Blogs

Identificar la Versión de Windows

  • Posted on: 21 May 2014
  • By: ReYDeS

En la mayoría de investigaciones forenses será necesario encontrar la versión exacta del Sistema Windows sujeto a investigación. Esto a razón de que muchas características y remanentes forenses son específicas de ciertas versiones de Windows, y por lo tanto solo pueden ser adecuadamente visualizadas conociendo la versión del Sistema Operativo. En caso no se conozca esta información se pueden llegar a conclusiones erróneas.

Forense al Archivo de Acceso Directo en Windows

  • Posted on: 19 May 2014
  • By: ReYDeS

Un acceso directo permite al usuario encontrar un archivo o recurso localizado en un directorio o carpeta diferente del lugar donde el acceso directo está localizado. Un archivo de Acceso Directo o de enlace contiene la ruta del archivo y el tipo de almacenamiento sobre el cual existe, como un disco curo, unidad de red, DVD, etc. También contiene los tiempos MAC del archivo como también los tiempos MAC propios que muestran la fecha de creación del archivo.

Forense Manual al Archivo de Paginación en Windows

  • Posted on: 16 May 2014
  • By: ReYDeS

La RAM (Random-Access Memory) o Memoria de Acceso Aleatorio es un recurso limitado, mientras que para propósitos prácticos, la memoria virtual es ilimitada. Pueden existir varios procesos, y cada proceso tener su propio espacio de 2GB en memoria virtual. Cuando la memoria que está siendo utilizada por todos los procesos existentes excede la RAM disponible, el sistema operativo mueve páginas (piezas de 4-KB) de uno o más espacios de direcciones virtuales al disco duro de la computadora. Esto libera la estructura de la RAM para otros usuarios.

Forense a la Papelera de Reciclaje en Windows XP

  • Posted on: 15 May 2014
  • By: ReYDeS

Cuando un usuario borra un archivo en el explorador de Windows o “My Computer”, el archivo aparece en la Papelera de Reciclaje. Este archivo permanece allí hasta vaciar la Papelera de Reciclaje o restaurar el archivo.

Los archivos antiguos también son eliminados de la Papelera de Reciclaje cuando se borran archivos más nuevos, y la Papelera de Reciclaje excede el tamaño máximo asignado en las propiedades de esta.

Para la siguiente práctica se utilizará la imagen forense obtenida desde un disco duro en un Sistema Windows XP.

Recuperar Archivos Manualmente con The Sleuth Kit - TSK

  • Posted on: 14 May 2014
  • By: ReYDeS

The Sleuth Kit o TSK es una librería y una colección de herramientas en línea de comandos, las cuales permiten investigar imágenes de discos. La funcionalidad vital de TSK permite analizar volúmenes y datos desde sistemas de archivos.

Para la siguiente práctica se utilizará SIFT y una unidad USB (Memory Stick) con un sistema de archivos NTFS, desde el cual se extraerá o recuperará un archivo borrado.

Recuperar Archivos Manualmente con Autopsy 2

  • Posted on: 13 May 2014
  • By: ReYDeS

Una de las tareas más comunes a realizar durante una investigación forense implica encontrar y recuperar archivos que han sido borrados o eliminados del sistema. Realizar el proceso de recuperación de archivos con herramientas automáticas no es una tarea complicada, dependiendo de factores como el momento de borrado del archivo, y el lapso de tiempo transcurrido hasta el inicio de la recuperación.

Entendiendo NTFS

  • Posted on: 9 May 2014
  • By: ReYDeS

NTFS, el cual es un acrónimo para "New Technology File System" o Sistema de Archivos de Nueva Tecnología, es uno de los más recientes sistemas de archivos soportados por sistemas Windows. Es un sistema de archivos de alto desempeño que se repara a si mismo. Soporta diversas características avanzadas como seguridad a nivel de archivos, compresión, y auditoría.

Captura Remota de una Imagen Forense utilizando FTK Imager

  • Posted on: 8 May 2014
  • By: ReYDeS

FTK Imager es una herramienta para previsualizar y replicar, la cual permite evaluar de manera rápida evidencia digital. FTK Imager puede también crear copias perfectas (imágenes forenses) de datos de computadoras sin hacer cambios en la evidencia original.

Para la siguiente práctica se utiliza FTK Imager para capturar la imagen forense de una unidad USB (Memory Stick) conectada en un Sistema Windows. La imagen forense se creará y almacenará en un recurso compartido de un sistema remoto.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1