Blogs

Introducción a los Artefactos del Sistema Windows

Existe una frase la cual expresa; “Los ojos son las ventanas del alma”, pero para el profesional forense, las ventanas son el alma de la computadora. Son muy altas las probabilidades para los profesionales forenses, de encontrarse frecuentemente con sistemas operativos Windows cuando realizan sus investigaciones. La buena noticia es la posibilidad de utilizar Windows como una herramienta para la recuperación de datos, y rastrear las huellas dejadas por los usuarios.

El Reporte Forense Final

Al concluir el análisis forense, el profesional generará un reporte final detallando todo lo realizado, aquello encontrado, y los hallazgos. Idealmente los reportes necesitan ser elaborados, teniendo en consideración a la audiencia prevista. En realidad, muchos reportes se leen como su fuesen un manual de usuario de un transbordador espacial. No únicamente estos reportes pueden ser difíciles de leer, también pueden resultar intimidatorios.

Los Hashes en el Ámbito del Forense Digital

¿Cómo es posible saber si la imagen forense creada, es un duplicado exacto del dispositivo de almacenamiento original conteniendo evidencia?. La respuesta viene en la forma de un valor “Hash”. Un Hash es un valor único generado por un algoritmo criptográfico. Los valores Hash (funciones) son utilizados en una diversidad de maneras, incluyendo integridad de la evidencia y criptografía. Los valores Hash son comúnmente referidos como una “huella digital” o un “ADN digital”. Cualquier cambio en el dispositivo de almacenamiento, incluso un sólo bit, resultará en valor Hash diferente.

Realizar y Documentar una Recolección Forense en Vivo

Esta etapa del proceso forense requiere aún mayor concentración comparado con las etapas previas. Una vez se inicia, se debe trabajar ininterrumpidamente hasta el proceso sea completado. De otra manera, esto es una invitación para cometer errores. Antes de comenzar, se debe acopiar todo lo necesario; formularios de reporte, lapiceros, herramientas para la captura de memoria, entre otros artículos requeridos. Cada interacción con la computadora debe ser anotada. Se puede utilizar las perspectiva de acción y respuesta, es decir “Se realiza tal acción y la computadora realizó tal acción”.

Principios Forenses de la Recolección en Vivo

El realizar una recolección forense desde un sistema en funcionamientos no es un procedimiento rudimentario. A continuación un ejemplo sobre un escenario donde debe aplicarse. Al encontrarse con una computadora funcionando en la escena de un incidente, se necesita inicialmente responder dos preguntas. Primero; ¿La potencial evidencia a ser recuperada merece el esfuerzo y tiempo?. En algunos casos la respuestas puede ser “no”. En casos los cuales involucran Malware o software malicioso, la memoria RAM es de vital importancia.

Ventajas Forenses de la Recolección en Vivo

Hasta hace relativamente un corto lapso de tiempo, el desconectar el enchufe o cortar el fluido eléctrico de una computadora o dispositivo, era la única opción real en la mayoría de escenarios forenses. Por contraste, el capturar la memoria principal de una computadora en funcionamiento, es decir la memoria RAM, no era una opción realista. Simplemente las soluciones existentes en años anteriores, no eran prácticas para ser utilizadas en un escenario relacionado a un incidente.

Consideraciones Forenses para la Adquisición en Vivo

En el lado positivo de la adquisición forense en vivo, desconectar o interrumpir el fluido electrónico de una computadora, laptop, servidor u otro, elimina la necesidad de interactuar con la máquina en funcionamiento. Interactuar con una computadora en funcionamiento, de cualquier manera causa cambios hacia el sistema. Cualquier cambio en una pieza de evidencia es inadecuado, y puede causar problemas mayores desde el punto de vista legal.

Formatos de Imágenes Forenses

El resultado final de realizar el proceso para la creación de una imagen forense desde un dispositivo de almacenamiento sospechoso, generalmente es un archivo conteniendo una copia exacta del dispositivo de origen. Este archivo puede tener diferentes formatos. Siendo la extensión del archivo, la manera más viables de indicar su formato. Algunos de los formatos de imágenes forenses más comunes son:

  • EnCase (Extensión .E01)
  • DD (Extensión .001 o .dd)
  • AccessData Custom Content Image (Extensión .AD1)

Proceso para Realizar una Imagen Forense

El proceso para crear una imagen forense desde un dispositivo de almacenamiento como un disco duro, debería ser un proceso bastante sencillo, al menos en teoría. Típicamente se creará la imagen forense desde un dispositivo de almacenamiento hacia otro. El dispositivo de almacenamiento original es conocido como el dispositivo de origen, y el dispositivo donde se creará la imagen forense, se denomina el dispositivo destino. La unidad de destino debe ser tan grade (sino más grande), comparado con el dispositivo origen.

Propósito de Realizar una Imagen Forense

Como ya se debe conocer sobre el ámbito forense, la evidencia digital es extremadamente volátil por naturaleza. Y como tal, nunca se debe realizar un examen o análisis sobre la evidencia original, a menos se esté en circunstancia muy exigentes donde no haya otra opción disponible. Estas circunstancias peculiares, podrían incluir situaciones en las cuales un niño ha sido raptado. Algunas veces no existen herramientas o técnicas para poder resolver este problema.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1