Tag Archive | "Informatica Forense"

Análisis forense de elementos enviados a la papelera de reciclaje

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

  • Windows 95/98/ME en “C:\Recycled\”
  • Windows NT/2000/XP/ en “C:\Recycler\”

Un ejemplo en de la estructura en un Windows XP con dos usuarios:
C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500
Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.
Ejemplo:
Entramos en la carpeta de usuario en la ruta “C:\RECYCLER”.
C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>
Y ejecutamos rifiuti:
rifiuti INFO2>e:\analisis.txt
Y el resultado se genera en el archivo “analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.
Rifiuti también esta disponible para Linux.
Más información y descarga de rifiuti:

http://www.foundstone.com/us/resources/proddesc/rifiuti.htm

Fuente: http://vtroger.blogspot.com/2008/07/anlisis-forense-de-elementos-borrados_14.html

Posted in Informatica ForenseComments (0)

Delitos tecnológicos: la investigación de escenarios

Buenas,

Sobre el análisis forense hay mucho material, y muy bueno, pero si hacemos un recuento de los materiales libres o gratuítos, la lista se vuelve más pequeña.

Es por esto que traigo a portada la disponibilidad de un informe especial del National Institute of Justice, un órgano dependiente del Departamento de Justicia norteamericano, ente que, al igual que otras agencias similares, suele publicar periódicamente informes para la consulta de los interesados.

El libro se titula Electronic Crime Scene Investigation: A Guide for First Responders, y su descarga en formato PDF es gratuíta. Consta de los siguientes apartados:

* Introducción
* Tipos de dispositivos electrónicos
* Herramientas y equipo de investigación
* Aseguramiento y evaluación de la escena del crimen
* Descripción de la escena
* Recolección de evidencias
* Empaquetado, transporte y almacenamiento de evidencias digitales
* Delitos tecnológicos y pruebas digitales, en función del tipo de crimen

Una lectura interesante, y no excesivamente profunda. Visto en el blog de Xavi

Fuente: http://www.sahw.com/wp/archivos/2008/06/16/delitos-tecnologicos-la-investigacion-de-escenarios/

Posted in Informatica ForenseComments (0)

¿Qué es la informática forense o Forensic?

Por Elena Pérez Gómez, socia de la firma de abogados Sánchez-Crespo Abogados y Consultores, empresa colaboradora de Argenta Comunicación
El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense –sus usos y objetivos- adquiere cada vez mayor trascendencia.¿En qué consiste esta técnica relativamente reciente?
La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

Informática Forense o Forensic

¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.

¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas.

¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

Read the full story

Posted in Informatica ForenseComments (0)

Recolección de evidencias forenses sistema vivo.

Con la herramienta Evidence Collector se puede hacer una recolección de evidencias forenses en sistema vivo de la plataforma Windows, de una forma muy rápida. Es ideal para un primer análisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados.

Con esta herramienta podemos extraer las siguientes evidencias:

  • Información de sistema: Usuarios, IP y MAC .
  • Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
  • Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
  • Software instalados: Listado del software instalado en la maquina.
  • Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
  • Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
  • Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
  • Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
  • Seguimiento de proceso: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
  • Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
  • Módulos sospechosos: Explora módulos en busca rootkit.
  • Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
  • Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.

Read the full story

Posted in Informatica ForenseComments (0)


Patrocinadores