Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
INFORMATICA FORENSE
Integrantes:
Palomino Gonzales Krovieko
Viguria López Yeny
Ferro Guerreros Mario Paul
Gonzales Condori Yaks Anderson
Martínez Acosta Ivar
Rojas Carrasco Irineo
Calle Huamán Nahum Obed
Docente: M.Sc. Magaly Roxana Arangüena Yllanes
ANDAHUAYLAS-PERU
2022
INFORMATICA
FORENSE
INTRODUCCION
Existen diferentes términos para describir la informática forense, cada uno de
ellos explica o detalla de manera particular o general los temas que la engloban,
los términos que se pueden encontrar son: el computo forense, informática
forense, computación forense, análisis forense digital o examen forense digital,
todos ellos con un mismo objetivo que es la de identificar, preservar, analizar y
presentar los datos dentro de un proceso legal.
La constante evolución de la tecnología siempre viene acompañado de un
crecimiento igual en cuanto a sus consecuencias, los constantes reportes en
cuanto a las vulnerabilidades en sistemas de información o sistemas inteligentes,
el aprovechamiento de las fallas humanas, procedimentales o tecnológicas
sombre el software o hardware en el mundo ofrecen un escenario perfecto para
que se cultiven tendencias relacionadas con intrusos informáticos, estos intrusos
poseen diferentes motivaciones, alcances y estrategias que muchas veces
desconciertan a los analistas, consultores, cuerpos especiales de investigación y
expertos en el área, ya que siempre va variando las modalidades de ataque y
vulneración de los sistemas.
Introduccion a la Informatica Forense
El análisis forense es un área perteneciente al ámbito de la seguridad informática
surgida a raíz del incremento de los diferentes incidentes de seguridad. En el
análisis forense se realiza un análisis posterior de los incidentes de seguridad,
mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el
sistema.
¿Cómo se realizó?
Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.
Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia
digital obtenida no esté corrupta.
Producir un informe forense informático que ofrece un informe completo sobre el proceso de
investigación.
c. Sistemas convergentes de computación: Sólo los que están formados por los
teléfonos celulares inteligentes (Smartphones), los asistentes personales
digitales PDAs, las tarjetas inteligentes.
ANALISIS DEL DELITO
INFORMATICO
TIPOS DE INVESTIGACION DE UN
PERITO INFORMATICO
Este tipo de trabajos va a cubrir tres objetivos que se detallan a continuación:
• Definir el arbitraje.
• Enumerar los tipos de arbitraje.
• Subrayar cuando un perito informático debe aceptar o rechazar su intervención en
una actuación judicial.
TIPOS DE INVESTIGACION DE UN
PERITO INFORMATICO
Investigaciones privadas:
• Los traslados a los que se vea sometida a la prueba, indicando tiempos, origen y
destino para cada desplazamiento, así como, los posibles incidentes que puedan
Estandares de Investigacion Forense
El estándar ISO/IEC 27042:2015 “Information technology – Security techniques – Guidelines
for the analysis and interpretation of digital evidence”, es una norma para el análisis e interpretación
de evidencias digitales. El estándar ISO/IEC 27042:2015 proporciona directrices sobre cómo un
perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente
o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su
análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal).
La RFC (Request For Comments) 3227 es un documento que recoge las principales directrices
para la recolección y el almacenamiento de evidencias digitales, constituyendo un verdadero
estándar para la recopilación y almacenamiento de evidencias. La RFC 3227 define un proceso para
la recolección de evidencias que ayuda al perito informático a adquirir y catalogar las evidencias
digitales, otros como la RFC 4810, 4998,6283.
Metodologia de la
Investigacion
Para que una evidencia sea aceptable tanto en casos públicos como privados, esta
debe ser reproducible, es decir, otro perito tiene que poder llegar a las mismas
conclusiones partiendo de la misma evidencia. La trazabilidad de las evidencias o la
cadena de custodia es una herramienta documental que garantiza la conservación de la
evidencia, para esto, es importante establecer protocolos sistemáticos de actuación y
calcular los hashes de las evidencias digitales, ya que, permiten comprobar que no han
sido alteradas.
