SlideShare una empresa de Scribd logo

Analisis forense

C
cyberlocos

Este documento presenta una introducción al análisis forense. La agenda incluye introducción, metodología y procedimientos, herramientas, un caso de estudio y un reto de análisis forense. Se describen conceptos como evidencia, cadena de custodia e imágenes. También se explican pasos como la adquisición de evidencias, identificación de particiones y sistemas operativos, y el análisis de artefactos.

Educación
1 de 34
Descargar para leer sin conexión
Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net Análisis Forense, Auditorías y Detección de Intrusiones - ©1 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©2 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
¿ Que és un Análisis Forense ? • “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999 Análisis Forense, Auditorías y Detección de Intrusiones - ©3 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
En busca de respuestas... • ¿ Qué sucedió ? • ¿ Donde ? • ¿ Cuándo ? • ¿ Por qué ? • ¿ Quién ? • ¿ Cómo ? Análisis Forense, Auditorías y Detección de Intrusiones - ©4 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
Algunos conceptos • Evidencia • Cadena de custodia • Archivo de hallazgos • Línea de tiempo • Imágenes • Comprobación de integridad – Hash Análisis Forense, Auditorías y Detección de Intrusiones - ©5 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
¿ Preservar o salvar ? Análisis Forense, Auditorías y Detección de Intrusiones - ©6 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
Se busca “vivo o muerto” • Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros • Sistema “muerto” – Almacenamiento • Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones) Análisis Forense, Auditorías y Detección de Intrusiones - ©7 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©8 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
Metodología • Verificación y descripción del incidente • Adquisición de evidencias • Obtención de imagenes de las evidencias • Análisis inicial • Creación y análisis de la línea de tiempo • Análisis específico y recuperación de datos • Análisis de datos y cadenas • Generación del informe Análisis Forense, Auditorías y Detección de Intrusiones - ©9 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
Creación del archivo de hallazgos • Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense • Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado Análisis Forense, Auditorías y Detección de Intrusiones - ©10 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
Recepción de la Imagen de datos • Consiste en la recepción de las imágenes de datos a investigar. • Clonación de las imágenes. • Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©11 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
Identificación de las particiones • En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. • Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. Análisis Forense, Auditorías y Detección de Intrusiones - ©12 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
Identificación SO y aplicaciones • En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©13 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
Revisión de código malicioso • Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©14 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
Recuperación archivos • Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivos Análisis Forense, Auditorías y Detección de Intrusiones - ©15 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
Primera Clasificación de Archivos • Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido. • Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada. • Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) • Archivos extensión modificada. La extensión no corresponde con su contenido. Análisis Forense, Auditorías y Detección de Intrusiones - ©16 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
Segunda Clasificación de archivos • Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. Análisis Forense, Auditorías y Detección de Intrusiones - ©17 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
Analizar los archivos • Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar. Análisis Forense, Auditorías y Detección de Intrusiones - ©18 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
Análisis de artefactos • Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema. • Tipos de análisis: – Comportamiento – Código o contenido Análisis Forense, Auditorías y Detección de Intrusiones - ©19 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
Línea de tiempo • Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©20 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
Informe • En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – Anexos Análisis Forense, Auditorías y Detección de Intrusiones - ©21 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©22 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
Herramientas • Aplicaciones comerciales: – Encase • Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc. • La herramienta más importante es: Análisis Forense, Auditorías y Detección de Intrusiones - ©23 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©24 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©25 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
III Reto de Análisis Forense • SSOO Win2003 server en partición de 5 GB • Direccionamiento IP privado (no homologado) • Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. • Standalone • Apache+PHP+MySQL • PostgreSQL • DNS • Compartición de archivos • 2 cuentas de administración y 5 de usuarios sin privilegios • WebERP Análisis Forense, Auditorías y Detección de Intrusiones - ©26 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
Descarga y comprobación imagen • Bajar la imagen • Descomprimirla • Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img Análisis Forense, Auditorías y Detección de Intrusiones - ©27 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
Montaje de la imagen • Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z: Análisis Forense, Auditorías y Detección de Intrusiones - ©28 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
Recogida de datos • Recogida de datos del sistema en: %systemroot%system32config • con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT Análisis Forense, Auditorías y Detección de Intrusiones - ©29 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
Inicios de sesión • INICIOS DE SESION* *Fuente: Microsoft technet http://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=true Análisis Forense, Auditorías y Detección de Intrusiones - ©30 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
Logs • LOGS (%systemroot%system32config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt • Aplicación: Visor de sucesos (eventvwr.msc) Análisis Forense, Auditorías y Detección de Intrusiones - ©31 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
Perfil de usuario • Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat • Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza. Análisis Forense, Auditorías y Detección de Intrusiones - ©32 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
Histórico de navegación • Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txt Análisis Forense, Auditorías y Detección de Intrusiones - ©33 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
Referencias • “Helix Live CD”, e-fense URL: http://www.e-fense.com/helix/ • “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits • “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net • “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/ • “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/ • “Windows Forensic Toolchest”, Fool Moon Software & Security URL: Análisis Forense, Auditorías y Detección de Intrusiones - ©34 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José

Recomendados

Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Alonso Caballero
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
lucosa
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Workshop de datos científicos. Introducción
Workshop de datos científicos. IntroducciónWorkshop de datos científicos. Introducción
Workshop de datos científicos. Introducción
Fernando-Ariel Lopez
 

Recomendados

Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Curso de Especialización: Investigacion de la Escena del Delito e Infografia ...
Alonso Caballero
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
lucosa
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Workshop de datos científicos. Introducción
Workshop de datos científicos. IntroducciónWorkshop de datos científicos. Introducción
Workshop de datos científicos. Introducción
Fernando-Ariel Lopez
 
La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
JonathanCovena1
 
Presentación de la historia de PowerPoint y sus características más relevantes.
Presentación de la historia de PowerPoint y sus características más relevantes.Presentación de la historia de PowerPoint y sus características más relevantes.
Presentación de la historia de PowerPoint y sus características más relevantes.
genesiscabezas469
 
La vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primariaLa vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primaria
EricaCouly1
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
VeronicaCabrera50
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Juan Martín Martín
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
Sandra Mariela Ballón Aguedo
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
Demetrio Ccesa Rayme
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBALMATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
Ana Fernandez
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
JorgeVillota6
 
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdfCronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
RicardoValdiviaVega
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
acgtz913
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
JAVIER SOLIS NOYOLA
 
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptxCONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CARMENSnchez854591
 
1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
ROCIORUIZQUEZADA
 
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docxLecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Alejandrino Halire Ccahuana
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
ViriEsteva
 
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdfInteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Demetrio Ccesa Rayme
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
ROCIORUIZQUEZADA
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
JimmyDeveloperWebAnd
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 

Más contenido relacionado

Último

La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
JonathanCovena1
 
Presentación de la historia de PowerPoint y sus características más relevantes.
Presentación de la historia de PowerPoint y sus características más relevantes.Presentación de la historia de PowerPoint y sus características más relevantes.
Presentación de la historia de PowerPoint y sus características más relevantes.
genesiscabezas469
 
La vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primariaLa vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primaria
EricaCouly1
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
VeronicaCabrera50
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Juan Martín Martín
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
Sandra Mariela Ballón Aguedo
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
Demetrio Ccesa Rayme
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBALMATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
Ana Fernandez
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
JorgeVillota6
 
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdfCronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
RicardoValdiviaVega
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
acgtz913
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
JAVIER SOLIS NOYOLA
 
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptxCONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CARMENSnchez854591
 
1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
ROCIORUIZQUEZADA
 
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docxLecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Alejandrino Halire Ccahuana
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
ViriEsteva
 
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdfInteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Demetrio Ccesa Rayme
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
ROCIORUIZQUEZADA
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
JimmyDeveloperWebAnd
 

Último (20)

La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
 
Presentación de la historia de PowerPoint y sus características más relevantes.
Presentación de la historia de PowerPoint y sus características más relevantes.Presentación de la historia de PowerPoint y sus características más relevantes.
Presentación de la historia de PowerPoint y sus características más relevantes.
 
La vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primariaLa vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primaria
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
 
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBALMATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
MATERIAL ESCOLAR 2024-2025 3 AÑOS CEIP SAN CRISTÓBAL
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
 
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdfCronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
 
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptxCONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
 
1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
 
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docxLecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
 
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdfInteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
 

Destacado

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 

Destacado (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Analisis forense

  • 1. Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net Análisis Forense, Auditorías y Detección de Intrusiones - ©1 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
  • 2. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©2 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
  • 3. ¿ Que és un Análisis Forense ? • “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999 Análisis Forense, Auditorías y Detección de Intrusiones - ©3 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
  • 4. En busca de respuestas... • ¿ Qué sucedió ? • ¿ Donde ? • ¿ Cuándo ? • ¿ Por qué ? • ¿ Quién ? • ¿ Cómo ? Análisis Forense, Auditorías y Detección de Intrusiones - ©4 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
  • 5. Algunos conceptos • Evidencia • Cadena de custodia • Archivo de hallazgos • Línea de tiempo • Imágenes • Comprobación de integridad – Hash Análisis Forense, Auditorías y Detección de Intrusiones - ©5 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
  • 6. ¿ Preservar o salvar ? Análisis Forense, Auditorías y Detección de Intrusiones - ©6 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
  • 7. Se busca “vivo o muerto” • Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros • Sistema “muerto” – Almacenamiento • Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones) Análisis Forense, Auditorías y Detección de Intrusiones - ©7 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
  • 8. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©8 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
  • 9. Metodología • Verificación y descripción del incidente • Adquisición de evidencias • Obtención de imagenes de las evidencias • Análisis inicial • Creación y análisis de la línea de tiempo • Análisis específico y recuperación de datos • Análisis de datos y cadenas • Generación del informe Análisis Forense, Auditorías y Detección de Intrusiones - ©9 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
  • 10. Creación del archivo de hallazgos • Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense • Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado Análisis Forense, Auditorías y Detección de Intrusiones - ©10 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
  • 11. Recepción de la Imagen de datos • Consiste en la recepción de las imágenes de datos a investigar. • Clonación de las imágenes. • Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©11 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
  • 12. Identificación de las particiones • En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. • Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. Análisis Forense, Auditorías y Detección de Intrusiones - ©12 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
  • 13. Identificación SO y aplicaciones • En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©13 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
  • 14. Revisión de código malicioso • Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc. Análisis Forense, Auditorías y Detección de Intrusiones - ©14 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
  • 15. Recuperación archivos • Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivos Análisis Forense, Auditorías y Detección de Intrusiones - ©15 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
  • 16. Primera Clasificación de Archivos • Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido. • Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada. • Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) • Archivos extensión modificada. La extensión no corresponde con su contenido. Análisis Forense, Auditorías y Detección de Intrusiones - ©16 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
  • 17. Segunda Clasificación de archivos • Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. Análisis Forense, Auditorías y Detección de Intrusiones - ©17 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
  • 18. Analizar los archivos • Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar. Análisis Forense, Auditorías y Detección de Intrusiones - ©18 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
  • 19. Análisis de artefactos • Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema. • Tipos de análisis: – Comportamiento – Código o contenido Análisis Forense, Auditorías y Detección de Intrusiones - ©19 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
  • 20. Línea de tiempo • Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia. Análisis Forense, Auditorías y Detección de Intrusiones - ©20 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
  • 21. Informe • En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – Anexos Análisis Forense, Auditorías y Detección de Intrusiones - ©21 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
  • 22. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©22 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
  • 23. Herramientas • Aplicaciones comerciales: – Encase • Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc. • La herramienta más importante es: Análisis Forense, Auditorías y Detección de Intrusiones - ©23 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
  • 24. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©24 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
  • 25. Agenda • Introducción • Metodología y procedimientos • Herramientas • Caso de estudio • Reto de análisis forense Análisis Forense, Auditorías y Detección de Intrusiones - ©25 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
  • 26. III Reto de Análisis Forense • SSOO Win2003 server en partición de 5 GB • Direccionamiento IP privado (no homologado) • Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. • Standalone • Apache+PHP+MySQL • PostgreSQL • DNS • Compartición de archivos • 2 cuentas de administración y 5 de usuarios sin privilegios • WebERP Análisis Forense, Auditorías y Detección de Intrusiones - ©26 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
  • 27. Descarga y comprobación imagen • Bajar la imagen • Descomprimirla • Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img Análisis Forense, Auditorías y Detección de Intrusiones - ©27 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
  • 28. Montaje de la imagen • Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z: Análisis Forense, Auditorías y Detección de Intrusiones - ©28 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
  • 29. Recogida de datos • Recogida de datos del sistema en: %systemroot%system32config • con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT Análisis Forense, Auditorías y Detección de Intrusiones - ©29 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
  • 30. Inicios de sesión • INICIOS DE SESION* *Fuente: Microsoft technet http://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=true Análisis Forense, Auditorías y Detección de Intrusiones - ©30 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
  • 31. Logs • LOGS (%systemroot%system32config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt • Aplicación: Visor de sucesos (eventvwr.msc) Análisis Forense, Auditorías y Detección de Intrusiones - ©31 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
  • 32. Perfil de usuario • Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat • Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza. Análisis Forense, Auditorías y Detección de Intrusiones - ©32 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
  • 33. Histórico de navegación • Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txt Análisis Forense, Auditorías y Detección de Intrusiones - ©33 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
  • 34. Referencias • “Helix Live CD”, e-fense URL: http://www.e-fense.com/helix/ • “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits • “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net • “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/ • “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/ • “Windows Forensic Toolchest”, Fool Moon Software & Security URL: Análisis Forense, Auditorías y Detección de Intrusiones - ©34 Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José