Introduccion Analisis Forense I

Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.
com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 1
ANÁLISIS DE CASOS
ANÁLISIS FORENSE I
1
Página
ANÁLISIS FORENSE I WWW.EICYC.COM

Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
ANÁLISIS DE CASOS
ÍNDICE
Contenido
1. Introducción y contextualización práctica ................................................................................................................. 4
2. Primera aproximación al análisis forense informático.................................................................................. 4
Objetivos del análisis forense digital ....................................................................................................................... 4

Ámbitos del análisis forense digital ........................................................................................................................... 5
3. Evidencia digital y artefactos .................................................................................................................................................. 5
Fases de un análisis forense informático ........................................................................................................... 5

4. Fase 1: Identificación y adquisición ................................................................................................................................ 5
Datos volátiles ........................................................................................................................................................................................ 6

Datos no volátiles ............................................................................................................................................................................... 6
5. Entornos de análisis ......................................................................................................................................................................... 7
Análisis en caliente........................................................................................................................................................................... 7
Análisis post mortem ..................................................................................................................................................................... 7
6. Fase 2: Preservación de las evidencias ....................................................................................................................... 7
7. Fase 3: Análisis de las evidencias ..................................................................................................................................... 9
8. Fase 4: Documentación y reporting .............................................................................................................................. 10
9. Análisis forense en sistemas operativos propietarios .................................................................................. 11
10. Adquisición de datos volátiles .............................................................................................................................................. 12
Adquisición de memoria RAM ........................................................................................................................................... 12

Adquisición de información básica del sistema ....................................................................................... 13
11. Adquisición de datos no volátiles ..................................................................................................................................... 14
Adquisición de unidades de almacenamiento............................................................................................. 14

Adquisición de configuraciones del sistema................................................................................................. 15
Adquisición de otros datos relevantes ................................................................................................................. 16
12. Suites de análisis forense ......................................................................................................................................................... 17
13. Análisis forense en sistemas operativos libres................................................................................................... 18
14. Adquisición de datos volátiles .............................................................................................................................................. 18

2
Página
Adquisición de memoria RAM ........................................................................................................................................... 19

Adquisición de información básica del sistema ....................................................................................... 19
ANÁLISIS DE CASOS
15. Adquisición de datos no volátiles .................................................................................................................................... 20
Adquisición de unidades de almacenamiento............................................................................................. 21

Adquisición de configuraciones del sistema................................................................................................. 21
Adquisición de otros datos relevantes .................................................................................................................22
16. Suites, frameworks y herramientas de análisis forense ..........................................................................23
17. Análisis de volatilidad ...................................................................................................................................................................24
18. Uso y especialización.....................................................................................................................................................................25
Instalación .................................................................................................................................................................................................25
19. Funcionamiento básico ............................................................................................................................................................... 26
Identificación de imágenes ................................................................................................................................................ 26

20. Análisis de los procesos del sistema .............................................................................................................................27
Pslist y pstree ........................................................................................................................................................................................27

Psscan psxview....................................................................................................................................................................................27
21. Conexiones de red .......................................................................................................................................................................... 28
Connections y connscan ......................................................................................................................................................... 28

Sockets y sockscan ........................................................................................................................................................................ 28
22. Registro de Windows .................................................................................................................................................................... 29
23. Volatility para análisis de malware ................................................................................................................................ 30
24. Análisis forense en dispositivos móviles ................................................................................................................... 31
25. Metodologías y fases del análisis forense................................................................................................................32
26. Dificultades en análisis forense ..........................................................................................................................................33
27. Procesos de extracción de evidencias .........................................................................................................................34
28. Flujo de adquisición de evidencias..................................................................................................................................35
29. Herramientas de análisis forense .....................................................................................................................................37
30. Android Debug Bridge (ADB) ............................................................................................................................................... 38
Funcionamiento de ADB .......................................................................................................................................................... 38

3
Página

ANÁLISIS DE CASOS
1. Introducción y contextualización práctica
La ocurrencia de delitos e incidentes informáticos da lugar a investigaciones para esclarecer los

antecedentes y la resolución de los casos analizados. A este tipo de investigaciones se les denomina
análisis forense informático.
Un análisis forense requiere de procedimientos y metodologías especializadas para la adquisición de

los datos, la preservación, el análisis y la generación de informes y conclusiones.
Fig. 1. Análisis forense informático
2. Primera aproximación al análisis forense informático
El análisis forense informático o digital surge de la necesidad de poder encontrar pruebas que
ayuden a resolver un delito o incidente de seguridad aplicando técnicas científicas y analíticas a los
sistemas de información digitales.
Objetivos del análisis forense digital
El análisis forense digital es utilizado para extraer datos de dispositivos electrónicos y transformarlos
en información operativa que pueda ser tratada y analizada para poder resolver un delito.
El objetivo de cualquier análisis forense es poder responder a las clásicas cuestiones sobre qué,
4
Página
quién, cómo, cuándo y por qué tuvieron lugar los hechos delictivos y actuar en consecuencia

ANÁLISIS DE CASOS
Ámbitos del análisis forense digital
El análisis forense digital puede aplicarse en dos ámbitos o contextos diferenciables:

a) Gestión de incidentes: La aplicación de técnicas forenses para resolver un incidente interno. Por
ejemplo, intrusiones en la red, infecciones por malware o phishing.
b) Peritaje judicial: El análisis forense se realiza dentro de un procedimiento judicial o causa penal.
3. Evidencia digital y artefactos

Uno de los términos que es necesario conocer dentro de los análisis forenses informáticos es la
evidencia digital.
La evidencia digital es una pieza de información almacenada o transmitida a través de un sistema
informático y que puede utilizarse como prueba en un proceso judicial, además, puede relacionar un
hecho delictivo con la víctima o el autor del delito.
Otro termino importante es el de artefacto. Un artefacto puede ser cualquier log del sistema,
metadatos, registros, copias de seguridad, etc., de los que se pueda extraer una evidencia digital.
Fases de un análisis forense informático
En un análisis forense informático se pueden diferenciar cuatro fases que definen una metodología
a seguir durante una investigación: identificación y adquisición, preservación, análisis y
documentación.
Son las que estudiaremos a continuación.
4. Fase 1: Identificación y adquisición

En la primera fase de un análisis forense, lo primero que hay que realizar es un breve estudio del
escenario del delito. En función de ese análisis, se realizarán las tareas adecuadas y específicas para
poder extraer las pruebas necesarias (adquisición) y evitar contaminar lo mínimo posible el escenario.
Siempre que sea posible, debemos trabajar con copias de los soportes de información, en caso
contrario, estaríamos modificando y contaminando las pruebas originales de un delito y no podrían
5
ser utilizadas en un juicio, o bien, perderían credibilidad para la resolución de un incidente de

Página
seguridad privado.
ANÁLISIS DE CASOS
La adquisición de los datos debe priorizarse cuanto mayor es la volatilidad de los datos.
Fig. 2. Prioridad de extracción

Podemos adquirir dos tipos de datos, volátiles y no volátiles.
Datos volátiles
Son aquellos datos que se pierden cuando el sistema se apaga y no son recuperables. Por ejemplo:
• Servicios en ejecución.
• Usuarios autenticados.
• Ficheros en uso.
• Procesos de memoria.
• Memoria RAM.
• Memoria caché.
Datos no volátiles
Los datos no volátiles o persistentes permanecen en los soportes de información, aunque el sistema
se apague o reinicie, por ejemplo:
• Ficheros del sistema.
• Documentos ofimáticos, imágenes, audios, etc.
• Logs del sistema.
6
Página

ANÁLISIS DE CASOS
5. Entornos de análisis
Durante la fase de identificación y adquisición tendremos que identificar el tipo de entorno al que
nos enfrentamos. Según el estado en el que nos encontremos el sistema sobre el que tenemos que
realizar el análisis forense, aplicaremos diferentes técnicas para la extracción de los datos.
Podemos diferenciar dos tipos de entornos de análisis, análisis en caliente y análisis post mortem.
Análisis en caliente
Este tipo de análisis se aplica cuando el sistema se encuentra encendido.

Este estado es el ideal para poder extraer la información volátil, pero es fácil contaminar el sistema
al realizar esta tarea. Actualmente existen herramientas especializadas en la adquisición de los datos
volátiles y que apenas interactúan o modifican el sistema durante el proceso. Por ejemplo, para la
adquisición de la memoria RAM, podemos utilizar herramientas como Memoryze o DumpIT. Para
poder analizar el contenido de la imagen adquirida, podemos nombrar a Volatility como herramienta
principal.
Análisis post mortem
Cuando el sistema está apagado tendremos que aplicar un análisis post mortem.
En este estado podemos extraer la información no volátil sin alterar las evidencias de los datos
volátiles, siempre trabajando con una copia de seguridad de los soportes de información. Para
adquirir la información no volátil, nos ayudaremos de las suites forenses, como Caine, Autopsy y
herramientas como la suite de Nirsoft.
6. Fase 2: Preservación de las evidencias

Un error en la manipulación y preservación de las evidencias recogidas puede dar lugar a que no
puedan ser aceptadas ante un tribunal o prueba pericial, surge la necesidad de una cadena de
custodia.
La cadena de custodia es una metodología aplicada a las evidencias relacionadas con el incidente o
7
delito desde que se identifican en la escena hasta que son analizadas en el laboratorio.
Página

ANÁLISIS DE CASOS
El objetivo es poder asegurar la integridad, preservación y la trazabilidad de las evidencias para que
no puedan ser impugnadas bajo sospecha de una mala práctica o manipulación de las evidencias.
La cadena de custodia consiste en una serie de formularios cumplimentados con información de la

evidencia física, pudiendo incluir, entre otros datos:
• Fecha de la adquisición.
• Persona que realiza la adquisición.
• Modelo, número de serie, fabricante, etc.
• Ubicaciones y traslados de la evidencia.
Las evidencias digitales, tales como imágenes de disco, RAM, ficheros, documentos, etc. deben estar
acompañadas de su hash, ya que es la única forma de verificar que dicha evidencia no ha sido alterada
desde su adquisición.
Fig. 4. Formulario cadena de custodia

8
Página

ANÁLISIS DE CASOS
7. Fase 3: Análisis de las evidencias
Entramos en la fase más técnica dentro de la metodología de un análisis forense. En esta fase se
utilizan las herramientas software y físicas especializadas en analizar los datos adquiridos para
identificar el motivo del delito, las acciones y los actores que han participado.
La destreza, experiencia y conocimiento del analista es fundamental para resolver un análisis forense
con éxito, aun así, no siempre será posible esclarecer los hechos por la falta de evidencias.
El análisis forense debe realizarse dentro del rango temporal durante el cual acaecieron los hechos
delictivos. Para ello, es necesario acotar la investigación en el tiempo. Es prácticamente imposible, y
poco práctico, analizar todos los datos almacenados a lo largo del tiempo y que no tienen por qué
mantener relación con el incidente. Por ejemplo, un log de un sistema que no se ha rotado durante
todo el año no debería analizarse por completo, tan solo la sección afectada por el marco temporal
de interés. Una vez acotada la investigación forense, se procederá a reconstruir la línea temporal del
delito, la cual proporcionará una reconstrucción cronológica y comprensión de los hechos que han
tenido lugar.
Fig. 5. Línea temporal cronológica
Durante la fase de análisis de un sistema tendremos que examinar multitud de artefactos para la
obtención de evidencias, por ejemplo:
• Correos electrónicos.
•
9
Fotos digitales.
Página
• Historial de navegación.

ANÁLISIS DE CASOS
• Dispositivos de almacenamiento conectados.

• Usuarios y grupos del sistema.
• Logs del sistema y de los servicios.
• Tareas programadas.
• Ficheros de paginación.
• Aplicaciones del inicio del sistema.
• Entre otros…
8. Fase 4: Documentación y reporting

En esta última fase de un análisis forense se redactan los informes técnicos y ejecutivos que
documentan los antecedentes del delito.
En los informes debe verse reflejada la metodología empleada durante el análisis, el trabajo
realizado, el impacto y las conclusiones del análisis forense.
Un informe ejecutivo contendrá un resumen de todo el análisis forense con un lenguaje poco técnico
ya que, así lo requiere el público al que está destinado este tipo de informes ejecutivos. Algunos
aspectos básicos que debe contener este informe son:
• Motivaciones del delito:

o Finalidad del incidente.
o Por qué ha tenido lugar.
• Desarrollo del incidente:
o Como evolucionó el incidente.
o Acciones realizadas en los sistemas.
• Resultados del análisis:
o Hechos ocurridos.
o Identificación de los autores.
o Impacto del delito o incidente.
• Recomendaciones.
10
Por el contrario, en un informe técnico, el detalle del análisis es mucho mayor y requiere de
conocimiento técnico para su comprensión.
Página

ANÁLISIS DE CASOS
Además de los aspectos básicos de un informe ejecutivo, también debería contener los siguientes:
• Antecedentes del incidente:

o Estado anterior de los sistemas y controles de seguridad.
• Recolección de datos:
o Cómo se han adquirido los datos.
o Datos recolectados.
• Descripción avanzada de las evidencias obtenidas.
• Entorno de laboratorio en el que se ha realizado el análisis:
o Herramientas empleadas.
• Análisis de las evidencias.
• Descripción de los resultados:
o Herramientas empleadas por el autor del delito.
o Alcance del incidente.
• Línea temporal de los hechos.
• Conclusiones y recomendaciones, así como puntos de mejora y futuras buenas prácticas .
9. Análisis forense en sistemas operativos propietarios

El análisis forense en entornos propietarios como Windows, requiere de herramientas especializadas
y orientadas a la adquisición y análisis de datos de estos sistemas.
Es imprescindible conocer bien estas herramientas para poder escoger la adecuada en cada escenario
y que ocasione el menor impacto posible en los datos del sistema.
11
Página
Fig. 1. Sistema Windows

ANÁLISIS DE CASOS
10. Adquisición de datos volátiles

La adquisición de datos volátiles no solo hace referencia a la memoria RAM, existe gran cantidad de
información volátil en procesos, conexiones de red, contraseñas, etc. que, en su conjunto, pueden
suponer la resolución de un delito.
Hay que tener en cuenta el orden de volatilidad, tal y como ya se describió en el tema anterior para
poder recuperar el mayor número de evidencias posibles.
A continuación, veremos algunas de las herramientas especializadas en la adquisición de datos
volátiles.
Adquisición de memoria RAM
La memoria RAM solo puede capturarse cuando el sistema está encendido. Es posible adquirir la
memoria RAM tanto de forma local como remota.
Algunas herramientas destacables son:

• Memoryze: Es una herramienta desarrollada por Mandiant para la extracción y análisis de la memoria
RAM que puede ser ejecutada en entornos Windows.
• DumpIT: Fue diseñada por MoonSols, pero el proyecto fue descontinuado. Aun así, es una de las
herramientas más empleadas dada la simplicidad de su ejecución. Puede encontrarse en algunos
repositorios de GitHub.
• F-Response: Es una suite que, entre otras muchas capacidades, permite extraer la memoria RAM de
un sistema remoto utilizando el servicio iSCSI.
12
Fig. 2. F-Response
Página

ANÁLISIS DE CASOS
Adquisición de información básica del sistema
La recolección de información básica del sistema permite establecer un contexto en el análisis

forense, identificar el sistema en los logs y generar una línea temporal del delito:
• Fecha y hora: Se deben obtener los datos temporales al principio y al final del análisis para establecer
la línea temporal.
• Información del sistema: Datos como la versión del sistema operativo, hostname, tiempo de
encendido y parches instalados.
• Usuarios: El usuario actual, así como los usuarios conectados al sistema.
• Configuración de red: El direccionamiento de red del sistema, protocolos, vpns, etc.
• Información sobre procesos: Procesos y servicios en ejecución.
• Recursos de red compartidos: Los recursos de almacenamiento compartidos puede ser de interés en
el análisis forense.
• Tareas programadas: Es muy común que se utilice este servicio para conseguir persistencia, sobre
todo en infecciones por malware.
En la siguiente tabla, se nombran algunos de los comandos que permiten recolectar la información
básica de un sistema operativo Windows:
Dato Comando
Fecha date /t
Hora time /t
Hostname hostname
Red ipconfig /all
Usuario actual whoami
Versión ver
Uptime systeminfo | find "Tiempo de
arranque del sistema"
Entorno systeminfo
Usuarios conectados quser
Conexiones de red netstat -ano
activas
13
Peticiones DNS ipconfig /displaydns

Página
realizadas

ANÁLISIS DE CASOS
Conexiones netbios net session

Tabla ARP arp -a
Procesos tasklist -V
Ficheros abiertos OpenedFilesView
Recursos compartidos net share
Tareas programadas schtasks
Tabla 1. Comandos de recolección básicos
Si creemos que el sistema puede estar comprometido, deberemos emplear versiones legitimas de
estos programas que podamos ejecutar desde un medio extraíble. En ocasiones, el malware puede
sustituir algunos binarios del sistema con intenciones maliciosas, como, por ejemplo, un falso tasklist
que oculte el proceso del malware para que éste no sea detectado.
11. Adquisición de datos no volátiles
La adquisición de datos no volátiles es el siguiente paso en la cadena de volatilidad tras los datos
volátiles. Estos datos son persistentes y pueden extraerse tanto en análisis en caliente como en
análisis post mortem, siempre teniendo en cuenta el escenario investigado.
Adquisición de unidades de almacenamiento
Tradicionalmente, la adquisición de unidades de almacenamiento se ha realizado con el sistema

apagado y duplicando los datos en otra unidad externa conectada. Actualmente, esto no siempre
ocurre, el tamaño de las unidades de almacenamiento se ha incrementado exponencialmente y, en
ocasiones, no resulta útil clonar tal volumen de datos cuando el delito puede ser acotado en un marco
temporal objeto del análisis. En otros casos, puede tratarse de sistemas en alta disponibilidad y no
pueden ser apagados para realizar la adquisición, obligando al analista a extraer los datos necesarios
en vivo.
14
Página

ANÁLISIS DE CASOS
La adquisición de unidades de almacenamiento en vivo puede realizarse a través de la herramienta

“dd” portable, conectada al sistema a través de una unidad extraíble. La sintaxis del comando es
similar al utilizado para la adquisición de la memoria RAM:
También se puede utilizar una variación del comando “dd”, llamado “dc3dd”, que mejora la velocidad
de copia de los datos, realiza el cálculo del hash de la imagen en paralelo y proporciona más
estadísticas de la operación al usuario.
Otra alternativa es utilizar la herramienta “FTKImager”, entre otras muchas opciones.
Adquisición de configuraciones del sistema
Dependiendo del tipo de delito, el análisis forense se centrará en la investigación de datos más o
menos concretos. Existen configuraciones del sistema que son de interés para el análisis y deben ser
revisadas, ya que pueden contener la clave para la resolución de una intrusión o una infección por
malware, por ejemplo:
• Configuraciones de seguridad: Evaluar las configuraciones relacionadas con la seguridad del sistema
puede ayudar a detectar brechas de seguridad que hayan podido ser aprovechadas con fines
maliciosos. Por ejemplo, el estado del parcheo y actualización del sistema, reglas de firewall, registros
de auditoría y logging.
• Relaciones de confianza: Existen unos ficheros donde se almacenan redes y hosts sobre los que existe
una relación de confianza, para, por ejemplo, evitar realizar peticiones de resolución de nombres al
DNS de la red y confiar en una resolución definida estáticamente en estos ficheros. Estos ficheros se
encuentran en “%windir%\system32\drivers\etc\”:
o hosts: Contiene una asociación entre una dirección IP y el hostname o dominio asignado.
o networks: Mantiene la asociación entre rangos de red y los nombres asignados.
o lmhosts: Realiza el mapeo entre direcciones IP y los nombres NetBios de las máquinas.
• Prefetch files: Cuando un programa se ejecuta por primera vez, Windows crea un fichero “prefetch”
para mejorar la velocidad de inicio en las ejecuciones posteriores. También queda registrada la fecha
de la primera ejecución de un programa, por ejemplo, de un malware o rootkit, además de la última
fecha de ejecución. Los ficheros prefetch se encuentran en el directorio “%systemroot%\prefetch”.
15
Página

ANÁLISIS DE CASOS
• Autoinicio de aplicaciones: Una de las técnicas más habituales para conseguir la persistencia de
malware, rootkits y puertas traseras, es configurar el auto inicio en el arranque del sistema. Existen
varias posibilidades, como la ubicación en directorios concretos, entradas de registro, tareas
programadas o ficheros del sistema. Por ejemplo, en Windows, las aplicaciones que pueden iniciarse
automáticamente en el inicio del sistema se encuentran en la entrada del registro
“[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]”.
• Cuentas de usuario: Investigar las nuevas cuentas de usuario, aquellas que no tienen contraseña
definida, los grupos y los usuarios añadidos a estos. Es otra formar de ganar persistencia con acceso
al sistema y un punto de revisión importante en cualquier investigación.
Adquisición de otros datos relevantes
También podemos encontrar evidencias analizando los siguientes puntos de control:
• Registros de logs: Cualquier acción que haya tenido lugar en el sistema genera una entrada en el
registro de eventos de Windows. Los intentos de logging fallidos en el sistema se registran en el log
de eventos de seguridad, las acciones del antivirus, por ejemplo, quedan registradas en el log de
aplicaciones. Podemos extraer estos logs de un sistema vivo con la herramienta “wevtutil” y
analizarlos en el laboratorio.
• Sistemas de ficheros: El análisis de los ficheros almacenados puede revelar información de interés
para la resolución del caso. Es necesario investigar los elementos de la papelera de reciclaje, ficheros
ocultos y los “Alternate Data Stream”.
• Registro: El registro de Windows contiene toda la información sobre configuraciones, datos de
aplicaciones y actividades que han tenido lugar en el sistema, por lo que es un recurso imprescindible
en el análisis. La exportación de todas las ramas del registro podemos hacerlo a través de la
herramienta “RegRipper”. Por ejemplo, podemos identificar los dispositivos USB que fueron
conectados, como los dispositivos de almacenamiento extraíbles.
• Datos de navegación: A través de la investigación de estos datos es posible determinar qué dominios
visitó el usuario y detectar la descarga de malware mediante el uso de técnicas como “drive-by-
downloads”. Esta técnica permite la descarga silenciosa de binarios cuando se visita un host que
distribuye malware. Además, las cookies almacenadas pueden contener datos de interés.
16
Página

ANÁLISIS DE CASOS
Fig. 4. RegRipper
12. Suites de análisis forense

Las suites y frameworks de análisis forense proporcionan al analista forense un entorno con
herramientas de adquisición y análisis de datos. La mayoría de las suites son booteables, basadas
principalmente en sistemas Linux y, permiten el análisis de los datos sin necesidad de ejecutar las
herramientas en el sistema operativo objeto del análisis.
A continuación, vamos a describir algunas de las suites y frameworks de forensia más destacadas:
• Autopsy: Es una de las herramientas más utilizadas de código abierto. Permite analizar entornos
UNIX y Windows a través del conjunto de herramientas que integra. Además, permite extender sus
capacidades de análisis a través de complementos y plugins. Relacionada a “Autopsy”, nos
encontramos con “The Sleuth Kit”, otra colección de herramientas para el análisis de imágenes de
disco forenses. “Autopsy” se integra con “The Sleuth Kit” proporcionando un entorno gráfico que
facilita la operación de análisis.
• Caine: Es una distribución basada en Linux que proporciona un entorno de análisis forense integrando
herramientas opensource y freeware para el análisis de sistemas Windows y Linux. El objetivo de esta
distribución es facilitar las tareas de las diferentes fases del análisis forense, una interfaz gráfica
17
“user-friendly” y la portabilidad de la distribución al ser una “live CD”.

