04 El Proceso de Adquisicion

El proceso de adquisición
© Ediciones Roble, S.L.

Indice
El proceso de adquisición 3
I. Introducción 3
II. Objetivos 3
III. El proceso de adquisición 3
IV. Sistema de encendido 5
4.1. Volatilidad de la memoria RAM 6
V. Comandos 6
VI. Herramientas 11
6.1. RAMCAPTURE 11
6.2. RAWCOPY 12
6.3. LASTACTIVITYVIEW 12
6.4. WINAUDIT 13
6.5. PSTOOLS 14
6.6. WMI 16
VII. Distribuciones Forenses 19
7.1. OSFORENSICS 19
7.2. CAINE 20
7.3. DEFT 21
7.4. SIFT Workstation 22
7.5. SCRIPTING (TRIAJE) 23
7.5.1. SCRIPT EN CMD 24
7.5.2 SCRIPT EN VBS 25
7.5.3. SCRIPT EN POWERSHELL 27
7.5.4. SCRIPT EN BASH DE LINUX 28
VIII. Resumen 30
Recursos 32
Bibliografía 32
Glosario. 32
2/33
I. Introducción
Los datos volátiles se definen como aquellos datos que se encuentran en la memoria de un equipo o
dispositivo. El uso correcto de los procedimientos forenses para la adquisición de la memoria volátil es
fundamental para obtener, por ejemplo, la información almacenada en este tipo de memoria que, bien
custodiada, nos servirá posteriormente como evidencia.
II. Objetivos
El objetivo de este módulo es que los alumnos aprendan cuál es el proceso de adquisición de
datos volátiles. Además, se darán a conocer comandos, herramientas, distribuciones y conceptos
importantes relativos a dicho proceso.
III. El proceso de adquisición

Antes del proceso de adquisición, nos encontraremos con el siguiente escenario:
Imagen 4.1. Escenario previo al proceso de adquisición.

Fuente: creación propia Cyber Academy.
3/33
Sistema encendido
En esta situación, aplicaremos el siguiente axioma: si el ordenador está encendido, no lo apagues. Si el

ordenador está apagado, no lo enciendas.
Una vez realizado, procederemos a la recogida de datos volátiles.
Sistema apagado
No encenderemos el sistema y procederemos al clonado del disco duro.
Sistema virtualizado
Solicitaremos que el administrador del sistema nos haga un clon del sistema virtual. De esta forma,
podemos obtener datos volátiles y posteriormente, apagar el dispositivo y llevárnoslo a nuestro
laboratorio forense.
Sistema en la nube
Si los sistemas afectados se encuentran en la nube, habrá que revisar el modelo de contrato de la
organización o persona con su proveedor de la nube ya que en muchos casos no se podrá hacer el
forense o recogida de evidencias dado que los sistemas pueden estar compartidos con terceras
personas o empresas.
Conociendo los tipos de escenarios que se pueden presentar, procederemos a la adquisición de datos
volátiles de los equipos encendidos.
4/33
Tendremos en cuenta estas recomendaciones de buenas prácticas:
Aislar la escena de personas no autorizadas, alejando a todos los operarios de los

correspondientes ordenadores ubicados en dicho lugar.
Identificar al administrador de los distintos sistemas y comunicaciones, en caso de que
sea necesario su apoyo técnico.
Si el dispositivo está encendido, no apagarlo y si está apagado, no encenderlo. Si el
dispositivo está encendido, conviene obtener fotografías o dejar constancia visual y
escrita de lo que se visualiza en la pantalla.
Buscar en dicho entorno todo tipo de notas asociadas a las contraseñas y al PIN de
acceso a los equipos o ficheros.
Fotografiar y grabar en vídeo la escena de interés, anotando detalladamente la posición
original de los distintos equipos con el cableado correspondiente y sus periféricos
(módem, impresoras, routers , cámaras de grabación activas, etc.).
Etiquetar convenientemente todos los dispositivos y el cableado asociado con las
evidencias de interés.
Localizar todos los equipos inalámbricos instalados, tanto los visibles como los ocultos,
determinando los modos de comunicación que usan. Si la escena lo recomienda, deben
activarse equipos que la inhiban de interferencias radioeléctricas externas.
IV. Sistema de encendido

