dispositivos.
Antes de alistarse en un programa de certificación, investigar a fondo los requisitos, el costo y la aceptabilidad en su área elegida
de empleo. La mayoría de los programas de certificación requieren créditos de educación continua o re-examen de los candidatos '
habilidades, que pueden llegar a ser costoso.
IACIS lleva a cabo un curso anual de capacitación de dos semanas para los miembros calificados. Los
estudiantes deben interpretar y rastrear el correo electrónico, adquirir evidencia adecuada, identificar los
sistemas operativos, recuperar datos, y entender la teoría de encriptación y otros temas. Los estudiantes deben
pasar un examen escrito antes de pasar al siguiente nivel. Aprobar el examen gana el estado de Especialista
Certificado Colección Pruebas Electrónicas (PECO). Otros temas incluyen los datos de ocultar, la determinación
de los tipos de archivo de los archivos encubiertas, y acceder a los archivos protegidos con contraseña. Un
informe detallado que demuestra los procedimientos aceptados y control de la evidencia debe ser presentada 3
con cada disco antes de proceder a la siguiente. Certificada Forense Informática Forense (CFCE). El proceso
CFCE cambia a medida que cambia la tecnología. La descripción que aquí está vigente a partir de este escrito.
IACIS requiere recertificación cada tres años para demostrar el trabajo continua en el campo de la informática
forense. La recertificación es menos intensa que la certificación original, pero no los examinadores de la prueba
para asegurarse de que ' re continuar su educación y también está garantizada en el campo de la informática
forense. Para obtener la última información sobre IACIS y la solicitud de certificación CFCE o la pertenencia a
IACIS, visite el sitio Web IACIS.
High-Tech Red Transnacional (HTCN) los High-Tech Red Transnacional (HTCN) También ofrece varios niveles de certificación. A
diferencia de IACIS, sin embargo, HTCN requiere una revisión de toda la formación relacionada, incluida la formación en uno de sus
cursos aprobados, una prueba escrita para la certificación específica, y una revisión de la candidata ' s historial de trabajo. certificación
HTCN está abierto a cualquier persona que satisfacen los criterios en la profesión de las investigaciones de computación. En el
momento de escribir estas líneas, el sitio Web HTCN ( www.htcn.org) especifica los requisitos para los niveles de certificación
discutidos en los párrafos siguientes. Los requisitos se actualizan sin previo aviso, por lo que asegúrese de revisar el sitio
periódicamente.
• Los candidatos deben tener tres años de experiencia directamente relacionados con la investigación de incidentes o delitos
• Los candidatos han completado con éxito 40 horas de formación de una agencia, organización o empresa
de formación aprobado.
• Los candidatos deben presentar la documentación de por lo menos 10 casos en los que participaron.
• Los candidatos deben tener cinco años de experiencia directamente relacionados con la investigación de incidentes o delitos
relacionados con la informática.
• Los candidatos han completado con éxito 80 horas de formación de una agencia, organización o
empresa homologada.
78 Capítulo 3
• Los candidatos han servido como investigador principal en al menos 20 casos durante los últimos tres años y han participado
en por lo menos otros 40 casos como investigador principal o supervisor o en una capacidad de apoyo. Los candidatos tienen
al menos 60 horas de participación en los casos en los últimos tres años.
• Los candidatos deben tener tres años de experiencia en investigaciones de la policía o casos empresariales de
computación.
• Los candidatos deben haber completado 40 horas de formación en informática forense de una organización
aprobada.
• Los candidatos deben tener cinco años de experiencia práctica en las investigaciones forenses informáticos para
hacer cumplir la ley o los casos corporativos.
• Los candidatos deben haber completado 80 horas de formación en informática forense de una organización
aprobada.
• Los candidatos deben haber sido el principal investigador de la informática forense en 20 o más
investigaciones en los últimos tres años y en 40 o más investigaciones adicionales de computación como
el plomo técnico en informática forense, supervisor o colaborador. El candidato debe haber completado al
menos 60 investigaciones en los últimos tres años.
EnCase Certificado Forense (ENCE) Certificación Guidance Software, el creador de EnCase, patrocina el
programa de certificación de ENCE. certificación ENCE está abierto a los sectores público y privado y es
específico a utilizar y el dominio de EnCase análisis forense.
Los requisitos para tomar el examen de certificación ENCE Don ' t dependen de tomar los cursos de formación Guidance
Software EnCase. Los candidatos a este certificado para tener una copia con licencia de EnCase. Para obtener más
información sobre los requisitos de certificación ENCE, visita
www.encase.com o www.guidancesoftware.com.
AccessData Certificado Forense (ACE) AccessData, el creador del último juego de herramientas, patrocina el programa de
certificación de la ECA. certificación ACE está abierto a los sectores público y privado y es específico a utilizar y el dominio de
AccessData último kit de herramientas. Los requisitos para tomar el examen de ACE incluyen la finalización de los cursos
forenses AccessData BootCamp y Windows. El examen consta de una evaluación base de conocimiento (KBA) y una evaluación
de habilidades prácticas (PSA), que es opcional. Para obtener más información sobre esta certificación, la visita www.accessdata.com/acepreparation.html.
Otros Formación y Certificaciones Otras organizaciones están considerando certificaciones o han relacionado con los programas
de formación. organizaciones sin fines de lucro de alta tecnología para los sectores público y privado investigaciones que ofrecen la
certificación y la formación son los siguientes:
Las organizaciones que ofrecen formación y certificación para el personal policial o personal del gobierno civil
cualificado incluyen los siguientes: 3
• Centro Federal de Aplicación de la Ley de Formación (FLETC), www.fletc.gov
Después de tener el entrenamiento para convertirse en un investigador de la informática forense, que realizar la mayor parte de sus
investigaciones en un laboratorio. En esta sección se describen los requisitos físicos para un laboratorio de informática forense. Abordar
estos requisitos puede facilitar un laboratorio seguro, más seguro y más productivo.
Sus instalaciones de laboratorio debe estar físicamente seguro, de forma que la evidencia ISN ' t perdido, dañado o destruido. Al igual que con
los costos de hardware y software, debe tener en cuenta lo ' s necesario para mantener un entorno seguro y protegido para determinar los
gastos de laboratorio físicos. También debe utilizar métodos de control de inventario para realizar un seguimiento de sus activos informáticos,
lo que significa que debe mantener un inventario completa y actualizada de todos los principales elementos de hardware y software en el
laboratorio. Para los artículos de consumo, tales como cables y soportes de almacenamiento, mantener un inventario para que sepa cuándo
pedir más artículos.
deberías ' t utilizar un cubículo abierto, ya que permite un fácil acceso a sus pruebas. Necesitas una habitación puede bloquear para controlar sus
pruebas y dar fe de su integridad. En particular, el laboratorio debe ser seguro durante el análisis de los datos, incluso si se lleva varias semanas
para analizar una unidad de disco. Para preservar la integridad de las pruebas, el laboratorio debe funcionar como un armario o pruebas de
seguridad, por lo que es una instalación segura o un almacenamiento seguro seguro. Los siguientes son los requisitos mínimos para un
• de acceso de la puerta con un mecanismo de bloqueo, que puede ser una cerradura de llave regular o cerradura de combinación; la
tecla o combinación deben limitarse a los usuarios autorizados
• contenedor seguro, como un archivador de seguridad o de servicio pesado con un candado de calidad que impide la apertura de
los cajones
• Visitante ' s de usuarios una lista de todas las personas que han accedido al laboratorio
Para la producción de trabajo diario, varios examinadores pueden trabajar juntos en una gran área abierta, siempre y cuando todos ellos tienen el
mismo nivel de autoridad y necesidad de acceso. Esta área también debe tener paredes floorto techo y una puerta de cierre. En muchas
organizaciones públicas y privadas, varios investigadores comparten una puerta al laboratorio que requiere una tarjeta de identificación y el código
80 Capítulo 3
Informática investigadores forenses y examinadores deben ser informados sobre el laboratorio ' política de seguridad s. Compartir
información sobre una investigación del caso sólo con otros examinadores y personal que necesita saber acerca de la investigación.
La mayoría de los dispositivos electrónicos emiten radiación electromagnética (EMR). Ciertos tipos de equipos pueden interceptar
EMR, que se puede utilizar para determinar los datos que el dispositivo está transmitiendo o que exhiben. El EMR de un monitor de
ordenador puede ser recogido tan lejos como a media milla. Durante la Guerra Fría, se exigió a los contratistas de defensa para
proteger los sistemas informáticos importantes y evitar el espionaje electrónico de cualquier emisión de ordenador. El Departamento
de Defensa de Estados Unidos llama a esto un blindaje especial de emisión de ordenador TEMPESTAD. ( Para una breve descripción
de la tempestad, ver el Programa Nacional de Seguridad Industrial Manual de funcionamiento [NISPOM]. DoD 5220.22-M, Capítulo
11, Sección 1, Tempest, http://nsi.org/Library/Govt/Nispom.html.
To protect your investigations, you might consider constructing a TEMPEST-qualified lab, which requires lining the
walls, ceiling, floor, and doors with specially grounded conductive metal sheets. Typically, copper sheeting is used
because it conducts electricity well. TEMPEST facilities must include special filters for electrical power that prevent
power cables from transmitting computer emanations. All heating and ventilation ducts must have special baffles to
trap emanations. Likewise, telephones inside the TEMPEST facility must have special line filters. A TEMPEST
facility usually has two doors separated by dead space. The first exterior door must be shut before opening the
interior door. Each door also has special copper molding to enhance electricity conduction.
Debido a una instalación de laboratorio TEMPEST-calificado es caro y requiere una inspección y análisis de rutina, debe ser considerada
sólo para los grandes laboratorios de informática forense regionales que exigen una seguridad absoluta de escuchas ilegales. Para evitar
estos costos, algunos vendedores han construido estaciones de trabajo de bajo emana en lugar de las instalaciones de tempestad. Estas
estaciones de trabajo son más caras que las estaciones de trabajo promedio, pero menos costoso que un laboratorio TEMPEST.
• El contenedor de pruebas debe estar ubicado en un área restringida que ' s accesible sólo para el personal de laboratorio.
3
• El número de personas autorizadas para abrir el contenedor pruebas debe mantenerse al mínimo. Mantener
registros sobre quién ' s autorizado para acceder a cada recipiente.
• Todos los contenedores en la evidencia deben permanecer cerrada cuando aren ' t bajo la supervisión directa de una
persona autorizada.
Si se utiliza una combinación de sistema de bloqueo para su contenedor de pruebas, siga estas prácticas:
• Proporcionar el mismo nivel de seguridad para la combinación como para el envase ' s contenidos. Almacenar la
combinación en otro recipiente igualmente protegidos.
• Destruir todas las combinaciones anteriores después de la creación de una nueva combinación.
• Cambiar la combinación cada seis meses, cuando cualquier personal autorizado dejan la organización, e
inmediatamente después de encontrar un recipiente sin garantía - es decir, uno que ' s abierta y sin vigilancia. Si tu ' re
• Coloque las llaves en un recipiente con cierre accesible sólo para el administrador de laboratorio y custodio tecla designada.
• Mantener el mismo nivel de seguridad para las llaves como para los contenedores en la evidencia.
• Cambiar las cerraduras y llaves al año; si una clave no está presente, sustituir todos los bloqueos asociados y la clave.
El recipiente de almacenamiento o gabinete deben estar hechos de acero e incluyen una cerradura del gabinete interno o candado externo. Si
es posible, comprar un seguro, que ofrece una seguridad superior y protege su evidencia de daño por fuego. Busque cajas fuertes
especializadas, llamadas cajas fuertes medios de comunicación, destinadas a proteger a los medios electrónicos. cajas fuertes de los medios
se clasifican por el número de horas que se necesita antes de daños de fuego el contenido. Cuanto mayor sea la calificación, mejor será la caja
fuerte protege pruebas.
Una sala de almacenamiento evidencia también es conveniente, especialmente si ' s parte de su laboratorio forense. Seguridad para una sala
de pruebas debe integrar la misma construcción y dispositivos de sujeción como el laboratorio general no. Las grandes operaciones de
informática forense también necesitan un custodio de pruebas
82 Capítulo 3
y un contador de servicio con una ventana enrollable de metal que puede fijarse para controlar pruebas. Con una sala de pruebas seguro,
puede almacenar grandes componentes de la computadora, tales como ordenadores, monitores y otros dispositivos periféricos.
Asegúrese de mantener un registro de email cada vez que un contenedor de pruebas se abre y cierra. Cada vez que se
accede al contenedor, el registro debe indicar la fecha en que se abrió y las iniciales de la persona autorizada. Estos
registros deben mantenerse durante al menos tres años o más, según lo prescrito por su perseguir o abogados corporativos.
Los registros se analizan con más detalle en el capítulo 5.
Debido a que la electricidad estática es un problema importante al manipular piezas de la computadora, considere colocar almohadillas
antiestáticas torno a mesas de trabajo electrónicos y estaciones de trabajo. Además, los pisos y las alfombras deben limpiarse al menos una vez a
la semana para ayudar a minimizar el polvo que puede causar electricidad estática.
Mantener dos contenedores de basura separados, uno para almacenar artículos no relacionadas con la investigación, tales como CDs
desechados o cintas magnéticas, y el otro para material sensible que requiere un manejo especial para asegurarse de que ' s destruidos. El
uso de contenedores de basura separados mantiene la integridad de los procesos de investigación criminal y protege los secretos
comerciales y las comunicaciones privilegiadas entre abogado y cliente en una empresa privada. Varias empresas adheridas
comercialmente se especializan en la eliminación de materiales sensibles, y usted debe contratar a uno para ayudar a mantener la
integridad de sus investigaciones.
AlNOTE
considerar las necesidades de seguridad digitales, muchas empresas descuidan la seguridad física.
Independientemente del riesgo de seguridad para su laboratorio, mantener un registro de papel o electrónico de inicio de sesión para todos los
visitantes. El registro debe enumerar el visitante ' Nombre s, fecha y hora de llegada y salida, el patrón ' Nombre s, el propósito de la visita, y el
nombre del miembro del laboratorio que recibe al visitante. Considere cualquier persona que ' s no asignado al laboratorio para ser un visitante,
incluyendo los equipos de limpieza, personal de mantenimiento de instalaciones, amigos y familia. Todos los visitantes deben estar acompañados
por un asignada
La determinación de los requisitos físicos para un Laboratorio de Informática Forense 83
miembro del personal autorizado durante su visita al laboratorio para asegurar que ellos no ' t accidental o intencionalmente juegue con una
investigación o pruebas. Como precaución adicional, utilice una alarma visible o audible, tal como una tarjeta de visitante, para que todos los
investigadores saben que el visitante se encuentra en la zona. Si es posible, contratar a un guardia de seguridad o un sistema de alarma de
intrusión con un guardia para asegurar su laboratorio ' s de seguridad. Los sistemas de alarma con guardias también se pueden utilizar después
de horas de oficina para monitorear su laboratorio.
3
Auditoría de un Laboratorio de Informática Forense
Para que las políticas de seguridad seguras y se siguen las prácticas, realizar inspecciones de rutina para auditar sus contenedores de
almacenamiento de laboratorio y pruebas. Las auditorías deben incluir, pero aren ' t limitan a, los siguientes componentes y prácticas de
instalación:
• Inspeccionar el laboratorio ' s techo, suelo, techo y paredes exteriores al menos una vez al mes, en busca de algo inusual
o nueva.
• Compruebe que los seguros para ver si necesitan ser reemplazado o cambiado.
• troncos opinión de los visitantes para ver si ' re siendo utilizado correctamente.
• hojas de registro de revisión de contenedores evidencia para determinar cuando se han abierto y cerrado.
• Al final de cada día de trabajo, asegurar ninguna evidencia de que ' s no ser procesado en una estación de trabajo
forense.
Estos laboratorios suelen tener más espacio de la biblioteca de software y hardware de almacenamiento.
84 Capítulo 3
Cabinets * /<*
Internet/
intranet PC
a _ _J\
+
Forensic PC
0
-
|/ÉüSr Bench
Cabinet Cabinet
rw
\ /
'
Jr
Workbench
B B B Ml
«
a a it a «ÿ¡8
aplicación de la ley estatal o el FBI por lo general se ejecuta más grandes o regionales informáticos laboratorios forenses. Como se
muestra en la Figura 3-4, estos laboratorios tienen una sala de pruebas independiente, lo cual es típico en las investigaciones policiales,
excepto que esta habitación está limitado a la evidencia digital. Uno o más custodios podrían ser asignados para gestionar y controlar el
tráfico dentro y fuera de la sala de pruebas. Como se señaló anteriormente, la sala de pruebas debe ser seguro. El laboratorio debe tener
al menos dos salidas controladas y sin ventanas. oficinas separadas para los supervisores y cubículos para investigadores son más
prácticos en esta configuración. Recuerde que las estaciones de trabajo forenses están conectados a una LAN aislada, y sólo unas
pocas máquinas están conectadas a un exterior WAN o red de área metropolitana (MAN).
Ah
vy % ffii
Selección de una estación de trabajo forense básico
ft Oft
A
85
;•
Workbench
2 forensic
/
2 forensic 2 forensic
<cÿ/ s workstations workstations workstations
*
Evidence
room \ intranet t=i
PCs
Offices
or <=ir *
Library
/¡jjÿ* Si
'* Dna
BE
Una forma de investigar los sistemas de computación de mayor edad e inusuales es no perder de vista grupos specialinterest (SIG) que
todavía utilizan estos sistemas. SIG, que se pueden encontrar a través de una búsqueda en Internet, pueden ser una fuente valiosa de
apoyo para la recuperación y el análisis de sistemas no comunes. También puede coordinar con o subcontratar a grandes informáticos
laboratorios forenses. Me gusta
86 Capítulo 3
large police departments, a regional computer forensics lab must have diverse systems to serve its community and
often receives work from smaller labs involving unusual computers or OSs.
El cálculo de sistemas en un laboratorio debe ser capaz de procesar los casos típicos de una manera oportuna. El tiempo que se tarda en
procesar un caso por lo general depende del tamaño y tipo de industrias de la región. Por ejemplo, supongamos que su laboratorio está
ubicado en una región con una empresa de fabricación grande que emplea a 50.000 personas. Sobre la base de los informes del crimen le ' he
consultado, el 10% de los empleados podría estar involucrado en el comportamiento criminal, es decir, 5000 empleados van a cometer delitos
como el fraude, la malversación, y así sucesivamente. Estas estadísticas pueden ayudar a estimar cuánto tiempo está involucrado en el
procesamiento de este tipo de casos.
Hasta hace poco, la regla general era al menos un investigador informático aplicación de la ley por cada 250.000
personas en una región geográfica. Por ejemplo, si su comunidad tiene
1.000.000 personas, lo regional laboratorio forense de computadoras deben tener al menos cuatro investigadores informáticos, cada uno con al
menos una estación de trabajo forense de usos múltiples y una estación de trabajo generalpurpose. Esta regla está cambiando rápidamente,
sin embargo, como la cantidad de datos almacenados en los dispositivos digitales aumenta.
Commercial businesses providing computer forensics analysis for other companies can tailor their services to specific
markets. They can specialize in one or two platforms, such as an Intel PC running a Microsoft OS. They can also gather a
variety of tools to meet a wider market. The type of equipment they need depends on their specialty, if any. For general
computer forensics facilities, a multipurpose forensic workstation is sufficient. Private companies conducting their own
internal computing investigations can determine the type of forensic workstation they need based on the types of computers
they use. If a company uses only Windows PCs, internal investigators don ' t necesidad de una amplia variedad de equipos
especializados. Si una empresa utiliza muchos tipos de computadoras, el Departamento de Investigación de la informática
interna de las necesidades de los sistemas y equipos que soportan el mismo tipo de ordenadores. Con algunos programas
de informática forense, se puede trabajar desde un PC con Windows y examinar tanto las unidades de disco de Windows y
Macintosh.
de repuesto. Considere el almacenamiento de su laboratorio de informática forense con los siguientes dispositivos periféricos:
• 40 pines cables IDE de 18 pulgadas y 36 pulgadas, tanto ATA-33 y ATA-100 o más rápido
• tarjetas gráficas, tanto de interconexión de componentes periféricos (PCI) y puerto de gráficos acelerado
(AGP)
Selección de una estación de trabajo forense básico 87
• Una variedad de unidades de disco duro (todas las que puede pagar y en una variedad tan amplia como sea posible)
• Al menos dos adaptadores de 2,5 pulgadas de IDE cuaderno unidades de disco duro IDE a estándar / unidades ATA,
SATA, etc.
• herramientas de la mano del ordenador, tales como destornilladores Phillips y cabeza plana, una llave de tubo, y una pequeña 3
linterna
Aunque la mayoría de las herramientas de informática forense de gama alta puede abrir o archivos de datos de pantalla creados con
programas populares, que don ' t apoyar todos los programas. Su inventario de software debe incluir las versiones actuales o más de los
siguientes programas. Si usted se ocupa de los dos PCs con Windows y los sistemas Macintosh, debe tener programas para ambos.
• StarOffice / OpenOffice
Un plan de recuperación de desastres también especifica cómo reconstruir una estación de trabajo forense después de que ha sido severamente
contaminada por un virus de una unidad que ' volver a analizar. Fundamental para cualquier plan de recuperación de desastres es un sistema de copia
de seguridad de equipos de investigación. Las herramientas como Norton Ghost son útiles para la restauración de archivos directamente. Como
precaución general, considere la posibilidad de realizar copias de seguridad de su estación de trabajo una vez a la semana. Puede restaurar los
programas de los discos o CDs originales, pero la recuperación de datos perdidos y sin hasta a la fecha de copias de seguridad es difícil.
Almacenar las copias de seguridad del sistema donde sean fácilmente accesibles. Debe tener al menos una copia de las copias de seguridad en el
lugar y un duplicado o una copia previa de copias de seguridad almacenadas en una caja fuerte instalación externa. copias de seguridad fuera de las
instalaciones son por lo general giran en un horario que varía de acuerdo a sus necesidades, como cada día, semana o mes.
88 Capítulo 3
Además, registrar todos los cambios que realice en su estación de trabajo mediante un proceso llamado gestión de la configuración. Algunas
actualizaciones de las compañías discográficas en una base de datos de gestión de configuración para mantener el cumplimiento con la política
de laboratorio. Cada vez que añada o actualizar software en su estación de trabajo, introduzca el cambio en la base de datos o en un simple bloc
de notas escritas a mano con las entradas para documentar el cambio.
Un plan de recuperación de desastres también puede abordar cómo restaurar una estación de trabajo reconfigurado para una investigación
específica. Por ejemplo, si instala un conjunto de aplicaciones, puede que no tenga suficiente espacio en disco para las necesidades
normales de procesamiento, por lo que podría tener problemas durante reconfiguraciones o incluso simples actualizaciones. El plan de
recuperación de desastres debe describir cómo desinstalar el software y eliminar todos los archivos del programa de desinstalación Hasn ' t
quita para que pueda restaurar el sistema a su configuración original.
Para los laboratorios que utilizan servidores RAID de gama alta (como Digital Inteligencia FREDC o
FREDM), se debe tener en cuenta los métodos para la restauración de grandes conjuntos de datos. Estos servidores a gran finales deben tener
sistemas de copia de seguridad de datos adecuados disponibles en caso de un fallo importante de más de una unidad. Cuando se planifica un
procedimiento de cobro de servidores RAID, considere si la cantidad de tiempo de inactividad que se necesita para restaurar los datos de copia de
Identificar el equipo de su laboratorio depende de, y crear un calendario para reemplazar ese equipo. También, identificar el equipo que se
puede sustituir en caso de que falle. componentes informáticos están diseñados para durar 18 a 36 meses en las operaciones comerciales
normales, y las nuevas versiones de los sistemas operativos y las aplicaciones que ocupan más espacio en disco se lanzan con frecuencia. Por
lo tanto, los sistemas necesitan periódicamente más memoria RAM, espacio en disco y la velocidad de procesamiento. Para mantener su actual
laboratorio con actualizaciones en tecnología de hardware, programar reemplazos de hardware al menos cada 18 meses y, preferentemente,
cada 12 meses.
Sin embargo, las computadoras portátiles son todavía limitados como estaciones de trabajo forenses. Incluso con la mejora de las tasas de
transferencia de datos, la adquisición de datos con una herramienta de imagen de compresión de datos, tales como EnCase o SafeBack, crea un
cuello de botella. La velocidad del procesador determina la rapidez con que puede adquirir una imagen de un disco duro. Cuanto más rápido el
procesador en su ordenador portátil (u otro PC), el más rápido de una imagen se crea en un modo comprimido.
Antes de poder configurar un laboratorio de informática forense, debe contar con el apoyo de los administradores y otros miembros del equipo.
Para ello, se construye una caso de negocio, un plan que puede utilizar para vender su
La construcción de un caso de negocio para el desarrollo de un laboratorio forense 89
servicios para la gestión o clientes. En el caso de negocio, justificas la adquisición de nuevos y mejores recursos para investigar los
casos de informática forense.
¿Cómo se desarrolla un modelo de negocio depende de la organización que apoya. Si tu ' re the sole proprietor,
creating a business case is fairly simple. If you need money to buy tools, you can save your money for the purchase
or negotiate with your bank for a loan. For a public entity such as a police department, business requirements can
change drastically because budgets are planned a year or more in advance. Public agency department managers
present their budget proposals to upper management. If the proposal is approved, upper management makes money
3
available to acquire resources outlined in the budget. Some public organizations might have other funds available that
can be spent immediately for special needs. Managers can divert these funds for emergency or unforeseen needs.
Keep in mind that a private-sector business, especially a large corporation, is motivated by the need to make money.
A business case should demonstrate how computing investigations could save money and avoid risks that can
damage profits, such as by preventing litigation involving the company. For example, recent court decisions have
defined viewing pornographic images in the workplace as creating a hostile environment for other employees, which
is related to employee harassment and computer misuse. An employer is responsible for preventing and
investigating harassment of employees and non-employees associated with the workplace. A company is also liable
if it doesn ' t actively prevent the creation of a hostile workplace by providing employee training and investigating
allegations of computer misuse. A lawsuit, regardless of who wins, can cost an employer several hundred thousand
dollars. In your business case, compare the cost of training and conducting computing investigations with the cost of
a lawsuit.
Por ejemplo, Unos meses más tarde, mejor monopatín introduce un producto similar a la del monopatín Gwen
había estado investigando en el SI.
SI podría demandar mejor monopatín y el descubrimiento de la demanda en los documentos internos. Debido a Gwen y mejor monopatín
correspondió a través de correo electrónico, un investigador de la computación tiene que encontrar los datos
90 Capítulo 3
en relación con la contratación y la ingeniería de investigación en mejor monopatín. Mejor monopatín también puede exigir el descubrimiento
de la IS ' s registros de investigación para determinar si las discrepancias en el diseño del producto podrían refutar la demanda. En este
ejemplo, las investigaciones informáticas pueden permitir que una sola empresa para generar ingresos de un nuevo producto y prevenir que la
otra empresa que lo hagan. La información relacionada con pérdidas y ganancias presenta un argumento convincente en un caso de negocio.
Justificación Antes de empezar, es necesario justificar a la persona que controla el presupuesto de la razón se necesita un
laboratorio. Este paso requiere la justificación de las siguientes preguntas:
• Quiénes son los clientes potenciales para este servicio, y cómo va a ser presupuestados - como una operación interna
(departamento de policía o al departamento de seguridad de la empresa, por ejemplo) o una operación externa (un
negocio con fines de lucro)?
• De dónde saldrá el presupuesto inicial y el mantenimiento de las operaciones comerciales vienen? No importa qué tipo de
Desarrollo del presupuesto El presupuesto debe incluir todos los elementos que se describen en las siguientes secciones.
Usted debe ser lo más exacto posible al determinar la verdadera costo de estos artículos. Cometer un error podría causar
retrasos y posible pérdida de la oportunidad de iniciar o mejorar su laboratorio.
Facility Cost Para un nuevo laboratorio de informática forense, los costos de inicio pueden tomar la mayor parte del presupuesto. Dependiendo de
qué tan grande es el laboratorio, primero debe determinar la cantidad de espacio de suelo que se necesita. Como se ha mencionado, una buena
regla de oro es de 150 pies cuadrados por persona. Esta cantidad de espacio puede parecer un poco más grande de lo necesario, pero tenga en
cuenta la cantidad de espacio de almacenamiento necesario para preservar las pruebas y tener suficientes suministros en stock. Consulte con su
organización ' gestor de instalación s en los costos por pies cuadrados para su área o edificio. Éstos son algunos ejemplos de preguntas para
contestar a empezar a trabajar en el cálculo de un presupuesto:
• ¿Cuántas equipo forense examinadores usarán cada laboratorio? Habrá una necesidad de acomodar otros
nonexaminers temporalmente para inspeccionar evidencia recuperada?
• ¿La habitación designada tiene suficiente energía eléctrica y de calefacción, ventilación y sistemas de aire
acondicionado (HVAC)? 3
• Hace el cuarto designado cuenta con líneas telefónicas existentes y los cables de red? Si no es así, ¿cuánto será el costo
de instalar estos elementos adicionales?
• ¿Hay otros costos de las instalaciones, tales como honorarios por los servicios de limpieza y servicios de mantenimiento de
instalaciones?
Requerimientos de hardware La determinación de los tipos de investigaciones y datos que serán analizadas en el laboratorio de
informática forense determina qué equipo hardware que necesita. Si su organización está usando PCs basados en Intel con Windows
XP, por ejemplo, la estación de trabajo forense debe ser un PC basado en Intel de gama alta, también. Para un pequeño departamento
de policía, la determinación de los tipos de computadoras los usos públicos es más difícil. La diversidad de una comunidad ' sistemas
informáticos s requiere un departamento de policía para ser más versátil en las herramientas necesarias para llevar a cabo las
investigaciones. Para determinar las necesidades presupuestarias de hardware de computadora, aquí hay algunas cuestiones a
considerar en su planificación:
• Habrá investigaciones sensibles al tiempo que exigen un rápido análisis de los datos del disco?
• ¿En qué tamaños y cuántas unidades serán necesarios para apoyar una investigación típica?
• ¿Será necesario un sistema de copia de seguridad de alta velocidad, tales como copia de seguridad de cinta o DVD quemadores?
• Lo que va a utilizar para almacenar las pruebas digitales? ¿Cuánto tiempo necesita para almacenarlo?
Requisitos de Software En los últimos años, muchas más herramientas de informática forense se han hecho disponibles. Para el sector
privado, el costo de estas herramientas varía desde alrededor de $ 300 y más. Para el sector público, muchos proveedores de software de
informática forense ofrecen descuentos. Sin embargo, al igual que selecciona hardware del sistema laboratorio forense para adaptarse a
las necesidades específicas, primero debe determinar qué tipo de sistemas operativos y aplicaciones serán investigadas y luego hacer las
compras que se ajustan. Tenga en cuenta que cuanto más se gasta en un paquete de software de informática forense, el más funciones y
flexibilidad estarán disponibles. Para determinar las necesidades presupuestarias de software de ordenador, he aquí algunas preguntas a
tener en cuenta en su planificación:
• Por menos popular, raro, o más sistemas operativos (como Mac OS 9.x, OS / 2, y CP / M), con qué frecuencia habrá
una necesidad de investigar ellos?
92 Capítulo 3
• ¿Cuáles son las necesidades mínimas de herramientas de software forense? Por ejemplo, se necesitarán cuántas copias de cada
herramienta? ¿Con qué frecuencia cada herramienta se use en una semana promedio?
• ¿Qué tipos de sistemas operativos serán necesarios para llevar a cabo los exámenes de rutina?
• ¿Existe un presupuesto para la compra de más de una herramienta de software forense, como EnCase, FTK, o
ProDiscover?
• ¿Qué herramienta de edición de disco debe ser seleccionado para el análisis de datos generales?
Necesidades de costes misceláneos Para esta sección del presupuesto, es necesario intercambiar ideas sobre otros artículos, herramientas y
suministros para considerar la compra para el laboratorio, de suministros de oficina en general a las necesidades específicas de las operaciones
diarias. Para determinar las necesidades presupuestarias varios, aquí hay algunas cuestiones a considerar en su planificación:
• Habrá una necesidad de errores y omisiones seguros para el laboratorio ' s operación y el personal?
Aprobación y Adquisición La fase de aprobación y la adquisición de un laboratorio de informática forense es una función de
gestión. Eso ' s your responsibility to create a business case with a budget to present to upper management for approval. As part
of the approval process, you should include a risk analysis describing how the lab will minimize the risk of litigation, which is a
persuasive argument for supporting the lab. You also need to make an educated guess of how many investigations are
anticipated and how long they will take to complete on average. Remember, part of the approval process requires using
negotiation skills to justify the business case. You might need to revise your case as needed to get approval. As part of the
business case, acquisition planning requires researching different products to determine which one is the best and most cost
effective. You need to contact several vendors ' el personal de ventas y los ingenieros de diseño para aprender más acerca de
cada producto y servicio. Otro factor es investigar los costos anuales de mantenimiento. Es necesario hacer un presupuesto
para este gasto, también, así que usted puede conseguir apoyo si llegas a tener problemas durante una investigación. Un
elemento adicional a la investigación de otros en la profesión es el proveedor ' s historial de mantenimiento. Hacer otras
informática forense laboratorios utilizan el mismo producto, y tienen que tenían ningún problema para conseguir apoyo para los
problemas que encuentran? Otra consideración es vendedores ' estructuras de precios. ISN fijación de precios del proveedor ' t
basado en el costo de crear CDs y DVDs y empaquetarlas. precios de los productos se basan en el precio para el desarrollo, las
pruebas, la documentación de apoyo, el transporte y la investigación y el desarrollo para futuras mejoras. Además, los
proveedores son organizaciones con fines de lucro; los inversores tienen que pagar, también. Tenga en cuenta que para los
vendedores a estar alrededor del próximo año para proporcionar productos y servicios para usted, que necesitan para ganar
dinero.
Implementación Después de la aprobación y la adquisición, es necesario planificar la implantación de instalaciones y herramientas. Como
parte de su modelo de negocio, describa cómo se procesará la aplicación de todos los artículos aprobados. Una línea de tiempo que
muestra las fechas de entrega o de instalación previstos y las fechas de finalización prevista debe ser incluido. Usted también debe tener
un plan de coordinación para las fechas y horas de entrega de los materiales y herramientas. La inspección de la construcción de
instalaciones,
Resumen del capítulo 93
equipos (incluyendo los muebles y bancos), y herramientas de software deben ser incluidos en el programa. Asegúrese de
programar las fechas de inspección, también, para garantizar que lo que pedimos llegó y es funcional.
Test de aceptación Después de la programación de la ejecución y la inspección, es necesario desarrollar un plan de prueba de
aceptación para el laboratorio de informática forense para asegurarse de que todo funciona correctamente. Al escribir el plan de pruebas
de aceptación, tenga en cuenta los siguientes elementos:
3
• Inspeccionar las instalaciones para ver si cumple con los criterios de seguridad para contener y controlar las pruebas digitales.
• Probar todas las comunicaciones, tales como las conexiones telefónicas y de red, para asegurarse de que funcionan como se esperaba.
• Probar todo el hardware para verificar que funciona correctamente; por ejemplo, probar un equipo para asegurarse de que se
inicie Windows.
• Instalar e iniciar todas las herramientas de software; asegurarse de que todo el software se puede ejecutar en los equipos y sistemas
operativos que tiene en el laboratorio.
Corrección de Aceptación Cuanto mejor se planea para su laboratorio, menor será la probabilidad ' ll tiene problemas. Sin embargo, cualquier
operación de laboratorio tiene algunos problemas durante el arranque. Su modelo de negocio debe anticiparse a los problemas que pueden
causar retrasos en la producción de laboratorio. En el caso de negocio, es necesario desarrollar contingencias para hacer frente a los fallos del
sistema o instalación. Por ejemplo, idear soluciones para problemas tales como las cerraduras equivocadas siendo instalados en las puertas de
laboratorio o de energía eléctrica que necesitan un filtrado adicional.
Producción Después de haber realizado todas las correcciones esenciales, su laboratorio de informática forense puede entonces entrar en
producción. En este momento, a implementar los procedimientos de las operaciones de laboratorio que se han descrito en este capítulo.
Para
NOTEobtener información adicional sobre cómo escribir un caso de negocio, consulte
www.sba.gov/smallbusinessplanner/plan/writeabusinessplan/index.html.
■ Para continuar una carrera en investigaciones y análisis forense de computación, necesita actualizar sus habilidades a través de la
formación. Varias organizaciones ofrecen programas de formación y certificación para la informática forense que se prueba después
de haber completado con éxito la formación. Algunas agencias gubernamentales estatales y federales también están considerando el
establecimiento de programas de certificación que se ocupan de las habilidades mínimas necesarias para llevar a cabo
investigaciones informáticas a diferentes niveles.
■ Sus instalaciones de laboratorio debe estar físicamente seguro, de forma que la prueba no se ha perdido, dañado o destruido.
94 Capítulo 3
■ Los departamentos de policía en las principales ciudades necesitan una amplia variedad de sistemas de computación, incluyendo
tecnología más antigua, obsoleta. La mayoría de las investigaciones de un ordenador en los departamentos de policía locales
pequeñas implican PC con Windows y sistemas Macintosh. Como regla general, debe haber por lo menos un investigador informático
aplicación de la ley por cada 250.000 personas en una región geográfica. servicios comerciales que proporcionan análisis de
informática forense para otras empresas pueden adaptar sus servicios a mercados específicos.
■ Una estación de trabajo forense debe tener suficiente memoria, almacenamiento y puertos para hacer frente a los tipos
comunes de casos que llegan a través de su laboratorio.
■ Antes de poder configurar un laboratorio de informática forense, debe conseguir el apoyo de sus gerentes y otros miembros del
equipo mediante la construcción de un modelo de negocio, un plan que puede utilizar para vender sus servicios a la administración
o clientes. En el caso de negocio, justificas la adquisición de nuevos y mejores recursos para investigar los casos de informática
forense.
Términos clave
Sociedad Americana de Directores de Laboratorios Crime (ASCLD) Una sociedad nacional que establece las normas, la gestión y los procedimientos de
auditoría para laboratorios utilizados en el análisis de delitos, incluidos los laboratorios forenses informáticos utilizados por la policía, el FBI
y otras organizaciones similares.
caso de negocio Un documento que proporciona una justificación a la alta dirección o de un prestamista para la compra de nuevos
equipos, software, u otras herramientas al actualizar sus instalaciones. En muchos casos, un caso de negocio muestra cómo las
mejoras beneficiarán a la empresa.
Certificados Colección Prueba Electrónica Especialista (PECO) Un certificado otorgado por IACIS al finalizar el examen
escrito.
Certificada Forense Examinador ordenador (CFCE) Un certificado otorgado por IACIS a la finalización de todas las partes del
examen.
laboratorio de informática forense Un laboratorio de computación dedicada a las investigaciones de computación; por lo general, tiene una variedad de
computadoras, sistemas operativos y software de análisis forense.
gestión de la configuración El proceso de hacer el seguimiento de todas las actualizaciones y parches que se aplican a su equipo ' s del sistema
operativo y las aplicaciones.
High Tech Red Transnacional (HTCN) Una organización nacional que proporciona la certificación para los investigadores de delitos
informáticos y técnicos en informática forense.
gestión de riesgos El proceso de determinar la cantidad de riesgo es aceptable para cualquier proceso u operación, tales como la
sustitución de equipos.
instalación segura Una instalación que se puede bloquear y permite un acceso limitado a la habitación ' s contenidos.
grupos de intereses especiales (SIG) Asociado con varios sistemas operativos, estos grupos mantienen listas de correo
electrónico y podrían reunirse para intercambiar información sobre los sistemas operativos actuales y heredados.
TEMPESTAD Un término que se refiere a las instalaciones que se han endurecido para que las señales eléctricas de los ordenadores, la
red de ordenadores y sistemas de teléfono puede ' t ser controlados o de fácil acceso por alguien fuera de la instalación.
Uniforme Crime Report La información recopilada en las, estatales y federales niveles locales para determinar los tipos y
frecuencias de los crímenes cometidos.
Preguntas de revisión 95
Preguntas de revisión
1. Un empleador puede ser considerado responsable por el acoso de correo electrónico. ¿Verdadero o falso?
3. El ASCLD obliga a los procedimientos establecidos para un laboratorio de informática forense. ¿Verdadero o falso?
4. El gerente de un laboratorio de informática forense es responsable de cuál de las siguientes? (Elija todas las que
apliquen.)
segundo. Asegurar que los miembros del personal tienen la formación suficiente para hacer el trabajo
5. Determinar los tipos de sistemas operativos necesarios en su laboratorio, lista de dos fuentes de información que podrían
utilizar.
8. La Asociación Nacional de Formación de la ciberdelincuencia está disponible sólo para hacer cumplir la ley. ¿Verdadero o falso?
9. ¿Por qué es la seguridad física tan importante para los laboratorios forenses informáticos?
10. Si un visitante de su laboratorio de informática forense es un amigo personal, ' s no es necesario tener
él o ella señal de que el visitante ' s de usuarios. ¿Verdadero o falso?
11. ¿Qué tres elementos que deben investigar antes de alistarse en un programa de certificación?
12. Los grandes laboratorios de informática forense debe tener al menos _____ salidas.
13. Típicamente, un (n) _______ laboratorio tiene un área de almacenamiento separada o sala de pruebas.
15. El jefe de custodio de los contenedores de almacenamiento en la evidencia debe tener varias llaves maestras. ¿Verdadero o falso?
