3.

ETAPA II PRESERVACIÓN

Cuando se habla de la etapa de preservación, se refiere a métodos de bloqueo contra

escritura, ya sea por hardware o software, que permiten que la información con la que se va
a trabajar o se va a copiar no sufra modificaciones en el proceso de que se haga una copia
de la información y se mantenga igual a la fuente original.

1. Sistemas de protección contra escritura

Por hardware:
Para hacer el bloqueo por hardware se utiliza un dispositivo que permite conectar un HDD
por SATA o IDE u otra conexión, a una computadora por medio de un cable USB. El
dispositivo sirve de intermediario para proteger contra escritura y dar así el bloqueo. Y
También existe hardware para proteger contra escritura a tarjetas de tipo SD.

Por software:
Se puede utilizar una herramienta llamada “USB Write Blocker” (en Windows) que lo que
hace es modificar una llave del registro que permite activar/desactivar el bloqueo contra
escritura por software. Este bloque siempre se debe activar antes de conectar el dispositivo.

Se prefiere protección por hardware ya que es más seguro cometer errores al conectar los
dispositivos.

2. Introducción a FTK imager

FTK imagen es una herramienta desarrollada por “Acces Data” que sirva para adquirir
información, cargando la evidencia que previamente ya se tiene bloqueada contra escritura,
para así visualizar su contenido.

● Imagen forense:​ Es una copia completa del disco duro

● Imagen lógica:​ Es una copia del disco duro pero no esta 100% completa.

3. Adquisición de imágenes forenses con FTK Imager

La imagen forense es el recurso que permite asegurar que no se va a modificar la evidencia

a lo largo de toda la investigación.

FTK imager permite obtener información a partir de una unidad física, lógica, imagen de
archivo, contenido de una carpeta o unidad fernica.

Una imagen forense puede crearse en 4 tipos de formato: raw (dd), SMART, E01
y AFF.
Es bueno hacer un proceso de verificación después de la creación de la imagen forense
para asegurarse de que la imagen no tiene errores u obtuvo fallos durante su proceso de
creación.
Al terminar de crear la imagen forense, FTK imager permite que se pueda crear un archivo
.txt., en dónde se muestra un resumen de todo el proceso de creación.

Se crea también un valor alfanumérico HASH para el archivo original y la copia que sirve
para luego verificar si son iguales.

5. ​Adquisición de imágenes lógicas, memoria volátil y sistemas

operativos en vivo

Entre los tipos de adquisición de imágenes que se puede hacer están:

● Estáticas: Que corresponde a equipos que están apagados o pueden ser apagados
normalmente sin que se afecte demasiado la información.

● En vivo: Corresponde a equipos que no pueden apagarse o si se apagan se podría

llegar a perder información valiosa.

Para hacer una imagen es recomendable usar una versión portable de la herramienta en
una USB, como FTK imager Lite, para así evitar alterar el estado original de la computadora
o sistema.

Se crea una imágen lógica ya que si se crea imagen física (a bajo nivel) y el disco está
cifrado, la imágen lo estará también. Sin embargo, cuando se crea imagen lógica solo se
está copiando el contenido del sistema de archivos. Y al crear la imagen lógica se copian
solo las particiones.

En la adquisición de imágenes en vivo a veces interesa recuperar la información que se

está procesando en la memoria RAM, para saber qué procesos se están ejecutando si, por
ejemplo, hay algún malware.

6. ​Paladin Forensics

Herramienta para análisis forense en Linux.

Está aplicación, a diferencia de otras, se inicia en modo forense, lo que significa que todos
los discos duro y demás dispositivos conectados a la computadora se quedan sin montar.
Esto es un modo más seguro ya que como todo se carga en modo forense, es decir en
modo solo lectura, se puede estar seguro que los dispositivos conectados no se van a
modificar.

Se debe tener cuidado a la hora de bootear Paladín para no bootear en la computadora el

OS local, con lo cual sí podrían sufrir modificaciones los dispositivos conectados.
 7. Adquisición de imágenes con DD

Cuando no se tiene disponible una herramienta para adquisición de imágenes en Linux,

como Paladín, existe una herramienta llamada DD.

Este comando DD (Data Domp) de linux se utiliza normalmente para crear respaldos o
backups pero, también puede ser útil para crear imágenes forenses.

Los comandos para poder crear una imágen forense con DD y generar su valor Hash son
los siguientes:

DC3DD es una herramienta más completa que permite partir la creación de la imagen
forense en partes y crear de una vez su valor Hash. Los comandos son los siguientes:

10. Verificación de imágenes forenses. Explicación de algoritmos

HASH

Estos valores Hash permite garantizar la autenticidad e integridad de la la imagen forense

creada para estar seguros de que la copia sí corresponde a la información o fuente original
y que esta información no ha sido alterada.

