Seminario de

Informática Forense
 Se ocupa de adquirir, preservar y presentar datos que han
sido procesados electrónicamente y guardados en un medio
informático.

 OBJETIVOS:
 Recrear qué ha ocurrido en un dispositivo digital.
 Analizar y esquematizar incidencias de forma que se
impida la repetición de incidencias similares en el
futuro.
 Puesta a disposición y procesado judicial de pruebas
incriminatorias.

Análisis Forense Informático

• Evitar la
contaminación

• Actuar metódicamente

• Controlar la cadena de
evidencias

Principios Forenses
Dificultades del Investigador Forense
 Dificultadpara conseguir las herramientas necesarias para
guardar, preservar y presentar los datos como evidencia.

 Averías y sabotajes en los soportes de almacenamiento.

 Técnicas anti forenses, ocultación de datos, claves y

encriptación.

 Avalancha de soportes para analizar en una redada.

 Burocracia: Dificultades para una realización ágil de

informes.

 Dificultades
para presentar y explicar los informes ante el
órgano competente.
Estudio Preliminar
Adquisición de Datos
Recuperación de Soporte en caso de Avería
o Sabotaje
Recuperación de Datos Ocultos o Borrados
Análisis de las evidencias
Generación de Informes
Presentación de las pruebas
Esterilización de los equipos del laboratorio

Metodología:
Proceso Forense Informático
Recoger la mayor información posible sobre:

• Qué ha ocurrido, qué se llevaron o intentaron llevar y

cuándo ocurrió.

• Organización, topología de red, usuarios con acceso,

sistemas afectados.

• Estado físico del disco, causas del posible fallo, sistema

operativo, sistema de archivos.

• Necesidad de una posible investigación en caliente.

Estudio Preliminar
Investigación en caliente

SHADOW
Drive
 Investigación en caliente
Debido a que las evidencias en un disco
sospechoso no se pueden alterar, la
investigación y el análisis de los datos
se realiza habitualmente en un
laboratorio especializado.

Shadow es una herramienta de investigación

diseñada para habilitar la investigación del
disco duro en la máquina sospechosa.

Permite utilizar el ordenador sospechoso para analizar el contenido

del Disco Duro utilizando cualquier herramienta de software ya
instalada en el ordenador o instalando software de análisis y
recuperación de datos.
 Investigación en caliente
• Puede arrancar bajo cualquier O.S.
• Es posible realizar un estudio de los
procesos del sistema (memoria,
registro, logs, cookies, Ntuser.dat,
eventos, Pagefile.sys, etc.)
• Es posible acceder a los datos
Borrados in situ instalando herramientas
especificas.
• Puede ser utilizado como
write-blocker para no alterar las
pruebas.
 Investigación en caliente
Los cambios son escritos en un HD que se encuentra en el
interior de la unidad Shadow. No quedan restos en el Disco
Duro sospechoso.

Si se considera conveniente, después de ver la evidencia de

primera mano, siempre se puede decidir embalar y etiquetar
para mandarlo a un laboratorio, las pruebas no habrán sido
contaminadas.
• Los datos digitales adquiridos de copias no
se deben alterar de los originales del disco,
ya que esto invalidaría la evidencia.
• Los investigadores deben revisar que sus
copias sean exactas a las del disco
sospechoso.
• Para esto sirve la comprobación de la
integridad criptográfica mediante funciones
hash.

Adquisición de Datos: Clonado

• Digest: Número característico utilizado para la
verificación de la autenticidad de datos, que detectan
cualquier cambio que haya ocurrido en los archivos.

• Función Hash: Hace posible obtener un hash (resumen

de mensaje) de un dato, creando una serie corta de
caracteres que representan al dato al cual se le aplica
esta función hash.

• Algoritmos Hash más utilizados: MD5 (128bits), SHA1

(160bits)

Clonado: Integridad Criptográfica

Clonado por Software
◦ Dependemos de la velocidad del PC y de sus
características y estabilidad para la velocidad
del clonado.
◦ La mayoría de las herramientas por software
dejan marca en el disco al arrancarlo, con lo
cual se produce una contaminación.
◦ Esto provoca que haya que utilizar
herramientas write-blockers que ralentizan
aun más el proceso e clonado.
◦ Cuelgues. Sobretodo en zonas de sectores
defectuosos.
◦ Necesitamos llevar un ordenador para hacerlo
in-situ.
 • No es necesario llevar encima nada más
que la clonadora y el disco de destino.

• Más velocidad. (Hasta 6 veces más rápido

que el PC más veloz)

• No es necesario el uso de write-blockers,

no marca el disco sospechoso.

• Comprobación al vuelo de las funciones

hash.

• No dependemos del hardware del PC y de

su buen funcionamiento.