Los datos volátiles se definen como aquellos datos que se encuentran en la memoria de un
equipo o dispositivo. Si esa memoria se inicializa (por ejemplo, en un apagado de un
ordenador), estos datos desaparecerían.
Los datos en un sistema encendido tienen un determinado orden de volatilidad que determina la
permanencia de esta información disponible para su adquisición. Este proceso se debe iniciar con la
recogida de los datos más volátiles y finalizar con los menos volátiles. En general, el grado de volatilidad
posee dos niveles.
Se debería tener especial cuidado ante la presencia de discos cifrados o ficheros que exijan
contraseñas para su software acceso, así como ante el estudio de software dañino o malicioso
(malware) diverso. En este caso, unos correctos procedimientos forenses para la adquisición de la
memoria volátil son fundamentales para obtener, según los casos, el software y la información
almacenados en ellos o para averiguar de qué tipo de malware se trata.
A la hora de realizar una adquisición de evidencias en un análisis forense, es importante tener en cuenta el
orden de adquisición y obtener las evidencias volátiles en primer lugar.
Por lo tanto, lo principal es conocer qué datos son volátiles.
5/33
4.1. Volatilidad de la memoria RAM

Es el principal elemento de volatilidad. Cuando se enciende el ordenador, el microprocesador lee las
primeras instrucciones desde un tipo de memoria no volátil llamada ROM que es de solo lectura.
La primera instrucción que ejecuta se llama POST, Power-on self-test (autoprueba de encendido) y le
ordena que compruebe el funcionamiento de los componentes más importantes del sistema.
Una vez que la memoria se encuentra en perfecto estado, se carga el BIOS (Basic Input Output System)
o UEFI (Unified Extensible Firmware Interface, a partir de Windows 8 en adelante) que provee información
acerca de los dispositivos de almacenamiento con que cuenta el ordenador. Posteriormente, inicia el
sistema operativo y se copia a la memoria, lo que determina que es un elemento muy importante para
analizar.
Dentro de la memoria RAM dispondremos de:
Procesos en ejecución de los programas.

Procesos en fase de finalización.
Conexiones activas.
Datos de texto.
Contraseñas.
Elementos ocultos.
Direcciones web..
Correos electrónicos.
Veamos algunos comandos de Windows para la obtención de datos volátiles en un sistema encendido.
V. Comandos
WINDOWS
6/33
NETSTAT
Permite ver las conexiones del equipo:
Imagen 4.2. Comando NETSTAT en Windows.

IPCONFIG
Devuelve la configuración de TCP/IP:
Imagen 4.3. Comando IPCONFIG en Windows.

NBTSTAT -n
Muestra las estadísticas del protocolo y las conexiones actuales de TCP/IP usando NetBIOS sobre
TCP/IP:
Imagen 4.4. Comando NBSTAT -n en Windows.

7/33
ARP –a
Muestra las tablas ARP del sistema:
Imagen 4.5. Comando ARP -a en Windows.

NET SHARE
Muestra los recursos compartidos:
Imagen 4.6. Comando NET SHARE en Windows.

8/33
SC QUERY
Muestra los servicios del sistema Windows:
Imagen 4.7. Comando SC QUERY en Windows.

LINUX
IFCONFIG eth0
Permite mostrar la configuración de la red:
Imagen 4.8. Comando IFCONFIG eth0 en Linux.

NETSTAT
Muestra la conectividad del sistema:
Imagen 4.9. Comando NETSTAT en Linux.

9/33
WHO -u
Muestra los usuarios conectados al sistema:
Imagen 4.10. Comando WHO -u en Linux.

PS -ef
Muestra los procesos:
Imagen 4.11. Comando PS -ef en Linux.

PSTREE
Muestra el árbol de procesos:
Imagen 4.12. Comando PSTREE en Linux.