¿Qué es una función Hash?

Es una función matemática, no reversible, que genera una cadena de caracteres de longitud
fija a partir de cualquier conjunto de datos.

Para generar valores Hash se utilizó el algoritmo MD5:

O el algoritmo SHA-1:
 4. ETAPA III ANÁLISIS DE EVIDENCIA Pt. 1

1. Sistemas de archivos Windows FAT, NTFS

¿Qué es un sistema de archivos?

Es un conjunto de reglas y procesos (no es estrictamente un programa o aplicación) para
administrar la información en un medio de almacenamiento”

Archivos o ficheros:
Contienen datos que tienen características comunes y están delimitados.

Carpetas o directorios:
Archivos que contienen información de otros archivos en una estructura jerárquica

Archivos especiales:
Pueden ser archivos que dirijan hacia otro archivo, o que permitan la comunicación con
algún dispositivo.

Propiedades de los archivos:

● Ruta
● Metadatos
● Permisos

Sistema de archivos FAT:

● Tabla de de asignación de archivos
● Máximo archivos de 4GB
● Re-implementado como exFAT

Sistema de archivos NTFS:

● Sistema por defecto de la familia NT.
● Introdujo el system journaling.
● Propietario de Microsoft. No es 100% compatible.

2. Sistemas de archivos Unix EXT, HFS y APFS

Sistema de archivos EXT:

● No usa extensiones.
● Utiliza i-nodos como apuntadores.
● Minimiza la fragmentación
● Puntos de montaje

Sistema de archivos HFS+:

● Usado en dispositivos Mac y iPhone.
● Reduce casi a cero la fragmentación.
● No permite acceso concurrente.
 ● Soporte de fechas hasta el 6 de febrero de 2040.

Sistema de archivos APFS (de Apple):

● Multiplataforma.
● Espacio libre compartido entre particiones.
● 2 versiones: case-sensitive y case-insensitive.

3. Exportado de archivos a partir de imágenes forenses

Antes de exportar algún archivo es recomendable explorar las características de ese archivo
así como también lo demás archivos contenidos en la carpeta en donde se encuentra.

Cuando se va a exportar un archivo es bueno exportar sus archivos Hash para asegurar de
que si otra persona trabaja con ese archivo, al sernos devuelto se pueda verificar que que el
archivo no ha sido editado o sufrido modificaciones.

​ 5. Análisis preliminar de sistemas Windows

Estructura del sistema Windows:

Windows asigna una letra del alfabeto, en orden descendente, a cada una de la particiones
que tiene o dispositivos conectados a la computadora.

Reserva la letra C para la partición donde está almacenado el OS de windows.

Registro de Windows:
Es una base de datos estructurada que contiene la información y configuración del sistema
Windows.
Estructura del registro de Windows:

En FTK Imager se carga una imagen, y con ello ya se puede ver todas las particiones y el
contenido de la imagen forense.

Los archivos generales se encuentra siempre en la carpeta windows/System32/config. En

esta carpeta se deben buscar 4 archivos:
● Archivo sam
● Archivo system
● Archivo software
● Archivo security
que luego se deben exporta para poder trabajar con ellos en una aplicación llamada FRED
(Forensic Registry EDitor)

Al revisar el archivo Software con FRED, una llave útil a revisar de todas las que contiene el
archivo es la llave: Microsoft - Windows NT - Current version.

Los valores en Hexadecimal de archivo representan alguno información.

​6. Análisis preliminar de Sistema Unix (Linux y MacOS)

Archivos de configuración de Linux:

● Funcionan a nivel de aplicación.
● Varían según la distribución.
● Nos son archivos estándar.
Estructura del sistema Linux:

Se carga la imagen forense de Linux en FTK Imager.

En el directorio root/etc/ es donde se encuentra la gran mayoría de archivos de

configuración de las aplicaciones. Estos archivos son de texto plano y no están codificados.

Los archivos comunes que se utilizan para diagnosticar son:

● hostname
● passwd
● shadow
● resolv.conf

​7. Elaboración de un informe preliminar

Un informe de análisis preliminar incluye:

● Introducción al caso
● Resumen general
● Inventario de evidencia identificada
● Reportes de adquisición de evidencia
● Información general de los sistemas preservados
● Información encontrada en las imágenes forenses
● Hallazgos preliminares, si existen.
● Siguientes pasos.