Clonado: HardCopy II
 • Clona y realiza imágenes de discos.
• Realiza imágenes de tipo raw que pueden ser
analizadas con EnCase.
• Verifica la integridad criptográfica de la imagen
mediante un hash MD5 y lo escribe en un
archivo de cabecera asociado con la imagen..
Notifica las disparidades si las hay.
• Se recupera de errores de lectura en sectores
defectuosos del disco sospechoso.
• Con sectores defectuosos recálcula o aborta el
hashing.
• Rellena el sector que falla con un valor
especificado y sigue al hash con estos valores de
reemplazo insertados.
• Permite realizar un borrado seguro de los discos
cuando sea necesario “esterilizar” el material del
laboratorio

Clonado: HardCopy II
 En las intervenciones normalmente
encontramos dispositivos en funcionamiento.
 Pero no debemos desestimar ningún dispositivo
que pueda contener información relevante por
estar defectuoso.
 Tenemos disponibles recursos de recuperación
de datos para la mayoría de averías que se
presentan.
 ¡Incluidas las intencionadas!

Discos Duros defectuosos

Disco Duro
• Es un dispositivo compuesto
por partes mecánicas,
electrónicas,
electromagnéticas y
digitales.
• Ante una avería
intencionada o no,
cualquiera de estas partes
se puede reparar con el
objetivo de recuperar la
información almacenada.
Averías más comunes y porcentaje de
éxito en su recuperación
• Cabezas rotas o desmagnetizadas
• Paradas de motor.
• Fallos en bloque mecánico.
• Platos magnéticos contaminados.

Todas esta averías necesitan

de la apertura del soporte en
cámara limpia en un
laboratorio especializado

Averías Mecánicas
• Circuitos integrados
quemados debidos a
sobretensiones
• Cortocircuitos
Estas averías se reparan
sustituyendo los
componentes dañados.
Pueden llevar asociados
problemas en el Firmware

Averías Electrónicas
En los platos hay una zona llamada System Area que el
microprocesador de la placa del disco utiliza para operar
en la unidad.
En ella se almacena el Firmware, la información
SMART, las tablas de sectores defectuosos, las tablas
de configuración del disco, el password, etc.
Si un disco tiene daños en la System Area queda
inutilizado.
Estas averías se solucionan reprogramando el
firmware del disco con herramientas que se
comunican con el HD a bajo nivel.

Averías en el Firmware
 Geometría del Disco Duro
• Pistas: Sucesión de bits en rutas circulares formadas por
sectores contiguos.
• Cilindros: Serie de pistas alineadas verticalmente.
• Sectores: Unidad más pequeña de almacenamiento del disco.
• Clusters: Mínimo espacio en disco que es posible asignar a un
archivo.
• FAT: Tabla de asignación de archivos. Se encarga de controlar
los clústeres que se asignan.
 • Pérdida de FAT Estas averías se
• Sectores solucionan mediante
Defectuosos
• Archivos borrados
herramientas software
• Soportes de recuperación de
Formateados datos

Averías Lógicas
Actualmente conviven en
el mercado un sinfín de herramientas
de recuperación de datos, tanto de
carácter general como especifico.

Estas herramientas aprovechan la

geometría del disco para recuperar la
información.

Averías Lógicas
 • Gestores de Correo:
Outlook, Outlook Express,
Thuderbird, Eudora,
Exchange, Lotus Notes
• Emails Web: Hotmail, Gmail,
Yahoo. Etc.
• Exploradores: Internet
Explorer, Firefox, Google
Chrome, Safari.

Recuperación de Correo Electrónico

 Una vez adquiridos los datos necesitamos
analizarlos, para ello existen diferentes
herramientas de Sofware Forense:

• EnCase Forensics
• Access Data
• WinHex
• Helix

Analisis de las Evidencias

• Copiado Comprimido de Discos Fuente.
• Búsqueda y Análisis de Múltiples partes de archivos
adquiridos
• Varios Campos de Ordenamiento, Incluyendo Estampillas de
tiempo
• Análisis Compuesto del Documento
• Búsqueda Automática y Análisis de archivos de tipo Zip y
Attachments de E-Mail.
• Firmas de archivos, Identificación y Análisis.
• Análisis Electrónico Del Rastro De Intervención
• Soporte de Múltiples Sistemas de Archivo
• Vista de archivos y otros datos en el espacio Unallocated
• Integración de Reportes
• Visualizador Integrado de imágenes con Galería

EnCase: El estándar de Analisis Forense

 Problemática
Actual

Presentación de Resultados
¿Y si presentamos las pruebas “en caliente”?
Shadow puede ser un medio eficaz para
presentar las pruebas de forma visual al
tiempo que el investigador las explica.

Todos estamos familiarizados con el

entorno gráfico de un sistema operativo.

Jueces, jurados o defensa ven qué ha

ocurrido directamente sobre el ordenador
sospechoso sin alterar ninguna evidencia.

Presentación de Resultados
Esterilización del Material
Una vez terminada la investigación
es necesario esterilizar el material
utilizado para no dejar restos en los
discos que utilizaremos en
siguientes investigaciones.

Hardcopy II Permite realizar un

borrado seguro y rápido de los
discos cuando sea necesario
“esterilizar” el material del
laboratorio
Hasta aquí ha llegado nuestro proceso
de análisis forense.

Recuerden

ADM