Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Recoleccion de Informacion Volatil y No Volatil

    Cargado por

    sara
    68 vistas13 páginas

    Título original

    RECOLECCION DE INFORMACION VOLATIL Y NO VOLATIL

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    68 vistas13 páginas

    Recoleccion de Informacion Volatil y No Volatil

    Cargado por

    sara

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 13

    RECOLECCION DE INFORMACION VOLATIL Y NO VOLATIL

    SERGIO ANDRES RAMIRE ACOSTA.

    CAMILO AUGUSTO CARDONA PATIÑO.

    FUNDACION UNIVERSITARIA DEL AREA ANDINA


    INGENIERIA DE SISTEMAS
    FEBRERO 21 del 2022
    INTRODUCCIÓN

    A continuación, se enseñan algunas de las herramientas empleadas desde la


    informática forense, encontramos un caso propuesto, especialmente para resolver
    posibles acciones de un individuo que ha ingresado a un equipo para afectarlo, el
    procedimiento se debe ejecutar a través de varios comandos para tratar de
    recuperar la información importante.
    INSTRUCCIONES.

    • Realizar la lectura del eje de pensamiento Eje 1.


    • Contar con una máquina virtual sistemas operativo Windows.
    • Recrear la escena y realizar la práctica de los comandos y herramientas
    utilizadas para la re-
    colección de información volátil.
    • Imagínese la escena propuesta y aplique los comandos recomendados para la
    recolección de
    información volátil.
    • Comando date/time.
    • Comando net con cuatro opciones.
    • Comando psloggedon.
    • Comando Logonsessions.
    • Comando nbtstat.
    • Comando psfile.
    • Comandos Tasklist, Pslist y Listdlls.
    • Descargar, instalar la herramienta Process Explorer, analizar los procesos que
    están activos en
    el sistema y tratar de identificar si alguno les parece sospechoso.
    • Realizar una búsqueda en internet de los procesos sospechosos para determinar
    qué aplicación lo lanza y determinar si es maligno o benigno.
    • Comando doskey.
    • Haga una revisión de directorio, y las diferentes llaves de registro usadas por un
    investigador
    para poder encontrar información.
    • Descargue la iso de Partition Logic.
    • Cree un nuevo disco y asignarlo a la máquina virtual.
    • Con la herramienta Partition Logic, elimine la particion del disco nuevo y cree dos
    de igual ta-
    maño.
    • Para ampliar el uso de Partition Logic les recomendamos ver el siguiente video:
    https://www.
    youtube.com/watch?V=t0Dr7UGuBIw.
    • Haga una investigación de la herramienta DevCon, y como le puede servir a un
    investigador.
    • Desarrolle la práctica y realice un documento con los resultados obtenidos y sus
    conclusiones.
    • Revisar los archivos, el registro de Windows.
    • En el informe debe tener los resultados de los comandos y unas conclusiones de
    lo encontrado
    en el sistema analizado.
    • Máximo 3 hojas.
    Nota: se recomienda siempre hacer las prácticas sobre sistemas virtualizados.

    Descripción de la tarea

    Situación Propuesta:

    El investigador Pepito Pérez llega a su oficina y al ver su computador se da cuenta


    que está presentando un comportamiento extraño, se evidencia lentitud al
    procesar cualquier orden y la mayoría de los mandos no responden. El señor
    Pepito Pérez determina que alguien ingresó a su sistema y antes de que se llegue
    a apagar el equipo decide realizar un análisis y una recolección de información
    que pueda perder si el equipo se apaga.
    DESARROLLO.
    HALLAZGOS.

    De acuerdo con los commandos que se han ejecutado el investigador forense puede
    determinar frente al dispositivo del usuario Pepito Perez lo siguiente:

    - Identificar el usuario que tiene registrado el equipo.


    - Determinar cuantas veces ha iniciado en minutos
    - Concluir con las estadísticas de trabajo si tiene errores de red, conexiones
    establecidas, sesiones con errores, operaciones con errores.
    - Con psloggedon se determina a que hora fue el inicio de sesión
    - Con logonsessions se determina las sesiones iniciadas con su fecha y hora.
    - Con el comando nbstat -s y -n la sesión con su determinada ip como también el
    nombre de usuario.
    - Con el Psfile se determina los directorios abiertos remotamente del cual en este
    caso ninguno fue abierto.
    - Process Explorer ver gráficamente los procesos y cual de ellos se pueden
    suspender para eliminar el proceso malicioso.
    - Se revisa con el comando listdlls, mostrando todos los Dlls para verificar si hay
    algún sospechoso.
    CONCLUSIONES

    Concluimos que las herramientas de Windows son muy efectivas en el momento


    de hablar de seguridad informática, permitiéndonos como informáticos forenses
    determinar y hallar las evidencias correctas frente a un caso. El conocimiento en
    conjunto con las herramientas nos puede ayudar a identificar de manera eficiente,
    eficazmente las causas del problema, por motivos como: hacker malintencionado
    que quiera hacer daño a un dispositivo o a una empresa para obtener alguna
    recompensa.

    También podría gustarte