Página

ANÁLISIS DE CASOS
• SIFT: Otra distribución basada en Linux creada por SANS para el análisis forense. También incorpora
un gran número de herramientas open source y cuenta con el respaldo de SANS.
• Volatility: Es el framework más utilizado en el análisis de incidentes y malware en la memoria RAM.
También es compatible con sistemas Linux y Windows. Es capaz de extraer cualquier información
almacenada en la RAM, como conexiones de red, procesos en ejecución, binarios cargados y DLLs.
• SysInternals: Es una suite de herramientas para Windows creadas originalmente para mejorar el
soporte técnico, diagnóstico del sistema y la administración. Esta suite se ha acabado convirtiendo
en imprescindible para cualquier analista forense, contiene herramientas de mucha utilidad para el
análisis y adquisición de datos del sistema Windows.
13. Análisis forense en sistemas operativos libres

El análisis forense en entornos Linux puede llegar a resultar más sencillo debido a la gran cantidad de
herramientas nativas del sistema, las cuales permiten extraer prácticamente todas las evidencias
necesarias.
Cierto es que se requiere un conocimiento más amplio para analizar las evidencias debido a la
complejidad que conllevan los sistemas Linux, en la mayoría de las ocasiones, supondrá un esfuerzo
un poco superior para correlar los eventos que construyan una línea temporal. No obstante, esa
pequeña inversión en tiempo, se recuperará con creces en seguridad, control, agilidad y trazabilidad.
Fig. 1. Linux forensics
14. Adquisición de datos volátiles

18
Al igual que ocurre en otros sistemas operativos, en Linux también existen datos volátiles qu e son
Página
necesarios obtener para poder completar un análisis forense.

ANÁLISIS DE CASOS
La recopilación de estos datos en un sistema Linux puede ser más sencillo que en un sistema
Windows, ya que existen comandos del sistema para interactuar y extraer prácticamente toda la
información que podamos necesitar.
Es importante tener en cuenta que, si el sistema ha sido víctima de algún tipo de rootkit, algunos de
estos comandos del sistema pueden haber sido manipulados, por lo que tendremos que confirmar
que estamos trabajando con los binarios legítimos.
Adquisición de memoria RAM
Para la extracción de los datos de la memoria RAM de un sistema Linux, podemos emplear algunas
de las herramientas más notables como, por ejemplo:
• LiME (Linux Memory Extractor): Es una herramienta open source que trabaja a nivel de kernel del
sistema y es compatible con sistemas basados en Linux. El principal problema es que esta
herramienta necesita ser compilada en la maquina sobre la que se quiere extraer la RAM, ya que
genera un módulo que tiene que ser cargado en el kernel del sistema Linux. Como alternativa,
podemos compilar la herramienta en otra maquina utilizando la misma versión del kernel y,
posteriormente, copiarlo a la maquina objeto del análisis.
• AVML (Acquire Volatile Memory for Linux): Es una herramienta desarrollada por Microsoft para la
extracción de la memoria RAM en sistemas Linux. Tiene la ventaja de que no necesita ser compilada
previamente, tan solo es necesario ejecutar la versión portable para extraer la memoria.
Adquisición de información básica del sistema
Para recopilar la información básica de un sistema Linux, podemos hacer uso de comandos del
sistema siempre que no hayan sido comprometidos anteriormente.
Además, deberemos tener especial cuidado en su uso ya que corremos el riesgo de realizar
modificaciones que invaliden las posibles evidencias.
La información básica del sistema que debemos recuperar es similar a la de sistemas Windows:
• Fecha y hora.
• Información del sistema (versión del sistema operativo, parches, hostname, etc.).
19
• Usuarios del sistema.

Página
• Configuración de red.
ANÁLISIS DE CASOS
• Información sobre procesos.

• Recursos de red compartidos.
• Tareas programadas.
Algunos de los comandos del sistema empleados para recopilar la información básica de un sistema
Linux son los indicados en la siguiente tabla:
Dato Comando
Fecha y hora date
Hostname hostname
Red ifconfig -a
Versión del kernel uname -a
Uptime uptime
Versión de la lsb_release -a
distribución
Usuarios conectados w
Conexiones de red netstat -punta
activas
Tabla ARP arp -a
Procesos ps -aux
Ficheros abiertos lsof -n
Tareas programadas crontab -l
Particiones fdisk -l
Sistemas de ficheros mount
Tabla 1. Comandos de recolección básicos
15. Adquisición de datos no volátiles
Los datos no volátiles pueden ser adquiridos a través de comandos y herramientas disponibles para
varios entornos. En los sistemas Linux existen herramientas nativas que permiten adquirir los datos
20
no volátiles del sistema y que, además, han sido portadas a otros entornos.
Página

ANÁLISIS DE CASOS
Adquisición de unidades de almacenamiento
En Linux podemos usar de forma nativa el comando “dd” o “dc3dd” para la adquisición de unidades
de almacenamiento.
La especialización de estas herramientas ha dado lugar al desarrollo de numerosas distribuciones
“live” diseñadas específicamente para la extracción de unidades de almacenamiento. Las
características técnicas de estas herramientas y su adaptación a los diferentes sistemas de ficheros
(ntfs, ext, fat, etc.) las han convertido en una de las mejores opciones para realizar este tipo de tareas
forenses.
Algunas las distribuciones Linux enfocadas a la adquisición de datos son:
• BakAndImgCD.
• Clonezilla Live.
• Parted Magic.
Fig. 2. CloneZilla
Adquisición de configuraciones del sistema
En sistemas Linux, la mayoría de las configuraciones del sistema se escriben en ficheros de texto, por
lo que obtener este tipo de información es fácil siempre que tengamos permisos suficientes si
21
hacemos una adquisición en caliente con un usuario del sistema.

Página

ANÁLISIS DE CASOS
Algunos ficheros y configuraciones de interés que deberíamos recopilar son:

• Usuarios, grupos y contraseñas. Esta información se encuentra almacenada en los siguientes
ficheros:
• /etc/passwd: Almacena todos los usuarios del sistema junto con información básica sobre su
entorno.
• /etc/groups: Contiene los grupos de usuarios del sistema.
• /etc/shadow: almacena las contraseñas de los usuarios cifradas junto con un “salt”.
• Configuración del firewall. En Linux, el firewall por defecto es comúnmente conocido como IPTables.
Todas las reglas en ejecución pueden consultarse con el comando “iptables -L -n“. Las reglas pueden
incluirse en ejecución, sin llegar a estar escritas en el fichero de configuración inicial. Para obtener
las reglas que serán cargadas en el inicio del sistema debemos consultar el fichero
“/etc/sysconfig/iptables”, pero puede variar en cada versión de IPTables o distribución Linux.
• Fichero hosts. En Linux también existe el fichero “/etc/hosts” donde se almacenan las asociaciones
de una IP a una resolución DNS.
• Tareas programadas. La ejecución de tareas programadas se realiza a través de “crontab” y pueden
listarse con el comando “crontab -l” para el usuario actual. Esta herramienta mantiene varios ficheros
de texto con la programación de cada tarea a ejecutar. Los ficheros de configuración se ubican en:
• /cron.hourly/
• /etc/cron.daily/
• /cron.weekly/
• /cron.monthly/
• Aplicaciones de inicio. Existen varias formas de iniciar una aplicación en el inicio del sistema. Las
formas más comunes son haciendo uso de los siguientes servicios:
o /etc/init.d/
o ~/.config/autostart/
o /etc/rc.d/
• Servicios del sistema. Es posible obtener una lista de todos los servicios del sistema y su estado con
el comando “sudo systemctl list-unit-files --type service --all”
Adquisición de otros datos relevantes

22
Además de las configuraciones básicas del sistema, también son de interés los siguientes datos:
Página

ANÁLISIS DE CASOS
• Registros de logs. Existen una serie de ficheros de logs donde se registran todos los eventos del
sistema, los más relevantes son:
o /var/log/syslog y /var/log/messages. Almacenan los eventos relacionados con el sistema en general.
o /var/log/auth.log. Contiene el registro de los logins exitosos y fallidos de los diferentes sistemas de
autenticación del sistema.
o /var/log/boot.log. Registra los mensajes sobre los eventos ocurridos durante el arranque del sistema.
o /var/log/dmesg. Contiene mensajes relacionados con los dispositivos conectados al sistema.
o /var/log/kern. Almacena los logs del kernel y sus módulos.
o /var/log/faillog. Registra los intentos de login fallidos.
• Sudoers. Contiene la configuración y directivas sobre los usuarios que pueden ejecutar tareas con
privilegios de root con “sudo” y sus restricciones. El fichero que contiene esta configuración se
encuentra en “/etc/sudoers”.
• Fstab. El fichero “/etc/fstab” registra todas las particiones y discos que son montados en el inicio del
sistema y la configuración (permisos, ejecución, escritura, lectura, etc.).
Fig. 3. Linux logs
16. Suites, frameworks y herramientas de análisis forense

Aunque ya fueron comentadas en temas sobre sistemas operativos propietarios como Windows,
podemos volver a nombrar distribuciones Linux como Caine, Autopsy, Sleuth Kit y SIFT.
Ha quedado en evidencia como la portabilidad de las herramientas nativas de entornos Linux son
23
aplicables también a otros sistemas, sobre todo en la adquisición de memoria RAM y unidades de
Página
almacenamiento.

ANÁLISIS DE CASOS
Además de las distribuciones anteriores, existen herramientas específicas que pueden ayudar a
resolver un caso forense. Por ejemplo, las siguientes herramientas:
• Bulk Extractor. Es una herramienta que se ejecuta sobre cualquier imagen de disco o RAM, ficheros
o directorios y extrae información útil sin analizar el sistema de ficheros ni su estructura. Permite
recuperar ficheros dañados o interpretar el contenido de los ficheros comprimidos, por ejemplo.
• Chkrootkit. Es una herramienta que analiza el sistema en busca de indicios de que pueda existir algún
rootkit instalado en el sistema.
• Foremost. Esta utilidad permite recuperar el contenido de los ficheros que han sido dañados o
eliminados del sistema. Realiza un barrido en la estructura del sistema de ficheros intentando
identificar ficheros que ya no son referenciados.
• LinEnum. Es un script que recopila la información fundamental de un sistema Linux
automáticamente. Esta herramienta tiene que ser ejecutada sobre el sistema en caliente y con
privilegios. Permite adquirir la información necesaria de una forma rápida y sin interacción del
usuario, minimizando el impacto en el sistema. Aun así, ejecuta comandos del sistema que pueden
alterar las evidencias.
17. Análisis de volatilidad

Volatility es un framework especializado en la adquisición y análisis de los datos la memoria RAM. Es
una herramienta open source y es compatible con sistemas operativos Microsoft Windows, Linux y
Mac OS X.
Se ha convertido en la herramienta por defecto para cualquier análisis de memoria gracias a sus
capacidades forenses, plugins y adaptación a las diferentes arquitecturas.
24
Fig. 1. Volatility
Página

ANÁLISIS DE CASOS
18. Uso y especialización

Volatility ha sido diseñada para la adquisición de artefactos digitales de los diferentes tipos de
memorias RAM. Las principales características que la hacen única en este tipo de actividades son:
• Es capaz de analizar memorias de arquitecturas 32 y 64 bits en sistemas Windows, Linux, Mac y
Android. Su diseño modular le permite adaptarse a cualquier nueva arquitectura que salga en el
mercado.
• Es Open Source GPLv2.
• Está escrita en Python, lo cual permite integrar muchas herramientas forenses escritas en el mismo
lenguaje para crear nuevos plugins y funcionalidades.
• Puede ejecutarse en sistemas Windows, Linux y Mac para analizar las imágenes de memoria RAM.
• Volatility puede extender su funcionalidad a través de plugins y el uso de su API.
• Su especialización es tal que contiene capacidades que van más allá de las propias herramientas
nativas del sistema.
• Acepta gran variedad de formatos de archivo, como dumps de memoria, ficheros de hibernación,
ficheros de memoria de VMware o VirtualBox, imágenes de LiME, etc.
• Ha sido desarrollada para ser rápida y eficiente con el consumo de los recursos del sistema.
$ python vol.py
• Generalmente es usada para análisis forenses, respuesta a incidentes y análisis de malware.
Instalación
Si somos usuarios de distribuciones forenses, probablemente ya vengan provistas de una instalación

de Volatility. Si no es así, siempre podemos descargarla desde su repositorio. Existen varias versiones
y formas de instalación:
• Versión Standalone para Windows, Mac y Linux. Este paquete es el preferido para la mayoría de los
usuarios. Viene provisto de todas las dependencias necesarias para poder ejecutar Volatility sin
necesidad de instalarlo en el sistema, tan solo ejecutando el binario descargado.
• Instalador junto con el código fuente. Elegiremos esta opción si deseamos instalar Volatility en el
sistema, pero tendremos que instalar las dependencias de Python previamente.
• Versión de desarrollo. Esta opción está destinada a aquellos analistas que no necesitan la estabilidad
de una versión, ya que esta fuente contiene los últimos parches y mejoras que se van aplicando al
25
código. Este paquete es descargable desde el repositorio de GitHub de Volatility.

Página

ANÁLISIS DE CASOS
Una vez instalada/descargada tan solo tendremos que ejecutar el binario descargado o, en el caso de
la versión de desarrollo o código fuente, en consola a través del comando:
19. Funcionamiento básico
La estructura básica de ejecución de Volatility sigue el siguiente patrón:
$ python vol.py –f <FILENAME> --profile=<PROFILE> <PLUGIN> [ARGS]
Los argumentos se definen de la siguiente manera:

• FILENAME: Se corresponde con el fichero de la imagen de la memoria RAM que se quiere analizar.
• PROFILE: Hace referencia al perfil que se debe utilizar para analizar la imagen. Se corresponde con el
sistema operativo en el que se encontraba la memoria RAM a analizar, por ejemplo, “Win7SP1x64”.
• PLUGIN: Scripts y plugins que deben ejecutarse en el análisis, como “pslist”.
Identificación de imágenes
En ocasiones, desconocemos el perfil que tenemos que asignar a la imagen de memoria RAM. Puede
que no nos hayan enviado dicha información o sea errónea, por lo que podríamos tener problemas
durante el análisis de la memoria. El perfil es utilizado por Volatility para precargar las estructuras
de datos necesarias para analizar información de un sistema operativo concreto.
Para aquellos casos en los que no sea imposible conocer el perfil, Volatility ha diseñado dos plugins
que ayudan a identificar el sistema operativo del que proviene la imagen de la memoria RAM.
Estos plugins son:
• Imageinfo. Analiza la imagen y devuelve una tabla con información de alto nivel sobre la imagen, en
la que se incluyen los posibles sistemas operativos de donde proviene la imagen.
• Kdbgscan. Analiza la imagen observando las características del “kernel debugger data block
(_KDDEBUGGER_DATA_64)”. De este análisis se obtienen datos más específicos sobre números de
versión y services pack ejecutados.
26
Página

