Realizar y Documentar una Recolección Forense en Vivo

  • Posted on: 18 September 2018
  • By: ReYDeS

Esta etapa del proceso forense requiere aún mayor concentración comparado con las etapas previas. Una vez se inicia, se debe trabajar ininterrumpidamente hasta el proceso sea completado. De otra manera, esto es una invitación para cometer errores. Antes de comenzar, se debe acopiar todo lo necesario; formularios de reporte, lapiceros, herramientas para la captura de memoria, entre otros artículos requeridos. Cada interacción con la computadora debe ser anotada. Se puede utilizar las perspectiva de acción y respuesta, es decir “Se realiza tal acción y la computadora realizó tal acción”.

Si el escritorio de la computadora no es visible, se puede mover el ratón ligeramente para activarlo. Si esto no logra abrir o mostrar el escritorio, el presionar una tecla debería resolver este inconveniente. Se debe de hecho documentar cual tecla se presionó en las anotaciones. Cuando ya sea factible visualizar el escritorio, lo primero a anotar es la fecha y hora mostrada en la computadora. Lo siguiente, es registrar los íconos y aplicaciones en funcionamiento. Aquí no se detiene. Documentar los procesos en funcionamiento puede ayudar a identificar malware o software malicioso residiendo en la computadora. ¿Porque importaría esto?. Una de las defensas más populares, especialmente en casos de pornografía infantil, es afirmar las imágenes encontradas fueron depositadas por un tercero desconocido, utilizando un troyano.

Luego es momento de utilizar una herramienta validada para la captura de la memoria, la cual permita recolectar evidencia volátil residiendo en la memoria RAM. Después de completar esta etapa, el proceso finaliza con un apagado adecuado del sistema. Este proceso de apagado permite a las aplicaciones en funcionamiento escribir cualquier artefacto hacia el disco, lo cual nos permitirá recuperarlo posteriormente.

Fuentes:

https://www.nist.gov/sites/default/files/documents/forensics/Crime-Scene...
http://scitechconnect.elsevier.com/wp-content/uploads/2013/09/Incident-R...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1