10/33
Una vez vistos los ejemplos anteriores, vamos a proceder a ver los comandos necesarios para la
adquisición de evidencias, primando el orden de volatilidad.
VI. Herramientas
6.1. RAMCAPTURE
Es una herramienta forense gratuita de la empresa Belkasoft, que permite extraer de forma fiable todo el
contenido de la memoria del ordenador volcando el contenido a fichero, incluso si está protegido por un
sistema antidepuración. Se encuentra en versiones de 32 bits y 64 bits y es compatible con todas las
versiones y ediciones de Windows, incluidos XP, Vista, Windows 7, 8 y 10, 2003 y 2008 Server.
Se puede descargar desde: https://belkasoft.com/ram-capturer
Esta herramienta funciona en modo comando y con entorno gráfico. Una vez ejecutada, se creará un
fichero “memoriaRAM.dmp” con el contenido de toda la memoria RAM.
RamCapture64.exe "C:\Users\pesanchez\Desktop\Forense Avanzado\memoriaRAM.dmp”
Imagen 4.13. Funcionamiento en modo comando de la herramienta RAM Capturer.

Funcionamiento en modo gráfico:
11/33
Imagen 4.14. Funcionamiento en modo gráfico de la herramienta RAM Capturer.

6.2. RAWCOPY
Rawcopy es una herramienta open source que permite copiar ficheros que están bloqueados por el
sistema. Por ejemplo, si se intenta copiar el archivo pagefile.sys de la raíz del disco C al escritorio, se
puede comprobar que Windows no lo permite dado que el sistema lo bloquea por estar en uso. Para ello
utilizaremos Rawcopy.
Rawcopy se proporciona en código fuente desarrollado en un lenguaje parecido a BASIC que se

compone de un framework llamado AutoScript.
Se puede descargar desde: https://github.com/jschicht/RawCopy
Esta herramienta funciona en modo comando.
Rawcopy64.exe c:\windows\system32\config\SYSTEM c:\users\pesanchez\Desktop
Imagen 4.15. Funcionamiento en modo comando de la herramienta Rawcopy.

6.3. LASTACTIVITYVIEW
Lastactivityview es una herramienta desarrollada por NIRSOFT que permite saber la última actividad que
se ha realizado en un Windows por un usuario y los programas que se ejecutan.
Funciona en modo comando y modo gráfico.
Se puede descargar desde: http://www.nirsoft.net/utils/computer_activity_view.html
Lastactivityview /shtml “c:\users\pesanchez\Desktop\informe.html”
Imagen 4.16. Funcionamiento en modo comando de la herramienta LastActivityView.

12/33
Imagen 4.17. Funcionamiento en modo gráfico de la herramienta LastActivityView.

6.4. WINAUDIT
WinAudit es una utilidad de inventario para ordenadores Windows. Se crea un informe completo sobre
la configuración de una máquina, hardware y software. WinAudit es gratuito, de código abierto y puede ser
usado o distribuido por cualquier persona.
Funciona en modo comando y modo gráfico.
Se puede descargar desde: https://www.techspot.com/downloads/2307-winaudit.html
WinAudit.exe /r=gsoPxuTUeERNtnzDaIbMpmidcSArCOHG /f=“c:\users\pesanchez\Desktop\audit.txt”
Imagen 4.18. Funcionamiento en modo comando de la herramienta WinAudit.

13/33
Imagen 4.19. Funcionamiento en modo gráfico de la herramienta WinAudit.

6.5. PSTOOLS
Consiste en una serie de herramientas en línea de comandos que ayudan a administrar sus sistemas
Windows. Permiten gestionar los sistemas remotos, así como en local. Es una de las herramientas más
famosas y utilizadas por los equipos de IT.
Las herramientas incluidas en el PsTools son las siguientes:
PsExec - ejecuta procesos de forma remota.

PsFile - muestra los archivos abiertos de forma remota.
PsGetSid - visualizar el SID de un ordenador o un usuario.
PsInfo - información de la lista de un sistema.
PsKill - permite matar procesos.
PsList - lista de información detallada sobre los procesos.
14/33
PsLoggedOn – permite ver quién está conectado a nivel local o remoto.

PsLogList - volcado del registro de sucesos.
PsPasswd - cambios de contraseñas de cuentas.
PsService - ver y controlar los servicios.
PsShutdown - Permite apagar y reiniciar un ordenador.
PsSuspend - suspende procesos.
PsUptime - muestra el tiempo que un sistema ha estado funcionando desde el último reinicio.
Funcionan en modo comando y modo gráfico.
Se puede descargar desde: https://technet.microsoft.com/en-us/sysinternals/pstools
pslist
Imagen 4.20. Funcionamiento en modo comando de la herramienta PsTools con PsList.

15/33
Tcpview
Imagen 4.21. Funcionamiento en modo gráfico de la herramienta PsTools con TCPView.

PSLogeedon
Imagen 4.22. Funcionamiento en modo comando de la herramienta PsTools con PSLoggedon.

6.6. WMI
WMI (Windows Management Instrumental) es un conjunto de librerías y funciones que permiten obtener
información y gestionar y administrar de forma local o remota el sistema.
Algunas de las opciones de administración son las siguientes:
Autorizar a usuarios o grupos y establecer niveles de permisos. Se puede habilitar a un usuario individual
o grupo para tener acceso a los objetos de red y para realizar tareas y servicios.
Configurar el registro de errores. Se puede activar o desactivar el registro de errores y si está activo, se
puede configurar para registrar solo los errores (opción predeterminada) o todas las acciones (registro
detallado).
16/33
Copia de seguridad del repositorio. Mediante WMIC, es posible la administración de equipos, tanto
locales como remotos, así como ejecutar cualquier tipo de tareas como obtener información, iniciar,
detener, pausar procesos y servicios o cambiar cualquier tipo de configuración en el equipo al que se
tenga acceso como administrador.
WMI viene instalado por defecto en todas las versiones Windows, lo cual no hay que descargarlo desde
internet.
Normalmente funciona en modo comando.
A continuación, veamos algunos de los muchos comandos de los que dispone.
wmic bios get serialnumber
Imagen 4.23. Comando wmic bios get serialnumber en WMI.

wmic product get name,version
Imagen 4.24. Comando wmic product get name, version en WMI.

wmic process call create “notepad.exe"
Imagen 4.25. Comando wmic process call create "notepad.exe" en WMI.

17/33
wmic process list brief
Imagen 4.26. Comando wmic process list breif en WMI.

wmic process where Name=“notepad.exe" call terminate
Imagen 4.27. Comando wmic process where Name="notepad.exe" call terminate en WMI.
wmic share list /format:table
Imagen 4.28. Comando wmic share list /format:table en WMI.

wmic useraccount list brief
Imagen 4.29. Comando wmic useraccount list brief en WMI.

wmic partition get name,size,type
Imagen 4.30. Comando wmic partition get name, size, type en WMI.
18/33
Anotación: Otros comandos que se pueden utilizar
Aquí disponemos de más comandos que se pueden utilizar:
WMIC BIOS.
WMIC BIOS Get Manufacturer.
WMIC BIOS Get Manufacturer,Name,Version /Format:csv.
WMIC BIOS Get Manufacturer,Name,Version /Format:list.
WMIC BIOS Get /Format:list.
WMIC BIOS Get Manufacturer,Name,Version /Format:htable.
WMIC logicaldisk get name.
WMIC os list brief.
WMIC printer list status.
WMIC /Output:bios.html BIOS Get Manufacturer,Name,Version /Format:htable.
WMIC diskdrive get model,name,size.
WMIC process get name,processid.
process where processid="1000" call terminate.
WMIC qfe get description,installedOn /format:csv.
WMIC nic get macaddress,description.
WMIC /node:localhost /user:rambo /password:123456 process where name="paint.exe"
call terminate.
VII. Distribuciones Forenses
7.1. OSFORENSICS
Es un sistema basado en Linux y utilizado para la investigación digital y la adquisición de evidencias.
Entre las herramientas incluidas en OSFORENSICS, se encuentran: Autopsy, Sleuth Kit, log2timeline,
Xplico, y Wireshark. El sistema funciona bajo Linux, Windows y Mac OS. Es un producto comercial.
19/33
Imagen 4.31. Herramienta OSForensics.

