Adquisición de
Evidencias y Cadena de
Custodia
1.1 Identifique y describa qué elementos o dispositivos
le pueden aportar la información a la investigación
forense
• En el disco duro quedan los datos que se encuentran en la computadora.
• En el disco duro pueden hacer análisis con programas de terceros para recopilar evidencias.
• En el correo electrónico de donde se enviaron los archivos quedan las evidencias.
• Por medio del correo electrónico también podemos sustraer la dirección de IP, en caso de que no este 3 usando un programa para falsificarla.
• En el disco duro quedan los datos que se encuentran en la computadora.
• En el disco duro pueden hacer análisis con programas de terceros para recopilar evidencias.
• En el correo electrónico de donde se enviaron los archivos quedan las evidencias.
• Por medio del correo electrónico también podemos sustraer la dirección de IP, en caso de que no este 3 usando un programa para falsificarla.
Para la adquisición de evidencias se pueden utilizar
una variada gama de herramientas, algunas
comerciales y otras de software libre.
De acuerdo a lo anterior proceda a:
2.1 describa al menos cinco herramientas y
las principales características de cada una de ellas
.
•LibNet:
Una API (toolkit) de alto nivel permitiendo al
programador de aplicaciones construir e inyectar
paquetes de red.
•pwdump3
Permite recuperar las hashes de passwords
de Windows localmente o a través de la red aunque
syskey no esté habilitado.
•IpTraf:
Software para el monitoreo de redes de IP.
4
2. Herramientas adquisición de
evidencias
5
•TCP Wrappers
Un mecanismo de control de acceso
y registro clásico basado en IP.
• OpenBSD
El sistema
operativo preventivamente seguro.
3.1 Damos click en File, luego Create Disk Image, o Archivo y Crear Imagen de Disco.:
Se requiere definir la carpeta donde se almacenará la
imagen forense. La cual es seleccionada haciendo clic en
el botón “Browse” o Navegar. A continuación se requiere
nombrar la imagen forense (UnidadUSBKR). Y
opcionalmente definir si la imagen resultante será dividida
en varias partes o sino no será fragmentada. Para el caso
de la presente práctica
Se requiere definir la carpeta donde se
almacenará la imagen forense. La cual es
seleccionada haciendo clic en el botón “Browse” o
Navegar. A continuación se requiere nombrar la
imagen forense (UnidadUSBKR). Y
opcionalmente definir si la imagen resultante será
dividida en varias partes o sino no será
fragmentada. Para el caso de la presente práctica
Tenga en cuenta la importancia que tiene la cadena de
custodia de las evidencias y los mecanismos de
validación.
4.1 Defina cuál sería el procedimiento de cadena de custodia si usted tuviera que responder ante un juez por las evidencias adquiridas en el punto anterior.
● En este caso se conecta la memoria USB, se formatea y se abre el programa FTK una vez en el programa se crea una carpeta nueva en la computadora la cual se enlazada a una Evidence item information (en la cual se le ingresan unos datos) y este estará enlazado con la memoria USB, después el programa empieza a cargar y al finalizar nos muestra unos datos los cuales si no coinciden, se concluirá que la memoria fue manipulada, por ejemplo en el punto anterior se puede ver una imagen la cual se subrayan los datos, como los datos coinciden se concluye de que la memoria USB no fue manipulada.
3.1 Damos click en File, luego Create Disk Image, o Archivo y Crear Imagen de Disco.:
Se presentará una nueva ventana donde se requiere
definir la Fuente. Para propósito de la presente
práctica se creará una imagen forense de toda una
unidad USB o Memory Stick, por lo tanto se
selecciona la opción “Physical Drive” o Unidad Física.
Luego hacer clic en el botón “Siguiente”.
En una nueva ventana se muestra un menú desplegable, en el cual se selecciona la Unidad Fuente correspondiente, para luego hacer clic en el botón “Finish” o Finalizar.
La siguiente ventana permite definir un Destino
para la Imagen. Para esto es necesario hacer clic
en el botón “Add...”
En esta ventana se define el tipo de la imagen de destino
a crear. Para el caso de la presente práctica será una
imagen “Raw” o en bruto, es decir tal y como sería creada
utilizando una herramienta como dd o dcfldd. Revisar la
publicación de título “Crear la Imagen Forense desde una
Unidad utilizando dd”.
En una nueva ventana se muestra un menú desplegable, en el cual se selecciona la Unidad Fuente correspondiente, para luego hacer clic en el botón “Finish” o Finalizar.
La siguiente ventana solicita ingresar información sobre
el ítem de evidencia. Al completar la información hacer
clic en el botón “Siguiente”
El proceso de creación de la imagen forense
desde la unidad USB o Memory Stick iniciará
al hacer clic en el botón “Start” o Iniciar.
Al finalizar todo este procedimiento se presentan algunos
resultados finales. Los resultados muestran el número de
sectores copiados. La generación de un Hash MD5 y un
Hash SHA-1. Anotar la coincidencia entre el campo
“Computed Hash” o Hash Calculado, es decir el hash
obtenido desde la unidad USB o Memory Stick, y el campo
“Report Hash” o Hash Reportado, el cual se genera desde la
imagen forense creada de nombre “unidadUSBKR.001”.
Anotar también que no se han detectado sectores Malos.
4.1 Defina cuál sería el procedimiento de cadena de custodia si usted tuviera que responder ante un juez por las evidencias adquiridas en el punto anterior.
● En este caso se conecta la memoria USB, se formatea y se abre el programa FTK una vez en el programa se crea una carpeta nueva en la computadora la cual se enlazada a una Evidence item information (en la cual se le ingresan unos datos) y este estará enlazado con la memoria USB, después el programa empieza a cargar y al finalizar nos muestra unos datos los cuales si no coinciden, se concluirá que la memoria fue manipulada, por ejemplo en el punto anterior se puede ver una imagen la cual se subrayan los datos, como los datos coinciden se concluye de que la memoria USB no fue manipulada.
Comentarios
Publicar un comentario