SlideShare una empresa de Scribd logo

Curso forensics power_tools

P
psanchezcordero

Contiene las diapositivas sobre las mejores herramientas forenses y como montar un laboratorio forense.

Tecnología
1 de 52
CASOS Descubre poderosas herramientas para la PRACTICOS adquisición, preservación y análisis Pedro Sánchez Conexión Inversa 1
Pedro Sánchez Consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de Investigación Tecnológica de la policía nacional (BIT). He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación Nato Secret, dando conferencias en NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia Soy miembro de la Spanish Honeynet Project, fundador de ConexiónInversa , consultor en Google y Bitdefender y soy Perito Judicial Informático.
Pedro Sánchez
Agenda 1.- Iniciando un análisis forense 3.- La memoria – Comandos – ptfinder – FTK Imager – Pagefile.sys – DumpIT – Volatility – Memorizer – RedLine – CD Live 4.- Analizando la red – Clonadoras – Tshark - WireShark – Integridad – Network Miner – NetWitness 2.- Analizando datos – Artefactos 5.- El laboratorio Forense – RegRipper – WFA – WRR – WinprefetchView – Web Historian 4
Un mundo lleno de herramientas ¿Las necesitamos? • Cuando hacemos una pericial tenemos que disponer de un conjunto de recursos que garanticen la evidencia a través de una o varias pruebas. • Pretende resolver: – La investigación del fraude digital – Dar respuesta forense a incidentes corporativos – La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos para litigios, negociaciones o arbitrajes – La elaboración y defensa de periciales y contra periciales como expertos independientes – La prevención y la gestión informático-forense de riesgos corporativos y gubernamentales en entornos digitales • Las herramientas son un instrumento de ayuda, nunca la solución a nuestra investigación.
1 Iniciando un análisis forense 6
El misterioso caso de winreg Los pasos- Adquisición y clonado • nc -L -p 7777 >datos_listener.txt – Tras establecer el listener en la maquina remota, podemos pasarle información a través de la red desde la maquina sospechosa de haber sido comprometida: • Código: – tlist.exe -c |nc <ip_remota> 7777 -w 5 tlist.exe -t |nc <ip_remota> 7777 -w 5 tlist.exe -s |nc <ip_remota> 7777 -w 5 netstat -naob |nc <ip_remota> 7777 -w 5 – tcpvcon -can |nc <ip_remota> 7777 -w 5 • Fecha y hora actual del sistema: – Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt • Uptime de la maquina: – (systeminfo | find “Boot Time”) >%DIR%uptime.txt – ipconfig /all >%DIR%ipconfigNICs.txt netstat -rn >%DIR%TablaEnrutamiento.txt nbtstat -c >%DIR%CacheNombresNetbios.txt • Arbol de procesos en ejecución (SysInternals): – pslist -t >%DIR%ArbolProcesos.txt • Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger: – listdlls >%DIR%DLLs.txt – handle -a >%DIR%handles.txt 7
El misterioso caso de winreg Los pasos- Adquisición y clonado • Volcados por fallo configurando el SO para crear un volcado de memoria completa de Windows (también conocida como pantalla azul o kernel panic) • Volcado LiveKD por uso de herramientas • Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede analizar y descomprimidos para obtener la imagen de memoria. • MoonSols DumpIt es una fusión de win32dd y win64dd en un ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual. DumpIt es la utilidad perfecta para desplegar en una llave USB para una rápida operación de respuesta a incidentes. Rápido, pequeño y portátil. 8
El misterioso caso de winreg Los pasos- Adquisición y clonado 9
El misterioso caso de winreg Los pasos- Adquisición y clonado 10
El misterioso caso de winreg Los pasos- CLONADO • Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o sectores defectuosos. • Existen múltiples formas y herramientas – Por software • DD • Live CD • OSForensics • EnCase – Por Hardware • Clonadoras 11
El misterioso caso de winreg Los pasos- CLONADO 12
El misterioso caso de winreg Los pasos- CLONADO 13
El misterioso caso de winreg Los pasos- CLONADORES DE DISCO 14
El misterioso caso de winreg Los pasos- CLONADORES DE DISCO • Clonadores por harware • Rapidez, eficacia, sencillez, no intrusivo • El coste de estas herramientas es muy alto de base (hasta 20.000€) 15
El misterioso caso de winreg Los pasos- INTEGRIDAD 16
El misterioso caso de winreg Resultados –Disponemos de datos volátiles –Disponemos del disco –Disponemos de huellas 17
2 Análisis de datos Artefactos de Windows 18
Análisis de datos Montando discos 19
Análisis de datos Artefactos de Windows • Son los diferentes ficheros, cadenas de registro, rutas de acceso y configuraciones que pueden determinar la actividad de un malware o de un usuario malicioso, así como las evidencias necesarias para una prueba. 20
Análisis de datos Artefactos de Windows • El editor del registro no muestra solo la estructura local, existen varias claves y subclaves que están almacenadas sobre ficheros en el disco duro. Estos ficheros son llamados 'hives'. • El sistema a estos ficheros 'los mima' estableciendo copias de seguridad para su posterior utilización en caso de que el sistema falle en el inicio del sistema operativo.Las claves del registro que se asocian a los 'hives' son HKLM y HKU. 21
Análisis de datos Artefactos de Windows ¡¡ Mama quiero ser perito!! http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html 22
Análisis de datos Artefactos de Windows 23
Análisis de datos Artefactos de Windows 24
Análisis de datos Artefactos de Windows 25
Análisis de datos Artefactos de Windows 26
Análisis de datos Artefactos de Windows 27
3 Análisis de datos La memoria 28
Análisis de datos La memoria - RAM 29
Análisis de datos La memoria -Pagefile Strings pagefile.sys > pagefile.txt • findstr "password" pagefile.txt > passwd.txt • findstr “net user" pagefile.txt > netuser.txt • findstr /C:"reg add" pagefile.txt > reg.txt • findstr "UPDATE" pagefile.txt • findstr "ipconfig" pagefile.txt • findstr "html" pagefile.txt > dochtml.htm • findstr "msnmsgr" pagefile.txt > messenger.htm 30
Análisis de datos La memoria - ptfinder • ptfinder_w2003.pl --nothreads --dotfile Mifichero.dot 2K3FURootkit.DMP 31
Análisis de datos VOLATILITY VOLATILITY 32
Análisis de datos VOLATILITY • Detalles de la imagen (fecha, hora, número de CPU) • Los procesos en ejecución • Proceso de SID y variables de entorno • Conexiones de red • DLLs cargados para cada proceso • Los objetos del kernel / (archivos, claves, exclusiones mutuas) • Los módulos del kernel • Volcado de cualquier proceso, DLL o módulo en el disco • Mapeo físicas a las direcciones virtuales • Memoria direccionable para cada proceso • Mapas de memoria para cada proceso • Extraer muestras ejecutables • Historias de comandos (cmd.exe) y datos de consola de entrada / salida • PE información de versión • Las tablas del sistema de llamada • Secciones del Registro • Volcado LM / NTLM hashes y secretos LSA • Ayudar al usuario y exploración shimcache • Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria • Analizar tiempos del núcleo y funciones de devolución de llamada • Informe sobre los servicios de Windows 33
34
Análisis de datos VOLATILITY 35
Análisis de datos RedLine 36
Análisis de datos RedLine RedLine 37
4 Análisis de datos La red 38
Análisis de datos en red Tshark - Wireshark 39
Análisis de datos en red Tshark - Wireshark 40
Análisis de datos en red Network Miner 41
Análisis de datos en red NetWitness 42
5 El laboratorio Forense 43
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Un laboratorio se compone de: – Personas – Ubicación física segura – Dispositivos y medios de extracción – Dispositivos de explotación – Dispositivos de aseguramiento de la prueba – Procedimientos que regulan la actuación del laboratorio – Procedimientos normativos 44
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Director de laboratorio • Director Técnico • Personal especializado (de 2 a 5 personas) • Coordinación con notario especializado en delitos telemáticos • Apoyo jurídico técnico referente a la probática del laboratorio. • Formación: • Especialistas en seguridad • Capacidad investigadora • Resolutivos en tiempo • Formación académica en técnicas forenses • Con conocimientos en pericias judiciales • ¿Certificaciones? 45
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ubicación física • Edificio seguro o zonas estancas con vigilancia • Vigilancias física: – Guardia de seguridad – Registro de entradas y salidas – Entrada al recinto de alta seguridad por personal autorizado – Cámaras de video vigilancia – Volumetricos – Circuitos de aire frio/calientee – S3 – Control externo • Le afecta la misma norma que un CPD 46
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Dispositivos • Segregación de entornos – Entorno de test – Entorno de producción • El entorno de test no es valido para la prueba pericial, salvo que contenga las mismas medidas que el de producción • Elementos homologados y procedimentados – Clonadoras – Dispositivos de almacenamiento – Dispositivos de extracción – Generación y almacenamiento seguro de huellas – Tercero de confianza 47
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Procedimientos • Segregación de entornos – Entorno de test – Entorno de producción • Política de entrada y salida del laboratorio • Gestión de personal o usuarios • Gestión de la seguridad física • Gestión de la seguridad lógica • Política de mesas limpias • Política de gestión de dispositivos y dispositivos de backup. • Política de obtención de información y almacenamiento seguro – Recuperación local de datos – Recuperación remota de datos – Aseguramiento de la información en transito • Política de cadena de custodia • Política de gestión de custodios • Gestión de incidencias del laboratorio – Aviso a proveedores – Recuperación local de datos – Recuperación remota de datos • Continuidad de negocio 48
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Normativo • Debe de ser seguro e incluido dentro del alcance de un SGSI. • Le afecta la LOPD intensamente Amenazas Humanas Naturaleza No Intencionales intencionales Internas Externas 49
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Infraestructura • Preferiblemente: – Zona cero – Clonadoras • De discos • De discos de alta capacidad • De dispositivos móviles – Almacenamiento de huellas en caja cerrada – Posibilidad de software con tercero de confianza – Software homologado – Hardware homologado – Entorno de extracción con vitalización – Registros de salidas en entornos estancos – Infraestructura segura de transporte hasta el juzgado o cliente. 50
Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ciclo de vida 51
www.conexioninversa.com http://conexioninversa.blogspot.com pedro.sanchez@conexioninversa.com 52 https://twitter.com/ConexionInversa http://www.youtube.com/user/mspedromspedro

Recomendados

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
Informatica forense 3
Informatica forense 3Informatica forense 3
Informatica forense 3kirian urueta
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 

Recomendados

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
Informatica forense 3
Informatica forense 3Informatica forense 3
Informatica forense 3kirian urueta
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxMario Alberto Parra Alonso
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
DUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasDUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasEventos Creativos
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Johntheripper
JohntheripperJohntheripper
JohntheripperAlberto Pretto
 
Johntheripper
JohntheripperJohntheripper
JohntheripperOrlando Carrasco
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
Forence
ForenceForence
Forence5124042
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiPancho Bbg
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIRMarcos Fuentes
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIng. Inf. Karina Bajana Mendoza
 

Más contenido relacionado

La actualidad más candente

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxMario Alberto Parra Alonso
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
DUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasDUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasEventos Creativos
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 

La actualidad más candente (8)

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
DUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balasDUST: Sistemas RSS a prueba de balas
DUST: Sistemas RSS a prueba de balas
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajo
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 

Similar a Curso forensics power_tools

Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiPancho Bbg
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIRMarcos Fuentes
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01Hermes Abanto
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador ForenseFiko Perez
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013NPROS Perú
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 

Similar a Curso forensics power_tools (20)

Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Forence
ForenceForence
Forence
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01Procesamientodedatos 110215194725-phpapp01
Procesamientodedatos 110215194725-phpapp01
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador Forense
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013Curso de Cómputo Forense 2013
Curso de Cómputo Forense 2013
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 

Último (11)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Curso forensics power_tools

  • 1. CASOS Descubre poderosas herramientas para la PRACTICOS adquisición, preservación y análisis Pedro Sánchez Conexión Inversa 1
  • 2. Pedro Sánchez Consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de Investigación Tecnológica de la policía nacional (BIT). He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación Nato Secret, dando conferencias en NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia Soy miembro de la Spanish Honeynet Project, fundador de ConexiónInversa , consultor en Google y Bitdefender y soy Perito Judicial Informático.
  • 4. Agenda 1.- Iniciando un análisis forense 3.- La memoria – Comandos – ptfinder – FTK Imager – Pagefile.sys – DumpIT – Volatility – Memorizer – RedLine – CD Live 4.- Analizando la red – Clonadoras – Tshark - WireShark – Integridad – Network Miner – NetWitness 2.- Analizando datos – Artefactos 5.- El laboratorio Forense – RegRipper – WFA – WRR – WinprefetchView – Web Historian 4
  • 5. Un mundo lleno de herramientas ¿Las necesitamos? • Cuando hacemos una pericial tenemos que disponer de un conjunto de recursos que garanticen la evidencia a través de una o varias pruebas. • Pretende resolver: – La investigación del fraude digital – Dar respuesta forense a incidentes corporativos – La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos para litigios, negociaciones o arbitrajes – La elaboración y defensa de periciales y contra periciales como expertos independientes – La prevención y la gestión informático-forense de riesgos corporativos y gubernamentales en entornos digitales • Las herramientas son un instrumento de ayuda, nunca la solución a nuestra investigación.
  • 7. El misterioso caso de winreg Los pasos- Adquisición y clonado • nc -L -p 7777 >datos_listener.txt – Tras establecer el listener en la maquina remota, podemos pasarle información a través de la red desde la maquina sospechosa de haber sido comprometida: • Código: – tlist.exe -c |nc <ip_remota> 7777 -w 5 tlist.exe -t |nc <ip_remota> 7777 -w 5 tlist.exe -s |nc <ip_remota> 7777 -w 5 netstat -naob |nc <ip_remota> 7777 -w 5 – tcpvcon -can |nc <ip_remota> 7777 -w 5 • Fecha y hora actual del sistema: – Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt • Uptime de la maquina: – (systeminfo | find “Boot Time”) >%DIR%uptime.txt – ipconfig /all >%DIR%ipconfigNICs.txt netstat -rn >%DIR%TablaEnrutamiento.txt nbtstat -c >%DIR%CacheNombresNetbios.txt • Arbol de procesos en ejecución (SysInternals): – pslist -t >%DIR%ArbolProcesos.txt • Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger: – listdlls >%DIR%DLLs.txt – handle -a >%DIR%handles.txt 7
  • 8. El misterioso caso de winreg Los pasos- Adquisición y clonado • Volcados por fallo configurando el SO para crear un volcado de memoria completa de Windows (también conocida como pantalla azul o kernel panic) • Volcado LiveKD por uso de herramientas • Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede analizar y descomprimidos para obtener la imagen de memoria. • MoonSols DumpIt es una fusión de win32dd y win64dd en un ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual. DumpIt es la utilidad perfecta para desplegar en una llave USB para una rápida operación de respuesta a incidentes. Rápido, pequeño y portátil. 8
  • 9. El misterioso caso de winreg Los pasos- Adquisición y clonado 9
  • 10. El misterioso caso de winreg Los pasos- Adquisición y clonado 10
  • 11. El misterioso caso de winreg Los pasos- CLONADO • Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o sectores defectuosos. • Existen múltiples formas y herramientas – Por software • DD • Live CD • OSForensics • EnCase – Por Hardware • Clonadoras 11
  • 12. El misterioso caso de winreg Los pasos- CLONADO 12
  • 13. El misterioso caso de winreg Los pasos- CLONADO 13
  • 14. El misterioso caso de winreg Los pasos- CLONADORES DE DISCO 14
  • 15. El misterioso caso de winreg Los pasos- CLONADORES DE DISCO • Clonadores por harware • Rapidez, eficacia, sencillez, no intrusivo • El coste de estas herramientas es muy alto de base (hasta 20.000€) 15
  • 16. El misterioso caso de winreg Los pasos- INTEGRIDAD 16
  • 17. El misterioso caso de winreg Resultados –Disponemos de datos volátiles –Disponemos del disco –Disponemos de huellas 17
  • 18. 2 Análisis de datos Artefactos de Windows 18
  • 20. Análisis de datos Artefactos de Windows • Son los diferentes ficheros, cadenas de registro, rutas de acceso y configuraciones que pueden determinar la actividad de un malware o de un usuario malicioso, así como las evidencias necesarias para una prueba. 20
  • 21. Análisis de datos Artefactos de Windows • El editor del registro no muestra solo la estructura local, existen varias claves y subclaves que están almacenadas sobre ficheros en el disco duro. Estos ficheros son llamados 'hives'. • El sistema a estos ficheros 'los mima' estableciendo copias de seguridad para su posterior utilización en caso de que el sistema falle en el inicio del sistema operativo.Las claves del registro que se asocian a los 'hives' son HKLM y HKU. 21
  • 22. Análisis de datos Artefactos de Windows ¡¡ Mama quiero ser perito!! http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html 22
  • 28. 3 Análisis de datos La memoria 28
  • 29. Análisis de datos La memoria - RAM 29
  • 30. Análisis de datos La memoria -Pagefile Strings pagefile.sys > pagefile.txt • findstr "password" pagefile.txt > passwd.txt • findstr “net user" pagefile.txt > netuser.txt • findstr /C:"reg add" pagefile.txt > reg.txt • findstr "UPDATE" pagefile.txt • findstr "ipconfig" pagefile.txt • findstr "html" pagefile.txt > dochtml.htm • findstr "msnmsgr" pagefile.txt > messenger.htm 30
  • 31. Análisis de datos La memoria - ptfinder • ptfinder_w2003.pl --nothreads --dotfile Mifichero.dot 2K3FURootkit.DMP 31
  • 32. Análisis de datos VOLATILITY VOLATILITY 32
  • 33. Análisis de datos VOLATILITY • Detalles de la imagen (fecha, hora, número de CPU) • Los procesos en ejecución • Proceso de SID y variables de entorno • Conexiones de red • DLLs cargados para cada proceso • Los objetos del kernel / (archivos, claves, exclusiones mutuas) • Los módulos del kernel • Volcado de cualquier proceso, DLL o módulo en el disco • Mapeo físicas a las direcciones virtuales • Memoria direccionable para cada proceso • Mapas de memoria para cada proceso • Extraer muestras ejecutables • Historias de comandos (cmd.exe) y datos de consola de entrada / salida • PE información de versión • Las tablas del sistema de llamada • Secciones del Registro • Volcado LM / NTLM hashes y secretos LSA • Ayudar al usuario y exploración shimcache • Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria • Analizar tiempos del núcleo y funciones de devolución de llamada • Informe sobre los servicios de Windows 33
  • 34. 34
  • 35. Análisis de datos VOLATILITY 35
  • 36. Análisis de datos RedLine 36
  • 37. Análisis de datos RedLine RedLine 37
  • 38. 4 Análisis de datos La red 38
  • 39. Análisis de datos en red Tshark - Wireshark 39
  • 40. Análisis de datos en red Tshark - Wireshark 40
  • 41. Análisis de datos en red Network Miner 41
  • 42. Análisis de datos en red NetWitness 42
  • 44. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Un laboratorio se compone de: – Personas – Ubicación física segura – Dispositivos y medios de extracción – Dispositivos de explotación – Dispositivos de aseguramiento de la prueba – Procedimientos que regulan la actuación del laboratorio – Procedimientos normativos 44
  • 45. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Director de laboratorio • Director Técnico • Personal especializado (de 2 a 5 personas) • Coordinación con notario especializado en delitos telemáticos • Apoyo jurídico técnico referente a la probática del laboratorio. • Formación: • Especialistas en seguridad • Capacidad investigadora • Resolutivos en tiempo • Formación académica en técnicas forenses • Con conocimientos en pericias judiciales • ¿Certificaciones? 45
  • 46. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ubicación física • Edificio seguro o zonas estancas con vigilancia • Vigilancias física: – Guardia de seguridad – Registro de entradas y salidas – Entrada al recinto de alta seguridad por personal autorizado – Cámaras de video vigilancia – Volumetricos – Circuitos de aire frio/calientee – S3 – Control externo • Le afecta la misma norma que un CPD 46
  • 47. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Dispositivos • Segregación de entornos – Entorno de test – Entorno de producción • El entorno de test no es valido para la prueba pericial, salvo que contenga las mismas medidas que el de producción • Elementos homologados y procedimentados – Clonadoras – Dispositivos de almacenamiento – Dispositivos de extracción – Generación y almacenamiento seguro de huellas – Tercero de confianza 47
  • 48. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Procedimientos • Segregación de entornos – Entorno de test – Entorno de producción • Política de entrada y salida del laboratorio • Gestión de personal o usuarios • Gestión de la seguridad física • Gestión de la seguridad lógica • Política de mesas limpias • Política de gestión de dispositivos y dispositivos de backup. • Política de obtención de información y almacenamiento seguro – Recuperación local de datos – Recuperación remota de datos – Aseguramiento de la información en transito • Política de cadena de custodia • Política de gestión de custodios • Gestión de incidencias del laboratorio – Aviso a proveedores – Recuperación local de datos – Recuperación remota de datos • Continuidad de negocio 48
  • 49. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Normativo • Debe de ser seguro e incluido dentro del alcance de un SGSI. • Le afecta la LOPD intensamente Amenazas Humanas Naturaleza No Intencionales intencionales Internas Externas 49
  • 50. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Infraestructura • Preferiblemente: – Zona cero – Clonadoras • De discos • De discos de alta capacidad • De dispositivos móviles – Almacenamiento de huellas en caja cerrada – Posibilidad de software con tercero de confianza – Software homologado – Hardware homologado – Entorno de extracción con vitalización – Registros de salidas en entornos estancos – Infraestructura segura de transporte hasta el juzgado o cliente. 50
  • 51. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ciclo de vida 51
  • 52. www.conexioninversa.com http://conexioninversa.blogspot.com pedro.sanchez@conexioninversa.com 52 https://twitter.com/ConexionInversa http://www.youtube.com/user/mspedromspedro