16. apagar los fuegos provocados en un laboratorio de computación por lo general requiere un extintor ______ nominal.
17. Una estación de trabajo forense siempre debe tener una conexión de banda ancha directa a Internet. ¿Verdadero o falso?
96 Capítulo 3
19. ¿Qué organización tiene pautas sobre cómo operar un laboratorio de informática forense?
20. ¿Qué término se refiere a los laboratorios construidos para proteger las emisiones de EMR?
Proyectos prácticos
Hz
Proyectos de casos
documento sobre los recursos que ' ll necesario, y asegúrese de justificar sus necesidades.
44
11101010100010101000001111000011101
0101000101010110011110000111011
11111110101111010101101
capítulo
I 11111000011101101
I1111000011101101C
111101010110101
¡000011101101»
lOOUcÿi .10000111»' 101
11 010 <1 011110101011010
ii -or y 100001110110101
O OOi 10000111011010101
Adquisición de
Adquisición de datos
datos,'10
1l>1010 1111010101101010101
O'I 01/
rv* 01111000011101...
11000011101 —010100
La adquisición de datos es el proceso de copia de datos. Para la informática forense, se ' s la tarea de
recogida de pruebas digitales de los medios electrónicos. Hay dos tipos de adquisición de datos: adquisiciones estáticas y
adquisiciones en vivo. En este capítulo, aprenderá cómo realizar adquisiciones estáticas de los medios digitales.
El futuro de las adquisiciones de datos está cambiando hacia adquisiciones vivo por el uso de cifrado de disco
con los sistemas operativos más recientes (OSS). Además de las preocupaciones de cifrado, la recogida de los
datos que ' s activo en un sospechoso ' Los datos en el disco original no se altera, no importa cuántas veces se
realiza una adquisición.
Su objetivo en la adquisición de datos para una adquisición estática es preservar la evidencia digital. Muchas veces, usted tiene sólo una
oportunidad para crear una copia fiable de pruebas de disco con una herramienta de adquisición de datos. Aunque estas herramientas son
generalmente confiables, aún debe tomar medidas para asegurarse de que obtiene una imagen que puede ser verificada. Además, los fallos
pueden ocurrir y ocurren, por lo que debe aprender a utilizar varias herramientas y métodos de adquisición; se trabaja con algunas
herramientas diferentes en este capítulo. Otras herramientas de adquisición de datos que funcionan en Windows, MS-DOS
6.22, y Linux se describen brevemente en la sección anterior, pero la lista de proveedores y métodos no es en absoluto
concluyente. Usted debe buscar siempre nuevas y mejores herramientas para garantizar la integridad de sus adquisiciones
forenses.
*
para
NOTEadicional información sobre los métodos de adquisición de MS-DOS y
herramientas, véase el Apéndice D. Usted puede realizar la mayoría de las adquisiciones digitales para sus
Los datos de una herramienta de adquisición de la informática forense recoge se almacena como un archivo de imagen en uno de los tres
formatos. Dos formatos son de código abierto y el tercero es propietaria. Cada vendedor tiene características únicas, por lo que varios diferentes
formatos patentados están disponibles. Dependiendo del formato propietario, muchas herramientas de análisis forense de computadoras pueden
leer otros proveedores ' adquisiciones formateado.
Muchas herramientas de adquisición de la informática forense crear un archivo de disco a la imagen en un formato de código abierto más antiguo,
conocido como crudo, así como su propio formato propietario. El nuevo formato de código abierto, de formato avanzado Forense (AFF), está
empezando a obtener el reconocimiento de la informática forense
La comprensión de Formatos de almacenamiento de Evidencia Digital 101
examinadores. Debido a AFF es de código abierto, muchos vendedores deben ser incluidos en este formato pronto sus herramientas.
Cada formato de adquisición de datos tiene características únicas, junto con ventajas y desventajas. Las siguientes
secciones resumen cada formato para ayudarle a elegir cuál usar.
formato rAW
En el pasado, sólo había una forma práctica de la copia de datos con el fin de preservar las pruebas y exámenes. Examinadores
realizan una copia bit a bit de un disco a otro disco del mismo tamaño o más grande. Como una forma práctica para preservar la
4
evidencia digital, los vendedores (y algunas utilidades del sistema operativo, como el comando de Linux / UNIX dd) hicieron posible
la escritura de los datos de flujo de bits de archivos. Esta técnica crea copia archivos planos secuenciales simples de una unidad o
conjunto de datos sospechosa. La salida de estos archivos planos se conoce como una formato en bruto.
Este formato tiene ventajas únicas y desventajas a considerar al seleccionar un formato de adquisición.
Además, la mayoría de las herramientas de informática forense puede leer el formato RAW, lo que es un formato
de adquisición universal para la mayoría de las herramientas. Otra desventaja es que algunas herramientas de
formato primas, típicamente versiones freeware, podrían no cobrar (malo) los sectores marginales de la unidad
de origen, lo que significa que tienen un bajo umbral de reintento lee en los puntos medios de comunicación
débiles en una unidad. Muchas de las herramientas comerciales tienen un umbral mucho más alto de reintento
lee para asegurar que se recogen todos los datos.
Varias herramientas de adquisición comerciales pueden producir las adquisiciones de formatos primas y por lo general proporcionar una
comprobación de validación mediante el uso de comprobación de redundancia cíclica (CRC-32), Message Digest 5 (MD5), y el Secure Hash
Algorithm (SHA-1 o superior) hash funciones. Estas comprobaciones de validación, sin embargo, suelen crear un archivo separado que contiene
el valor hash.
• La opción para comprimir o no comprimir los archivos de imagen de un coche sospechoso, ahorrando así espacio en la unidad de
destino
• La capacidad de dividir una imagen en archivos segmentados más pequeños para el archivo de propósitos, tales como en CD o DVD,
con las comprobaciones de integridad de datos integrados en cada segmento
• La capacidad de integrar metadatos en el archivo de imagen, como la fecha y hora de la adquisición, valor hash
(para la auto-autenticación) del disco o medio original, el investigador o el examinador Nombre, y los
comentarios o detalles del caso
Informática
NOTE Forense examinadores tienen varias formas de referirse a la copia de datos en la evidencia para
los archivos de copia: flujo de bits, imagen flujo de bits, imagen, espejo, y la copia del sector, para nombrar
unos pocos. Para los propósitos de este libro, “ imagen ” se utiliza generalmente para referirse a todas las
Una desventaja importante de las adquisiciones formato propietario es la incapacidad de compartir una imagen entre
diferentes proveedores ' Las herramientas de análisis forense. Por ejemplo, la herramienta de imagen ILOOK IXimager
produce tres formatos propietarios - IDIF, IRBF y IEIF - que puede ser leído solamente por ILOOK. (Ver www.perlustro.com Para
información adicional sobre ILOOK, que está disponible actualmente sólo a las fuerzas del orden.) Si es necesario, puede
copiar formatos IXimager IDIF, IRBF y IEIF a un archivo de imagen de formato en bruto que puede ser leído por otras
herramientas.
Otro problema con los formatos propietarios y primas es una limitación de tamaño de archivo para cada volumen segmentado. Por lo general, las
herramientas de formato propietario producen un archivo segmentado de 650 MB. El tamaño del archivo se puede ajustar hacia arriba o hacia abajo,
con un tamaño máximo de archivo por segmento de no más de 2 GB. La mayoría de las herramientas de formato propietario subir a sólo 2 GB debido
a que muchos examinadores utilizan una unidad de destino formateado como FAT, que tiene un límite de tamaño de archivo de 2 GB.
De todos los formatos propietarios para adquisiciones de imágenes, el formato de testigo experto es actualmente el
estándar oficial. Este formato, el valor predeterminado de Orientación de software EnCase, produce dos archivos de
imagen comprimidos y sin comprimir. Estos archivos (o volúmenes) escribir una extensión a partir de .E01 e incrementando
por cada volumen de la imagen segmentada adicional.
Varias herramientas de análisis de informática forense pueden generar versiones genéricas del formato de Expertos de testigos y
analizarlo, incluyendo X-Ways Forense, AccessData Forensic Toolkit (FTK), y SMART. Para obtener más información sobre el
formato de testigos expertos, véase www.asrdata.com/ inteligente / whitepaper.html.
Las extensiones de archivo incluyen .afd para archivos de imagen segmentados y .afm para metadatos AFF. Debido a AFF es de
código abierto, informática forense vendedores no tienen restricciones de implementación en este formato. AFF esperar para
convertirse en el futuro estándar para formatos de adquisición forense de sonido. Para obtener más información sobre la AFF, véase www.afflib.org
y www.basistech.com/digitalforensics/aff.html.
Para obtener más información sobre los formatos de archivo de adquisición, véase www.sleuthkit. org /
4
EnNOTE
el capítulo 11, se aprende cómo realizar adquisiciones en vivo, incluyendo la recolección de los
medios digitales y la memoria dinámica / volátil (RAM) en un sistema informático.
Con este método, se puede hacer una o varias copias de una unidad sospechosa. Estos programas leen el
archivo de disco a la imagen como si fuera el disco original. A veces se puede ' t hacer un archivo de disco a la
imagen debido a errores de hardware o software o incompatibilidades. Este problema es más común cuando se
tiene que adquirir las unidades antiguas. Para estas unidades, puede que tenga que crear una copia de disco a
disco de la unidad sospechosa. Varias herramientas de imágenes se pueden copiar los datos con exactitud
desde un disco más para un disco nuevo. Estos programas pueden ajustar el disco de destino ' s geometría (su
cilindro, la cabeza y configuración de la pista) de modo que los datos copiados coincide con la unidad
sospechoso originales. Estas herramientas de imágenes incluyen EnCase y SafeBack ( www.forensics-Intl. com /
safeback.html). SafeBack debe ejecutar desde un sistema de MS-DOS. Ver los vendedores ' manuales de
instrucciones sobre cómo utilizar estas herramientas para realizar copias de disco a disco.
Para
NOTEobtener más información acerca de las unidades actuales y anteriores, véase www.t13.org.
La recogida de datos procedentes de un coche puede llevar varias horas. Si su tiempo es limitado, considere el uso de una adquisición
lógica o adquisición escasa copia de datos método. Una lógica de adquisición de captura sólo los archivos específicos de interés para el
caso o tipos específicos de archivos. Una adquisición escasa es similar, pero además contiene fragmentos de datos no asignado
(suprimido); utilizar este método sólo cuando usted no ' t necesidad de examinar toda la unidad. Un ejemplo de una adquisición lógico es
un e-mail
104 Capítulo 4
En el descubrimiento de electrónica para el propósito de un litigio, una adquisición de lógica está convirtiendo en
el método preferido, en especial con los sistemas de almacenamiento de datos de gran tamaño.
