La Comunidad DragonJAR » Forense

Finaliza plazo para la entrega de los Informes

DragoN — Sat, 30 Jan 2010 19:15:26 +0000

Hoy se venció el nuevo plazo de entrega para el reto forense que se dio a petición de algunos participantes para terminar sus informes, a partir de este momento 4v4t4r y yo pasaremos a revisar y calificar minuciosamente los informes entregados para definir el ganador o ganadora del Primer Reto de Análisis Forense de la Comunidad DragonJAR.

La lista oficial de participantes (quienes enviaron los informes a tiempo) es la siguiente:

Seifreed
Víctor J. González (TRumAN)
Henry Fernando Montalvan Cel
Julián Sotos Sepúlveda
Mario Alfonso
Manuel Antonio Melendez Andrade

Como ya tenemos el listado de participantes oficiales, abro el reto forense a todo el que quiera poner en practica sus habilidades como analista forense, la contraseña para descomprimir el archivo es:

la clave que me dieron en dragonjar.org

Espero que hayan disfrutado el Primer Reto de Análisis Forense de la Comunidad DragonJAR.

También puede interesarte...

Nuevo Plazo de Entrega para el Reto Forense

DragoN — Tue, 26 Jan 2010 14:11:05 +0000

Les informo a las personas que actualmente están realizando el Primer Reto de Análisis Forense de la Comunidad DragonJAR que a petición de varios participantes, por medio del foro y correo electrónico, el plazo para entregar los informes del reto se extendió hasta el día sábado 30 de enero.

Si ya enviaste tu informe, pero quieres hacerle algunas modificaciones, todavía estas a tiempo, tendremos en cuenta el ultimo informe enviado de cada usuario, si tienes dudas o estas atascado, puedes preguntar en el foro destinado para esto.

También puede interesarte...

Primer Reto de Análisis Forense de la Comunidad DragonJAR

DragoN — Thu, 24 Dec 2009 08:20:30 +0000

Estamos revisando los informes enviado por los finalistas del reto forense, pronto daremos a conocer a el/la ganador/dora

—

Como en todo ámbito de investigación, y más en disciplinas tan vivas como el Análisis Forense son muchas las definiciones posibles, pero todas convergen en lo escencial: El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. Normalmente se aplican los estudios de Análisis Forense sobre un sistema debido a que se sospecha o se tiene la certeza de que ha sido víctima de una intrusión, un ataque o desde él se ha realizado alguna acción maliciosa. El objetivo del Análisis será obtener evidencias que puedan certificar lo ocurrido.

(Fragmento del libro Análisis Forense Digital en Entornos Windows- Juan Garrido, Luis G. Rambla, Chema Alonso)

Con el fin de fomentar la investigación y creación de conocimiento en nuestra Comunidad DragonJAR, hemos decidido realizar este primer reto de Análisis Forense en esta fecha de navidad, la idea es que este tipo de retos en áreas definidas se vuelvan cada vez mas frecuentes y con mayor nivel de dificultad, para que disfrutemos todos.

ESCENARIO

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

OBJETIVO Y REGLAS

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

Antecedentes del Sistema/Escenario
Recolección de datos
Descripción de la evidencia
Entorno del análisis/Descripción de las herramientas
Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
Metodología
Descripción de los hallazgos
Huellas del comportamiento y de las actividades del sospechoso
Cronología de las actividades del sospechoso
Posibles víctimas del sospechoso
Rastros del sospechoso
Conclusiones
Recomendaciones a los padres
Referencias

La instantánea a analizar podrá ser descargada desde los siguientes enlaces:

Imagen completa desde Adrive (.rar +/- 1.3 Gb)

MD5: fb5a51c9273b9fe7f0139b8f663c9a1e

Parte 1 del Reto Forense Comunidad DragonJAR

CRC32: 76B78AE4
MD5: D542187FF2C9D651BAF40FF488C367FE
SHA-1: A51BA56118F094C910F9BF428ACF27FBD935679A

Parte 2 del Reto Forense Comunidad DragonJAR

CRC32: 2F55CB1E
MD5: C33FA1AF1EBA82EB07182106E1A1B060
SHA-1: 63052A87F323BD729ACDB8AEF4FD311080E2D9C8

Parte 3 del Reto Forense Comunidad DragonJAR

CRC32: 59CD3705
MD5: 08FF1B6A0E8CBD1DF1724B40B20228E2
SHA-1: D228E81F5FDC20F561967C8EBF15CD49B7EB6F96

Parte 4 del Reto Forense Comunidad DragonJAR

CRC32: 125309ED
MD5: 6F0D583A6560D49004B9FD52065CDBC2
SHA-1: 29E52CD2A28CA65007CD16FD95418B566B1F0980

Parte 5 del Reto Forense Comunidad DragonJAR

CRC32: 731CF2D6
MD5: 4FD27F4415BE756B0C47BD04C54D586C
SHA-1: FB6B31CD8A4D2ED5E6D9EF96B974485826F2399D

PARTICIPANTES

Para descomprimir el reto deben solicitar la clave a 4v4t4r@gmail.com o dragonjar@gmail.com (como el reto ha finalizado les dejo la contraseña del reto forense: la clave que me dieron en dragonjar.org), después de obtener la clave quedaran inscritos como participantes en el reto y aparecerán en el siguiente listado de participantes oficiales:

Epsilon77
JKO
Jeffto
Seifreed
Mr Blaster
Alvaro Durán
RAMbo
Winlix
Wilmer Fernandez
Topo
Mariohades
SantiagoV
Jerusalem
Jupi
Carlospromo97
sceuss
Gustavo (LA Secta) Mafiaz
Osvaldo2606
Omar García
Luis Eduardo Melendez
Diego Morales
Jairosll
ZeroWolf
Eduardiyo
Bry Gom
Henry Montalval
MOC
Teofilo Copa
Telu
Noe Cruz Hernandez
Oscar s
ArkangelX
Guillermo
Cr1pt3x
elusuario
Antonio Leon
cipoguns
IceLoN
Delia Angélica Chávez
Telu
Aetsu
ilarrazarai
Odrick1
Jorge A. Camacho
K434730n
Javi G
Alanovich
Wiz@rD
Vanghuld
Mako
F3z!xW0|f
Avinadab
Alexander López
Winston Smith
TRumAN
Pedro Picapiedra
Viraje D’Trosca
Jorge Casali
Efren Cepeda
Xsheik
Naskyaha
Carlos Sanchez
Manuel Melendez
Maruja
Edson Vallejos
Ismael C
Haner Bon
Danny Tao
Misterio Místico
-CrUnCh-
Luís Tejeda

Como solucionario al reto forense, es necesario presentar dos reportes a los organizadores:

DragoN (dragonjar-arroba-gmail.com)

4v4t4r (4v4t4r-arroba-gmail.com).

Estos reportes consisten en un reporte ejecutivo (no técnico) el cual evidencie en lenguaje común las pruebas encontradas en el equipo de la persona sospechosa (3 páginas) y un reporte técnico que detalle los puntos enumerados anteriormente (20 páginas).

Se tendrá en cuenta a la hora de evaluar los análisis, el ingenio y creatividad para realizar los reportes de resultados, además de las destrezas técnicas.

El plazo de entrega de los reportes será hasta el próximo 25 de enero de 2010.

PISTAS Y AYUDAS / ENLACES DE INTERÉS

Naskyaha
Carlos Sanchez
Manuel Melendez
Maruja
Edson Vallejos
Ismael C

También puede interesarte...

Herramienta Anti Forense para Windows

DragoN — Mon, 14 Dec 2009 19:17:49 +0000

ACTUALIZADO 16/01/2010: Despues de aparentar ser una aplicacion falsa y engañar a diferentes medios de comunicacion, DECAF “volvio” y con nueva version (2.0) que ademas no solo permite detectar si el COFEE de microsoft esta siendo utilizado en nuestra maquina, sino que ahora detecta todas estas herramientas forenses Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, y Ophcrack.

Esta nueva versión de DECAF incluye la posibilidad de añadir nuestras propias firmas, por lo que podemos detectar cualquier software antiforense en nuestra maquina y realizar una acción especifica.

Aqui les dejo el enlace de descarga a modo de mirror, por si la herramienta vuelve a desaparece, aunque la pagina oficial sigue siendo www.decafme.org

Hace poco les comentaba en la comunidad sobre el COFEE (Computer Online Forensic Evidence Extractor), la herramienta forense que Microsoft le regaló a varias entidades policiales en diferentes países, para realizar fácilmente el levantamiento de pruebas digitales en equipos de computo, también comentábamos que se había filtrado por la red utilizaba este Kit de Herramientas Forenses.

Ahora me entero de la existencia de DECAF (Detect and Eliminate Computer Assisted Forensics) una herramienta anti forense, que monitores en tiempo real el PC y tan pronto detecta la presencia del Microsoft COFEE, realiza una serie de tareas pre establecidas, que pueden ir desde borrar los registros del COFEE, expulsar la Memoria USB desde donde se ejecuto y bloquear el computador para que no puedan trabajar mas en el.

DECAF es totalmente configurable y personalizable, permitiendo al usuario definir que quiere hacer cuando se detecte la presencia del Microsoft COFEE, podria borrar archivos específicos, desactivar casi cualquier parte de hardware del PC, matar procesos, contaminar la Mac del equipo, entre otras opciones, DECAF permite simular el COFEE para poner a prueba las configuraciones que pusiste y ver que todo funciona correctamente.

Su autor promete en futuras versiones, la posibilidad de enviar por correo electrónico un mensaje notificando que se ha detectado la presencia del COFEE, bloqueo remoto de la maquina y la posibilidad de ejecutar el DECAF como un servicio de Windows.

Descargar DECAF

Mas Información:
Pagina Oficial de DECAF

También puede interesarte...

CAINE – Distribución Live CD para Análisis Forense

DragoN — Fri, 11 Dec 2009 17:27:45 +0000

CAINE (Computer Aided INvestigative Environment), es una distribución Live CD para realizar análisis forense informático, de la que hemos hablado en varios ocasiones en nuestra comunidad, creada por Giancarlo Giustini es una de las mejores opciones que tenemos a la mano cuando deseamos realizar un análisis forense de algún equipo informático.

CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes.

Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español.

CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense o poder guardar los cambios realizados en el sistema.

Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente

dd if=nbcaine.dd of=/dev/sdX

Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb.

En la nueva version 1.5 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 2.6-24.25) se agregaron los siguientes programas:

lnk_parse
lnk.sh
mork
steghide
UserAssist
dos2unix
chntpw
tkdiff
xdeview

Y se actualizaron o arreglaron estas aplicaciones

md5deep
foremost
lanzadores
manual
README.txt
Photorec y Testdisk and XSteg en el menú de Forense

Por el lado de Windows (CAINE También funciona en Micrsoft Windows) se actualizaron las siguientes aplicaciones:

Wintaylor
HexEdit
Regmon
FTKImager
Photorec
Testdisk
Nigilant32
UsbWriteProtect

Descargar la ultima versión de CAINE

Mas Información:
Pagina Oficial de CAINE
CAINE, LiveCD GNU/Linux para Informática Forense
Nueva Versión del CAINE, LiveCD para Informática Forense

También puede interesarte...

Recogiendo Evidencias para Análisis Forense en Windows

DragoN — Tue, 24 Nov 2009 23:16:25 +0000

Despues de escribir sobre la Instalación, Configuración y Uso del Microsoft Cofees nuestro amigo Seifreed nos regala otro articulo relacionado con el análisis forense en entornos windows, en esta ocasión recogeremos evidencias para un posterior análisis de estas.

Indice

Introducción
Obteniendo datos volátiles
Obteniendo datos no volátiles
Clonando el disco
Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

Datos volátiles.
Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

Tercer Encuentro Internacional de Seguridad Informática – Día II

DragoN — Thu, 08 Oct 2009 23:27:25 +0000

Seguimos con el reporte día a día del Encuentro Internacional de Seguridad Informática (EISI), realizado en la Universidad de Manizales, en el segundo día (jueves 8 de octubre) nos encontramos con charlas tan técnicas como la de David Batanero sobre análisis forense de móviles o tan innovadoras como la de Martín Rubio sobre Biohacking.

Análisis forense en terminales móviles - David Batanero Gómez

El dia empezó con la charla de David Batanero sobre Análisis forense en terminales móviles, en la que nos muestra como podemos hacer un análisis forense a los dispositivos móviles a diferentes niveles, también recalca lo resistentes de estos dispositivos y como es posible recuperar información de ellos aunque los demos por “inservibles”.

Descargar charla de David Batanero sobre Análisis Forense de Móviles

El Juez de control de garantía frente al tratamiento de datos personales - Alexander Díaz García

En la siguiente charla Alexander Díaz García nos habla sobre la ley de habeas data y como un Juez de control de garantía debe reaccionar frente al tratamiento de datos personales, estamos a la espera que alexander nos envié las memorias de su charla para publicarla a nuestros visitantes.

Laboratorios de entrenamiento en seguridad informática – David Moreno

Después David Moreno, mas conocido como 4v4t4r co-administrador de nuestra comunidad y encargado de los laboratorios en ella dio una charla sobre Laboratorios de entrenamiento en seguridad informática y aprovechó el espacio para hacer publico el proyecto Sec-Track.com un repositorio de recursos relacionados con la implementación y desarrollo de laboratorios de entrenamiento e investigación sobre Seguridad Informática.

Descargar charla de David Moreno sobre Laboratorios de Entrenamiento en Seguridad

Obteniendo información de seguridad de nuestro sistema. - Gunnar Eyal Wolf

En la siguiente charla, la del mexicano Gunnar Eyal Wolf, nos muestra como Obtener información de seguridad de nuestro sistema utilizando herramientas de monitoreo de redes como munin, una excelente herramienta que todos los administradores de redes y sistemas deberían conocer.

Descargar charla de Gunnar Wolf sobre Monitoreo de Redes con Munin

Tómate en serio la seguridad - José María (Chema) Alonso

El famoso Jose Maria (Chema) Alonso nos mostraba en su charla Tómate en serio la seguridad la delicada informacion que se incluye en los metadatos de los archivos, nos enseña con ejemplos la informacion sensible publicada en paginas como las del FBI y otras instituciones de estados unidos, y nos presento la FOCA una herramienta que automatiza el proceso de extracción de meta datos y nos la organiza para un análisis mas ameno.

Descargar charla de Jose Maria (Chema Alonso) sobre Tomate en Serio la Seguridad

Análisis Forense de Malware - Oscar Ruiz

Oscar Eduardo Ruiz nos da una charla Análisis Forense de Malware, un detallado recorrido por este mundo del software malicioso y como analizar su comportamiento en nuestro sistema, recuerda que en la E-zine #4 de La Comunidad DragonJAR hay un articulo bastante detallado del análisis forense de malware en windows.

Descargar charla de Oscar Eduardo Ruiz sobre Análisis de Malware

Biohacking: Hackeándonos a Nosotros Mismos - Martín A. Rubio

La charla de Martín A. Rubio sobre Biohacking causo mucha polémica, al punto de escuchar comentarios de pasillo sobre si era o no hacking lo que exponía falc0n, a mi en lo personal me pareció una buena charla, algo innovador que nunca se había visto de forma publica en un congreso y solo se ha visto en el EISI, en esta presentación Martín nos habla sobre el biohacking o el hacking aplicado a la biología donde podemos experimentar con fragmentos de ADN para crear algo nuevo de la misma forma que lo hace un ingeniero.

Descargar charla de Martin Rubio (Falc0n) sobre Biohacking

Con esto termina el segundo día de charlas, pero aprovechamos que teníamos un buen numero de dragonautas juntos y decidimos realizar uno de los laboratorios propuestos por 4v4t4r en su charla, portátiles y cervezas en mano nos pusimos en la tarea de romper el PnwOS del grupo 0dayclub.

Revisa el reporte de los otros 2 días:

También puede interesarte...

Curso gratuito de Análisis Forense Basico

DragoN — Tue, 15 Sep 2009 18:53:50 +0000

Aqui encontraras un curso basico de analisis forense informatico con el que podras iniciarte en esta rama de la seguridad informática, esta divido en 4 partes cada una de ellas detalladas en un lenguaje simple, poco tecnico y muy comodo para su lectura.

Ingresa al Curso Gratuito e Análisis Forense Informático

También puede interesarte...

Metodología Básica de Análisis Forense – Parte 4 de 4

D7n0s4ur70 — Mon, 14 Sep 2009 18:41:48 +0000

Continuamos con la cuarte y ultima parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 3ra parte parte, puedes verla aquí.

PREPARACIÓN DEL INFORME

Es la fase final y la mas delicada e importante la cual sera el documento que sustentara una prueba en un proceso legal, básicamente tener en cuenta estos dos pasos:

Organización de la Información:

Retomemos toda la documentación generada en las fases de la metodología e igual cualquier información anexa como notas, antecedentes o informe policial.
Identifiquemos lo mas importante y pertinente de la investigación
Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para presentar en el informe.

Escribir el Informe Final:

Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no tan técnico).

Debe contener como mínimo:

Propósito del Informe. Explicar claramente el objetivo del informe, el público objetivo, y por qué se preparó el informe.
Autor del informe. Todos los autores y co-autores del informe, incluyendo sus posiciones, las responsabilidades durante la investigación, y datos de contacto.
Resumen de Incidentes. Introducir el incidente y explicar su impacto. El resumen deberá estar escrito de manera que una persona no técnica, como un juez o jurado sería capaz de entender lo que ocurrió y cómo ocurrió.
Pruebas. Proporcionar una descripción de las pruebas de que fue adquirido durante la investigación. Cuando el estado de la evidencia que describen la forma en que fue adquirida, cuándo y quién lo adquirió.
Detalles ·. Proporcionar una descripción detallada de lo que la evidencia se analizó y los métodos de análisis que se utilizaron. Explicar los resultados del análisis. Lista de los procedimientos que se siguieron durante la investigación y de las técnicas de análisis que se utilizaron. Incluir una prueba de sus resultados, tales como los informes de servicios públicos y las entradas de registro. Justificar cada conclusión que se extrae del análisis. Sello documentos de apoyo, el número de cada página, y se refieren a ellos por el nombre de la etiqueta cuando se examinan en el análisis. Por ejemplo, “registro de Firewall de servidor, documento de apoyo D.” Además, proporcionan información sobre aquellos individuos que realizaron o participaron en la investigación. Si procede, proporcione una lista de testigos.

Conclusión. Resumir los resultados de la investigación. La conclusión debe ser específico de los resultados de la investigación. Citar pruebas concretas para demostrar la conclusión, pero no dan excesivos detalles acerca de cómo se obtuvieron las pruebas (tal información debe estar en la sección “Detalles”). Incluir una justificación para su conclusión, junto con las pruebas y la documentación. La conclusión debe ser lo más clara y sin ambigüedades como sea posible. En muchos casos, se declaró cerca del comienzo del informe, porque representa la información procesable.

Los documentos justificativos. Incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como diagramas de red, los documentos que describen los procedimientos de investigación de equipos usados, y un panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionar información suficiente para que el lector del informe para comprender el incidente tan completamente como sea posible. Como se mencionó anteriormente, la etiqueta de cada documento de apoyo con las letras y el número de cada página del documento. Proporcionar una lista completa de los documentos justificativos.

Si es probable que el informe será presentado a un público variado, considerar la creación de un glosario de términos utilizados en el informe. Un glosario es especialmente valiosa si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez o jurado debe revisar los documentos.

También puede interesarte...

Metodología Básica de Análisis Forense – Parte 3 de 4

D7n0s4ur70 — Sun, 13 Sep 2009 18:31:28 +0000

Continuamos con la tercera parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 2da parte parte, puedes verla aquí.

ANALISIS DE DATOS:

Seguiremos los tres pasos de la anterior figura:

Análisis de Datos de la Red:

Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red.

Análisis de los Datos del Host:

Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving o Recuperación de Datos, y definir criterios adecuados de búsqueda, debido a que lo mas probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda Posteriormente definiremos a que archivos le realizaremos la búsqueda

Análisis de los Medios de Almacenamiento:

Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información Tengamos en cuenta las siguientes buenas practicas:

No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar).
Preferiblemente descomprimir los archivos con sistemas de compresión
Crear una estructura de Directorios y Archivos recuperados.
Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y se puede comparar su hash (archivos del sistema operativo y aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/,

O sitios como:

http://www.fileformat.info/resolución/web/filespecs/index.htm

http://www.wotsit.org/

http://www.processlibrary.com/

Analizar archivos de Booteo y configuración del sistema, el registro del sistema
Información de Login / Logout del sistema, nombres de usuario e información del AD (Directorio Activo)
Software instalado, actualizaciones y parches.
Buscar archivos con NTFS ADS (Alterna Data Stream)

10. Estudio de las Metadata (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,etc).

11. La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original.