El documento describe los procedimientos y tipos de análisis que se pueden realizar en evidencia digital, incluyendo el análisis de línea de tiempo, palabras clave, valores hash, malware, registros y más. Explica que la infraestructura a analizar puede incluir discos duros, documentación, logs de seguridad, firewalls, software y más. Finalmente, enumera varias herramientas populares para el análisis de discos duros, correos electrónicos, dispositivos móviles, redes y tráfico de red.
2. Para el análisis de evidencias digitales, hay algunos
procedimientos a seguir que dependen, en gran
medida, del tipo de escenario que fue diseñado
antes, o del tipo de evidencia que se solicita.
Algunos de los análisis que se pueden realizar son:
● Definición de una línea de tiempo
● Análisis de palabras clave
● Análisis de los encabezados de los archivos
● Análisis de los valores hash
3. ● Análisis de la información oculta o borrada
● Análisis de Malware (por ejemplo, rootkits, troyanos, spyware,
etc.)
● Análisis de los procesos
● Análisis de Registros
● Análisis del sistema de registro
● Esteganografía
● Análisis de correo electrónico
● Análisis de páginas web
● Análisis de la modificación de la información
4. Información a Analizar
La infraestructura informática que puede ser analizada puede
ser toda aquella que tenga una Memoria (informática), por lo que
se pueden analizar los siguientes dispositivos:
● Disco duro de una Computadora o Servidor
● Documentación referida del caso.
● Logs de seguridad.
● Información de Firewalls
● IP, redes
● Software de monitoreo y seguridad
5. ● Credenciales de autenticación
● Trazo de paquetes de red.
● Teléfono Móvil o Celular, parte de la telefonía celular
● Agendas Electrónicas (PDA)
● Dispositivos de GPS.
● Impresora
● Memoria USB
6. Análisis
● Es el proceso de aplicar técnicas científicas y analíticas a los
medios para poder encontrar pruebas de ciertas conductas.
● Se pueden realizar búsquedas de cadenas de caracteres, acciones
específicas del o de los usuarios de la máquina como son el uso de
dispositivos de USB (marca, modelo), búsqueda de archivos
específicos, recuperación e identificación de correos electrónicos,
recuperación de los últimos sitios visitados, recuperación del caché
del navegador de Internet, etc.
7. Herramientas Para el Análisis de Discos
Duros
● AccessData Forensic ToolKit (FTK)
● Guidance Software EnCase
8. Herramientas Para el Análisis de Correos
Electrónicos
● Paraben
● AccessData Forensic ToolKit (FTK)
9. Herramientas para el análisis de
dispositivos móviles
● AccessData Mobile Phone Examiner Plus
(MPE+)
10. Herramientas para el análisis de redes
● E-Detective - Decision Computer Group
● SilentRunner - AccessData
11. Herramientas para Filtrar y Monitorear el
Tráfico de Una Red Tanto Interna Como a
Internet
● USBDeview
● SilentRunner - AccessData