Si el disco de origen es muy grande, tal como 500 GB o más, asegúrese de que tiene un disco de destino que puede almacenar un archivo de
disco a la imagen del disco grande. Si tu no ' t tiene un disco de destino de volumen comparable, alternativas de revisión para reducir el tamaño de
los datos para crear una copia verificable de la unidad sospechosa. Edad avanzada herramientas de compresión de disco de Microsoft, como
DoubleSpace o DriveSpace, eliminan único espacio de disco holgura entre los archivos. Otros métodos utilizan un algoritmo de compresión para
reducir el tamaño del archivo. herramientas de archivo populares, tales como PKZIP, WinZip, WinRAR, y utilizan un algoritmo conocido como
compresión sin pérdidas. Los algoritmos de compresión de archivos de gráficos utilizan lo ' s llama compresión con pérdida, que puede cambiar los
datos. Por ejemplo, la compresión con pérdida se utiliza con archivos .jpeg para reducir el tamaño del archivo y doesn ' t afectar a la calidad de
imagen cuando se restaura el archivo y ver. Debido a la compresión con pérdida altera los datos originales, sin embargo, ISN ' t utiliza para el
análisis forense adquisiciones. Ambos métodos de compresión se analizan con más detalle en el capítulo 10.
La mayoría de las herramientas de imágenes tienen una opción para utilizar la compresión sin pérdidas para ahorrar espacio en disco, lo
que significa que la unidad de destino doesn ' t tiene que ser tan grande como la unidad sospechosa. Por ejemplo, si tiene un SATA de 1,5
TB unidad sospechosa, es posible que pueda utilizar la compresión sin pérdida para crear el archivo de disco a la imagen en una unidad
de destino 500 GB. Los archivos de imagen se pueden reducir hasta en un 50% del original. Si la unidad sospechosa ya contiene datos
comprimidos, tales como varios grandes archivos comprimidos, la herramienta de imagen puede ' t comprimir los datos más lejos, sin
embargo. Una manera fácil de probar la compresión sin pérdidas es llevar a cabo un MD5 o SHA-1 en un archivo antes y después de ella ' s
comprimidos. Si la compresión se realiza correctamente, ambas versiones tienen el mismo valor hash. Si los hashes don ' t partido, que
significa algo dañado el archivo comprimido, como por ejemplo un error de hardware o software. Como precaución adicional, realizar dos
hashes separadas con diferentes algoritmos, tales como MD5 y SHA-1. Esto no paso ' t obligatoria; De todos modos, eso ' sa buena manera
de establecer que nada ha cambiado durante el procesamiento de datos. Cuando se trabaja con unidades de gran tamaño, una alternativa
es usar sistemas de copia de seguridad en cinta, como una cinta de Super Digital Linear (SDLT) o cinta de audio digital / Digital Data
Storage (DAT / DDS). Del SnapBack y SafeBack tienen controladores de software especiales diseñados para escribir datos desde una
unidad sospechosa a un sistema de copia de seguridad de cinta a través de tarjetas SCSI PCI estándar. La ventaja de este tipo de
adquisición es que hay ' s hay límite en el tamaño de los datos que pueden ser adquiridos. La una gran desventaja, especialmente con
sistemas de microprocesador, es que puede ser lento y consume mucho tiempo. Si puedes ' t conservan la unidad de pruebas original y
debe devolver al propietario, al igual que en una solicitud de investigación por un caso de litigio civil, consulte con el solicitante, tales como
su abogado o supervisor, y pregunte si una adquisición lógico es aceptable. Si no es así, usted tiene que devolver el asunto a su abogado
o supervisor. Cuando se realiza una adquisición en estas condiciones, asegúrese de que tiene una buena copia porque la mayoría de las
demandas de descubrimiento le dan una sola oportunidad de capturar los datos. Además, asegúrese de que tiene una herramienta forense
fiable de que sabe cómo utilizar.
El uso de herramientas de adquisición 105
Como práctica estándar, realice al menos dos imágenes de la evidencia digital recoja. Si usted tiene más de una herramienta de
imagen, tales como ProDiscover, FTK, y X-Ways Forense, la primera copia con una sola herramienta y la segunda copia con la otra
herramienta. Si usted tiene sólo una herramienta, considere hacer dos imágenes de la unidad con la misma herramienta,
especialmente para las investigaciones críticas. Con herramientas como EnCase y ProDiscover, se puede realizar una copia sin
compresión y comprimir la otra copia. Recuerde que Murphy ' s ley se aplica a la informática forense, también: Si algo puede salir
mal, saldrá mal. Muchas herramientas de adquisición de Don ' t copiar datos en el área protegida de host (HPA) de una unidad de
disco. (Consulte el Capítulo 8 para obtener más información sobre las áreas protegidas de acogida.) Para estas situaciones,
considerar el uso de una herramienta de adquisición de hardware que se puede acceder a la unidad a nivel del BIOS, como
ProDiscover con el bloqueador de escritura NoWrite FPU, ImageMASSter Solo, o X -Formas réplica. Estas herramientas pueden
leer un disco ' s HPA. Microsoft ha añadido recientemente cifrado de disco completo en Windows Vista Ultimate y Enterprise Edition,
lo que hace que la realización de adquisiciones estáticas más difícil. (Utimaco SafeGuard Easy Software también utiliza el cifrado
de disco completo.) Como parte de la planificación de contingencia, debe estar preparado para hacer frente a las unidades cifradas.
Una adquisición estática en la mayoría de unidades de disco encriptadas toda la actualidad implica descifrar las unidades, lo que
requiere que el usuario ' s cooperación en proveer la clave de descifrado. La mayoría de las herramientas de cifrado de disco entero
por lo menos tienen un proceso manual para descifrar datos, que está convirtiendo el disco cifrado en un disco sin cifrar. Este
proceso puede tardar varias horas, dependiendo del tamaño del disco. Una cosa buena acerca del uso de la encriptación de datos
es que ISN ' t alterado, en que el espacio libre y la holgura aren ' t cambió. La mayor preocupación con el cifrado de disco completo
está recibiendo la clave de descifrado. En las investigaciones criminales, esto podría ser imposible porque si un disco contiene
evidencia que apoya el crimen, un sospechoso tiene una fuerte motivación no para suministrar la clave de descifrado.
Investigadores de la Universidad de Princeton han producido una técnica para recuperar contraseñas y frases de memoria RAM,
sin embargo; Para más información visite http: // CITP. princeton.edu/pub/coldboot.pdf.
Muchos proveedores de software informática forense han desarrollado herramientas de adquisición que se ejecutan en Windows. Estas
herramientas hacen que la adquisición de las pruebas de una unidad sospechosa más conveniente, especialmente cuando se utilizan con
dispositivos intercambiables en caliente, tales como USB-2, FireWire 1394A y 1394B, o SATA, para conectar discos a su estación de trabajo.
106 Capítulo 4
Sin embargo, las herramientas de adquisición de Windows tienen algunos inconvenientes. Debido a que Windows puede contaminar fácilmente la
unidad de pruebas, debe protegerlo con un dispositivo de hardware de bloqueo de escritura bien probado. (Capítulo 7 discute de bloqueo de
escritura dispositivos con más detalle.) Otro inconveniente es que la mayoría de las herramientas de Windows pueden ' t adquirir datos desde un
disco ' s anfitrión área protegida. Además, algunos países paraíso ' t sin embargo aceptó el uso de dispositivos de bloqueo de escritura para la
adquisición de datos. Consulte con su asesor legal para los estándares de la evidencia en su comunidad o país.
Gu
ia iWijü
Para actualizar el Registro, es necesario realizar tres tareas. En primer lugar, haga una copia de seguridad del Registro en caso de que algo falla
mientras se ' re modificándolo. En segundo lugar, modificar el Registro con la característica WriteProtection. En tercer lugar, la creación de dos
iconos de escritorio para automatizar el cambio entre la activación y desactivación de escritura en el dispositivo USB.
Copia de seguridad del Registro Actividades para actualizar el registro se escriben para Windows Vista. Si tu ' re el uso de
Windows XP, ' ll notar ligeras diferencias en los cuadros de diálogo, y que ganó ' t ver el cuadro de mensaje de Control de cuentas
de usuario (UAC).
El uso de herramientas de adquisición 107
Antes de actualizar el Registro para la función de bloqueo de escritura o cualquier otra tarea, respaldándolo es crucial. Para realizar una copia de
seguridad del Registro, siga estos pasos:
1. Haga clic Comienzo, apunta a Todos los programas, apunta a Accesorios, apunta a Herramientas del sistema, y
hacer clic Restauración del sistema. Cuando se abra el cuadro de mensaje de UAC, haga clic Continuar.
2. En la primera ventana del Asistente para Restaurar sistema (véase la figura 4-2), haga clic en el abierto
Proteccion del sistema enlace para crear un punto de restauración. (Tenga en cuenta que si usted no ha ' t crea un punto de
k.L System
restauración Restoredebe hacer clic en el Proteccion del sistema enlazar.)
previamente,
A
System Restore can help fix problems that might be making your
computer run slowly or stop responding.
o Rerammÿdedjestore-
Select this option to undo the most recent update, driver,
or software installation if you think it is causing problems.
3. En el cuadro de diálogo Propiedades del sistema (véase la figura 4-3), haga clic en el Crear botón. En los Cre
comió una ventana de punto de restauración, introduzca un nombre para el punto (como Restaurar Primaria) Restore, haga clic Crear, y
haga clic DE ACUERDO dos veces. Hacer clic Cancelar en el Asistente para Restaurar sistema.
Modificar el registro para USB de bloqueo de escritura Después de haber creado un punto de restauración para el Registro,
realice los siguientes pasos para activar la función de bloqueo de escritura:
1. Haga clic Comienzo, tipo regedit en el cuadro de texto Iniciar búsqueda y, a continuación, pulse Entrar. Si el UAC
Se abre el cuadro de mensajes, haga clic Continuar. ( En Windows XP, haga clic Empieza a correr, tipo regedit
Yqu can use reaore points to undo unwanted system changes. Howl
JFrC 1
-
v .
'
.
You can also use restore points to restore previous versions of files,
called shadow copies. How do I use previous versions7
Cancel ]| jppty
6. Un nuevo mensaje aparece en el área de datos clave a la derecha. Tipo Protección contra escritura y pulse Entrar.
7. A continuación, en el área clave de datos, haga clic WriteProtect DWORD ( o solo Protección contra escritura,
8. En el cuadro de diálogo Editar valor DWORD, cambie la configuración del valor de datos de 0 a 1,
y haga clic DE ACUERDO para activar el bloqueo de escritura a dispositivos USB. Mantener abierto el Editor del registro para la
siguiente tarea.
