Este documento presenta las buenas prácticas y metodología del análisis forense de dispositivos electrónicos y malware. Describe los principios de no alterar la evidencia digital, documentar todas las acciones, y que solo profesionales forenses accedan a la información. Explica los pasos de identificación, preparación, planificación, preservación, recolección, examen y análisis de pruebas. Además, cubre temas como la recolección de datos volátiles, el estudio del malware, análisis de comportamiento
2. Buenas prácticas en el Análisis
Forense
1. Al reunir evidencia digital, las acciones tomadas no
deben cambiar por ningún motivo nada de la evidencia.
2. Cualquier persona que acceda a la información
obtenida debe ser una profesional forense.
3. Todas las actividades referentes a la recolección, el
acceso, almacenamiento o a la transferencia de las evidencias
digitales debe ser documentada, preservada y disponible para
la posterior revisión.
3. 4. Cada persona es responsable de sus propias
acciones tomadas entorno a una evidencia digital mientras la
posea.
5. Toda organización que realice un análisis forense es
responsable de cumplir estos principios.
4. Metodología forense
1. Identificación.
2. Preparación.
3. Planificación estratégica.
4. Preservación de los equipos.
5. Recogida de Pruebas.
6. Examen.
7. Análisis e identificación.
8. Documentación.
5. Identificación de un Malware
- Recolección de la Data Volátil del Sistema Afectado:
- Acceso a los recursos del sistema que el malware
consume y/o accede, llamadas a servidores DNS a
través de la red, identificación del usuario que está
usando el sistema, identificación del sistema
operativo comprometido, investigar el mapeado de
puertos, examinar los procesos en marcha,
inspeccionar ficheros abiertos, examinar servicios y
drivers
6. Estudio del Malware
- El nombre del propio proceso (PID)
- La estructura de la memoria
- Procesos hijos e hilos de ejecución,
- Invocación de librerías y dependencias
- Ciclos de actividad a través de Timeline
7. Análisis del Comportamiento
- Estático
- Program dissambly
- Dinámico
- Preparación de un entorno de ejecución controlado para hacer
debugging sobre el malware
8. Dispositivos electronicos:
Móviles
- Estudio de la tarjeta SIM :
- Proporciona información sobre los contactos, sms y historiales de
llamadas
- Estudio de la Memoria Interna y/o Externa del Teléfono
- Mayor volúmen de información, gran parte de la investigación
enfocada en esta.
9. Técnicas de Análisis Forense
sobre Móviles
- Conexión del terminal a un ordenador. Creación de una
copia de seguridad del dispositivo (tanto de la memoria
interna como externa en caso de una SD Card).
- Android: Conexión a la ADB
- Análisis del Sistema de Ficheros.
- Explotar características propias del Software del
Teléfono.
- Content Provider en Android.
10. Clasificación bibliográfica:
Bibliografía útil
Farmer, D., & Venema, W. (2005). Forensic discovery.
Carvey, H. (2009). Windows Forensic Analysis DVD Toolkit.
Malin, C. H., Casey, E., & Aquilina, J. M. (2008). Malware Forensics: Investigating and Analyzing
Malicious Code.
Garfinkel, S., Nelson, A. J., & Young, J. (2012). A general strategy for differential forensic analysis.
Digital Investigation, 9, S50–S59.
Hoog, A. (2011). Android Forensics: Investigation, Analysis and Mobile Security for Google
Android.
11. Clasificación bibliográfica:
Bibliografía menos útil
López, Ó., Amaya, H., León, R., & Acosta, B. (2001). Informática Forense: Generalidades,
aspectos técnicos y herramientas. Universidad de Los Andes.
Más, F., & Rosado, A. (n.d.). La Informática Forense: El Rastro Digital Del Crimen. Qdc (SECCIF).
Ariza, A., Ruíz, J., & Cano, J. (n.d.). iPhone 3G: Un Nuevo Reto para la Informática Forense.
Universidad Pontifica Javeriana, Bogotá-Colombia.
Agualimpia, C., & Hernández, R. (n.d.). Análisis forense en dispositivos móviles con Symbian OS.
Documento de Maestría, Dept.
Ardila, L. L. (2015). Diseño de una guía para la auditoría de análisis forense en dispositivos
móviles basados en tecnología Android para la legislación colombiana.