ReYDeS's blog

Forense Manual al Archivo de Paginación en Windows

  • Posted on: 16 May 2014
  • By: ReYDeS

La RAM (Random-Access Memory) o Memoria de Acceso Aleatorio es un recurso limitado, mientras que para propósitos prácticos, la memoria virtual es ilimitada. Pueden existir varios procesos, y cada proceso tener su propio espacio de 2GB en memoria virtual. Cuando la memoria que está siendo utilizada por todos los procesos existentes excede la RAM disponible, el sistema operativo mueve páginas (piezas de 4-KB) de uno o más espacios de direcciones virtuales al disco duro de la computadora. Esto libera la estructura de la RAM para otros usuarios.

Forense a la Papelera de Reciclaje en Windows XP

  • Posted on: 15 May 2014
  • By: ReYDeS

Cuando un usuario borra un archivo en el explorador de Windows o “My Computer”, el archivo aparece en la Papelera de Reciclaje. Este archivo permanece allí hasta vaciar la Papelera de Reciclaje o restaurar el archivo.

Los archivos antiguos también son eliminados de la Papelera de Reciclaje cuando se borran archivos más nuevos, y la Papelera de Reciclaje excede el tamaño máximo asignado en las propiedades de esta.

Para la siguiente práctica se utilizará la imagen forense obtenida desde un disco duro en un Sistema Windows XP.

Recuperar Archivos Manualmente con The Sleuth Kit - TSK

  • Posted on: 14 May 2014
  • By: ReYDeS

The Sleuth Kit o TSK es una librería y una colección de herramientas en línea de comandos, las cuales permiten investigar imágenes de discos. La funcionalidad vital de TSK permite analizar volúmenes y datos desde sistemas de archivos.

Para la siguiente práctica se utilizará SIFT y una unidad USB (Memory Stick) con un sistema de archivos NTFS, desde el cual se extraerá o recuperará un archivo borrado.

Recuperar Archivos Manualmente con Autopsy 2

  • Posted on: 13 May 2014
  • By: ReYDeS

Una de las tareas más comunes a realizar durante una investigación forense implica encontrar y recuperar archivos que han sido borrados o eliminados del sistema. Realizar el proceso de recuperación de archivos con herramientas automáticas no es una tarea complicada, dependiendo de factores como el momento de borrado del archivo, y el lapso de tiempo transcurrido hasta el inicio de la recuperación.

Entendiendo NTFS

  • Posted on: 9 May 2014
  • By: ReYDeS

NTFS, el cual es un acrónimo para "New Technology File System" o Sistema de Archivos de Nueva Tecnología, es uno de los más recientes sistemas de archivos soportados por sistemas Windows. Es un sistema de archivos de alto desempeño que se repara a si mismo. Soporta diversas características avanzadas como seguridad a nivel de archivos, compresión, y auditoría.

Captura Remota de una Imagen Forense utilizando FTK Imager

  • Posted on: 8 May 2014
  • By: ReYDeS

FTK Imager es una herramienta para previsualizar y replicar, la cual permite evaluar de manera rápida evidencia digital. FTK Imager puede también crear copias perfectas (imágenes forenses) de datos de computadoras sin hacer cambios en la evidencia original.

Para la siguiente práctica se utiliza FTK Imager para capturar la imagen forense de una unidad USB (Memory Stick) conectada en un Sistema Windows. La imagen forense se creará y almacenará en un recurso compartido de un sistema remoto.

Montar una Imagen Forense utilizando el Comando Mount en Linux

  • Posted on: 6 May 2014
  • By: ReYDeS

El comando Mount puede tomar un archivo de imagen lógico y montarlo en un directorio específico, de tal manera que permita examinar los contenidos de la imagen. La imagen debe incluir un sistema de archivos reconocible como una partición. La invocación del comando resulta interesante dado que la imagen en bruto es una imagen de un disco físico y no una partición específica de un sistema de archivos.

Crear la Imagen Forense desde una Unidad utilizando FTK Imager

  • Posted on: 2 May 2014
  • By: ReYDeS

FTK Imager de AccessData es una herramienta para realizar réplicas y visualización previa de datos, la cual permite una evaluación rápida de evidencia electrónica para determinar si se garantiza un análisis posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de computadora sin realizar cambios en la evidencia original.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete