Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informática Forense
Se ocupa de adquirir, preservar y presentar datos que han
sido procesados electrónicamente y guardados en un medio
informático.
OBJETIVOS:
Recrear qué ha ocurrido en un dispositivo digital.
Analizar y esquematizar incidencias de forma que se
impida la repetición de incidencias similares en el
futuro.
Puesta a disposición y procesado judicial de pruebas
incriminatorias.
• Actuar metódicamente
• Controlar la cadena de
evidencias
Principios Forenses
Dificultades del Investigador Forense
Dificultadpara conseguir las herramientas necesarias para
guardar, preservar y presentar los datos como evidencia.
Dificultades
para presentar y explicar los informes ante el
órgano competente.
Estudio Preliminar
Adquisición de Datos
Recuperación de Soporte en caso de Avería
o Sabotaje
Recuperación de Datos Ocultos o Borrados
Análisis de las evidencias
Generación de Informes
Presentación de las pruebas
Esterilización de los equipos del laboratorio
Metodología:
Proceso Forense Informático
Recoger la mayor información posible sobre:
Estudio Preliminar
Investigación en caliente
SHADOW
Drive
Investigación en caliente
Debido a que las evidencias en un disco
sospechoso no se pueden alterar, la
investigación y el análisis de los datos
se realiza habitualmente en un
laboratorio especializado.
Clonado: HardCopy II
• Clona y realiza imágenes de discos.
• Realiza imágenes de tipo raw que pueden ser
analizadas con EnCase.
• Verifica la integridad criptográfica de la imagen
mediante un hash MD5 y lo escribe en un
archivo de cabecera asociado con la imagen..
Notifica las disparidades si las hay.
• Se recupera de errores de lectura en sectores
defectuosos del disco sospechoso.
• Con sectores defectuosos recálcula o aborta el
hashing.
• Rellena el sector que falla con un valor
especificado y sigue al hash con estos valores de
reemplazo insertados.
• Permite realizar un borrado seguro de los discos
cuando sea necesario “esterilizar” el material del
laboratorio
Clonado: HardCopy II
En las intervenciones normalmente
encontramos dispositivos en funcionamiento.
Pero no debemos desestimar ningún dispositivo
que pueda contener información relevante por
estar defectuoso.
Tenemos disponibles recursos de recuperación
de datos para la mayoría de averías que se
presentan.
¡Incluidas las intencionadas!
Averías Mecánicas
• Circuitos integrados
quemados debidos a
sobretensiones
• Cortocircuitos
Estas averías se reparan
sustituyendo los
componentes dañados.
Pueden llevar asociados
problemas en el Firmware
Averías Electrónicas
En los platos hay una zona llamada System Area que el
microprocesador de la placa del disco utiliza para operar
en la unidad.
En ella se almacena el Firmware, la información
SMART, las tablas de sectores defectuosos, las tablas
de configuración del disco, el password, etc.
Si un disco tiene daños en la System Area queda
inutilizado.
Estas averías se solucionan reprogramando el
firmware del disco con herramientas que se
comunican con el HD a bajo nivel.
Averías en el Firmware
Geometría del Disco Duro
• Pistas: Sucesión de bits en rutas circulares formadas por
sectores contiguos.
• Cilindros: Serie de pistas alineadas verticalmente.
• Sectores: Unidad más pequeña de almacenamiento del disco.
• Clusters: Mínimo espacio en disco que es posible asignar a un
archivo.
• FAT: Tabla de asignación de archivos. Se encarga de controlar
los clústeres que se asignan.
• Pérdida de FAT Estas averías se
• Sectores solucionan mediante
Defectuosos
• Archivos borrados
herramientas software
• Soportes de recuperación de
Formateados datos
Averías Lógicas
Actualmente conviven en
el mercado un sinfín de herramientas
de recuperación de datos, tanto de
carácter general como especifico.
Averías Lógicas
• Gestores de Correo:
Outlook, Outlook Express,
Thuderbird, Eudora,
Exchange, Lotus Notes
• Emails Web: Hotmail, Gmail,
Yahoo. Etc.
• Exploradores: Internet
Explorer, Firefox, Google
Chrome, Safari.
• EnCase Forensics
• Access Data
• WinHex
• Helix
Presentación de Resultados
¿Y si presentamos las pruebas “en caliente”?
Shadow puede ser un medio eficaz para
presentar las pruebas de forma visual al
tiempo que el investigador las explica.
Presentación de Resultados
Esterilización del Material
Una vez terminada la investigación
es necesario esterilizar el material
utilizado para no dejar restos en los
discos que utilizaremos en
siguientes investigaciones.
Recuerden
ADM