Se puede descargar desde: http://www.osforensics.com/osforensics.html
7.2. CAINE
Es una de las distribuciones Linux más completas para realizar análisis forense informático. Esta
distribución funciona como desde un DVD o Pendrive y no toca absolutamente ningún dato del disco duro
donde se inicia, ya que para realizar un análisis forense es fundamental no alterar las pruebas, en este caso,
los datos del almacenamiento interno. Por tanto, CAINE monta todas las particiones de los discos en
modo de solo lectura, una medida fundamental para preservar los datos intactos. Con una herramienta
gráfica podremos habilitar la escritura de datos en el almacenamiento interno una vez que hayamos
realizado una copia de seguridad sector por sector de todo el contenido del disco.
20/33
Imagen 4.32. Herramienta CAINE.

Se puede descargar desde: http://www.caine-live.net/index.html
7.3. DEFT
Es otra de las distribuciones (basada en Linux) por excelencia. Viene de serie con el kit de herramientas
DART para Windows, que es un programa que permite la adquisición de evidencias.
21/33
Imagen 4.33. Herramienta DEFT.

Se puede descargar desde: http://www.deftlinux.net/
7.4. SIFT Workstation

Desarrollado por SANS Investigative Forensic Toolkit (SIFT), contiene un arsenal de programas
orientados a la respuesta ante incidentes y avanzadas técnicas forenses digitales. Es muy recomendable
dada su actualización y apoyo de la comunidad. Requiere registro previo.
22/33
Imagen 4.34. Herramienta SIFT Workstation.

Se puede descargar desde: http://digital-forensics.sans.org/community/downloads
7.5. SCRIPTING (TRIAJE)

“Triaje” es un concepto que proviene de EE. UU. y que permite la adquisición de evidencias
de un ordenador o dispositivo de forma automatizada.
Es fundamental tener un kit de herramientas (como las mostradas anteriormente) que el propio analista ha
desarrollado o bien descargado de internet. El requisito necesario es que estas herramientas no sean
intrusivas y que sean conocidas o bien estén documentadas además de ser reproducibles.
Para un correcto funcionamiento, las aplicaciones deberían de estar en un disco duro externo con dos
particiones, una en modo lectura para las propias aplicaciones y el script que las automatiza; y la otra
partición en modo escritura para almacenar los datos del resultado de la ejecución del script.
Como hemos comentado, básicamente, el objetivo es la automatización de tareas o ejecución de

comandos para evitar la ejecución uno a uno, ya que esto haría interminables las tareas de recolección. Para
ello, lo normal es utilizar lenguajes propios que ya vengan de serie en los sistemas operativos.
Evidentemente, para su desarrollo debemos saber programar en el lenguaje que vayamos a utilizar.
Veamos algunos de estos lenguajes que precisamos para la realización del triaje.
23/33
Windows Linux
BAT/CMD Bash
WMI C/C++
Powershell (nativo desde W7, W8,W10 y servidores Python/Perl
VBS (Visual Basic Script) y JS (JavaScript)
7.5.1. SCRIPT EN CMD
Se encuentra en todas las versiones de Windows y es una de las más recomendadas por su
interoperabilidad y compatibilidad. Aunque su lenguaje no es potente, permite cumplir al 100 % con el
cometido de la adquisición de evidencias volátiles.
Ejemplo: script en CMD
Veamos algún ejemplo sencillo de script en CMD:
@echo off
mkdir c:\evidencias
mkdir c:\evidencias\logs
FOR /R C:\\ %%a in (*.log) DO COPY "%%a" c:\\evidencias\\logs
Este script tiene la finalidad de buscar en el disco duro C todos los ficheros con extensión LOG
y los copia a la carpeta c:\evidencias\logs
A continuación, veamos un script más elaborado.
Este script utiliza variables del sistema que permiten crear carpetas con el nombre del usuario y el
equipo.
Imagen 4.35. Ejemplo de script para crear carpetas.

Las siguientes líneas ejecutan los comandos del sistema operativo y guarda su resultado en las carpetas
anteriormente creadas por las variables.
24/33
Imagen 4.36. Ejemplo de script para ejecutar los comandos y guardar el resultado de los mismos en
carpetas.
Veamos un ejemplo todavía más elaborado que los anteriores, dado que además de ejecutarse, crea un
archivo donde va guardando los comandos que va ejecutando. El fichero donde se guarda se llama
_Processing_Details.txt.
Imagen 4.37. Ejemplo de script para ejecutar los comandos y guardar estos y el resultado de los mismos
en carpetas.
A continuación, llama al módulo MEMORYDUMP, que ejecuta el programa que hemos visto
anteriormente RAMCAPTURE64.exe y que vuelca el contenido de la memoria RAM a un fichero llamado
_mem.dmp.
Imagen 4.38. Ejemplo de script para llamar al módulo MemoryDump.