La automatización del USB de bloqueo de escritura Para minimizar los errores en la actualización del registro cada vez que se
necesita para escribir bloques de un dispositivo USB, la exportación del registro se recomienda. Para ello, se crea un archivo .reg y
guardarlo en su estación de trabajo ' s escritorio. Para que sea más fácil cambiar entre la escritura y modos de bloqueo para el registro, siga
estos pasos en el Editor del Registro:
2. En el cuadro de diálogo Exportar archivo del Registro, haga clic Escritorio en el cuadro de lista Guardar. En el archivo
nombre del cuadro de texto, escriba Protección contra escritura en un dispositivo USB, y haga clic Salvar.
El uso de herramientas de adquisición 109
3. En el Editor del Registro, haga clic StorageDevicePolicies. En el área de datos de claves, haga clic Escribir-
proteger DWORD y haga clic Modificar.
4. A continuación, en el cuadro de diálogo Editar valor DWORD, cambie la configuración del valor de datos de 1 a
0, y haga clic DE ACUERDO para desactivar el bloqueo de escritura a dispositivos USB.
6. En el cuadro de diálogo Exportar archivo del Registro, haga clic Escritorio en el cuadro de lista Guardar. En el archivo
nombre del cuadro de texto, escriba Write Protect USB OFF, y haga clic Salvar. Cierre el Editor del Registro.
Ahora que ha realizado esta modificación del registro, verá que hay dos iconos del escritorio con nombre Write Protect USB ON.reg y de protección
4
contra escritura OFF.reg USB. Cuando es necesario configurar la estación de trabajo de modo que escribir bloques (escribe impide a los dispositivos
USB), haga doble clic en el USB de protección contra escritura en el icono. Cuando se abre un cuadro de diálogo que le pregunta si desea modificar
el Registro, haga clic en Aceptar y, a continuación, hacer clic en Aceptar en el cuadro de mensaje que indica el Registro se ha modificado
correctamente. Para deshacer de bloqueo de escritura (escribe permitir a los dispositivos USB), haga doble clic en el icono USB OFF de protección
contra escritura. Haga clic en OK para modificar el Registro y de nuevo en Aceptar para finalizar.
Para una mayor información sobre este procedimiento de modificación del registro y otras guías útiles,
Tenga cuidado al trabajar con las nuevas distribuciones de Linux con KDE o Gnome interfaces
CAUTION
gráficas de usuario. Muchas distribuciones más nuevas montan la mayoría de los dispositivos
multimedia de forma automática. Si tu ' re utilizando una distribución Linux nonforensic, debe probarlo
para ver cómo se maneja los dispositivos de almacenamiento conectados. En caso de duda, siempre use un writeblocker física para una
adquisición de Linux.
110 Chapter 4
El uso de Linux Live CD Distribuciones Varias distribuciones de Linux, como Knoppix ( www.knoppix.org), proporcionar una
imagen ISO que se puede grabar en un CD o DVD. imágenes ISO de Linux se denominan CD como en directo. La mayoría de estas
distribuciones de Linux son para la recuperación del sistema operativo Linux, no para la adquisición y análisis forense. Para obtener
una lista de los más actuales Live CDs de Linux, consulte www.frozentech.com.
A few Linux ISO images are specifically designed for computer forensics, however. These special Linux ISO
images contain additional utilities that aren ’ t typically installed in normal Linux distributions. They are also
configured not to mount, or to mount as read-only, any connected storage media, such as disk drives. This
feature protects the media ’ s integrity for the purpose of acquiring and analyzing data. To access media, you have
to give specific instructions to the Live CD boot session through a GUI utility or a shell command prompt.
Mounting drives from a shell gives you more control over them. See the man page for the mount command (by
typing
“ man mount ” at the shell prompt) to learn what options are available for your Linux distribution.
The man command displays pages from the online help manual for information on
Linux commands and their options.
Linux can read data from a physical device without having to mount it. As a usual practice, don ’ t mount a suspect
media device as a precaution against any writes to it. Later in this section, you learn how to make a forensics
acquisition in Linux without mounting the device.
The following are well-designed Linux Live CDs for computer forensics:
You can download these ISO images to any computer, including a Windows system, and then burn them to
CD/DVD with burner software, such as Roxio or Nero. Creating a bootable image from an ISO file is different
from copying data or music files to a CD or DVD, however. If you aren ’ t familiar with how to do it, see the Help
menu in your burner software for instructions on creating a bootable CD or DVD. For example, Roxio Creator
Classic has a Burn from Disc Image File option in the File menu, and Nero Express has a Bootable CD option.
After creating a Linux Live CD, test it on your workstation. Remember to check your workstation ’ s BIOS to see
whether it boots first from the CD or DVD on the system. To test the Live CD, simply place it in the CD or DVD
drive and reboot your system. If successful, Linux loads into your computer ’ s memory, and a common GUI for
Linux appears on the screen. If you have problems with the video display on your workstation, try another
computer with a different video card. No one Live CD distribution has all video drivers. Linux Live CDs load the
OS into the computer ’ s RAM, so performance can be affected when you ’ re using GUI tools. The following
sections explain how to use Linux to make forensically sound data acquisitions.
Using Acquisition Tools 111
Preparing a Target Drive for Acquisition in Linux The Linux OS provides many tools that you can use to
modify non-Linux file systems. Current Linux distributions can create Microsoft FAT and NTFS partition tables.
Linux kernel version 2.6.17.7 and earlier can format and read only the FAT file system, although an NTFS driver,
ntfs-3g, is available that allows Linux to mount and write data only to NTFS partitions. You can download this
driver from www.linux-ntfs.org or www.ntfs-3g.org, where you can also find information about NTFS and
instructions for installing the driver. In this section, you learn how to partition and format a Microsoft FAT drive
from Linux so that you don ’ t have to switch OSs or computers to prepare a FAT target disk. After you make the
acquisition, you can then transfer the FAT disk to a Windows system to use a Windows analysis tool.
4
When
NOTEpreparing a drive to be used on a Linux system for forensics acquisition or
Linux/UNIX commands are case sensitive, so make sure you type commands exactly
as shown in this section ’ s steps.
Assuming you have a functioning Linux computer or one running with a Linux Live CD, perform the following
steps from a shell prompt:
If NOTE
you ’ re using one of the Live CDs listed previously, these distributions are typically
already in superuser (root) mode, so there ’ s no need to use the su command. Other
Linux Live CDs might have no password set and simply require pressing Enter.
5. To list the current disk devices connected to the computer, type fdisk -l ( lowercase L)
and press Enter. You should see output similar to the following:
-
Linux
NOTElists all IDE (also known as PATA) drives as hda, hdb, and so on. All SCSI,
SATA, FireWire, and USB connected drives are listed as sda, sdb, and so forth.
6. Type fdisk /dev/sda and press Enter to partition the disk drive as a FAT file system.
You should see output similar to the following:
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disk label Building a new DOS disk label.
Changes will remain in memory only, until you decide to write them. After that, of course, the previous content won't be
recoverable.
7. Display fdisk menu options by typing m and pressing Enter. You should see output
similar to the following:
Command action
a toggle a bootable flag b edit
bsddisklabel
c toggle the dos compatibility flag d delete a partition l list
known partition types m print this menu n add a new
partition
8. Determine whether there are any partitions on /dev/sda by typing p and pressing
Enter. You should see output similar to the following:
Using Acquisition Tools 113
InNOTE
this example, the disk has no previously configured partitions. If it did, there
would be data under each column heading describing each partition ’ s configuration.
9. Next, you create a new primary partition on /dev/sda. To use the defaults and select the entire drive, type n and
press Enter. To create a primary partition table, type p
and press Enter, and then type 1 ( the numeral) to select the first partition and press
Enter. At the remaining prompts, press Enter. Your output should be similar to the following:
Command action e
extended
p primary partition (1-4) p
Last cylinder or +size or +sizeM or +sizeK (1-1020, default 1020): Using default value 1020
InNOTE
Linux, the first logical partition created after the primary and extended partitions is
numbered 5; any additional logical partitions are numbered 6, 7, and so on. For
example, the C partition is typically /dev/hda1, and the D partition is /dev/hda2.
10. List the newly defined partitions by typing p and pressing Enter, which produces the
following output:
11. To list the menu again so that you can select the change partition ID, type m and
press Enter. You should see output similar to the following:
Command action
a toggle a bootable flag b edit
bsddisklabel
114 Chapter 4
12. To change the newly created partition to the Windows 95 FAT32 file system, first type t and press Enter, which
produces the following output:
Selected partition 1
Hex code (type L to list codes):
13. List available file systems and their code values by typing l ( lowercase L) and pressing
Enter. You should see output similar to the following:
14. Change the newly created partition to the Windows 95 FAT32 file system by typing c
and pressing Enter. Your output should look similar to the following:
15. To display partitions of the newly changed drive, type p and press Enter, which pro-
duces the following output:
16. Save (write) the newly created partition to the /dev/sda drive by typing w and
pressing Enter. Your output should look similar to the following:
WARNING: If you have created or modified any DOS 6.x partitions, please see the fdisk manual
page for additional information. Syncing disks.
Fdisk
NOTE exits back to the shell prompt after updating the partition table on the /dev/sda
drive.
17. Show the known drives connected to your computer by typing fdisk -l and pressing
Enter, which produces the following output:
18. To format a FAT file system from Linux, type mkfs.msdos -vF32 /dev/sda1 and press
Enter, which produces the following output:
116 Chapter 4
Newer
NOTE Linux distributions automatically sync the newly created partition and format
the drive. The sync feature eliminates the need to reboot the computer, unlike with
Microsoft OSs.
19. Close the shell window for this session by typing exit and pressing Enter.
This drive can now be mounted and used to receive an image of a suspect drive. Later in this section, you learn
how to mount and write to this Microsoft FAT target drive.
Acquiring Data with dd in Linux A unique feature of a forensic Linux Live CD is that it can mount and read
most drives. To perform a data acquisition on a suspect computer, all you need are the following:
• Knowledge of how to alter the suspect computer ’ s BIOS to boot from the Linux Live CD
The dd command, available on all UNIX and Linux distributions, means “ data dump. ” This command, with many
functions and switches, can be used to read and write data from a media device and a data file. The dd command
is not bound by a logical file system ’ s data structures, meaning the drive doesn ’ t have to be mounted for dd to
access it. For example, if you list a physical device name, the dd command copies the entire device — all data
files, slack space, and free space (unallocated data) on the device. The dd command creates a raw format file
that most computer forensics analysis tools can read, which makes it useful for data acquisitions.