Retos y riesgos
para la informática
forense
DELITOS
INFORMATICOS.
• Desde el punto de vista criminalístico clásico y evaluarlos en tal sentido, guiado por la sana
crítica, la prueba tasada o las libres convicciones, según sea el caso y la estructura judicial en
que se desarrolle el proceso.
1. Trazabilidad:
Existen múltiples herramientas Open Source disponibles para obtener imágenes de discos o
particiones, pero existe un comando llamado “dd” en la plataforma Linux y Mac OS. Por
ejemplo, en Caine Linux, que es una distribución basada en Ubuntu, pero el comando “dd”
se lo puede encontrar en todos los sistemas.
Adquisición estática con una herramienta
comercial
En esta sección, se va a realizar la adquisición estática de la imagen de un soporte de
almacenamiento, en concreto, de una memoria USB mediante FTK Imager de la empresa
AccessData, que es una herramienta gratuita, pero no libre. Para su descarga se debe ir a la
web de AccessData disponible en https://accessdata. com/ y cuya página principal se
muestra en la Figura
Análisis de volcado de memoria con
Volatility
Volatility es una herramienta Open Source desarrollada por la comunidad y mantenida por
Volatility Foundation una organización sin ánimo de lucro cuya, el propósito de esta
herramienta es el análisis de los volcados de memoria que se hayan obtenido durante la
adquisición en vivo de otras computadoras, esta organización está disponible en internet en la
siguiente dirección https://www.volatilityfoundation. org/, cuya página principal se muestra a
continuación en la Figura
Recolección de los elementos informáticos
dubitados físicos o virtuales
El perito informático forense deberá recolectar la evidencia procediendo de
manera acorde al origen del requerimiento de la pericia informático-forense, a
saber:
Los datos que se encuentran en el almacenamiento volátil muestran la actividad actual del sistema
operativo y de las aplicaciones, como por ejemplo: procesos en el estado de ejecución, en el estado de
listo o bloqueado, actividad de la impresora (estado, cola de impresión), conexiones de red activas,
puertos abiertos, (puerto es una estructura a la que los procesos pueden enviar mensajes o de la que
pueden extraer mensajes, para comunicarse entre sí, siempre está asociado a un proceso o aplicación, por
consiguiente sólo puede recibir de un puerto un proceso, recursos compartidos, estado de los
dispositivos como discos rígidos, disqueteras, cintas, unidades ópticas
Conjunto de tareas a realizar en el acceso a
los dispositivos de almacenamiento volátil
1. Ejecutar un intérprete de comandos confiable o verificado matemáticamente.
2. Registrar la fecha, hora del sistema, zona horaria.
3. Determinar quién o quienes se encuentran con una sesión abierta, ya sea usuarios
locales o remotos.
4. Registrar los tiempos de creación, modificación y acceso de todos los archivos.
5. Verificar y registrar todos los puertos de comunicación abiertos.
6. Registrar las aplicaciones relacionadas con los puertos abiertos.
7. Registrar todos los procesos activos.
8. Verificar y registrar las conexiones de redes actuales y recientes.
9. Registrar la fecha y hora del sistema
10. Verificar la integridad de los datos.
11. Documentar todas las tareas y comandos efectuados durante la recolección.
Posteriormente, en lo posible, se debe realizar una recolección más detallada de los
datos existentes en el almacenamiento volátil, efectuando las siguientes tareas:
(Tanenbaum, 2008)“los verdaderos clientes del sistema operativo son los programas de
aplicaciones. Son los que tratan directamente con el sistema operativo y sus abstracciones”
Acceso a cuentas de usuarios y grupos
protegidos.
Otro navegador de internet que adquiere cada vez más relevancia, quitando protagonismo a
internet Explorer, aunque no a la misma velocidad que Firefox, es google Chrome al igual que
Firefox, Chrome utiliza bases de datos SQLite para organizar los datos generados por la
actividad de usuario.
Internet Explorer viene integrado en los sistemas operativos de Microsoft desde la primera
versión de Windows XP. El procedimiento utilizado por Microsoft para guardar los archivos
descargados durante la navegación en carpetas que el sistema considera esenciales para su
funcionamiento y contiene ocultas al usuario.
Logs del sistema.
son sistemas que generan una gran cantidad de datos en forma de trazas textuales, llamadas técnicamente
“Logs”. Esta información no es visible para el usuario, pero suele estar relacionada con su actividad
informática, por ejemplo, historial de navegación, programas abiertos, etc. o con los propios sistemas de
información. estado actual de programas, seguridad, accesos, conectividad de redes, etc.
Algunos de los malware más peligrosos son los llamados Backdoors, programas especializados para
poder robarte información. Pero su trabajo o tarea es un poco desconocido hasta este entonces. Como su
nombre en inglés lo indica, significa ‘Por la puerta de atrás’. Esto quiere decir que su modus operandi es
el de atacar por los rincones menos vigilados de cualquier PC, similar a lo que hacen los troyanos, pero
con resultados más devastadores. Esto quiere decir que será muy difícil localizar el archivo.
Recuperación y análisis de la memoria SWAP.
- Exploración en archivos en Sistemas Operativos
En primer lugar, un investigador forense debe familiarizarse con el funcionamiento del sistema
operativo y una de las partes esenciales es el arranque, es conveniente estudiar instalaciones
limpias y analizar procesos y archivos para conocer el funcionamiento normal del sistema, de
esta forma, se será capaz de detectar procesos anómalos como, por ejemplo, los que puedan
derivar de infecciones por malware que alteran el comportamiento del sistema, sea durante el
arranque o durante la utilización por parte del usuario.
Los archivos de registro son mensajes generados por computadora que registran eventos,
procesos y otro tipo de información durante la operación. El análisis de registros es la
disciplina general de análisis de archivos de registro con el fin de identificar patrones que
puedan ayudar en la solución de problemas, el rendimiento, las predicciones, el mantenimiento
y las mejoras.
Técnicas de Recuperación a bajo Nivel (Carving)
Los procesos de recuperación de archivos borrados se realizan en base al tipo de archivo, mediante una
técnica conocida como Carving. Los sistemas de almacenamiento de archivo de antiguas versiones de
Windows eran FAT o File Allocation Table, al borrar un archivo el índice de FAT marca como disponibles
los clústeres de memoria donde se aloja el archivo, pudiendo sobrescribirse, pero no los borra por defecto.
Lo que permite a un software de recuperación es localizar clúster que hayan sido marcados como liberados,
pero que aún no se hayan sobrescrito, y así, poder reconstruir ficheros.
Carving en NTFS
Las versiones más modernas de Windows usan el sistema de archivos NTFS o New Technology File
System, los archivos almacenados en NTFS tienen un “Flag” en el MFT o tabla maestra de ficheros que
indica si están activos o inactivos. Al borrar un fichero se marca como inactivo, pero los clústeres que ocupa
no se borran y, de hecho, siguen indexados en la MFT.
Analisis de metadatos
Es común describir el término metadatos como datos que describen otros datos o "datos
sobre datos". De forma general, en efecto, el concepto de metadatos se refiere a aquellos
datos que hablan de los datos, es decir, describen el contenido de los archivos o la
información de los mismos.
Su multifuncionalidad, en efecto, es una de las principales características de esta poderosa
herramienta para la gestión de los datos como un activo. En concreto, éstas son algunas
de las funciones más ventajosas de una buena administración de los metadatos a la hora
de mejorar los procesos de gestión y gobierno de datos
Responder a un Ciberincidente
1. Detectar incidentes
El análisis forense físico no es igual a la digital, cada uno tiene sus condicionantes, en
la escena de un delito no se recoge todo lo que hay, lo que se hace es fotografía del
estado de la escena para saber cómo está todo y luego se investiga cada evidencia y se
va recogiendo de una en una.
Lo mismo hay que hacer con las evidencias digitales, no se agarra todo lo que uno
encuentra porque sí, se denomina coloquialmente análisis postmortem al que se practica
sobre equipos que se encuentran apagado, tradicionalmente se apagaban los equipos
para preservar las evidencias y eliminar riesgo de modificación, pero entonces, se podía
perder información volátil. Recuperación de desastres por incidente o Ciberdelito
6. Informar o denunciar Ciberincidentes
está notificación va dirigida al personal interno de la organización, son los gerentes, técnicos
y personal cuya actividad se puede ver afectada por el incidente que tenga que intervenir en
resolver el incidente, o que tenga que intervenir en la mitigación de las consecuencias del
incidente. Por norma general la notificación de un incidente tiene tres fases:
• El reporte inmediato.
• Los reportes adicionales.
• Compartir información.
Análisis forense a la red
informática .
Principio de comunicación en redes.
La comunicación comienza con un mensaje que se debe enviar desde un origen hasta un destino. La
comunicación no es más que el envío de un mensaje de un origen a un destino a través de un canal de
comunicación.
Por lo tanto la comunicación tienen tres elementos en común: el origen o emisor, el destino o receptor y
el canal de la comunicación.
En las redes informáticas, el origen de un mensaje es un host que necesita enviar un mensaje.
El canal de comunicación proporciona la ruta por donde el mensaje viaja desde el origen hasta el destino.
Los datos en las redes.
Una red es una estructura que cuenta con un patrón característico. Puede
hacer referencia a la interconexión de computadoras y otros dispositivos
que comparten recursos.
El web scraping se utiliza en muchas empresas digitales que se dedican a la recopilación de bases
de datos. Para aclarar mejor qué es el web scraping debes saber cuáles son los casos de uso
legítimo del mismo:
* Los robots de los motores de búsqueda rastrean un sitio, analizan su contenido y luego lo
clasifican.
* Sitios de comparación de precios que implementan bots para obtener automáticamente precios y
descripciones de productos para sitios web de vendedores aliados.
* Compañías de investigación de mercado que lo utilizan para extraer datos de foros y redes
sociales.
API KEY
El término API, o API Key es una abreviatura de Application Programming Interfaces, que en español
viene a traducirse como interfaz de programación de aplicaciones en sentido literal. Esto son un conjunto
de normas, reglas y protocolos que se usan para desarrollar e integrar el software de las aplicaciones.
Las API de programación de aplicaciones, normalmente se utilizan para poder rastrear y controlar cómo
se utiliza la interfaz por el agente externo. A menudo, esto es debido a quién desarrolla la aplicación,
pretende evitar el abuso o el uso malintencionado de la API en cuestión.
Una clave API está asociada, o actúa como un TOKEN de autenticación secreto, o también como un
identificador único. Normalmente, estas claves vienen junto con un conjunto de derechos de acceso para
la API asociada, esto es: te dan la API pero te dicen para qué la tienes que usar
Identificación de usuarios, Zona horaria,
Interfaces de red, procesador y nombre del
sistema objetivo.
La identificación de usuarios se hace a través de algunos programas
diseñados para este fin, pero también se pueden hacer de manera Manual
siempre en cuando se tenga los conocimientos necesarios para este fin.
Podemos acceder a estos datos para poder tener un análisis forense en redes
detallado, para esto se analiza el registro de Windows en donde
encontraremos la zona horaria, interfaces de red, procesador y nombre des
sistema
Identificación y password Cracking de usuarios .
Esto nos permitirá obtener contraseñas, ello con el fin de determinar la fortaleza
de las mismas y determinar si se estaba aplicando algún tipo de política sobre la
complejidad de ellas.
Los servicios de terminal (o terminal services) son un componente de los sistemas operativos windows
que permite a un usuario acceder a las aplicaciones y datos almacenados en otro ordenador mediante un
acceso por red.
Basado en el protocolo de escritorio remoto (Remote Desktop Protocol (RDP)) aparece por primera vez en
Windows NT 4.0 (Terminal Server Edition).
Los productos Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server
y Windows Server 2003 han introducido algunas mejoras y funcionalidades nuevas.
Organización de cuentas de usuarios e identificación de la
cuenta sospechosa en el sistema.
Una cuenta de usuario (SID, Estructura de datos de longitud variable que identifica cuentas de usuario, de grupo y
de equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos
internos de Windows hacen referencia al SID de las cuentas en vez de al nombre del usuario o grupo de las
cuentas.)
Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad - Security
Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina.
Se puede organizar los datos obtenidos con SAMDUMP y como podemos identificar el usuario sospechoso de la
intrusión (Se hace sospechosa la cuenta pues esta no tiene una descripción como la que tienen las demás cuentas).
Esto con la finalidad de analizar e identificar más facilmente los diferentes eventos que se hayan registrado en el
registro de eventos de sistema.
Acceso a logs de Equipos de Red
El monitoreo de logs supervisan la actividad de la red, inspeccionan los eventos del sistema y
almacenan diferentes acciones (por ejemplo, cambiar el nombre de un archivo o abrir una aplicación)
que ocurren dentro de los sistemas vigilados, contando con la capacidad de consolidar aquellos datos
que podrían alertarte sobre una violación de políticas de seguridad.
Los archivos de registro sin formato también se conocen como registros de auditoría o registros de
eventos que a fin de cuentas se relacionan con la gestión de logs.
La mayoría de los sistemas y herramientas para análisis de logs generan registros que incluyen
sistemas operativos, navegadores de Internet, sistemas de punto de venta, estaciones de trabajo,
eventos de logueo, antimalware, firewalls y sistemas de detección de intrusos (IDS).
Análisis Forense
en
Dispositivos Móviles
Análisis forense de dispositivos móviles
(Francisco, 2014) considera que en los comienzos la telefonía
móvil generaba en el usuario una sensación de seguridad y
libertad, pero con la constante evolución de la tecnología nos
ha tocado ver las diferentes desventajas de los dispositivos
móviles, pero sobre todo las grandes ventajas que estas nos
proporcionan como es el almacenamiento de gran
información y esta a su vez el riesgo de perder tal
información, como también a su mala manipulación de dicha
información.
Análisis forense de dispositivos móviles
Según (Domínguez, 2015) el procedimiento de análisis por lo general se lleva a cabo mediante
determinadas herramientas de software (EnCase Forensics, FTK, The Sleuth Kit, utilidades de
recuperación de archivos borrados, etc.) en un proceso de caracterización de archivos y búsqueda de
información que pueda ser reveladora de actividades irregulares o delictivas. En Android, el análisis
forense no requiere herramientas particularmente sofisticadas. Nuestro arsenal está compuesto por
editores hexadecimales, clientes de bases de datos, visores de archivos XML y otras utilidades del
mundo Linux/Unix tales como Sting, que permite localizar líneas de texto en el interior de archivos
binarios, o file, capaz de identificar tipos de archivo evitando que nos engañen mediante un cambio de
extensión, Para llevar a cabo un análisis correcto de los elementos de evidencia es preciso conocer el
modo en que la información es almacenada. gestionada y eliminada en Android.
Datos de Usuario
Los datos del usuario según (Domínguez, 2015)se generan como resultado de una
interacción directa con las aplicaciones del dispositivo móvil. Al igual que en el análisis
tradicional de discos duros y ordenadores de sobremesa, estos datos constituyen el
objetivo principal del investigador. Esto no quiere decir que las propias aplicaciones no
sean importantes como objeto de investigación, sobre todo en casos de software
malicioso, espionaje industrial o ciberguerra, Por lo que respecta a la información
relacionada con la actividad del usuario en un dispositivo móvil Android .
EN UN DISPOSITIVO MÓVIL ANDROID INTERESAN LOS
ELEMENTOS DE EVIDENCIA QUE SE INDICAN A CONTINUACIÓN:
REDES TELEFONICAS
Hay que saber los tipos de tecnología de red que existen y qué implicaciones tienen con respecto
al uso de los dispositivos, por ejemplo, el HLR y VLR son las bases de datos de una red GSM
que registran el estado de los clientes, indicando su localización en la red, si están o no activos,
cada número de teléfono está registrado en la HLR con sus datos permanentes y los datos de
carácter temporal como la localización o el número IMEI del terminal se registran en el VLR,
esto es sólo un ejemplo, pero es necesario saber cómo interpretar la información de las últimas
células a las que se ha conectado un celular, porque la información de localización es muy
relevante cuando se habla de telefonía móvil.
02
ALMACENAMIENTO
Otra cosa que se debe tener clara es el almacenamiento de
datos en los smartphones, este es independiente de la tarjeta
SIM, en las tarjetas de memoria del propio teléfono o tarjetas
de expansión, generalmente Micro SD, se almacenan datos
del sistema operativo, de las aplicaciones y del usuario, como
si fuesen discos duros de una computadora, la Figura 83
muestra en ejemplo de una tarjeta Micro SD.
03
SIM Y EL TELÉFONO
La SIM es un chip de identificación que contiene la información que requiere el
proveedor de servicio para identificar una línea, también, puede almacenar datos, pero muy
pocos. La SIM está protegida por un código PIN que permite desbloquearla para que el
operador pueda registrar el teléfono en el VLR. El código PUK se emplea para recuperar el
código PIN de una tarjeta SIM y suele entregarse impreso en la tarjeta en la que se entrega la
SIM, por lo que, si se recupera esa información se puede aplicar un nuevo PIN a una SIM para
acceder a la información, además, la mayor parte de los teléfonos están bloqueados por un
código de usuario que puede ser una contraseña, un patrón gráfico o mediante un sistema
biométrico, aunque éstos suelen estar asociados a una contraseña por si no se puede operar con
el acceso biométrico, por ejemplo de una tarjeta SIM.
04
INFORMACIÓN EN SMARTPHONE
INFORMACIÓN EN SMARTPHONE
Cellebrite XRY
HERRAMIENTAS TECNOLÓGICAS QUE SEAN FUNCIONALES
Y CONFIABLES PARA EL ANÁLISIS FORENSE DE
DISPOSITIVOS MÓVILES BAJO EL SISTEMA OPERATIVO
ANDROID
Hardware
Son dispositivos físicos que se conectar de entre el equipo del investigador forense y el
disco al cual se busca realizar el proceso forense. De esta manera estos dispositivos
permiten mantener la integridad impidiendo la escritura sobre el disco de almacenamiento
al cual se esté realizando un proceso forense.
Las marcas más representativas son:
Tableau, su página oficial es
https://www.guidancesoftware.com/tableau/hardware?types=ForensicBridges
Digital Intelligence: su página oficial es
https://digitalintelligence.com/products/ultrablock
BLOQUEADORES HARDWARE Y SOFTWARE
Software
Los sistemas operativos más representativos para realizar esta labor son:
Tequila: Es un sistema operativo basado en Linux, desarrollado en Latinoamérica, especializado para la informática
forense. Su interfaz gráfica es fácil de entender y al ser una versión libre su soporte es limitado.
su página web es https://tequila-so.org/
Caine: Es un sistema operativo basado en Linux, desarrollado en Italia, especializado para la informática forense. Su
interfaz gráfica es fácil de entender y al ser una versión libre su soporte es limitado.
Su página web es https://www.caine-live.net/
SANS DFIR: es una aplicativo virtual basado en Linux, especializado para la informática forense. Tiene una gran
cantidad de características que la hace una de las mejores distribuciones para realizar este tipo auditorías.
Su página web es https://digital-forensics.sans.org/ cas de Recuperación de Información a Bajo Nivel
RECOLECCIÓN Y ANÁLISIS DE EVIDENCIA
- Las clonadoras de datos: Este tipo de dispositivos hardware se utilizan en informática forense
para la obtención de un clon exacto de un dispositivo de almacenamiento. Es vital realizar
correctamente la clonación forense de un disco duro ya que JAMÁS debe trabajarse sobre el
dispositivo que almacena los datos originales objeto de estudio. Las clonadoras varían mucho de
precio, siendo un factor fundamental la velocidad de clonado, el número de copias simultáneas que
puede generar el dispositivo y si éste es capaz de generar el código hash que certifica el contenido
del dispositivo
Herramientas de informática forense
- Las bloqueadoras de escritura: Este tipo de dispositivos hardware se utiliza en
informática forense para conectar el dispositivo objeto de estudio a nuestra estación de
trabajo impidiendo que el sistema pueda realizar cualquier tipo de escritura en el
dispositivo, lo que lo invalidaría como prueba. Así mismo, las bloqueadoras también se
utilizan para proteger contra escritura cualquier dispositivo de almacenamiento.
Herramientas de informática forense
- Creación de imágenes forenses: La herramienta más ampliamente utilizada para la
creación de imágenes forenses es Guymager, que es una herramienta gratuita de
adquisición y preservación de evidencias digitales en entorno Linux, generando
imágenes en formato dd, E01 y AFF. También es capaz de realizar el clonado forense
de discos duros sin necesidad de una clonadora y de obtener la firma Hash del disco
duro clonado o del fichero de imagen creado
Herramientas de informática forense
- Cálculo de firmas hash: Normalmente se trata de software que nos generará
el código hash identificativo de cada uno de los ficheros electrónicos que estamos
estudiando o del dispositivo de almacenamiento completo. Ello se usa para acreditar
que las copias de datos se corresponden fielmente con los originales. Uno de los más
comunes es FCIV.
Herramientas de informática forense
- - Suites de herramientas forenses: Se trata de packs de herramientas forenses de
tipo software de muy distinto uso y alcance. Las hay tanto de pago como gratuitas y
se usan tanto para el estudio de ficheros electrónicos como logs de navegadores,
dispositivos móviles, memoria RAM y un largo etcétera.
- Entre las herramientas gratuitas, la más conocida es CAINE, una distribución libre
de UBUNTU con multitud de herramientas de gran utilidad. Para la investigación en
fuentes abiertas (OSINT) se está utilizando mucho OSINTUX, una distribución
completamente en castellano.
Herramientas de informática forense
- Herramientas de firma electrónica: Pese a no ser, estrictamente, una herramienta de
informática forense, sí que deberá utilizarse para firmar, con código de fecha y hora, la
documentación que elaboremos para recoger el estudio forense realizado a fin de
demostrar su autenticidad. Una de las herramientas más comunes, potentes y gratuitas
es XolidoSign
Herramientas para el análisis forense digital
Cálculo de hashes
HashCalc es un programa de calculadora desarrollado por SlavaSoft. Se utiliza para calcular HMAC,
resúmenes de mensajes y sumas de comprobación para archivos. También se puede usar para
calcular cadenas hexadecimales y cadenas de texto. El programa proporciona 13 de los algoritmos
de suma de comprobación y hash más comunes.
Herramientas para el análisis forense digital
Análisis de registros
Programa de análisis
Sleuthkit: Es una colección de herramientas de línea de comandos y una biblioteca C que permite analizar
Encase Forensics: Permite buscar, identificar y priorizar rápidamente evidencia potencial, en ordenadores y
dispositivos móviles, para determinar si se justifica una investigación adicional.
Herramientas para el análisis forense digital
Programa de análisis
SIFT Workstation 3: Es un grupo de herramientas forenses y de respuesta libre a incidentes de código abierto
diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos
OsForensics v6: Proporciona una de las formas más rápidas y potentes de localizar archivos en un ordenador
con Windows. Puede buscar por nombre de archivo, tamaño, fechas de creación y modificación, y otros
criterios.