Se puede observar un script desarrollado con toda la potencia en CMD en la siguiente URL: htt
ps://github.com/ktneely/Tr3Secure/blob/master/tr3-collect.bat
7.5.2 SCRIPT EN VBS
A partir de las versiones de Windows 2000 se incorpora un nuevo lenguaje de scripting basado en Visual
Basic. Tanto su sintaxis como la manera de trabajar están muy inspirados en él. Sin embargo, no todo lo
que se puede hacer en Visual Basic se puede hacer en Visual Basic Script, pues este último es una versión
reducida del primero.
Veamos la sintaxis que emplea:
MsgBox "DESCONECTE EL CABLE DE RED",48,"ATENCION"
El script anterior muestra una ventana indicando el siguiente mensaje:
25/33
Imagen 4.39. Mensaje que se muestra al ejecutar el script.

Evidentemente, este lenguaje se puede optimizar y desarrollar mucho más para la adquisición de
evidencias. En el ejemplo siguiente se definen las variables y las consultas que se han de realizar (listar
procesos).
Imagen 4.40. Ejemplo de definición de variables y consultas a realizar.

La siguiente pantalla conecta con WMI:
Imagen 4.41. Script para definir un conector con WMI.

A continuación, ejecuta la consulta:
Imagen 4.42. Script para ejecutar la consulta.

Y por último, guarda el resultado en el escritorio en un archivo llamado “PROCESOS-

SERVICIOS.TXT”
26/33
Imagen 4.43. Script para guardar el resultado en el fichero adecuado.

7.5.3. SCRIPT EN POWERSHELL
Powershell es una herramienta avanzada de configuración y control de un sistema basado en Windows.

Se ejecuta desde una consola de sistema desde la que podremos configurar completamente un equipo
informático basado en Windows sin tener que depender de un escritorio para ello.
Es un lenguaje orientado a administradores de sistemas que permite automatizar tareas en un servidor (o

equipo) y realizar determinadas tareas con un mayor control sobre el sistema.
Viene instalado por defecto a partir de Windows 7, 8 y 10. En Windows XP hay que instalarlo
descargando el programa desde la página web de Microsoft.
Powershell intenta igualar en muchos aspectos al terminal de Linux.
Veamos un script básico de adquisición de evidencias volátiles en el que se muestra el log de seguridad
de Windows desde hace un día.
Get-EventLog -LogName Security -Before (Get-Date).AddDays(-1) | more
Imagen 4.44. Script básico de adquisición de evidencias volátiles en Powershell.

En el siguiente script podemos volcar el contenido de la pantalla a un archivo de nombre

RegistroDeSeguridad.txt para, posteriormente, poder trabajar con él.
Get-EventLog -LogName Security -Before (Get-Date).AddDays(-1) > RegistroDeSeguridad.txt
Una vez completado podemos abrir el fichero con el Bloc de notas.
27/33
Imagen 4.45. Bloc de notas al finalizar la ejecución del script anterior.

A continuación, veamos un script en Powershell muy elaborado que permite realizar la adquisición de
evidencias con solo ejecutar este script.
Imagen 4.46. Ejemplo de script para realizar la adquisición de evidencias en Powershell.

Podemos ver y descargar este script con toda su potencia desde la siguiente URL: https://github
.com/gfoss/PSRecon/blob/master/psrecon.ps1
7.5.4. SCRIPT EN BASH DE LINUX
28/33
Desde Linux también podemos realizar potentes scripts utilizando BASH.
Bash es una aplicación cuya función consiste en interpretar órdenes. Está basada en la shell de Unix y es
el intérprete de comandos por defecto en la mayoría de las distribuciones de Linux.
Desde Bash se pueden hacer scripts para casi todo y permite la gestión del sistema automatizando
procesos rutinarios, como copias de seguridad o gestión de servidores.
En el siguiente script podemos crear un menú interactivo que nos vaya preguntando las acciones que se
van a realizar.
Imagen 4.47. Script para la creación de un menú interactivo en la Bash de Linux.