ANÁLISIS DE CASOS
20. Análisis de los procesos del sistema
Los procesos del sistema que estuvieran siendo ejecutados en el sistema cuando se realizara la
adquisición de la memoria RAM también quedarán reflejados en el fichero de la imagen. En Windows,
podemos consultarlos con los siguientes módulos o plugins de Volatility.
Pslist y pstree
Con los plugins “pslist” y “pstree” podemos listar los procesos del sistema, mostrando datos básicos
como el nombre del proceso, el ID, numero de hilos y fecha y hora de cuando el proceso fue lanzado
y cuando finalizó. La única diferencia es la presentación de la información en formato lineal o en vista
de árbol jerárquico.
Estos plugins no son capaces de detectar procesos ocultos del sistema, práctica habitual usada por
malware para ocultarse. El comando para listar los procesos es el siguiente:
volatility --profile=PROFILE -f file.dmp pslist

volatility --profile=PROFILE -f file.dmp pstree
Psscan psxview
Estos plugins también listan los procesos del sistema pero tienen la peculiaridad de que son capaces
de identificar aquellos que intentan ocultarse, por ejemplo, aquellos que han sido marcados como
inactivos o no están enlazados.
Estos plugins son de mucha utilidad cuando se está haciendo un análisis forense de un sistema
comprometido por un rootkit.
Los comandos para ejecutar estos plugins son:
volatility --profile=PROFILE -f file.dmp psscan

volatility --profile=PROFILE -f file.dmp psxview
27
Página

ANÁLISIS DE CASOS
Fig. 3. Psscan
21. Conexiones de red
Otra información interesante que querríamos conocer es la relacionada con las conexiones de red
del sistema.
Existen varios plugins que permiten obtener esta información.
Connections y connscan
El plugin “connections” obtiene las conexiones TCP que se encontraban activas cuando se realizó la
adquisición de la imagen.
También es posible realizar un escaneo para encontrar aquellas conexiones que fueron terminadas
recientemente. Este plugin ofrece un plus de información, pero a veces puede dar lugar a falsos
positivos.
Los comandos asociados a estos plugins son:
volatility --profile=PROFILE -f file.dmp connections

volatility --profile=PROFILE -f file.dmp connscan
Sockets y sockscan
El plugin “sockets” obtiene los sockets en estado de escucha para cualquier tipo de protocolo de red.
28
Muestra información de interés como el PID, el puerto, protocolo, dirección de escucha y la fecha en
Página
la que se creó el socket.

ANÁLISIS DE CASOS
Además, al igual que ocurre con el plugin “connscan”, existe otro plugin que muestra información
sobre sockets cerrados recientemente. Este plugin es el denominada “sockscan”.
Los comandos relacionados con estos sockets son los siguientes:
volatility --profile=PROFILE -f file.dmp sockets

volatility --profile=PROFILE -f file.dmp sockscan
Fig. 4. connscan
En sistemas Linux existen otros plugins que podemos utilizar para analizar las conexiones de red,
como por ejemplo, “linux_ifconfig, linux_netstat, linux_netfilter, linux_arp, linux_list_raw,
linux_route_cache”.
22. Registro de Windows
El registro de Windows almacena información sobre configuraciones del sistema y de las

aplicaciones, así como datos volátiles que van cambiando durante la ejecución de los procesos.
El sistema necesita cargar en memoria el registro, o al menos las claves necesarias para poder
funcionar, por lo que podemos consultar aquellas claves que estaban en memoria cuando se adquirió
la memoria RAM.
Para consultar las claves principales del registro y su ubicación en disco, se realiza con el plugin
“hivelist” así:
volatility --profile=PROFILE -f file.dmp hivelist
Si quisiéramos obtener las subclaves de una clave superior, podemos listarlas con el plugin
“hivedump” y la dirección virtual de la clave principal de la siguiente forma:
volatility --profile=PROFILE -f file.dmp hivedump -o address
29
Página

ANÁLISIS DE CASOS
En la imagen que se muestra a continuación, podemos ver las subclaves que dependen de la clave
HKCU, la cual se almacena en el fichero “NTUSER.DAT”:
Fig. 5. Hivedump
También podemos buscar una clave concreta con el plugin “printkey”, si la clave buscada ha sido
cargada en la memoria, es posible que podamos identificarla:
Fig. 6. Hivedump
23. Volatility para análisis de malware

Volatility a menudo es usado para analizar imágenes de RAM de sistemas comprometidos por
malware. Gracias a la existencia de plugins orientados a este tipo de tareas, es una herramienta de
interés para identificar y descubrir procesos y actividades maliciosas que han tenido lugar.
A plugins como “psscan”, que ayuda a identificar procesos ocultos en el sistema, le podemos sumar
30
los siguientes:
Página

ANÁLISIS DE CASOS
• Malfind: Este plugin ayuda a buscar DLLs inyectadas en la memoria del usuario u ocultas. Existen
plugins más simples para listar DLLs, pero Malfind se centra en la identificación de DLLs que han sido
inyectadas a través de técnicas más avanzadas. La comprensión de sus resultados requiere de
conocimientos de reversing y arquitectura a bajo nivel de las estructuras de datos.
• Yarascan: Con Yarascan podemos escanear la memoria RAM con “reglas Yara” en busca de patrones
relacionados con malware. Tradicionalmente, Yara se ha usado para buscar malware en los discos del
sistema pero, gracias a plugins como Yarascan, también podemos usar Yara como extensión en
memorias RAM.
• Volatility-autoruns: No está incluido por defecto en el core de Volatility, pero puede añadirse desde
un repositorio. El objetivo de este plugin es identificar mecanismos de persistencia del malware.
Existen muchos más plugins que aportan valor al análisis de malware y, si no encontramos el
adecuado, siempre podemos desarrollarlo.
Fig. 8. Malfind
24. Análisis forense en dispositivos móviles

El auge de los dispositivos móviles, tanto teléfonos como tablets, ha crecido exponencialmente
31
durante los últimos años. Estos dispositivos son usados diariamente, almacenando gran cantidad de
Página
información privada, personal y laboral.

ANÁLISIS DE CASOS
Por esto, los dispositivos móviles pueden tener un peso importante en la resolución de un caso
forense y hay que prestar especial atención a este tipo de pruebas.
Fig. 1. Dispositivos móviles
25. Metodologías y fases del análisis forense

Al igual que ocurre en el análisis forense de estaciones de trabajo y servidores, los dispositivos
móviles también requieren de una metodología forense que establezca las pautas necesarias para
mantener cierta rigurosidad, calidad y orden durante el análisis.
Actualmente no existe una metodología estandarizada y específica para el análisis forense en

dispositivos móviles, pero hay un conjunto de guías y buenas prácticas que pueden tomarse como
referencia, por ejemplo, las siguientes:
• NIST: Guidelines on Mobile Device Forensics.

• SANS: Developing Process for Mobile Device Forensics
Aunque no existan metodologías específicas, podemos usar como referencia la utilizada para realizar
análisis forense en estaciones de trabajo o servidores.
De esta forma, podemos diferenciar cinco fases en un análisis forense:

• Preservación. En esta fase inicial se identifican los dispositivos a analizar y mantener a salvo las
evidencias o artefactos recopilados. Una manipulación inadecuada de las evidencias puede llegar a
invalidarlas en un juicio.
32
Página

ANÁLISIS DE CASOS
• Adquisición. Para que una evidencia sea válida debe cumplir con una serie de características, tiene
que ser autentica, completa, creíble, confiable y admisible legalmente. En un dispositivo móvil, una
evidencia puede ser una foto, un registro de llamadas, mensajes de aplicaciones de mensajería
instantánea, etc.
• Análisis. Hay que realizar un enfoque y alcance adecuado al caso forense que tiene lugar para intentar
resolverlo.
• Documentación. Es una de las fases más importantes, donde vamos a poner en escena todo el trabajo
realizado durante el análisis forense. Es necesario tomar fotografías de todos los dispositivos móviles
y componentes hardware (tarjetas de memoria, batería, IMEI, etc.). También será necesario
documentar todos los pasos realizados durante el análisis y desarrollar un informe técnico y otro
ejecutivo.
• Presentación. La presentación de los resultados y del proceso llevado a cabo debe ser comprensible
para los destinatarios. El mensaje debe ser claro transmitir confiabilidad, además, las conclusiones
deben ser objetivas.
26. Dificultades en análisis forense
El análisis forense en dispositivos móviles presenta una serie de dificultades a las que hay que
sobreponerse para resolver un caso.
Algunas de estas dificultades son:

• Modelos de dispositivos: Actualmente existe en el mercado un enorme abanico de modelos y
fabricantes de dispositivos móviles, por lo que el trabajo de análisis forense requiere de una
adaptación constante a las nuevas tecnologías, hardware y sistemas operativos.
• Sistemas operativos: También hay una gran variedad de sistemas operativos, Android es el sistema
con mayor cuota de mercado junto con IOS. Es necesario conocer bien los sistemas más comunes,
sus estructuras de datos y su arquitectura para poder afrontar un análisis forense.
• Controles de seguridad: Cada sistema operativo implementa una serie de controles para limitar el
uso del dispositivo, como, por ejemplo, acceso mediante pin o biometría, permisos en directorios y
ficheros, mecanismos de bloqueo del terminal frente a robo o pérdida. Hay que conocer estos
mecanismos para poder evitarlos o conseguir desbloquear el dispositivo cuando sea necesario.
33
Página

ANÁLISIS DE CASOS
• Aplicaciones: Existen infinidad de aplicaciones para los distintos terminales, muchas de ellas
almacenan información privada y de interés para el forense, como aplicaciones de redes sociales,
chats, mensajería y gestión de llamadas.
• Aspectos legales: Siempre hay que tener en cuenta la legalidad en la recogida de evidencias y en la
preservación de las mismas a través de la cadena de custodia.
• Técnicas anti forenses: Las diferentes aplicaciones, malware y rootkits pueden incluir medidas anti
forenses en su código que dificulten el acceso a la información y a los propios procesos de ejecución
de estas aplicaciones maliciosas.
Fig. 2. La variedad de dispositivos dificulta en análisis
27. Procesos de extracción de evidencias

Para realizar la adquisición y análisis de las evidencias es necesario conocer las diferentes técnicas y
procedimientos, así como las herramientas necesarias para llevar a cabo las tareas forenses.
Se pueden diferenciar tres procedimientos para extraer las evidencias de los dispositivos móviles:
• Adquisición física: Este método consiste en realizar una copia idéntica del original, lo cual permite
preservar todas las evidencias del dispositivo. Es el método más empleado, pero a su vez, es un
procedimiento complejo y consume bastante tiempo.
• Adquisición lógica: A través de este procedimiento podemos realizar una copia de los objetos del
dispositivo utilizando las herramientas y aplicaciones nativas utilizadas por el propio dispositivo para
sincronizar datos y configuraciones con otros equipos o dispositivos.
Este procedimiento es bastante más sencillo y rápido, pero tiene el inconveniente de que
34
probablemente no podamos obtener todas las evidencias que necesitamos.

Página

ANÁLISIS DE CASOS
• Adquisición del sistema de ficheros: Este método permite extraer los ficheros visibles y accesibles
del sistema a través de las propias herramientas. De esta opción se descarta la obtención de las
particiones y de los ficheros eliminados. Es algo más sencillo que la adquisición física.
En el caso de Android, podemos utilizar la herramienta Android Devide Bridge (ADB) para realizar el
copiado de los ficheros, incluso en ocasiones, permite recuperar algún fichero eliminado
recientemente.
Según sea necesario, se deberá escoger el proceso de adquisición adecuado, también en función de
las limitaciones de tiempo, información volátil y características de las aplicaciones de las que se desea
recuperar información.
Fig. 4. Cellebrite UFED Touch2
28. Flujo de adquisición de evidencias

A veces, puede ser complicado determinar qué método de adquisición escoger para comenzar con
un análisis forense en un dispositivo móvil.
Para facilitar esta decisión, existe un flujo que podemos seguir para obtener el método de adquisición
adecuado.
Este flujo no es un estándar, ni tampoco garantiza que el método propuesto sea la única o mejor
opción, así que tampoco tenemos que acogernos al método indicado, pero es un punto de partida.
35
Página

ANÁLISIS DE CASOS
Fig. 5. Flujo de adquisición de evidencias
Como podemos observar, únicamente contempla las opciones de adquisición lógica o física. La
adquisición a través del sistema de ficheros es la última opción ya que es donde menos
probabilidades tenemos de obtener un mayor número de evidencias.
En el diagrama se observan los posibles inconvenientes que podemos encontrarnos, como son, el
bloqueo del terminal, el estado encendido/apagado del dispositivo y la posibilidad de activar la
depuración del mismo.
36
Página

ANÁLISIS DE CASOS
29. Herramientas de análisis forense
Las herramientas forenses para realizar la extracción de evidencias son numerosas, se propone una
clasificación a través de la pirámide de Sam Brothers, presentada en la U.S. Cybercrime Conference
2011 y que se ha convertido en una referencia en el mundo forense.
Fig. 6. Pirámide Sam Brothers
Conforme ascendemos en las capas de la pirámide, mayor será la complejidad técnica, más tiempo
será necesario para extraer y analizar las evidencias y mayor la fiabilidad de los datos obtenidos.
Destacamos las siguientes herramientas:

• AFLogical OSE: Es una herramienta gratuita que tiene que ser instalada en el dispositivo Android a
través de una APK. Tras ejecutarla, recopila información de interés del dispositivo, como el registro
de llamadas, aplicaciones instaladas, mensajería, etc. Esta información debe ser extraída del
dispositivo mediante otra herramienta.
• Andriller: Esta aplicación está diseñada para ser ejecutada en sistemas operativos Windows. Es un
framework que reúne varias herramientas forenses para recopilar información variada del
dispositivo, así como información sobre aplicaciones de redes sociales y mensajería instantánea.
• WhatsApp Xtract: Es capaz de mostrar las conversaciones de WhatsApp en el PC, pero antes hay que
extraer la base de datos donde WhatsApp almacena las conversaciones.
• Cellebrite Touch: Es una herramienta comercial muy conocida y completa. Es capaz de interactuar
37
con más de 6.000 terminales distintos y tiene una interfaz muy sencilla de utilizar.
Página

ANÁLISIS DE CASOS
• Encase Forensics: Es otra herramienta comercial e igualmente conocida como la anterior. También
dispone de multitud de opciones, entre las que destacan la identificación de ficheros cifrados y
capacidades para romper dichos cifrados.
30. Android Debug Bridge (ADB)

ADB es una herramienta cliente-servidor en línea de comandos que permite interactuar con el
dispositivo conectado. También proporciona una shell de UNIX para ejecutar los comandos
necesarios, así como instalar o depurar aplicaciones en el dispositivo.
La arquitectura de ADB se basa en los siguientes componentes:

• Cliente: El cliente es quien envía los comandos al dispositivo y puede estar instalado en la máquina
del desarrollador o analista.
• Daemon (ADB): Es el encargado de interpretar los comandos recibidos en el dispositivo y ejecutarlos.
• Servidor: Gestiona la comunicación entre el cliente y el servidor, también se ejecuta en la máquina
cliente.
Funcionamiento de ADB
El funcionamiento de ADB es bastante sencillo, tras iniciar el cliente, el proceso intenta localizar el
servidor ADB en la misma máquina local, en el puerto 5037/TCP.
Si no existe un servidor en escucha, entonces levanta el proceso servidor en dicho puerto.
Una vez que el servidor se encuentra en ejecución, realiza un rastreo de puertos en busca de los
emuladores que ejecutan ADB. Los emuladores se mantienen en escucha dentro del rango de puertos
5555-5585/TCP. Una vez detectado el emulador, realiza una conexión con el puerto identificado.
Cuando la comunicación se encuentra activa entre el emulador y el dispositivo, el cliente puede

comenzar a enviar comandos para ser ejecutados en el dispositivo móvil sobre el que estamos
realizando el forense.
38
Página

ANÁLISIS DE CASOS
Fig 8. ADB – Fuente: https://descubrecomohacerlo.com/adb-instalar-utilizar-moviles-android/