As powerful as this command is, it does have some shortcomings. One major problem is that it requires more
advanced skills than the average computer user might have. Also, because it doesn ’ t compress data, the target
drive needs to be equal to or larger than the suspect drive. It ’ s possible to divide the output to other drives if a
large enough
Using Acquisition Tools 117
target drive isn ’ t available, but this process can be cumbersome and prone to mistakes when you ’ re trying to
keep track of which data blocks to copy to which target drive.
The dd command combined with the split command segments output into separate volumes. Use the split
command with the -b switch to adjust the size of segmented volumes the dd command creates. As a standard I
practice for archiving purposes, creating segmented volumes that fit on a 650 MB CD is convenient. For additional
information on dd and split, see their man pages.
Perform the following steps to make an image of an NTFS disk on a FAT32 disk by using the dd command:
4
1. Assuming that your workstation is the suspect computer and is booted from a Linux Live CD, connect the
USB, FireWire, or SATA external drive containing the FAT32 target drive, and turn the external drive on.
2. If you ’ re not at a shell prompt, start a shell window, switch to superuser (su) mode,
type the root password, and press Enter.
3. At the shell prompt, list all drives connected to the computer by typing fdisk -l and
pressing Enter, which produces the following output:
4. To create a mount point for the USB, FireWire, or SATA external drive and partition, make a directory
in /mnt by typing mkdir /mnt/sda5 and pressing
Enter.
5. To mount the target drive partition, type mount -t vfat /dev/sda5 /mnt/sda5 and press
Enter.
118 Chapter 4
6. To change your default directory to the target drive, type cd /mnt/sda5 and press
Enter.
7. List the contents of the target drive ’ s root level by typing ls -al and pressing Enter.
Your output should be similar to the following:
total 40
drwxr-xr-x 2 root root 32768 Dec 31 1969 . drwxr-xr-x 5 root root 4096 Feb
6 17:22 ..
8. To make a target directory to receive image saves of the suspect drive, type mkdir
case01 and press Enter.
9. To change to the newly created target directory, type cd case01 and press Enter.
Don ’ t close the shell window.
Next, you perform a raw format image of the entire suspect drive to the target directory. To do this, you use the
split command with the dd command. The split command creates a two-letter extension for each segmented
volume. The -d switch creates numeric rather than letter extensions. As a general rule, if you plan to use a
Windows forensics tool to examine a dd image file created with this switch, the segmented volumes shouldn ’ t
exceed 2 GB each because of FAT32 file size limits. This 2 GB limit allows you to copy only up to 198 GB of a
suspect ’ s disk. If you need to use the dd command, it ’ s better to use the split command ’ s default of incremented
letter extensions and make smaller segments. To adjust the segmented volume size, change the value for the -b
switch from the 650 MB used in the following example to 2000 MB.
1. First, type dd if=/dev/sdb | split -b 650m - image_sdb. and press Enter. You should
see output similar to the following:
12594960+0 records in
12594960+0 records out
When using the split command, type a period at the end of the line as shown, with
no space between it and the filename. Otherwise, the extension is appended to the
filename with no “.” delimiter.
2. Now list the raw images that have been created from the dd and split commands by typing ls -l and
pressing Enter. You should see output similar to the following:
total 6297504
- rwxr-xr-x 1 root root 681574400 Feb 6 17:26 image_sdb.aa
- rwxr-xr-x 1 root root 681574400 Feb 6 17:28 image_sdb.ab
- rwxr-xr-x 1 root root 681574400 Feb 6 17:29 image_sdb.ac
- rwxr-xr-x 1 root root 681574400 Feb 6 17:30 image_sdb.ad
- rwxr-xr-x 1 root root 681574400 Feb 6 17:32 image_sdb.ae
- rwxr-xr-x 1 root root 681574400 Feb 6 17:33 image_sdb.af
- rwxr-xr-x 1 root root 681574400 Feb 6 17:34 image_sdb.ag
- rwxr-xr-x 1 root root 681574400 Feb 6 17:36 image_sdb.ah
Using Acquisition Tools 119
3. To complete this acquisition, dismount the target drive by typing umount /dev/sda5
and pressing Enter.
I
Depending on the Windows forensics analysis tool you ’ re using, renaming each segmented volume ’ s extension
with incremented numbers instead of letters might be necessary. For example, rename image_sdb.aa as
image_sdb.01, and so on. Several Windows forensics tools can read only disk-to-image segmented files that
4
have numeric extensions. Most Linux forensics tools can read segments with numeric or lettered extensions.
Acquiring a specific partition on a drive works the same way as acquiring the entire drive. Instead of typing
/dev/sdb as you would for the entire drive, add the partition number to the device name, such as /dev/sdb1. For
drives with additional partitions, use the number that would be listed in the fdisk -l output. For example, to copy
only the partition of the previous NTFS drive, you use the following dd command:
Remember to use caution with the dd command in your forensics data acquisitions.
Acquiring Data with dcfldd in Linux The dd command is intended as a data management tool; it ’ s not
designed for forensics acquisitions. Because of these shortcomings, Nicholas Harbour of the Defense Computer
Forensics Laboratory (DCFL) developed a tool that can be added to most UNIX/Linux OSs. This tool, the dcfldd
command, works similarly to the dd command but has many features designed for computer forensics
acquisitions. The following are important functions dcfldd offers that aren ’ t possible with dd:
• Split data acquisitions into segmented volumes with numeric extensions (unlike dd ’ s limit of 99).
• Verify the acquired data with the original disk or media data.
When using dcfldd, you should follow the same precautions as with dd. The dcfldd command can also write to the
wrong device, if you aren ’ t careful.
The following examples show how to use the dcfldd command to acquire data from a 64 MB USB drive, although
you can use the command on a larger media device. All commands need to be run from a privileged root shell
session. To acquire an entire media device in one image file, you type the following command at the shell prompt:
If the suspect media or disk needs to be segmented, use the dcfldd command with the split command, placing split
before the output file field (of=), as shown here:
This command creates segmented volumes of 2 MB each. To create segmented volumes that fit on a CD of 650
fi
MB, change the split=2M to split=650M. This command also displays the MD5 value of the acquired data.
For additional information on the dcfldd command, see http://dcfldd. sourceforge.net. Information
on how to download and install dcfldd is available for many UNIX, Linux, and
Macintosh OSs. You can also use the man page to find more information on dcfldd ’ s
features and switches.
Before
NOTE acquiring data directly from a suspect drive with ProDiscover Basic, always
The following activity assumes you have removed the suspect drive and connected it to a USB or FireWire
write-blocker device connected to your forensic workstation. The acquisition is written to a work folder on your C
drive, assuming it has enough free space for the acquired data. Follow these steps to perform the first task of
connecting the suspect ’ s drive to your workstation:
1. Document the chain of evidence for the drive you plan to acquire.
2. Remove the drive from the suspect ’ s computer.
3. Configure the suspect drive ’ s jumpers as needed, if it ’ s a PATA (IDE) disk. ( Note: This
step doesn ’ t apply to SATA drives.)
5. Create a storage folder on the target drive. For this activity, you use your work folder (C:\ Work\ Chap04\Chapter),
but in real life, you ’ d use a folder name such as C:\Evidence.
The work folder shown in screenshots might differ from the work folder you ’ ve
NOTE
Using ProDiscover ’ s Proprietary Acquisition Format Follow these 11 steps to perform the second task,
starting ProDiscover Basic and configuring settings for the acquisition:
1. Start ProDiscover Basic. (Remember to select the Run as administrator option if you ’ re using Windows
Vista.) If the Launch Dialog dialog box opens, click Cancel.
2. In the ProDiscover Basic window, click Action, Capture Image from the menu.
3. In the Capture Image dialog box, click the Source Drive list arrow, and then click
PhysicalDrive1.
4
Selecting
NOTE PhysicalDrive1 assumes there ’ s only the system disk (drive
C) and the suspect drive connected to your workstation. If you have additional drives
connected, start the Computer Management utility from the Computer window, and
click Disk Management. Identify the target and suspect drive to determine the
physical disk numbers.
4. Click the >> button next to the Destination text box. In the Save As dialog box, navigate to the work folder
you set up. In the File name text box, type InChp041, and then click Save.
5. Click the Split button. In the Split Image dialog box shown in Figure 4-4, type 650 in
Spbl Image JSl
the Split into equal sized image of text box, click Split, and then click OK.
Size of the disk 1
1687232 sectors (814 08 MB)
Update |
OK Cancel j
6. In the Capture Image dialog box, click the Image Format list arrow, and click
ProDiscover Format (recommended), if it ’ s not already selected.
7. In the Technician Name text box, type your name, and in the Image Number text box, type InChp04. If
you like, in the Description text box, type any comments related to the case (see Figure 4-5).
122 Chapter 4
Capture Image *1
Source Orive [PhysicalDnvel 3
Dei«naíion |C:\Work\lnChp04p eve
ProOiscover Image
T echruoan Name |Joe Friday
Image Number |lnChp04
Description
In Chapter 4 exercise using ProOiscover Basic
Compression
r Yes
Password I
JLNo
OK Cancel
8. If you need to save space on your target drive, click the Yes option button in the
Compression section.
9. If additional security is needed for the acquired image, click Password. In the Pass-
word dialog box, enter a new password once, type it again to confirm it, and then click OK.
10. When you ’ re finished entering information in the Capture Image dialog box, click
OK to begin the acquisition. ProDiscover then creates a segmented image file in your work folder. During
this acquisition, ProDiscover displays a status bar in the lowerright corner to show the progress for each
volume segment it ’ s creating.
11. When the acquisition is done, ProDiscover displays a message box instructing you to examine a log file for
errors. Click OK to complete the acquisition, and then exit ProDiscover Basic.
ProDiscover then creates image files (segmented volumes) with an .eve extension, a log file (.log extension) listing
any errors that occurred during the acquisition, and a special inventory file (.pds extension) that tells ProDiscover
how many segmented volumes were created. All these files have the prefix you specified in the Capture Image
dialog box. ProDiscover uses the .pds file to load all segmented volumes in the correct order for analysis. For this
activity, ProDiscover produced four files. Two are segments of the split image of the suspect drive, one is the log
file, and one is the .pds file. A larger drive would have more than two segmented volumes. The first segmented
volume (volume one) has the extension
. eve, and all other segmented volumes have the suffix -Split1, -Split2, -Split3, and so on