Está en la página 1de 3

ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACION ES INFORMÁTICA

TALLER NUMERO 2
RECOLECCIÓN DE DATOS VOLÁTILES Y METADATOS

OBJETIVO

- Identificar la información que puede ser extraída de la memora RAM antes de que sea apagado el
equipo de cómputo, estableciendo la importancia de ésta en la administración de incidentes de
seguridad de la información, en un contexto de recolección y aseguramiento de evidencia digital.

DESARROLLO

Es necesario que los estudiantes pongan mucha atención a las indicaciones del docente frente al
desarrollo de esta actividad.

1. Se deberá emplear el sistema operativo MS-DOS para realizar la actividad forense, así como las
herramientas SYSINTERNALS SUITE que se encuentran alojadas en TEAMS/INFORMÁTICA
FORENSE/ARCHIVOS/3_ANÁLISIS_MEMORIA_RAM/1_HERRAMIENTAS_TI/1_TI_IMAGEN_FO
RENSE_/3_DATOS_VOLATILES.

2. La SUITE DE SYSINTERNAL debe ser copiarla en una ruta de la raíz del disco
(C:/HERRAMIENTAS_RAM), y posteriormente ser descomprimida.

3. Posteriormente, deben entrar al sistema operativo MS-DOS y ubicarse en la carpeta en donde se


descomprimieron las herramientas de software.

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL


ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACION ES INFORMÁTICA

4. Se deben ejecutar las siguientes instrucciones:

- Date /t;
- Time /t;
- Pslist;
- Listdlls;
- Netstat -an;
- Psinfo;
- Psloglist;
- Psservice;
- Psloggedon;
- Psinfo;
- Arp -a;

5. La información recolectada deberá ser documenta y almacenada como evidencia, para ello
deberán crear una carpeta (C:/DATOS_VOLATILES) y posteriormente ejecutar la siguiente
instrucción:

C:/HERRAMIENTAS_RAM>DATE /T>C:/DATOS_VOLATILES/FECHA.TXT

Nota: Es importante resaltar que en el medio de almacenamiento intervenido no deben


almacenarse ningún dato, por ello, las herramientas de TI debemos tenerlas en un medio de
almacenamiento externo, y los resultados ser alojados en otro medio de almacenamiento
debidamente esterilizado, lo anterior, de acuerdo con lineamientos de recolección de evidencia
digital.

6. Aprovechado la ejecución del sistema operativo MS-DOS, se hará una recolección de metadatos,
para ello, deberán ejecutarse las siguientes instrucciones:

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL


ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACION ES INFORMÁTICA

- Dir /t:c/a/s/o: c:\


- Dir /t:w/a/s/o: c:\
- Dir /t:a/a/s/o: c:\

7. Al igual que con la recolección de datos volátiles, se deberá documentar y asegurar la información
recolectada; para ello, se deberá crear una carpeta (C:/METADATOS).

C:/HERRAMIENTAS_RAM> DIR /T:C/A/S/O: C:\>C:/METADATOS/FECHACREA.TXT

Nota: Es importante resaltar que en el medio de almacenamiento intervenido no deben


almacenarse ningún dato, por ello, los resultados de la recolección de METADATOS deben ser
alojados en otro medio de almacenamiento debidamente esterilizado, lo anterior, de acuerdo con
lineamientos de recolección de evidencia digital.

8. Interpretar resultados.

TIEMPO DE EJECUCIÓN DE TALLER

- Cuarenta y cinco (45) minutos.

HERRAMIENTAS

- Computador;
- Sistema Operativo Windows;
- Herramientas SYSINTERNALS SUITE.

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL

También podría gustarte