El realizar un análisis forense sobre una imagen montada permite verificar todos los archivos y directorios; es decir permite realizar una visualización lógica. Pero, ¿Y el espacio no asignado y el espacio de holgura o residual?; es decir la visualización física. Por esta razón se procede a analizar la imagen forense por si misma, pues la copia bit a bit contiene los datos en las áreas no asignadas del disco.

Para visualizar archivos de texto y archivos de datos durante un análisis forense utilizando Linux, se podría utilizar los comandos “cat”, “more”, o “less”. El comando “cat” concatena archivos y los imprime sobre la salida estándar. El comando “more” es un filtro para la paginación a través de texto sobre la pantalla; es un comando primitivo y se sugiere utilizar el comando “less”. El comando “less” es un programa similar a “more”, pero permite movimiento hacia atrás y hacia adelante sobre el archivo.

Cuando se está buscando por algún tipo de archivo en particular durante un análisis forenses, existe la probabilidad del nombre del archivo haya sido cambiado o la extensión sea errónea. Para tratar de solucionar esto es factible utilizar el comando “file”. El comando “file” evalúa cada uno de los argumentos definido para intentar clasificarlos. Se realizan tres conjuntos de pruebas; pruebas del sistema de archivos, pruebas “mágicas” y pruebas de lenguaje. La primera prueba exitosa causará la impresión del tipo de archivo.

Durante un proceso de análisis forenses se tendrá el requerimiento de listar todos los archivos, sus propietarios y permisos sobre el sistema de archivos bajo análisis. El comando “ls” es muy importante para realizar este procedimiento. En la página del manual del comando “ls” se puede encontrar información detallada para conocer sus diversos usos y opciones.

Para la siguiente demostración se utilizará una imagen forense obtenida desde un disco flexible previamente montada.

Durante un proceso de análisis forense, se requiere frecuentemente obtener los hashes correspondientes a cada uno de los archivos residentes en un disco o dispositivo de almacenamiento. Para este propósito es factible utilizar el comando “find”, y una opción la cual permita ejecutar un comando sobre cada archivo encontrado. De esta manera será factible obtener una lista muy útil de los hashes para cada archivo.

Para el siguiente ejemplo se utiliza la imagen forense capturada desde un disco flexible.

Los filtros juegan un rol importante en la captura de paquetes. Mientras se trabaja en una LAN o mientras se capturan paquetes sobre un servidor hospedando diversos servicios, se pueden enfrentar problemas en la vigilancia de un protocolo o servicio particular. Para eliminar esto es necesario utilizar filtros. Los filtros pueden ser aplicados en dos lugares denominados como filtros de captura y filtros de muestra.

Filtros de captura

La interfaz gráfica de usuario de Wireshark está constituida de diferentes paneles. De manera típica se puede dividir los paneles de la interfaz gráfica en cuatro áreas; panel de captura, panel de detalles del paquete, panel de bytes del paquete, y el panel de estado.

Panel de captura

Wireshark es una analizador para protocolos de red. Un analizador de paquetes de red capturará paquetes de red e intentará mostrar los datos del paquete lo más detalladamente posible.

Al iniciar la ejecución de Wireshark se presenta su interfaz gráfica de usuario. El menú principal de Wireshark contiene algunos de los ítemes comúnmente conocidos de un menú; como “File” o Archivo, “Edit” o Editar, “View” o Visualizar, “Go” o Ir, “Analize” o Analizar, “Statistics” o Estadísticas, “Telephony” o Telefonía, “Tools” o Herramientas, “Internals” o “Internos” y “Help” o Ayuda.

Wireshark es una analizador para protocolos de red. Un analizador de paquetes de red capturará paquetes de red e intentará mostrar los datos del paquete lo más detalladamente posible.

La primera y más fundamental acción a realizar con Wireshark, es seleccionar la interfaz de red sobre la cual se requiere capturar datos. Una vez instalado Wireshark en el sistema se procede a ejecutarlo. Luego de lo cual se presentará la interfaz típica de Wireshark, donde será factible seleccionar la interfaz de red.

Internet Information Servicies (IIS) es un servidor web para Windows flexible, seguro y gestionable para hospedar cualquier contenido sobre la web. Desde streaming de medios hasta aplicaciones web. IIS tiene una arquitectura escalable y abierta lista para manejar las tareas más demandantes.