39
Página

ANÁLISIS DE CASOS
BIBLIOGRAFÍA
Arellano, L. E., & Castañeda, C. M. (2012). La Cadena de Custodia Informático-forense. Cuaderno Activa, 3(1),
67–81. Recuperado 15 de septiembre de 2021, de Edu.co website:
https://ojs.tdea.edu.co/index.php/cuadernoactiva/article/view/45/42
Gervilla Rivas, C. (2014). METODOLOGÍA PARA UN ANÁLISIS FORENSE. Recuperado 15 de septiembre de 2021,
de Uoc.edu website:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/39681/6/cgervillarTFM1214memoria.pdf
López Delgado, M. (2007). Análisis forense digital. Recuperado 15 de septiembre de 2021, de Oas.org website:
https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
López Delgado, M. (2007). Análisis forense digital. Recuperado 15 de septiembre de 2021, de Oas.org website:
https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
Martínez Retenaga, A. (2014). Guía de toma de evidencias en entornos Windows. Recuperado 15 de
septiembre de 2021, de Incibe.es website:
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_toma_evidencias_analisis
_forense.pdf
Brooks, C. L. (2014). CHFI computer hacking forensic investigator certification all-in-one exam guide. McGraw-
Hill Education.
Malin, C. H., Casey, E., & Aquilina, J. M. (2012). Malware forensics field guide for windows systems: Digital
forensics field guides. Rockland, MA, Estados Unidos de América: Syngress Media.
Oettinger, W. (2020). Learn Computer Forensics: A beginner’s guide to searching, analyzing, and securing
digital evidence. Birmingham, Inglaterra: Packt Publishing.
Programa: Forense en Windows. (2016, abril 11). Recuperado 14 de octubre de 2021, de Incibe.es website:
https://www.incibe.es/jornadas-incibe-espacios-ciberseguridad/estudiantes/programa-forense-windows
Nikkel, B. (2021). Practical Linux forensics: A guide for digital investigators. San Francisco, CA, Estados Unidos
de América: No Starch Press.
Polstra, P. (2015). Linux Forensics. North Charleston, SC, Estados Unidos de América: Createspace Independent
Publishing Platform.
Fortuna, A. (2019). The little handbook of windows memory analysis: Just some thoughts about memory,
forensics and Volatility! Independently Published.
Ligh, M. H., Case, A., Levy, J., & Walters, A. (2014). The art of memory forensics: Detecting malware and threats
in windows, Linux, and mac memory (1.a ed.). Nashville, TN, Estados Unidos de América: John Wiley & Sons.
Sikorski, M. (2012). Practical Malware Analysis: The hands-on guide to dissecting malicious software. San
Francisco, CA, Estados Unidos de América: No Starch Press.
Volatility wiki. (s. f.). Recuperado 20 de diciembre de 2021, de Volatility website:
https://github.com/volatilityfoundation/volatility
Guidelines for best practice in the forensic examination of digital technology. (s. f.). Recuperado 25 de
diciembre de 2021, de Cryptome.org website: https://cryptome.org/2014/03/forensic-digital-best-
practice.pdf
Herramientas para realizar análisis forenses a dispositivos móviles. (2016, febrero 23). Recuperado 25 de
diciembre de 2021, de INCIBE-CERT website: https://www.incibe-cert.es/blog/herramientas-forense-moviles
Iso/iec 27037:2012. (2018). Recuperado 25 de diciembre de 2021, de ISO website:
https://www.iso.org/standard/44381.html
Mayén, V. J. G. (2015). ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android. Recuperado 25
40
de diciembre de 2021, de Hackandbeers.es website: https://hackandbeers.es/wp-

content/uploads/2015/10/adquisicionforensededispositivosandroid-141120030548-conversion-gate02.pdf
Página
Mendillo, V. (2018). Análisis Forense de Dispositivos Móviles Android. Recuperado 25 de diciembre de 2021,
de Mendillo.info website:
ANÁLISIS DE CASOS
http://mendillo.info/forensica/An%C3%A1lisis%20forense%20de%20dispositivos%20m%C3%B3viles%20-
%20V.%20Mendillo.pdf
41
Página

Introduccion Analisis Forense I

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Introduccion Analisis Forense I

Cargado por

Copyright:

Formatos disponibles

Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.

ANÁLISIS FORENSE I WWW.EICYC.COM

2. Primera aproximación al análisis forense informático.................................................................................. 4

Objetivos del análisis forense digital ....................................................................................................................... 4

Fases de un análisis forense informático ........................................................................................................... 5

Datos volátiles ........................................................................................................................................................................................ 6

7. Fase 3: Análisis de las evidencias ..................................................................................................................................... 9

8. Fase 4: Documentación y reporting .............................................................................................................................. 10

9. Análisis forense en sistemas operativos propietarios .................................................................................. 11

10. Adquisición de datos volátiles .............................................................................................................................................. 12

Adquisición de memoria RAM ........................................................................................................................................... 12

Adquisición de unidades de almacenamiento............................................................................................. 14

13. Análisis forense en sistemas operativos libres................................................................................................... 18

14. Adquisición de datos volátiles .............................................................................................................................................. 18

Adquisición de memoria RAM ........................................................................................................................................... 19

15. Adquisición de datos no volátiles .................................................................................................................................... 20

Adquisición de unidades de almacenamiento............................................................................................. 21

17. Análisis de volatilidad ...................................................................................................................................................................24

18. Uso y especialización.....................................................................................................................................................................25

Identificación de imágenes ................................................................................................................................................ 26

Pslist y pstree ........................................................................................................................................................................................27

Connections y connscan ......................................................................................................................................................... 28

23. Volatility para análisis de malware ................................................................................................................................ 30

24. Análisis forense en dispositivos móviles ................................................................................................................... 31

25. Metodologías y fases del análisis forense................................................................................................................32

26. Dificultades en análisis forense ..........................................................................................................................................33

27. Procesos de extracción de evidencias .........................................................................................................................34

28. Flujo de adquisición de evidencias..................................................................................................................................35

29. Herramientas de análisis forense .....................................................................................................................................37

30. Android Debug Bridge (ADB) ............................................................................................................................................... 38

Funcionamiento de ADB .......................................................................................................................................................... 38

ANÁLISIS FORENSE I WWW.EICYC.COM

1. Introducción y contextualización práctica

La ocurrencia de delitos e incidentes informáticos da lugar a investigaciones para esclarecer los

Un análisis forense requiere de procedimientos y metodologías especializadas para la adquisición de

Fig. 1. Análisis forense informático

2. Primera aproximación al análisis forense informático

Objetivos del análisis forense digital

ANÁLISIS FORENSE I WWW.EICYC.COM

Ámbitos del análisis forense digital

El análisis forense digital puede aplicarse en dos ámbitos o contextos diferenciables:

3. Evidencia digital y artefactos

Fases de un análisis forense informático

Son las que estudiaremos a continuación.

4. Fase 1: Identificación y adquisición

ser utilizadas en un juicio, o bien, perderían credibilidad para la resolución de un incidente de

Fig. 2. Prioridad de extracción

ANÁLISIS FORENSE I WWW.EICYC.COM

Este tipo de análisis se aplica cuando el sistema se encuentra encendido.

Análisis post mortem

6. Fase 2: Preservación de las evidencias

ANÁLISIS FORENSE I WWW.EICYC.COM

La cadena de custodia consiste en una serie de formularios cumplimentados con información de la

Fig. 4. Formulario cadena de custodia

ANÁLISIS FORENSE I WWW.EICYC.COM

7. Fase 3: Análisis de las evidencias

Fig. 5. Línea temporal cronológica

ANÁLISIS FORENSE I WWW.EICYC.COM

• Dispositivos de almacenamiento conectados.

8. Fase 4: Documentación y reporting

• Motivaciones del delito:

ANÁLISIS FORENSE I WWW.EICYC.COM

• Antecedentes del incidente: