Metodología Básica de Análisis Forense – Parte 3 de 4

Continuamos con la tercera parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 2da parte parte, puedes verla aquí.

ANALISIS DE DATOS:

Seguiremos los tres pasos de la anterior figura:

Análisis de Datos de la Red:

Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red.

Análisis de los Datos del Host:

Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving o Recuperación de Datos, y definir criterios adecuados de búsqueda, debido a que lo mas probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda Posteriormente definiremos a que archivos  le realizaremos la búsqueda

Análisis de los Medios de Almacenamiento:

Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información Tengamos en cuenta las siguientes buenas practicas:

  1. No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
  2. Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar).
  3. Preferiblemente descomprimir los archivos con sistemas de compresión
  4. Crear una estructura de Directorios y Archivos recuperados.
  5. Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y se puede comparar su hash (archivos del sistema operativo y aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/,

O sitios como:

http://www.fileformat.info/resolución/web/filespecs/index.htm

http://www.wotsit.org/

http://www.processlibrary.com/

  1. Analizar archivos de Booteo y configuración del sistema, el registro del sistema
  2. Información de Login / Logout del sistema, nombres de usuario e información del AD (Directorio Activo)
  3. Software instalado, actualizaciones y parches.
  4. Buscar archivos con NTFS ADS (Alterna Data Stream)

10.  Estudio de las Metadata (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,etc).

11.  La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: D7n0s4ur70

Compartir este Artículo

 

¿Te gustó?, compártelo…

 

       

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices