ReYDeS's blog

Fundamentos Forenses de la Cola de Impresión en Windows

En algunas investigaciones, las actividades de impresión correspondientes a un sospechoso pueden ser relevantes. Como se podría esperar, la impresión también puede dejar algunos rastros para el profesional forense. Probablemente se ha percibido un ligero retraso después de mandar la impresión. Este retraso es un indicador de un proceso denominado “spooling” o mandar hacia un cola de impresión, este proceso almacena el trabajo hasta pueda ser imprimido en el momento más conveniente para la impresora. Durante este procedimiento, Windows crea un par de archivos complementarios.

Fundamentos Forenses sobre el Registro de Windows

El registro de Windows tiene un rol crucial en la operación de una computadora. Microsoft define el registro de Windows, como simplemente una base de datos para archivos de configuración. También se le podría describir como el sistema nervioso central del sistema. En este contexto, se puede percibir cuan crítico es el registro para una computadora Windows.

Fundamentos Forenses sobre el Archivo de Hibernación en Windows

Las computadoras algunas veces necesitan descansar, y pueden tomar una siesta como los seres humanos. A través de este proceso de “ciber siesta”, se pueden generar más potenciales pruebas, dependiendo de cuan “profunda” la computadora vaya a dormir. Los modos de “Dormir” o hibernación, guardan datos hacia el dispositivo de almacenamiento, en lugar de simplemente mantenerlo en la memoria RAM. Como se conoce, los datos escritos hacia el dispositivo de almacenamiento por si mismo, son más persistentes y pueden ser recuperados.

Fundamentos Forenses sobre Datos Borrados

Para un usuario “normal” o promedio, el presionar la tecla “borrar” proporciona un sentido satisfactorio de seguridad. Con el clic de un ratón, se piensa los datos se han borrado por siempre, nunca más volviendo a aparecer. Contrariamente a la creencia de muchas personas, el presionar la tecla “borrar”, no hace nada con los datos por si mismo. El archivo no se va a ninguna parte. El “borrar” un archivo únicamente le indica a la computadora, el espacio ocupado por un archivo está disponible si la computadora lo necesita. Los datos borrados residirán allí hasta otro archivo lo sobrescriba.

Introducción a los Artefactos del Sistema Windows

Existe una frase la cual expresa; “Los ojos son las ventanas del alma”, pero para el profesional forense, las ventanas son el alma de la computadora. Son muy altas las probabilidades para los profesionales forenses, de encontrarse frecuentemente con sistemas operativos Windows cuando realizan sus investigaciones. La buena noticia es la posibilidad de utilizar Windows como una herramienta para la recuperación de datos, y rastrear las huellas dejadas por los usuarios.

El Reporte Forense Final

Al concluir el análisis forense, el profesional generará un reporte final detallando todo lo realizado, aquello encontrado, y los hallazgos. Idealmente los reportes necesitan ser elaborados, teniendo en consideración a la audiencia prevista. En realidad, muchos reportes se leen como su fuesen un manual de usuario de un transbordador espacial. No únicamente estos reportes pueden ser difíciles de leer, también pueden resultar intimidatorios.

Los Hashes en el Ámbito del Forense Digital

¿Cómo es posible saber si la imagen forense creada, es un duplicado exacto del dispositivo de almacenamiento original conteniendo evidencia?. La respuesta viene en la forma de un valor “Hash”. Un Hash es un valor único generado por un algoritmo criptográfico. Los valores Hash (funciones) son utilizados en una diversidad de maneras, incluyendo integridad de la evidencia y criptografía. Los valores Hash son comúnmente referidos como una “huella digital” o un “ADN digital”. Cualquier cambio en el dispositivo de almacenamiento, incluso un sólo bit, resultará en valor Hash diferente.

Realizar y Documentar una Recolección Forense en Vivo

Esta etapa del proceso forense requiere aún mayor concentración comparado con las etapas previas. Una vez se inicia, se debe trabajar ininterrumpidamente hasta el proceso sea completado. De otra manera, esto es una invitación para cometer errores. Antes de comenzar, se debe acopiar todo lo necesario; formularios de reporte, lapiceros, herramientas para la captura de memoria, entre otros artículos requeridos. Cada interacción con la computadora debe ser anotada. Se puede utilizar las perspectiva de acción y respuesta, es decir “Se realiza tal acción y la computadora realizó tal acción”.

Principios Forenses de la Recolección en Vivo

El realizar una recolección forense desde un sistema en funcionamientos no es un procedimiento rudimentario. A continuación un ejemplo sobre un escenario donde debe aplicarse. Al encontrarse con una computadora funcionando en la escena de un incidente, se necesita inicialmente responder dos preguntas. Primero; ¿La potencial evidencia a ser recuperada merece el esfuerzo y tiempo?. En algunos casos la respuestas puede ser “no”. En casos los cuales involucran Malware o software malicioso, la memoria RAM es de vital importancia.

Ventajas Forenses de la Recolección en Vivo

Hasta hace relativamente un corto lapso de tiempo, el desconectar el enchufe o cortar el fluido eléctrico de una computadora o dispositivo, era la única opción real en la mayoría de escenarios forenses. Por contraste, el capturar la memoria principal de una computadora en funcionamiento, es decir la memoria RAM, no era una opción realista. Simplemente las soluciones existentes en años anteriores, no eran prácticas para ser utilizadas en un escenario relacionado a un incidente.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1