Módulo 8 Informática Forense

Modulo 8
Informática Forense
Ing. Fausto Pérez
Diplomado Básico de
Seguridad Informática 2017
2
Cualli
tonaltin!
Soy Fausto Pérez
Me gusta la historia mexicana
Me encanta la Informática
Seguridad Informática 2017 Forense.
Conceptos básicos
4
¿Qué es la Informática Forense?
“Rama de la computación dedicada a la aplicación de

técnicas científicas y analíticas para la captura,
procesamiento, análisis e investigación de información
almacenada en computadoras utilizando una metodología
donde la evidencia descubierta es aceptable en un proceso
legal.” (García, 2014, p234)
5
Otros nombres para la Informática Forense
• Cómputo forense
• Forensia digital
• Computo Forense Informático
• Análisis forense Computacional
6
¿Para que sirve la Informática Forense?
Desarrollar hipótesis que expliquen eventos

y determinar si los hallazgos resultantes del
análisis de la evidencia los respaldan o
contradicen.
7
¿Quiénes intervienen?
Entidad que reporta un incidente o solicita el análisis

forense:
• Usuarios y/o administradores del sistema/equipo
• Área de seguridad de la organización
• Entidades externas
8
Equipo de Respuesta a Incidentes (IR):

• Analista de tráfico malicioso.
• Examinador Forense.
• Analista Forense.
• Analista de código malicioso.
9
Analista de tráfico malicioso
• Personal encargado de detectar anomalías en la red.

• Debe de contar con sensores en la red para tener
visibilidad.
10
Examinador/Analista Forense
• El examinador forense se encarga de realizar la

adquisición de la evidencia.
• El analista forense puede realizar la adquisición y el
análisis de la información.
• Un elemento puede tener los dos roles.
11
Examinador/Analista Forense
• Las herramientas que utilice deben de ejecutarse desde

medios extraíbles para evitar en la medida de lo posible
la contaminación de la evidencia.
12
Analista de código malicioso
• Se encarga de analizar el comportamiento de binarios

sospechosos para determinar si están relacionados en la
investigación.
13
El equipo IR al ser notificado

del evento o incidente debe de
obtener todas las fuentes de
información disponibles para
identificar el origen del
problema y ayudar a su
remediación.
14
Área legal de la organización

Cuando la afectación provocada por el evento o
incidente es de alto impacto es necesario contar con el
respaldo judicial de la institución.
15
Guía para el investigador
El objetivo es responder:
▹¿Qué ocurrió?
▹¿Cuando ocurrió?
▹¿Como ocurrió?
▹¿Quién lo hizo?
▹¿Por que lo hizo?
▹¿Desde donde lo hizo?
16
Evidencia Digital
En el ámbito del cómputo forense se denomina evidencia

digital a todo aquel elemento de información que respalda
una hipótesis durante un proceso de investigación.
17
Principio de intercambio de Locard
Edmon Locard (1877-1966).

“Al hacer contacto dos objetos se
transfiere información entre ellos y
se modifican.”
18
Evidencia Digital
Puede ser:
• Archivos de ofimática
• Correos electrónicos
• Archivos ejecutables
• Bitácoras
• Metadatos
• Configuraciones
• Hardware
19
Evidencia Digital
Estos elementos de información pueden ser encontrados en

cualquier dispositivo que cuente con una unidad de
almacenamiento, como:
• Computadoras personales
• Teléfonos inteligentes
• Servidores
• Drones
• Electrodomésticos
20
Metodología
Se utiliza el enfoque basado en procesos de investigación

en escenas de crímenes físicos.
Preservación
del sistema
Reconstrucción Búsqueda de
de eventos evidencia
21
Metodología en 8 pasos
1. Verificación Respuesta a incidentes y

2. Descripción del sistema adquisición de evidencia
3. Adquisición de evidencia
4. Análisis de línea de tiempo

5. Análisis de medios Análisis e investigación
6. Búsqueda de cadenas
7. Recuperación de datos
8. Reporte de resultados Reporte

22
A. Identificación
• ¿Cuál fue el incidente?
• Validación.
• ¿Qué equipos están involucrados?
• ¿Quién es el responsable?
• Recolección de información.
23
B. Adquisición
• Establecer cadena de custodia.
• Generar imágenes forenses.
• Preservar el estado de la escena del
crimen.
• Tomar en cuenta los requerimientos
legales, operacionales o de negocio.
24
• La meta es reducir los cambios que alteren la evidencia

• Recopilar la mayor información posible del sistema o
equipo a analizar.
25
C. Análisis
Utilizar herramientas especializadas, aplicar conocimientos,
documentar procesos.
26
D. Presentación
Generar un informe detallado con las

actividades realizadas y los resultados
obtenidos
Cadena de
custodia
28
Cadena de custodia
Procedimiento que tiene como objetivo registrar cada

interacción de una persona con la evidencia, de tal manera
que sea posible identificar su punto de alteración en caso de
ocurrir.
29
Cadena de custodia
Se conforma con un registro

detallado de los equipos,
personas y hasta herramientas
involucradas en la investigación.
30
Cadena de custodia
Este registro debe incluir fotografías, documentos,

procedimientos y cualquier elemento que permita
garantizar la integridad de la evidencia.
31
Elementos básicos de la cadena de custodia
• Fecha y hora en que se toma posesión de

la evidencia.
• Ubicación.
• De quién se obtuvo, nombres y firmas
• Datos de las personas que recolectaron la
evidencia.
32
• Modelo o número de serie del dispositivo.

• Descripción de la evidencia.
• Usuarios y contraseñas obtenidos
33
• Nombre completo y firma de custodio

• Identificador de caso y elemento de evidencia (etiqueta).
• Firmas de integridad de evidencia
34
Cadena de custodia
Plantillas para elaborar la cadena de custodia:
https://www.sans.org/media/score/incident-
forms/ChainOfCustody.pdf
35
Cadena de custodia
36
Consideraciones para la documentación
• Recolectar los elementos descritos por cada

elemento obtenido como evidencia.
• Contar con la presencia de un tercero que dé fe de

las acciones realizadas al interactuar con la evidencia.
37
Consideraciones para la documentación
• Etiquetar por separado discos duros.
• Aunque no continúe el proceso de forma legal, esta

información es vital en investigaciones internas.
38
Recolección de la evidencia
• Este proceso forma parte de la

fase de preservación.
• Se pueden encontrar dos

escenarios.
39
Recolección de la evidencia
• Memoria
Equipo encendido • Swap

(Evidencia volátil) • Procesos
• Estado y conexiones de red
• Usuario propietario de la
sesión
40
Volcado de memoria
Es el proceso por el cual se copia

toda la información almacenada
en memoria RAM, en un momento
en especifico, directamente a un
archivo.
41
Adquisición de evidencia volátil
▸ Equipo Linux
• LiMe
▸ Equipo Windows
• Dumpit
• RedLine
• Memdump
42
DumpIt
43
Redline
• Desarrollada por Mandiant.
• Permite crear “colectores” para la adquisición de

memoria e indicadores de compromiso en múltiples
equipos
44
Ejecución de RedLine
1. Seleccionar “create estandar colector”.

2. Habilitar la captura de memoria.
3. Seleccionar el lugar donde será almacenado el
colector.
4. Ejecutar el colector como administrador en el equipo
evidencia.
5. Permitir los cambios en el equipo.
45
Redline
46
Redline
47
RedLine
48
Recolección de evidencia
• Unidades de almacenamiento
Equipo apagado • Sistema de archivos
(Evidencia no volátil)
• Bitácoras
• Artefactos del sistema
operativo
49
Adquisición de evidencia no volátil
• Generar una imagen forense de cada uno de los dispositivos

de almacenamiento recolectados
• Es importante tomar en cuenta el tamaño de cada
dispositivo
• Es posible utilizar el hardware del equipo evidencia,
mediante el uso de un live CD.
50
Imagen Forense
Es una copia bit a bit del contenido de un dispositivo digital,

se lleva a cabo con la ayuda de una herramienta que realiza
el copiado a nivel de bits.
51
Generación de imágenes Forenses
Software
• Dcfldd (línea de comandos)
• FTK Imager (Interfaz grafica)
52
Dcfldd
Comando:
dcfldd.exe if=<Unidad> of=<Salida> [Opciones]
Opciones:
• -bs: bytes
• -count: Número de bloques
• -noerror: Continuar aun con errores
• -sync: Mantener el tamaño de la imagen
53
Nomenclatura de unidades de almacenamiento
Linux
• /dev/sd(a,b,c)(1,2,3,*)
Windows
• \\.PHYSICALDRIVE(0,1,2,3,*)
54
FTK Imager
• Desarrollada por AccesData
• Aplicación con interfaz gráfica
• Cuenta con versión portable
55
Generación de imagen forense
56
Hardware para la generación de imágenes Forenses
Clonador
57
Hardware para la generación de imágenes Forenses
Bloqueador de escritura
58
Formatos de imágenes forenses
▸Existen formatos libres y comerciales, los más comunes

son:
• RAW
• EWF
• AAF
59
Integridad de las imágenes forenses
Al generar la imagen es necesario garantizar su integridad, ya

que la mínima modificación puede poner en riesgo la
investigación.
Los algoritmos de digestión, como MD5 o SHA 512, ayudan a

garantizar la integridad de la evidencia.
60
Algoritmos de digestión
Es aquel que aplica una serie de operaciones matemáticas

sucesivas a cadenas de longitud variable generando una
cadena de longitud fija, conocida como valor hash.
61
62
Ámbitos de
aplicación
64
Ámbitos de aplicación
El análisis forense puede requerirse

en circunstancias diversas y con
objetivos variados. El analista puede
actuar incluso después de que los
datos a analizar ya han sido
recolectados.
65
Ámbitos de aplicación
Si se cuenta con un equipo de respuesta a incidentes

de seguridad informática, es probable que el proceso
de análisis forense inicie con la respuesta a un
evento.
66
Ámbito personal
Las personas suelen

buscar a un analista
forense para:
• Recuperar archivos
• Identificar intrusiones en
dispositivos o redes
personales
67
Ámbito personal
• Identificar y apoyar para

denunciar fraudes y/o
extorciones electrónicas
• Identificar programas
maliciosos o monitoreo
68
Ámbito personal
69
Ámbito personal
70
Ámbito organizacional
Las organizaciones se enfrentan día a día a distintas

amenazas dentro y fuera de su infraestructura.
71
Ámbito organizacional
En caso de presentarse un incidente es necesario ejecutar

el análisis forense para determinar sus causas y grado de
afectación.
72
Amenazas internas
• Empleados
▪ Fraudes
▪ Robo de información
▪ Sabotaje
▪ Abuso de confianza
• Errores humanos
▪ Destrucción de información
• Robo de información
• Malware
73
Amenazas externas
• Ataques dirigidos
▪ DDoS
▪ Malware
▪ Intrusiones
▪ Competidores u otras naciones
74
Amenazas externas
• Hacktivistas
▪ Defacements
• Phishing
75
Amenazas internas y externas
76
Cyber Kill Chain
Pasos que realizan los atacantes

para llevar a cabo una intrusión
exitosa.
Es posible que el intruso se

encuentre en nuestra red por meses
sin que la organización lo sepa.
77
Cyber Kill Chain
Para poder identificar oportunamente una amenaza se

requiere contar con herramientas que nos proporcionen
visibilidad en la red.
78
Ámbito Judicial
En ocasiones delitos o disputas solo pueden ser resueltos

al analizar medios o sistemas informáticos, estos pueden
ser el medio o la evidencia resultante del ilícito.
79
Ámbito Judicial
Algunos casos en los que puede apoyar
la Informática Forense:
• Localización de personas
▪ Utilizando ubicación de torres celulares
▪ Mediante los metadatos de archivos
▪ Mediante extracción de información en
Smartphone
• Extorsión
80
Ámbito Judicial
• Disputas por Derechos de autor

• Disputas comerciales
• Fraudes
• Asesinatos
• Crimen organizado
• Seguridad Nacional
81
Ámbito judicial
82
Ámbito judicial
83
Ámbito judicial
Recuperación de
información
85
Dispositivos de
almacenamiento
86
Sistemas de archivos
Los sistemas de archivos estructuran la información
guardada en una unidad de almacenamiento.
La información será representada grafica o textualmente

mediante el gestor de archivos.
87
Los más usados son:

FAT 16/32
NTFS
ExFat
Ext 2/3/4
88
File Allocation Table (FAT)
• FAT 16
▪ No implementa seguridad
▪ Tamaño máximo de archivos 2 GB
▪ MS-DOS y Windows 95
▪ Sistema de 16 bits
• FAT 32
▪ Tamaño máximo de archivos 4 GB
▪ Particiones no mayores a 32 GB
▪ Windows 95/98/2000
▪ Sistemas de 32 bits
89
• New Technology File System (NTFS)

▪ Implementa seguridad
▪ Tamaño máximo de archivos 16 TB
▪ Particiones no mayores a 256 TB
▪ Uso de Flujos alternos
▪ Compresión de archivos
▪ Cuotas de usuarios
▪ Cifrado
90
Master File Table
• Tabla Maestra del sistema de

archivos.
• Registrar los elementos que
contiene el sistema de archivos y
sus propiedades.
91
Master File Table
• Cada objeto en el volumen posee una

registro tipo “FILE” (x46 x49 x4C x45)
conteniendo los atributos y metadatos
relacionados al archivo.
• Si el sistema de archivos detecta un error
en el registro se iniciara con la leyenda
“BAD” (x42 x41 x44)
92
Archivos almacenados
▪ Identificar la cadena FILE0 que cuenta con el

nombre del archivo a investigar y contar
veintidós bytes.
▪ Los dos bytes siguientes indican si el archivo
está activo (almacenado) o inactivo (borrado).
Entrada del archivo "file1.jpg" en la "$MFT"

93
Archivos eliminados
• Al eliminar el archivo se actualiza su registro en la MFT indicando

que se encuentra inactivo.
• Los bloques que lo componían se marcan como libres
• No se sobrescribe el contenido del archivo.
94
Archivos eliminados
95
Carving
• Permite recuperar archivos borrados mediante la

búsqueda de “magic numbres” (header, footer), en el
espacio libre del disco.
• El formato del archivo indica de que manera debe de
comenzar (header) y como terminar (footer).
96
Carving
Ejemplo: Hexadecimal ASCII

JPEG header \xFF\xD8 ÿØ
97
Carving
JPEG footer Hexadecimal ASCII
\xFF\xD8 ÿØ
98
Herramientas para recuperación
• FTK Imager
• R-Studio
• Recuva
• PhotoRec
99
FTK Imager
• Permite Identificar y extraer

archivos eliminados, de
manera parcial o total peor
no permite clasificarlos.
• La solución de paga si lo
hace.
100
R-Studio
• Aplicación especializada en la recuperación y

clasificación de información.
• Puede ordenar los archivos por distintos criterios.
• Solución de paga.
101
R-Studio
102
R-Studio
103
Alternate Data Streams (ADS)
• Flujos de datos asociados a un nombre de archivo.

• Presente en el sistema de archivos de NTFS por compatibilidad
con sistemas de archivos Macintosh.
• No son mostrados en el explorador de Windows y su tamaño no
es reflejado en las propiedades del archivo asociado.
104
Creación de ADS
105
Visualización de ADS
106
Visualización de ADS
107
Archivos thumb
• Los sistemas Windows incorporan una característica única que

relaciona la interacción de un usuario con imágenes, esta
característica son las miniaturas o "thumbs".
• Estos archivos son creados cuando un usuario visualiza una

imagen o configura un directorio para ver los archivos en
miniatura.
108
Thumbs en Windows XP
• En los sistemas Windows XP, las miniaturas se almacenan en

un archivo llamado "thumbs.db".
• Este archivo se encuentra en cada directorio donde el usuario ha
visualizado imágenes.
• "thumbs.db" almacena:
▪ Una miniatura de la imagen original
▪ Nombre del archivo
▪ Fecha de la última modificación
109
Thumbs en Windows XP
110
Thumbs en Windows 7
A partir de Windows Vista el archivo "thumbs.db" deja de utilizarse y

todas las miniaturas se almacenan en el directorio:
C:\Users\<user>\AppData\Local\Microsoft\ Windows\Explorer\
▸ “ Thumbcache_32.db”
▸ “Thumbcache_96.db”
111
Thumbs en Windows 7
112
Línea de tiempo
• Actividad en los archivos

• Creación de archivos, acceso a los archivos, modificación de los datos,
eliminación.
• Hacen uso de los atributos de tiempo específicos para cada sistema de
archivos.
• Atributos de tiempo comunes:
▪ mtime - Datos modificados
▪ atime - Acceso a Datos
▪ ctime - Cambios en metadatos
▪ btime - Nacimiento de metadatos
113
Línea de tiempo
• En sistemas Windows existen cuatro marcas de tiempo distintas:
• ChangeTime, CreationTime, LastAccessTime y LastWriteTime.
• Los sistemas Ext2, Ext3 y Ext4 también tienen la marca de tiempo dtime
• Se activa cuando se borra un archivo o directorio.
114
Consideraciones de la línea de tiempo
• Es importante aclarar que el tamaño de la línea de tiempo está en

función de los archivos del sistema y analizarla puede requerir de
mucho tiempo.
• Antes de comenzar con el análisis, es necesario fijar una fecha de

inicio indicada por alertas de IDS, reinicios del equipo, procesos
anómalos, etcétera.
• De esta forma, tendremos una ventana de tiempo en la cual

enfocarnos.
115
Comando mmls
• Permite identificar las particiones contenidas en imágenes de

unidades de disco.
• Proporciona la dirección de inicio, longitud y fin.
• Esta información es necesaria para poder utilizar el comando

fls.
116
mmls
117
Creación de línea de tiempo
• Para crear la línea de tiempo es necesario generar un archivo con

todos los tiempos MAC de cada elemento indexado en el sistema de
archivos.
• Este archivo es conocido como el cuerpo (o body) de la línea de

tiempo.
• La aplicación fls permite realizar esta tarea. Puede extraer nombres de

archivos, directorios (aunque hayan sido borrados recientemente) y los
correspondientes tiempos MAC.
118
Comando fls
# fls -r -m <punto_montaje> <imagen/dispositivo>

-r Forma recursiva
-m <punto de montaje> Determina la cadena que
representa el punto de montaje
(por ejemplo: /, /tmp, /home,
etc.)
-o offset Desplazamiento de la
partición en sectores
Ejemplos:
# fls -r -m / /dev/particion > cuerpo.txt
# fls Básico
Diplomado -r -mde/home -o 10854400 imagen.dd >> cuerpo.txt
119
Comando fls
120
mactime
• El comando mactime transforma el cuerpo generado por fls en

un archivo más sencillo de leer.
# mactime <opciones> cuerpo <rango_fecha>

-b Archivo generado por fls
-y Formato de fecha ISO8601
-m El mes se específica con un número en
lugar del nombre
-z Indica la zona horaria del equipo del
que se recolectaron los datos
-d Delimita el archivo con comas
121
Línea de tiempo
122
Análisis de línea de tiempo
• Establecer una ventana de tiempo
• En función de una fecha y hora
• En función de un archivo
• Eventos en particular
• Analizar el contexto de los eventos
• Paciencia
123
Línea de tiempo
124
Recuperación de
información en
Smartphones
125
Recuperación de información en Smartphones
• Los dispositivos móviles se han convertido en computadoras
personales.
• Expanden la funcionalidad.
• Almacenan información personal, social, laboral, etc.
• Cuentan con acceso a Internet
• Permiten la vista y edición de archivos de ofimática
• Permiten la captura de video e imágenes.
126
La evidencia se encuentra estructurada

• Contactos
• Mensajes
• Multimedia
• Notas
• Registros de llamadas
• Registros bancarios
127
Se debe de realizar una inspección del dispositivo para identificar sus

características y determinar la mejor estrategia para su análisis.
Es posible que el dispositivo se encuentre bloqueado y no sea posible

realizar la recuperación.
Los procesos de borrado remoto han mejorado y la posibilidad de

recuperar información eliminada después de este procedimiento es casi
nula.
128
Características
• Chipset
• CPU (32 y 64 bits)
• GPU
• RAM
• Antenas (telefonía, Wi-Fi, Bluetooth)
• Memorias flash para el almacenamiento
interno
• Unidades de almacenamiento para
medios extraíbles (microSD)
129
Características
• Tarjeta SIM, micro-SIM, nano-SIM

• Interfaces de transferencia de datos
▪ USB C
▪ Micro USB
▪ Lightning
• Memoria RAM
• Sistema Operativo
▪ Android
▪ iOS
▪ Windows Phone
130
Tipos de antenas
Diseñadas para transmitir y recibir señales en distintas

frecuencias:
• Celular (300 Mhz a 3 Ghz)

• Wifi (2.4 a 5 Ghz)
• Bluethooth (2400 – 2480 Mhz)
• NFC (Near Field Communication, 13.56 Mhz)
131
Características
• Google • http://pdadb.net/
• http://www.gsmarena.com • www.movilcelular.es
• ww.phonescoop.com
132
Sistema operativo
▹El software más relevante del dispositivo es el Sistema Operativo (OS).
▹Permite la interacción entre el hardware y el dispositivo.
▹Sus actualizaciones son continuas y permiten agregar nuevas

funcionalidades.
133
Generalidades
Los sistemas operativos de los dispositivos móviles, poseen

mecanismos de protección como:
▪ Patrón en la pantalla de bloqueo
▪ Contraseña simple/compleja
▪ Dispositivos biométricos
▪ Sandbox para las aplicaciones
134
Aplicaciones
Las aplicaciones permiten ampliar las funciones de los teléfonos

inteligentes, muchas de éstas pueden almacenar información
relevante en una investigación forense.
135
Aplicaciones
• Las aplicaciones se encuentran en una sandbox, lo que implica que

sólo pueden acceder a sus propios datos.
• En algunos casos puede acceder a datos externos mediante una

autorización previa.
• Las aplicaciones se ejecutan con un ID, lo que restringe sus

permisos.
136
Aplicaciones
137
Almacenamiento
El desarrollador de aplicaciones cuenta con una gran variedad de

opciones en las cuales pueden almacenar datos.
• Almacenamiento interno
• Almacenamiento externo
• La nube
138
Sistema de archivos
Las principales distribuciones siguen la estructura de archivos UNIX
• /bin: Contiene binarios, comandos

• /dev: Contiene archivos esenciales de dispositivos
• /etc: Contiene archivos de configuración
• /sbin: Contiene binarios del sistema
• /tmp: Contiene archivos temporales
• /usr : Contiene binarios no esenciales, bibliotecas y otros datos
139
Bases de datos
• Las aplicaciones hacen uso de bases de datos para almacenar la

información.
• Cuando no es posible obtener información desde las aplicaciones,

se puede acceder a sus respectivas bases de datos.
• La aplicación de base de datos es SQLite.
140
SQLite
• Es el formato más común en los dispositivos móviles.
• La mayoría de las aplicaciones nativas utilizan esta base de datos

para almacenar y organizar su información.
• Para poder abrir e interpretar los datos se requiere de un visor SQL.
141
Adquisición
Adquisición manual
Adquisición Lógica
Evidencia
Adquisición de Sistema de
Archivos
Adquisición Física
142
Tarjeta SIM (Subscriber Identity Module)
• Permite acceder a la red del proveedor

del servicio
• Varios tamaños, mismo estándar
• Algunos dispositivos cuentan con
capacidad de doble SIM
• Identificadores:
▪ Integrated Circuit Card ID (ICC-ID)
▪ Subscriber identifier (IMSI)
▪ Número de teléfono (MSISDN)
143
Tarjetas USIM
• En la época de GSM, SIM correspondía tanto a software

como a hardware.
• Con el surgimiento de redes UMTS(3G) se tuvo la necesidad

de separar los componentes:
▪ SIM ahora es la aplicación (software.)
▪ UMTS introduce una nueva aplicación: USIM.
144
Código PIN (Personal Identification Number)
• Número de cuatro dígitos que puede

ser personalizado por el usuario.
• Diseñado para proteger los datos en

la SIM.
• 3/4/5 intentos para ingresarlo

correctamente.
145
Código PUK
• Restablece el valor del PIN cuando

éste ha sido olvidado o no se tiene.
• Impreso en la documentación de la
tarjeta SIM.
• Tres intentos para ingresar el PUK

correcto antes de que la tarjeta SIM
quede inaccesible.
146
Tipos de tarjetas SIM
Tipo Altura Ancho Profundidad Vista Estándar Dispositivo
Tamaño 85.6 mm 53.98 mm 0.76 mm ISO/IEC Tarjetas
completo 7810:2003 bancarias
, ID-1
Mini SIM 25 mm 15 mm 0.76 mm ISO/IEC La mayoría

7810:2003 de los
, ID-000 teléfonos,
Modems
USB, entre
otros
147
Tipos de tarjetas SIM
Tipo Altura Ancho Profundidad Vista Estándar Dispositivo
Micro SIM 15 mm 12 mm 0.76 mm ETSI TS iPhone 4
102 221 HTC One,
V9.0.0, One X, One
Mini-UI SV, 8X
Nokia N9,
Lumia
720/820,
entre otros
Nano SIM 12.3 8.8 0.67 mm ETSI TS Apple
mm mm 102 221 iPhone 5,
V11.0.0 5c,
5s y iPad
Mini en
adelante
148
Adquisición de tarjetas SIM
• Se requiere de una interfaz para acceder a

la información.
• Existen soluciones económicas.
• No están diseñadas para realizar tareas

forenses.
• Considerar el uso de adaptadores.
149
Adquisición de tarjetas SIM
• Es posible que se requiera contar con una tarjeta SIM
para que el aparato pueda operar
• Existen dispositivos que permiten clonar los

identificadores de la tarjeta.
• Al clonar los identificadores, se le hace creer al

dispositivo que cuenta con su chip.
• Se puede manipular el dispositivo sin riesgo de

conexiones a la red.
150
Sistema de archivos SIM
• Master File: MF
• Dedicated Files: DF MF
• Elementary Files: EF
DF
EF DF GSM
DSC1800
EF EF EF
151
• Transparent EF: almacena datos binarios sin estructura.
• Lenaer Fixed EF: Almacena registros con longitud fija.
• Cyclic EF: Almacena registros con longitud fija en orden cronológica,

sobrescribiendo las entradas viejas cuando se llena el archivo.
152
Identificador del subscriptor
• IMSI
EFIMSI|7F20:6F07
• ICC-ID
EFICC-ID| 2FE2
153
Información en tarjeta SIM
• Configuraciones del lenguaje

EFLP y EFELP
• Números marcados:
EFMSISDN|7F10:6F40
154
Ubicación del dispositivo
• Cada estación base

posee un identificar de
ubicación (LAI).
• Cuando un dispositivo
cambia de área el LAI se
actualiza.
• El LAI más reciente se
encuentra en el archivo:
EFLOCI (7F20:6F53).
155
• SMS
EFSMS
156
International Mobile Subscriber Identity (IMSI)
• Identifica al usuario de una red

• Es almacenado en la tarjeta SIM y solo puede verse si la tarjeta no
se encuentra bloqueada
MMC MCN MSIN

Mobile Country Code Mobile Network Code Mobile Subscriptor Number
334 02 0437316998
157
ICC-ID Integrated Circuit Card ID
▸ID internacional
▸Impreso o almacenado en la SIM
▸Se compone de 19 o 20 números
Industry Código Código Mes y año SIM ID Checksu

identifier del país del de m
operador emisión
98 52 02 0613 19027712 9
158
Operadores en México
MMC MNC Operador

334 01 ATT
334 020 TELCEL
334 03 Movistar
334 050 Iusacell/Unefon (ATT)
334 090 ATT (Nextel)
159
Recuperación de Mensajes Eliminados
• Cuando se eliminan mensajes SMS de una tarjeta SIM,

algunos dispositivos sólo activan la bandera “eliminado”.
• Implica que el contenido persiste hasta que se sobrescribe.
• Otros dispositivos sustituyen los valores con el hexadecimal

FF.
160
Software para la adquisición de tarjetas SIM
▹.XRY
▹Cellebrite
▹CPA SIM Analayzer
▹Simcon
▹USIM Detective
▹Lectora SIM
161
Adquisición de smartphones
• Generar la cadena de custodia

• Usar guantes
• Asegurar alimentación eléctrica
• Contar con cables
• Contar con cámara fotográfica
• Contar con memorias
• Una sola herramienta no soporta todos los dispositivos móviles, lo
que implica la necesidad de manejar más de una.
• Algunas herramientas son capaces de adquirir más datos que otras.
162
Consideraciones para la adquisición
• Antes de tratar al dispositivo móvil como un contenedor de evidencia

digital, se tiene que considerar la posibilidad de que éste presente
otro tipo de evidencia forense (sangre, drogas, químicos, huellas
digitales).
163
• Usualmente los dispositivos cuentan con sus identificadores

impresos al reverso o en el espacio de la batería.
• Si el dispositivo esta encendido no remover la batería para evitar

modificación a la información y configuraciones.
• Activar “Modo avión” para evitar manipulación remota del

dispositivo.
164
• No intentar adivinar contraseñas, podría eliminar el contenido del
dispositivo.
• No insertar alguna SIM ajena al dispositivo, provoca la contaminación

o pérdida de los datos
• Sólo se debe introducir una tarjeta SIM segura cuando sea requerido.
165
Para aislar el dispositivo se puede utilizar:

Jammers Bolsas de faraday
166
International Mobile Equipment Identity (IMEI)
• Número de 15 dígitos utilizado para

identificar un teléfono móvil perteneciente a
una red GSM o compatible.
• Impreso en el espacio de la batería .
• Código: *#06*
167
Adquisición manual
• Se accede al dispositivo utilizando su interfaz grafica para extraer el

contenido.
• Útil cuando no se cuente con disponibilidad de tiempo o se carezca de

las herramientas correctas.
• Requiere de documentación precisa.
168
Adquisición manual
Para el análisis manual se necesita:
• Acceso al sistema, dispositivo sin códigos de bloqueo.
• Estar familiarizado con el dispositivo y su interfaz de usuario, se

recomienda consultar manuales.
169
Extracción manual
Se realiza este tipo de análisis cuando:
• Se necesita información a la brevedad.

• Se requiere preservar información volátil.
• El modelo del dispositivo no es compatible con las herramientas
forenses.
• Las interfaces de conexión están dañadas.
170
Extracción manual
• Utilizar cámara fotográfica para

el registro.
• Se obtiene información parcial.
171
Adquisición manual
La exploración debe centrarse en:

• Versión de SO
• Cuenta de usuario configurada en el equipo.
• Configuraciones del sistema (idioma, fecha, proveedor de telecom,etc)
Opcional:
• Registro de llamadas • Multimedia
• Contactos • Notas
• Chats • Correo
• Redes sociales
172
Adquisición lógica
• Extracción de los datos a nivel usuario.
• No incluye archivos eliminados.
• Puede obtener:
o Registro de llamadas o Eventos del calendario
o SMS o Multimedia
o Contactos o Notas
173
Adquisición Lógica
• Se realiza mediante la
instalación de un cliente en el
dispositivo.
• En el caso de dispositivos
Android se utiliza adb.
• Se modifican las
configuraciones del equipo.
174
Adquisición Lógica, adb
175
Android Backup Extractor
https://sourceforge.net/projects/adbextractor/
176
Adquisición Lógica, adb
177
Dispositivos iOS
• Adquisición complicada
• Pocas herramientas libres para

adquisición
• Gran capacidad de
almacenamiento
• Borrado seguro
178
Adquisición lógica, iOS
• La mejor herramienta
para la adquisición:
iTUNES
179
• Permite respaldar el contenido generado por el usuario en el dispositivo.
• Puede contener archivos sqlite
• Si se cuenta con contraseña se almacenan:

• Credenciales almacenadas
• Tarjetas bancarias
180
Al finalizar se obtendrá una carpeta con distintos archivos.
181
Ubicación de respaldos
• Mac:
▪ ~/Library/Application Support/MobileSync/Backup/
*Nota: "~" Ruta del home del usuario.
• Windows XP:
▪ C:\documents and settings\USERNAME\application data\apple
computer\mobilesync\backup
• Windows 7/8/10:
▪ C:\Users\USER\AppData\Roaming\Apple Computer\MobileSync\Backup
182
iPhone Backup Analyzer
• Permite analizar los

archivos de respaldo.
• Solo si no cuenta con

contraseña.
• Compatible hasta iOS

9.
183
184
185
186
Otras herramientas
• Para versiones recientes de

iOS existen programas de paga
que permiten analizar y extraer
la información almacenada en
los respaldos.
• iBackupbot es una muestra.
187
ibackupbot
188
• La adquisición ideal
• Se adquiere la totalidad de unidades de almacenamiento
• En algunos modelos se puede obtener el contenido de la memoria

RAM
189
• Contextos en los que sólo se puede aplicar la

adquisición física:
• El dispositivo móvil está dañado hasta el punto en el

que la pantalla no está funcionando.
• La interfaz estándar de conexión del dispositivo

móvil no está funcionando.
• El dispositivo móvil no puede ser encendido.

190
• Método más riesgoso.
• Los fabricantes agregan cada día

protecciones para evitar este
procedimiento.
• En muchas ocasiones se requiere utilizar

exploits que permitan elevar privilegios en
los dispositivos
191
• Al adquirir la totalidad de
almacenamiento del
dispositivo se puede realizar
carving para identificar
elementos eliminados.
• Se obtienen los archivos de

configuración almacenados.
• Se requiere parsear y/o

decodificar la información.
192
• Los exploits se pueden utilizar:

▪ Antes de bootear el dispositivo
▪ Después de bootear el dispositivo
• Algún error en la ejecución de exploits puede significar la

perdida total de los archivos.
193
• Existen soluciones que permiten hacer la adquisición con el

menor riesgo de perdida de información.
• Las herramientas generan la documentación necesaria.
194
• Algunas soluciones cuentan con interfaces que permiten evitar

mecanismos de seguridad.
195
Magnet Acquire
196
Magnet Acquire
197
Magnet Axiom
198
JTAG
• Diseñado para probar el dispositivo
• Puede ser utilizado para acceder a la

memoria
• No se altera la memoria original
• Duplicado completo de la memoria

física
• Detiene la operación del dispositivo

199
“Chip off”
• Remover el chip del dispositivo.

• Conectarse al programa del dispositivo.
• Se requieren interfaces especiales para extraer el contenido.
• Se requiere software que permita extraer la información cifrada.
200
Recuperación de
información en memoria
201
Volatility
• Herramienta diseñada para recuperar artefactos en capturas de

memoria RAM.
• Puede analizar capturas de sistemas Windows, Linux y Mac.
• Enfocada en el cómputo forense, respuesta a incidentes y
análisis de malware.
https://digital-forensics.sans.org/media/memory-forensics-cheat-sheet.pdf
202
Volatility
Permite obtener:
• Información sobre procesos en ejecución.
• Información sobre conexiones de red
• Identificación de malware
• Consultar el registro del sistema, eventos
203
Volatility
Estructura general de uso:

C:\> vol.exe -f [imagen] --profile=[perfil] [plugin]
Información sobre la imagen de memoria RAM:
C:\> vol.exe -f [imagen] imageinfo
Mostrar perfiles, direcciones y plugins:
C:\> vol.exe --info
204
Volatility
Mostrar ayuda:
C:\> vol.exe [plugin] --help
Cargar plugins de un directorio adicional:
C:\> vol.exe --plugins=[ruta] [plugin]
Especificar un archivo de salida:
C:\> vol.exe --output-file= [archivo]
205
Comandos en Volatility
• pslist: lista básica de procesos activos.

• pstree: Árbol de procesos.
• psscan: búsqueda de procesos ocultos o terminados.
• usuarios.
• netscan: identifica conexiones de red.
• psxview: referencia cruzada de procesos con varias listas.
206
Comandos en Volatility
• hivelist: Identifica llaves de registro de Windows.

• hashdump: Obtiene los hashes de las contraseñas de los usuarios.
• mftparser: permite obtener el cuerpo necesario para generar la línea
de tiempo de los archivos en memoria.
207
Volatility pslist
208
Volatility pstree
209
Volatility psscan
210
Volatility netscan
211
Volatility hivelist
212
Volatility hashdump
213
Volatility mftparser
214
Búsqueda de cadenas
• Es posible que la información requerida no se encuentre mediante

plugins.
• Podemos recurrir a la búsqueda de cadenas.
215
Búsqueda de URL
216
Búsqueda de cadenas
Ejemplo:
▪ Se identifica el PID del proceso relacionado a la actividad
▪ Se extrae el proceso
217
Búsqueda de URL
▪ Se obtiene la lista de URL relacionadas al proceso.
218
Redline
▪ Permite analizar la evidencia adquirida por otras herramientas o desde

su cliente.
▪ Al procesar capturas de memoria permite identificar procesos
maliciosos.
▪ Es útil para adquisiciones múltiples.
219
Redline
1. Para analizar la evidencia se

requiere acceder al directorio en el
que se almacena y ejecutar el
archivo con extensión .mans.
2. Se ejecutará Redline y al finalizar

el procesamiento de la evidencia
se mostrarán las opciones análisis.
220
Redline
Al analizar archivos de memoria se pueden identificar procesos

sospechosos (en rojo).
221
Redline
Al seleccionar un proceso
se puede obtener mas
detalles.
222
Redline
Análisis de evidencia obtenida desde colector
Análisis de trafico
224
Captura de tráfico
de red
225
Captura de tráfico de red
• Es importante obtener información sobre el ambiente y la actividad

de red del equipo.
• De acuerdo al tipo de investigación se puede obtener desde la

infraestructura de red o desde el equipo evidencia.
226
En la infraestructura de red podemos contar con alguna de las siguientes

opciones para obtener información:
• Bitácoras
• TAP
• Laboratorio portátil de red (puerto span)
• IDS
227
Bitácora ADSL
228
TAP de red
• Dispositivo pasivo/activo
• Transparente
• Portátil
229
TAP de red
230
Laboratorio portátil
• Requiere switch administrable con capacidad de puerto SPAN
• Muy útil para analizar trafico de dispositivos móviles
231
232
Laboratorio portátil
233
Sistema de Detección de Intrusos (IDS)
• Las organizaciones que cuenten con IDS implementados en su red

cuentan con una mejor visibilidad.
234
Security onion
• Existen distribuciones Linux que permiten implementar todo el

sistema IDS, captura de paquetes y consola de análisis.
• Uno de los más famosos es Security Onion
• Permite implementar una red de sensores administrados por una

consola principal
https://securityonion.net/#services
235
Security onion
236
Security onion
237
Limitantes
• En algunas ocasiones no es posible obtener una copia de las

comunicaciones.
• Normas prohíben monitorear el tráfico.
• No se tiene acceso a la infraestructura de red.
• No se almacenan bitácoras en los dispositivos de red o no registra la
información necesaria.
• No se cuenta con el hardware.
238
• En un equipo encendido es posible obtener información del tráfico

generado.
239
Netstat Windows
• Permite observar las conexiones de red que establece el equipo

• Se encuentra en múltiples sistemas operativos
240
Netstat Linux
241
TCPdump
• La herramienta ideal para la captura y análisis de tráfico

• Permite utilizar filtros
• Herramienta ligera
242
Windump
Implementación para Windows
243
TCPView
• Pertenece al conjunto de herramientas de Sysinternals.
• Registra las conexiones establecidas por una aplicación.
• No registra conexiones UDP.
• Requiere permisos de administrador.
244
TCPView
245
246
Tcpvcon
• Versión de TCPView en línea de comadnos

• Requiere permisos de administrador
247
Wireshark
Permite
• Captura de tráfico de red
• Análisis y estadística de paquetes de red
• En sistemas Windows requiere windpcap
Interpretación de
tráfico de red
Informática forense
249
Interpretación de tráfico de red
Nuestro objetivo es identificar la

actividad de red (si existe)
relacionada aun evento en
especifico a partir de las fuentes con
las que contemos, como capturas
de tráfico, bitácoras, información de
conexiones, etc.
250
Interpretación de tráfico de red
La información que se requiere:
• Fecha • Servicio remoto (puerto).

• Dirección IP origen. • Aplicación que origina la
• Servicio origen (puerto). comunicación.
• Dirección IP remota. • Acción.
251
Descarga de malware
252
Bot
253
Escaneos
254
Brute Force
255
DDos
256
Interpretación de actividad de red en bitácoras
Las bitácoras que generan los distintos dispositivos de red en una

organización pueden contener información vital para una investigación.
257
Bitácoras de servidor web
258
259
260
NetworkMiner
• Permite extraer y analizar capturas de tráfico

• Identificación de equipos
• Extracción de archivos
• Registro de sesiones
• Registro de Credenciales
• Peticiones DNS
261
NetworkMiner
• Puede realizar capturas de red en vivo.
262
NetworkMiner
Por cada capturara analizada crea un directorio con la información

clasificada.
263
Wireshark
• Podemos utilizar Wireshark para analizar archivos de captura de

red.
• El uso de filtros facilita

la tarea.
264
Identificación de flujos tcp
265
Identificación de flujos tcp
266
Filtros en Wireshark
Ip.addr
267
Tpc.port
268
Tcp.request
269
ftp
270
271
ip.addr==ip.mala and http.request.method == "POST”
272
frame matches "(?i)cadena"
273
http.request.uri matches “cadena$"
274
Pcap analyzer
• Elaborado por Daniel Botterill.

• Procesa archivos pcap
• Identifica comportamiento malicioso en tráfico de red.
▪ Información de los paquetes de red.
▪ Detección de ataques de denegación de servicio.
▪ Detección de port nocking.
▪ Resumen de comportamiento sospechoso.
http://www.cs.bham.ac.uk/~tpc/PCAP/
275
Pcap analyzer
276
Pcap analyzer
277
Gracias
Ing. Fausto Pérez
fausto@comunidad.unam.mx
278
Bibliografía
Brian, Carrier.
File System Forensic Analysis.
Pearson Education, 2005.
Michel Hale Ligh; Andrew Case; Jamie Levy; Aaron Walters

The Art of Memory Forensics.
Willey, 2014.
Miguel Ángel Garcia del Moral.

Malware en Android: Discovering, Reversing & Forensics.
0xWord.
279
Bibliografía
Ben, Clark.
Red Team Field Manual
Don, Murdoch.
Blue team Handbook: Incident Response Edition.
Don Murdoch, 2014.

Módulo 8 Informática Forense

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Módulo 8 Informática Forense

Cargado por

Copyright:

Formatos disponibles

Modulo 8

Me gusta la historia mexicana

“Rama de la computación dedicada a la aplicación de

Desarrollar hipótesis que expliquen eventos

Entidad que reporta un incidente o solicita el análisis

Equipo de Respuesta a Incidentes (IR):

• Personal encargado de detectar anomalías en la red.

• El examinador forense se encarga de realizar la

• Las herramientas que utilice deben de ejecutarse desde

• Se encarga de analizar el comportamiento de binarios

El equipo IR al ser notificado

Área legal de la organización

En el ámbito del cómputo forense se denomina evidencia

Edmon Locard (1877-1966).

Estos elementos de información pueden ser encontrados en

Se utiliza el enfoque basado en procesos de investigación

1. Verificación Respuesta a incidentes y

4. Análisis de línea de tiempo

8. Reporte de resultados Reporte

• La meta es reducir los cambios que alteren la evidencia

Generar un informe detallado con las

Procedimiento que tiene como objetivo registrar cada

Se conforma con un registro

Este registro debe incluir fotografías, documentos,

• Fecha y hora en que se toma posesión de

• Modelo o número de serie del dispositivo.

• Nombre completo y firma de custodio

Plantillas para elaborar la cadena de custodia:

• Recolectar los elementos descritos por cada

• Contar con la presencia de un tercero que dé fe de

• Etiquetar por separado discos duros.

• Aunque no continúe el proceso de forma legal, esta

• Este proceso forma parte de la

• Se pueden encontrar dos

Equipo encendido • Swap

Es el proceso por el cual se copia

• Desarrollada por Mandiant.

• Permite crear “colectores” para la adquisición de

1. Seleccionar “create estandar colector”.

• Generar una imagen forense de cada uno de los dispositivos

Es una copia bit a bit del contenido de un dispositivo digital,

• Desarrollada por AccesData

• Aplicación con interfaz gráfica

• Cuenta con versión portable

▸Existen formatos libres y comerciales, los más comunes

Al generar la imagen es necesario garantizar su integridad, ya

Los algoritmos de digestión, como MD5 o SHA 512, ayudan a

Es aquel que aplica una serie de operaciones matemáticas

El análisis forense puede requerirse

Si se cuenta con un equipo de respuesta a incidentes

Las personas suelen

• Identificar y apoyar para

Las organizaciones se enfrentan día a día a distintas

En caso de presentarse un incidente es necesario ejecutar

Pasos que realizan los atacantes

Es posible que el intruso se

Para poder identificar oportunamente una amenaza se

En ocasiones delitos o disputas solo pueden ser resueltos

• Disputas por Derechos de autor

La información será representada grafica o textualmente

Los más usados son:

• New Technology File System (NTFS)

• Tabla Maestra del sistema de

• Cada objeto en el volumen posee una