Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nombre
Luis sandro
Apellido
Perez eber
Matricula
20185843
Materia
Computacion Forense
Profesor
Elkin Valenzuela
Resumen Introducción a la informática forense
Computación Forense
Se sabe que cuando se realizan las aplicaciones fundamentales de la ciencia
forense a los sistemas informáticos pues a este método es que se le conoce como
Computación Forense.
Análisis Forense Digital
Entonces el Análisis Forense Digital, se conoce como aquella disciplina la cual se
hace de uso de un conjunto de varias técnicas, herramientas, las cuales son usadas
para identificar, recolectar y preservar, al igual que analizar los documentos,
archivos y programas que tenga los dispositivos electrónicos, como resultado de
evidencias digitales.
Base de datos
Se sabe que la primera vez que se usó este termino fue en un congreso el cual fue
celebrado en california en 1963. Bien las bases de datos no son más que un
conjunto de información almacenada o estructurada. Sus orígenes provienen de la
antigüedad, donde ya existían bibliotecas y toda clase de registros, también la
utilizaban para recoger información sobre las cosechas.
Seguridad de informática
Métodos Antiforense.
De acuerdo a la técnica anti-forense utilizada, se puede identificar la siguiente
clasificación:
1. Destrucción de la evidencia.
2. Ocultación de la evidencia.
3. Eliminación de las fuentes de la evidencia.
4. Falsificación de la evidencia.
Destrucción de la evidencia.
Este método busca tanto la eliminación de la evidencia como imposibilitar su
recuperación. Para ello, se pueden llevar a cabo dos estrategias:
Destrucción a nivel físico: por ejemplo, mediante la aplicación de campos
magnéticos u otros métodos menos sutiles o poco convencionales.
Destrucción a nivel lógico: mediante la sobre escritura de datos o la eliminación
de los mismos. Para intentar recuperar información sobrescrita, dañada o eliminada
se utilizan diferentes técnicas como el File Carving o Slack Space.
File Carving: en este proceso pues consiste en la identificación y recuperación de
archivo a partir de las características de formato de los mismos archivos.
En general, todos los tipos de archivos tienen características comunes. Tales como,
atendiendo a su estructura, todos los archivos JPG/JFIF empiezan por FF D8 FF E0
00 10 4A 46 49 46 00 y terminan por FF D9, como se puede observar en la siguiente
imagen.
Así mismo, existen una serie de herramientas que permiten la ocultación de
información de manera deliberada en el espacio sin asignar, si bien dicha
información puede ser recuperada mediante técnicas forenses y software
especializado.
OCULTAR LA EVIDENCIA
Este método no busca manipular o destruir la evidencia sino hacerla lo menos
accesible posible. Para ello, se pueden utilizar técnicas como «covert channels» o
esteganografía que permite la ocultación y el enmascaramiento de cierta
información dentro de otra.
La mejor forma para detectar este tipo de prácticas, se deben utilizar herramientas
de estegoanálisis ya que esta técnica es llamada esteganografía la cual como se
había mecionado se usa para ocualtar información dentro de otra, que mediante
complejos mecanismos estadísticos o mediante la búsqueda de anomalías con
respecto a los formatos estándar, buscan información oculta.
También según lo mencionado en la clase pasada hay un caso específico de «covert
channels» es el sistema de archivo NTFS, esto lo que hace es qque presenta una
característica, conocida como Alternate Data Streams, y por esta vía se puede
ocultar un archivo dentro de otro.
Esta característica puede ser utilizada para esconder imágenes en archivos de texto
sin que éstos varíen su tamaño original o incluso para camuflar archivos
comprimidos dentro de imágenes.
A partir de Windows Vista mediante el parámetro /R en el comando DIR se pueden
visualizar las alternate data streams, pero para versiones anteriores se debe utilizar
herramientas específicas como ADSCheck o Streams.
También otra manera de poder detectar los Rootkits se basa en arrancar el sistema
que se sospecha afectado por un Rootkit desde otro sistema (Cd-Rom o USB), de
modo que el Rootkit se mantendrá inactivo por lo que su detección será
relativamente sencilla.
ELIMINACIÓN DE LAS FUENTES DE LA EVIDENCIA
FALSIFICACIÓN DE LA EVIDENCIA
Este método consiste en la creación de evidencias falsas con el fin de dificultar el
trabajo de los investigadores. Algunos de los ejemplos de falsificación de evidencias
más habituales son:
• Lanzar ataques desde equipos comprometidos, como es el caso de las
Botnets.
• La utilización de redes comprometidas.
• La utilización de cuentas comprometidas de usuarios.
• La modificación de metadatos mediante utilidades como ExifTool.