Esta es su ejecución:
29/33
Imagen 4.48. Ejecución del script anterior.

Aquí tenemos otro ejemplo de adquisición de evidencias:
Imagen 4.49. Ejemplo de adquisición de evidencias.

VIII. Resumen
30/33
En esta unidad, hemos definido el concepto de “datos volátiles” y nos hemos centrado en su
adquisición en base a los diferentes escenarios ante los que nos podamos encontrar,
principalmente el de “sistema encendido”. Hemos mencionado las herramientas y comandos de
uso más común a la hora de realizar estas tareas y, después, hemos mencionado algunas de las
distribuciones forenses disponibles actualmente. Para terminar, nos hemos centrado en el
concepto de scripting o triage.
31/33
Recursos
Bibliografía
Construyendo una guía integral de informática forense.: Di Iorio, A.H y otros. (2015):
“Construyendo una guía integral de informática forense”. Universidad Fasta.
Importancia de la recolección de datos volátiles dentro de una investigación forense.:
Castilla Guerra, J.E. y Raquejo Romero, J.A. (2015): “Importancia de la recolección de datos
volátiles dentro de una investigación forense”. Universidad Piloto de Colombia. Disponible en:
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/3088/00000852.pdf?sequence=1
La importancia de un debido manejo de escena y de recolección de evidencias en
incidentes de seguridad de la información.: Vanegas Pérez, E. (2014): “La importancia de un
debido manejo de escena y de recolección de evidencias en incidentes de seguridad de la
información”. Universidad Piloto de Colombia, Módulo de Informática Forense. Disponible en:
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2685/00001749.pdf?sequence=1
Glosario.
BIOS (Basic Input Output System): Estándar de facto que define la interfaz de firmware
para computadoras IBM PC compatibles.
CAINE: Distribución Linux más completas para realizar análisis forense informático.
Datos volátiles: Datos que se encuentran en la memoria de un equipo o dispositivo.
DEFT: Distribución basada en Linux que permite la adquisición de evidencias.
LastActivityView: Herramienta desarrollada por NIRSOFT que permite saber la última

actividad que se ha realizado en un Windows por un usuario y los programas que se ejecutan.
Malware: Un virus o un gusano que típicamente afecta a múltiples dispositivos corporativos

y que pueda parar o ralentizar el servicio.
Memoria RAM (Random Access Memory): Memoria principal de la computadora, donde

residen programas y datos, sobre la que se pueden efectuar operaciones de lectura y escritura.
Memoria ROM (Read Only Memory): Circuito integrado de memoria de solo lectura que
almacena instrucciones y datos de forma permanente.
32/33
Modelo TCP /IP (Transmission Control Protocol/Internet Protocol) : Describe un

conjunto de guías generales de operación para permitir que un equipo pueda comunicarse en una
red.
OSForensics: Sistema basado en Linux y utilizado para la investigación digital y la adquisición

de evidencias.
Protocolo ARP (Address Resolution Protocol): Protocolo de comunicaciones de la capa

de enlace, responsable de encontrar la dirección de hardware que corresponde a una determinada
dirección IP.
PsTools: Serie de herramientas en línea de comandos que ayudan a administrar sus sistemas
Windows.
RamCapturer: Herramienta forense gratuita de la empresa Belkasoft, que permite extraer de

forma fiable todo el contenido de la memoria del ordenador volcando el contenido a fichero,
incluso si está protegido por un sistema antidepuración.
RawCopy: Herramienta open source que permite copiar ficheros que están bloqueados por el
sistema.
SIFT Workstation: Contiene un arsenal de programas orientados a la respuesta ante

incidentes y avanzadas técnicas forenses digitales.
Triaje (SCRIPT): Concepto que proviene de EE. UU. y que permite la adquisición de
evidencias de un ordenador o dispositivo de forma automatizada.
WinAudit: Utilidad de inventario para ordenadores Windows.
WMI (Windows Management Instrumental): Conjunto de librerías y funciones que

permiten obtener información y gestionar y administrar de forma local o remota el sistema.
33/33

04 El Proceso de Adquisicion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

04 El Proceso de Adquisicion

Cargado por

Copyright:

Formatos disponibles

El proceso de adquisición

© Ediciones Roble, S.L.

III. El proceso de adquisición

Imagen 4.1. Escenario previo al proceso de adquisición.

En esta situación, aplicaremos el siguiente axioma: si el ordenador está encendido, no lo apagues. Si el

Una vez realizado, procederemos a la recogida de datos volátiles.

No encenderemos el sistema y procederemos al clonado del disco duro.

Tendremos en cuenta estas recomendaciones de buenas prácticas:

Aislar la escena de personas no autorizadas, alejando a todos los operarios de los

IV. Sistema de encendido

Por lo tanto, lo principal es conocer qué datos son volátiles.

4.1. Volatilidad de la memoria RAM

Dentro de la memoria RAM dispondremos de:

Procesos en ejecución de los programas.

Permite ver las conexiones del equipo:

Imagen 4.2. Comando NETSTAT en Windows.

Devuelve la configuración de TCP/IP:

Imagen 4.3. Comando IPCONFIG en Windows.

Imagen 4.4. Comando NBSTAT -n en Windows.

Muestra las tablas ARP del sistema:

Imagen 4.5. Comando ARP -a en Windows.

Muestra los recursos compartidos:

Imagen 4.6. Comando NET SHARE en Windows.

Muestra los servicios del sistema Windows:

Imagen 4.7. Comando SC QUERY en Windows.

Permite mostrar la configuración de la red:

Imagen 4.8. Comando IFCONFIG eth0 en Linux.

Muestra la conectividad del sistema:

Imagen 4.9. Comando NETSTAT en Linux.

Muestra los usuarios conectados al sistema:

Imagen 4.10. Comando WHO -u en Linux.

Muestra los procesos:

Imagen 4.11. Comando PS -ef en Linux.

Muestra el árbol de procesos:

Imagen 4.12. Comando PSTREE en Linux.

Se puede descargar desde: https://belkasoft.com/ram-capturer

RamCapture64.exe "C:\Users\pesanchez\Desktop\Forense Avanzado\memoriaRAM.dmp”

Imagen 4.13. Funcionamiento en modo comando de la herramienta RAM Capturer.

Funcionamiento en modo gráfico:

Imagen 4.14. Funcionamiento en modo gráfico de la herramienta RAM Capturer.

Rawcopy se proporciona en código fuente desarrollado en un lenguaje parecido a BASIC que se

Se puede descargar desde: https://github.com/jschicht/RawCopy

Esta herramienta funciona en modo comando.

Rawcopy64.exe c:\windows\system32\config\SYSTEM c:\users\pesanchez\Desktop

Imagen 4.15. Funcionamiento en modo comando de la herramienta Rawcopy.

Funciona en modo comando y modo gráfico.

Se puede descargar desde: http://www.nirsoft.net/utils/computer_activity_view.html

Lastactivityview /shtml “c:\users\pesanchez\Desktop\informe.html”

Imagen 4.16. Funcionamiento en modo comando de la herramienta LastActivityView.

Funcionamiento en modo gráfico:

Imagen 4.17. Funcionamiento en modo gráfico de la herramienta LastActivityView.

Funciona en modo comando y modo gráfico.

Se puede descargar desde: https://www.techspot.com/downloads/2307-winaudit.html

WinAudit.exe /r=gsoPxuTUeERNtnzDaIbMpmidcSArCOHG /f=“c:\users\pesanchez\Desktop\audit.txt”

Funcionamiento en modo gráfico:

Imagen 4.18. Funcionamiento en modo comando de la herramienta WinAudit.

Imagen 4.19. Funcionamiento en modo gráfico de la herramienta WinAudit.

Las herramientas incluidas en el PsTools son las siguientes:

PsExec - ejecuta procesos de forma remota.

PsLoggedOn – permite ver quién está conectado a nivel local o remoto.

Funcionan en modo comando y modo gráfico.

Se puede descargar desde: https://technet.microsoft.com/en-us/sysinternals/pstools

Imagen 4.20. Funcionamiento en modo comando de la herramienta PsTools con PsList.