Análisis Forense

Juan José Delgado

Adquisición de evidencias
Título de la asignatura
Profesor de la asignatura

1. Tipos de evidencias y orden de volatilidad

2. Acotando la escena del crimen

3. Adquisición de las evidencias

4. Preservación de la integridad e identidad de

las evidencias
Tema a tratar o idea a destacar
 Las evidencias digitales se pueden englobar dentro
de dos grandes grupos. Evidencias volátiles y no
volátiles.

Volátiles = Que cambian (se alteran) con facilidad

No volátiles = No cambian con tanta facilidad*

*Pero cambian, solo que no es tan cambiante su información

Análisis forense – Juan José Delgado

Tipos de evidencias y orden…

Volátiles No volátiles
Memoria caché Discos duros

Tablas de enrutamiento
CDs / DVDs / …
Procesos en ejecución
Pendrives
Memoria RAM

Etc. Etc.

Análisis forense – Juan José Delgado

Tipos de evidencias y orden…

Las evidencias volátiles son las que primero

tenemos que adquirir, puesto que nuestras acciones
pueden modificar su valor original y desaparecen al
apagar el equipo.
Las evidencias no volátiles son mas difícilmente
alterables, pero nuestras acciones pueden alterar su
valor si no actuamos con cuidado.

Análisis forense – Juan José Delgado

Tipos de evidencias y orden…

Dispositivos removibles

Datos remotos

Datos del disco duro

Archivos temporales / intercambio

Memoria RAM

Tablas de enrutamiento, caché ARP, etc.

Caché de la CPU (No la podremos

capturar)

Análisis forense – Juan José Delgado

Tipos de evidencias y orden…

• Fotografiar la pantalla del equipo

1

• Capturar la memoria RAM y cualquier otra evidencia digital

2 volatil que necesitemos.

• Si el disco duro está encriptado (o suponemos que puede

3 estarlo), realizamos una adquisición en caliente del mismo.

• Apagado forense (Tirar del cable).

4

• Recoger el resto de evidencias (Pendrives, CDs…),

5 empaquetar todo y recoger.

Análisis forense – Juan José Delgado

Acotando la escena del crimen
Para acotar la escena del crimen, debemos preguntarnos:

Análisis forense – Juan José Delgado

Acotando la escena del crimen
Ejemplo 1:
En un delito de estafa bancaria, el juez nos pide que obtengamos la
fecha y hora en la que fueron creados una serie de archivos de texto.

Llegamos a la sede del banco y nos encontramos con esto:

Análisis forense – Juan José Delgado

La virtualización

Se trata de un software que nos permite utilizar el hardware de una manera

más flexible. De esta manera una sola máquina real puede contener varias
máquinas virtuales (varios sistemas operativos corriendo a la vez y
procesando diferentes cosas de manera simultánea).

Análisis forense – Juan José Delgado

Acotando la escena del crimen

Ejemplo 1 (continuación):
Se trata de una granja de servidores que se utilizan para virtualizar
diversos aspectos críticos del banco.

¿Qué hacemos? ¿Nos llevamos todo? ¿Nos llevamos algunos al azar?

¿Nos vamos a casa y cambiamos de trabajo?

En este caso, deberíamos contar con el apoyo del ingeniero

responsable del mantenimiento de los servidores.

Accederíamos a la consola de administración de las máquinas

virtuales y buscaríamos ¿Cuál es la que se encarga de realizar la tarea que
el juez nos ha pedido?

Análisis forense – Juan José Delgado

Acotando la escena del crimen

Análisis forense – Juan José Delgado

Acotando la escena del crimen
Ejemplo 1 (continuación):
Llegados a este punto, suponiendo que tenemos localizada la máquina
virtual que buscamos, tenemos dos opciones:

1. Nos llevamos el disco duro completo de la máquina virtual.

• Tardaremos más tiempo.
• Necesitaremos más espacio.
• Podemos hacerlo en frío o en caliente en función del sistema
que gestione las máquinas virtuales.

2. Realizamos una adquisición en caliente de los datos que nos

interesan.
• Menor tiempo y espacio necesario.
• Nos llevaremos menor cantidad de información, pudiéndonos
dejar algo en el tintero.

Análisis forense – Juan José Delgado

Acotando la escena del crimen
Ejemplo 2:
En un delito de pornografía infantil, el juez nos pide que obtengamos los
archivos de contenido pornográfico del equipo.

Llegamos a la casa del malo y nos encontramos con esto:

Análisis forense – Juan José Delgado

Acotando la escena del crimen

Ejemplo 2 (continuación):
Aparentemente se trata de un ordenador portatil normal, que se
encuentra encendido. ¿Qué hacemos?

Lo ideal en este caso, sería realizar una adquisición de la memoria

RAM y una adquisición en caliente del contenido del disco duro.

¿Por qué? Porque ¿Y si al llegar al laboratorio nos encontramos con

que el equipo no tiene disco duro?

El equipo se encontraba conectado a un disco duro WiFi y estaba

ejecutando una distribución live de Linux. No tenemos nada.

Análisis forense – Juan José Delgado

Acotando la escena del crimen

Pesadilla

Análisis forense – Juan José Delgado

Acotando la escena del crimen
Ejemplo 3:
En un delito de revelación de secretos, el juez nos pide que
obtengamos los correos electrónicos enviados desde el equipo.

Llegamos a la casa del malo y nos encontramos con esto:

Análisis forense – Juan José Delgado

Acotando la escena del crimen

Ejemplo 3 (continuación):
Aparentemente se trata de un ordenador normal, que se encuentra
apagado. ¿Qué hacemos?

Lo primero, y aunque parezca una tontería, comprobar que está

apagado. Si realmente lo está, hacemos caso a lo indicado en el
procedimiento de adquisición de evidencias:

Si el equipo • Recoger el resto de evidencias (Pendrives,

está apagado 5 CDs…), empaquetar todo y recoger.

Análisis forense – Juan José Delgado

Acotando la escena del crimen

¿Y si el disco está cifrado?

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquirir una evidencia es crear un archivo (lo llamamos archivo de

imagen) que contenga toda la información contenida en la evidencia
original. Incluidos los espacios marcados como vacíos o libres.

También es posible realizar el clonado de la evidencia, que consiste en

adquirir una evidencia, en lugar de en un archivo, en un dispositivo
similar. Un disco duro, en un disco duro; un pendrive en otro…

Adquirimos las evidencia porque se trabaja de manera más sencilla

con un archivo que con un dispositivo físico.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Clonado

Imagen

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Los tipos de formato de imagen mas comunes son:

Normalmente, al formato RAW se le suele poner de extensión .dd o .raw

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquisición de evidencias volátiles:

• En caliente, con el equipo encendido.
• El principal problema, es que se degradan durante la adquisición.
• Usaremos programas especialmente creados para este tipo de
adquisiciones.
• Los programas que utilicemos deben ser independientes del
equipo a examinar

Ejemplo adquisición de RAM con DumpIt / FTK Imager

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Lo podremos ver en la actividad de este tema.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquisición de evidencias NO volátiles:

• En frío o en caliente (equipo apagado o encendido).
• Que el equipo pertenezca o no a un sistema crítico que tenga
que mantenerse encendido de manera ininterrumpida.
• Que el dispositivo que pretendemos adquirir se encuentre o no
cifrado. Si lo está puede ser imposible realizar la adquisición
en frío.
• Que el equipo se encuentre expuesto a ataques desde el
exterior, lo que puede hacer que las evidencias se alteren
durante una adquisición en caliente .
• Etc.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquisición de evidencias NO volátiles:

• Si decidimos realizar la adquisición en caliente, utilizaremos
programas independientes del equipo.
• Si realizamos la adquisición en frío, utilizaremos bloqueadores de
escritura (FastBlock, Ultradock…) para evitar la alteración

Análisis forense – Juan José Delgado

Preservación de la evidencia

Este aspecto, es de suma importancia a la hora de conseguir que las

evidencias adquiridas tengan validez en un proceso judicial.

Para verificar que lo analizado es una copia exacta de la evidencia

original, o que la integridad de dicha copia se mantiene a lo largo de todo
el proceso de análisis hacemos uso de las conocidas como funciones
hash.

Una función hash es un tipo de función que debe reunir como mínimo
las siguientes dos características:
• Para cada entrada «E», la función generará siempre una salida «S»
única. Lo que implica que cualquiera alteración en la entrada, por
mínima que sea, alterará la salida.
• A partir de la salida «S» de la función, es imposible obtener la entrada
original «E».

Análisis forense – Juan José Delgado

Preservación de la evidencia

El proceso de adquisición de una evidencia sería:

Para concluir que no hemos alterado la evidencia original y que la copia

realizada es exacta, el primer hash a la evidencia original (HA1) ha de ser
igual al segundo hash a la evidencia original (HA2) e igual al hash de la
copia (HB).

HA1 = HA2 = HB

Análisis forense – Juan José Delgado

Preservación de la evidencia

Para verificar en cualquier momento del análisis que lo que se está

analizando es lo mismo que se obtuvo de la evidencia original, solo tenemos
que realizar nuevamente un hash a la evidencia objeto del análisis y
compararlo con el primer hash de la evidencia original (HA1). Si son
idénticos estamos analizando una copia exacta de la evidencia original.

Este proceso es realizado de manera automática por algunos programas

de análisis forense como EnCase o Forensic ToolKit.

Análisis forense – Juan José Delgado

¿Alguna pregunta?
Análisis forense – Juan José Delgado
www.unir.net