HABILIDADES DEL ANÁLISIS FORENSE
Analisis Forense Informatico
Es la conservación, identificación, extracción, análisis e interpretación de
información digital con la expectativa de que los hallazgos se utilicen en la corte.
Relacion
El agente
El analista
Educa y aconseja al investigador.
o Explica los resultados y sus limitaciones.
Involucra al analista forense desde un inicio.
o Explica el asoo
Proporciona solicitudes específicas
obtención de imágenes forenses
Se obtiene mediante un método que, bajo ninguna circunstancia, altere la
información en la unidad de almacenamiento que se está duplicando.
El duplicado debe contener una copia de cada bit, byte y sector de la unidad de
almacenamiento original.
El duplicado no contendrá ninguna información distinta a la que se copió de la
fuente original, exceptuando los caracteres de llenado (para áreas dañadas).
Fiel, verificable, reproducible.
El proceso de la imagen
Conectar un bloqueo contra escritura.
Software para obtener imágenes
CD o diskettes de reinicio.
Controla la computadora de tal manera que sólo envíe comandos para leer la unidad
y nunca para escribir en ella.
Ejemplos:
FTK Imager
EnCase
DD
Ghost
Otros
¿Qué puede encontrar el analista?
Archivos borrados.
Fragmentos de texto.
Meta archivos mejorados (archivos que se imprimieron).
Meta datos mejorados (información insertada).
Información en el registro de hora y fecha
Mensajes de correo electrónico e historiales de conversación.
Información sobre el uso del Internet (historial).
Ficheros archivados y archivos comprimidos (zip).
Archivos codificados adjuntos a mensajes de correo electrónico.
Imágenes (activas y borradas)
Y más…
Cómo empezar
Búsquedas de palabras clave
Inconvenientes de las búsquedas de palabras clave.
o Documentos Adobe PDF.
o Faxes.
o Excel
o Registro.
o Archivos compuestos / comprimidos.
o Varios otrosubtema
Habilidades
Revela evidencia directa en la máquina.
Asocia a una máquina con la información.
Proporciona pistas para la investigación.
Muestra evidencia que corrobora o refuta alegatos o coartadas.
Deja al descubierto evidencia conductual.
Donde se encuentran evidencias
Computadoras, laptops, equipo de red (conectores e interruptores).
o Periféricos: CDR, DVD-R, cámara digitales, PDA.
o Medios externos: CD, diskettes, memorias USB.
o Notas en papel, documentos y manuales, notas autoadheribles.
Importancia de las imágenes forenses
Las imágenes forenses y aquellas que se obtienen en el momento en que se
responde al incidente son el paso más importante de toda la investigación
electrónica.
Si falla, ésta puede invalidar o hacer inadmisible toda la información que se obtenga
de evidencia digital.
Bloqueos físicos contra escritura.
SubtemDispositivo físico que evita que se escriba sobre la unidad de almacenamiento de
evidencia.
Es el mejor método para obtener imágenes.
a
Hardware para obtener imágenes
Físico vs. lógico
La estructura física de los datos se refiere a la organización de los mismos en una
unidad de almacenamiento. La obtención física de imágenes consigue tantos ceros y
unos como sea posible del dispositivo.
La estructura lógica de los datos se refiere a cómo aparece la información en cierto
programa o para un usuario, tal como se ve a través del sistema operativo. La
obtención lógica de imágenes pasa por alto la información que se encuentra en áreas
que no ve el sistema operativo.
Cómo puede solicitar un análisis forense
Evidencia que involucraba a la acusada con sustracción de menores.
o Búsqueda del nombre de la víctima.
o Fotografías de la víctima.
o Evidencia de una carta de amenaza que se le envió a la víctima.
o Evidencia de referencias a drogas para violación.
o Evidencia de un conspirador.
o Actividad en la computadora al momento del delito.
o Relacionado con el usuario.