blog

arp-fingerprint obtiene huellas (fingerprint) del host destino especificado utilizando el protocolo ARP.

Envía varios tipos diferentes de peticiones ARP, para luego registrar a cuales tipos responde el host. Desde esto construye una cadena de huellas constituidos de "1" donde el host respondió, y de "0" donde no lo hizo. Un ejemplo de cadena de huellas es 01000100000. Esta cadena de huellas se utiliza luego para buscar el sistema operativo probable.

Muchas de las cadenas sobre huellas son compartidas por varios sistemas operativos, por lo cual no siempre existe un mapeo uno a uno entre las cadenas de huellas y los sistemas operativos. Además el hecho de la huella de un sistema coincida con un determinado sistema operativo (o una lista de sistemas operativos), no significa necesariamente el sistema desde el cual se está obteniendo la huella sea ese sistema operativo, aunque es bastante probable. Esto se debe a la lista de sistemas operativos no es exhaustiva; siendo es probable existan sistemas operativos que no incluidos en lista.

La huella ARP de un sistema es generalmente una función de su kernel(aunque es posible la función ARP se implemente en el espacio del usuario, aunque casi nunca lo es).

Algunas veces un sistema operativo puede dar diferentes huellas dependiendo de la configuración. Un ejemplo es Linux, el cual responderá a una dirección IP de origen no local, si esa IP se encamina a través de la interfaz la cual se está probando. Esto es bueno y malo; por un lado hace la tarea de obtener huellas sea más compleja; pero de otro lado puede permitir determinar algunos aspectos sobre la configuración del sistema.

Algunas veces el hecho de dos sistemas operativos diferentes compartan una cadena de huellas ARP comunes, apunta hacia una reutilización del código de red. Un ejemplo de esto es Windows NT y FreeBSD.

arp-fingerprint utiliza arp-scan para enviar las peticiones ARP y recibir las respuestas.

Se ejecuta arp-fingerprint sin ningún parámetro, lo cual muestra un resumen de sus opciones.

$ arp-fingetprint

La opción -l intentará obtener una huella de todos los hosts sobre la red local.

$ sudo arp-fingerprint -l

Finalizado el escaneo, se presenta la información obtenida en tres columnas, la primera corresponde a la dirección IP, la segunda corresponde a la huella, y la tercera corresponde a una categorización de potenciales sistemas operativos obtenidos, con sus correspondientes variantes o versiones.

Fuentes:

https://linux.die.net/man/1/arp-fingerprint
https://linux.die.net/man/1/arp-scan
https://www.reydes.com/d/?q=arp-scan

MediaInfo es una utilidad en linea de comando, para mostrar información sobre archivos de audio y video.

MediaInfo proporciona información técnica y de etiquetas desde un archivo de audio o video.

¿Cual información se puede obtener desde MediaInfo?

• General: título, autor, director, álbum, número de pista, fecha, duración ...
• Video: códec, aspecto, fps, tasa de bits ...
• Audio: códec, tasa de muestreo, canales, lenguaje, tasa de bits ...
• Texto: Lenguaje del subtítulo
• Capítulos: número de capítulos, lista de capítulos

¿Cuales formato admite MediaInfo?

• Vídeo: MKV, OGM, AVI, DivX, WMV, QuickTime, Real, MPEG-1, MPEG-2, MPEG-4, DVD (VOB) ...
• Códecs de Video: DivX, XviD, MSMPEG4, ASP, H.264, AVC ...
• Audio: OGG, MP3, WAV, RA, AC3, DTS, AAC, M4A, AU, AIFF ...
• Subtítulos: SRT, SSA, ASS, SAMI ...

¿Qué es factible de realizar con MediInfo?

• Leer muchos formatos de archivos de video y audio
• Diferentes métodos para visualización de información (texto, hoja de árbol, HTML ...)
• Personalizar formatos para visualización
• Exportar información como texto, CSV, HTML ...
• Integración con la shell de Windows (arrastrar y soltar; Menú contextual)
• Internacionalización: cualquier idioma de visualización en cualquier versión de su sistema operativo

Se procede a ejecuta la herramienta MediaInfo con la opción “-h”, para visualizar un resumen de sus opciones.


$ mediainfo -h

Se ejecuta la herramienta definiendo un archivo en formato MP3 (Un tema musical).


$ mediainfo Downloads/New Rules.mp3

Se muestra información muy detallada sobre el archivo de audio en formato MP3.

Ahora se ejecuta la herramienta definiendo un archivo en formato MP4 (Un video musical).


$ mediainfo Downloads/Bey once.mp4

Se obtiene también información muy detallada del archivo de video en formato MP4, tanto en lo referente al audio cuanto al video.

Es factible ejecutar MediaInfo sobre un archivo de subtítulos en formato SRT.


$ mediainfo Downloads/TOS.srt

También es factible utilizar la opción “-f” para mostrar la información completa (todas las etiquetas internas)

Finalmente MediaInfo incluye una Interfaz Gráfica para el Usuario (GUI).


$ mediainfo-gui

La información presentada a través de la Interfaz Gráfica para el Usuario de MediaInfo, es la misma la cual es factible de ser obtenida en linea de comando.

Fuentes:

https://mediaarea.net/es/MediaInfo
https://github.com/MediaArea/MediaInfo

Photon es un rastreador (crawler) increíblemente rápido diseñado para OSINT o Inteligencia desde Fuentes Abiertas.

Entre sus características clave se enumeran:

Extracción de Datos

Photon puede extraer los siguientes datos mientras rastrea:

• URL (dentro del alcance y fuera del alcance)
• URL con parámetros (example.com/gallery.php?id=2)
• Intel (correos electrónicos, cuentas de redes sociales, buckets de Amazon, etc.)
• Archivos (pdf, png, xml, etc.)
• Claves secretas (claves de autenticación/API y hashes)
• Archivos JavaScript y Endpoints presentes en estos
• Cadenas coincidentes con patrón de expresión regular personalizado
• Subdominios y datos relacionados con DNS

La información extraída se guarda de forma organizada o se puede exportar como json.

Flexible

Controlar el tiempo de espera, el retraso, agregar semillas, excluir URL coincidientes con un patrón de expresiones regulares, y otras cosas interesantes. La amplia gama de opciones proporcionadas por Photon permite rastrear la web exactamente de la forma requerida.

Genio

La gestión inteligente de subprocesos y la lógica refinada de Photon propociona un rendimiento de primer nivel.

Aún así, el rastreo puede requerir muchos recursos, pero Photon tiene algunos trucos bajo la manga. Puede obtener las URL archivadas por archive.org, para utilizarlas como semillas usando la opción “--wayback”.

Complementos

• wayback
• dnsdumpster
• exporter

Se ejecuta Photon con la opción “-h” para visualizar un resumen de sus opciones.


$ photon -h

La herramienta permite obtener direcciones de correo electrónico y llaves desde un sitio web. Para lograr esto se utiliza la opción “--keys”


$ photon -u https:// www. congreso. gob. pe --keys

Los resultados son guardados en un directorio con el mismo nombre del dominio en evaluación.

Para visualizar las direcciones de correo electrónico capturadas se visualiza el archivo de nombre “intel.txt”.


$ cat www. congreso. gob. pe/intel.txt

En caso algunas direcciones de correo electrónico no estén relacionadas con el dominio en evaluación, es debido a se han rastreado sitios no relacionados. Para esto se puede revisar o configurar la profundidad de las URLs a rastrear.

Nota: Al momento de realizar la presente publicación, la opción "--dns" no funciona correctamente, esto debido a un inconveniente con el sitio "spyse. com".

Fuentes:

https://github.com/s0md3v/Photon
https://github.com/s0md3v/Photon/issues/186

mmdbresolve lee direcciones IPv4 y direcciones IPv6 sobre la entrada estándar (stdin), para luego imprimir información sobre su geolocalización IP hacia la salida estándar (stdout). Cada línea de entrada debe contener exactamente una dirección. La salida está en formato INI, con un delimitador de sección con el nombre de la dirección en consulta ,seguido de un conjunto de pares "clave: valor". A cada sección se le añade un comentario que comienza por "# End".

Al inicio se imprime una sección "[init]" el cual muestra el estado de cada base de datos y de mmdbresolve.

Previamente se deben descargar y configurar las bases de datos GeoIP2 y GeoLite2. Para esto se debe proceder con el registro utilizando una dirección de correo electrónico.

Se procede a ejecutar la herramienta mmdbresolve para obtener información sobre dos direcciones IPv4.

$ echo 66.22.13.14 | mmdbresolve -f /opt/GeoLite2/GeoLite2-City_20230328/GeoLite2-City.mmdb

La opción -f define la base de datos a utilizar para realizar la consulta. En este caso se utiliza la de ciudades.

Entre la información obtenida se enumera; código iso del país, nombre del país, latitud, longitud, y radio de precisión para la localización.

$ echo 66.22.13.14 | mmdbresolve -f /opt/GeoLite2/GeoLite2-Country_20230328/GeoLite2-Country.mmdb

En este caso se utiliza la base de datos de países.

Entre la información obtenida se enumera; código iso del país y nombre del país.

Adicionalmente se puede obtener información sobre ASN.

Fuentes:

https://www.wireshark.org/docs/man-pages/mmdbresolve.html
https://www.wireshark.org
https://dev.maxmind.com

Captype es un programa el cual abre uno o más archivo de captura, e imprime el tipo de archivo de captura para cada archivo de entrada.

Captype es capaz de detectar y leer los mismos archivos de captura soportados por Wireshark. Los archivos de entrada no necesitan una extensión específica para el nombre de archivo; el formato del archivo y una compresión opcional gzip, zstd, o lz4 será automáticamente detectada. .

Se procede a ejecutar captype con la opción “--help”, lo cual muestra sus dos opciones.

$ captype --help

En un directorio de nombre “/trafico/” se almacenan diversos archivos conteniendo capturas de tráfico en diferentes formatos.

Se ejecuta la herramienta definiendo la ruta donde se encuentran los archivos.

$ captype trafico/captura*

Captype ha identificado correctamente todos los tipos de archivos, como pcapng, pcap, erf, nettl, 5views, k12text, netmon2, modpcap, y ngwsniffer_1_1.

Fuentes:

https://www.wireshark.org/docs/man-pages/captype.html
https://www.wireshark.org/docs/man-pages/wireshark.html

html2dic extrae todas las palabras desde una página HTML, generando un diccionario de todas las páginas encontradas, una por línea. El resultados en impreso a través de las salida estándar.

El diccionario generado luego puede ser utilizado para un ataque por diccionario. Este ataque implica intentar todas las posibles cadenas de un listado previamente establecida. Estos ataques originalmente utilizaban las palabras encontradas en un diccionario, sin embargo ahora existen listas mucho más grandes disponibles en Internet, conteniendo cientos de millones de contraseñas recuperadas de filtraciones expuestas.

Se procede a descargar un archivo html.

$ wget con greso. gob. pe

Se utiliza la herramienta html2dic para volcar un diccionario de palabras desde un archivo html de entrada. El resultado se redirecciona hacia el archivo de nombre “wordlist.txt”

$ html2dic index.html > wordlist.txt

Al archivo resultante se le aplican algunos filtros, como ordenar la lista de palabras utilizando comando “sort”, eliminar las lineas duplicadas utilizando el comando “uniq”. Luego se utiliza la herramienta pw-inspector para únicamente mostrar las palabras con una longitud mínima de 6 caracteres y una longitud máxima de 16 caracteres.

$ cat wordlist.txt | sort | uniq | pw-inspector -m 6 -M 16 | column

El contenido del archivo es mostrado en columnas, dado el hecho se está utilizando el comando “column”.

Fuentes:

https://dirb.sourceforge.net/
https://salsa.debian.org/pkg-security-team/dirb
https://github.com/vanhauser-thc/thc-hydra/blob/master/pw-inspector.c

La herramientas dirb-gendict, permite generar un diccionario de manera incremental. Este diccionario posteriormente puede ser utilizado para realizar un ataque por diccionario. El cual puede definirse como un tipo de ataque por fuerza bruta, donde se intenta romper un sistema de seguridad protegida por contraseña, con una “lista diccionario” de palabras comunes y frases utilizadas por las empresas e individuos.

Se procede a ejecutar dirb-gendict con la opción “-h”, lo cual muestra un resumen de sus breves opciones.

$ dirb-gendict -h

El tipo puede ser numérico, carácter, carácter en mayúscula, hexadecimal, alfanumérico, y alfanumérico sensible a mayúsculas y minúsculas.

A continuación se ejecuta la herramienta para generar un diccionario constituido por la palabra "Password" seguida de dos dígitos.

$ dirb-gendict -n PasswordXX | column

El patrón debe ser una cadena ASCII en la cual cada carácter “X” comodín será reemplazado con el valor incremental.

Fuentes:

https://www.kali.org/tools/dirb/#dirb-gendict
https://dirb.sourceforge.net/
https://www.rapid7.com/fundamentals/brute-force-and-dictionary-attacks/

FAB (Files Already Bagged) o por su traducción al idioma español; Archivos ya Embolsados, proporcionado como un comando fab-cewl en Debian, extrae el contenido de los campos autor / creador, desde los metadatos de algunos archivos, para crear listas de posibles nombres de usuarios. Estos nombres de usuario pueden ser utilizados en asociación con la lista generada de contraseñas por cewl. FAB utiliza algunas de las técnicas para la extracción de metadatos incluidos en CeWL.

Actualmente , FAB procesa formatos Office previos a 2007, Office 2007 y formatos PDF.

Se procede a ejecutar fab-cewl con la opción “--help”, lo cual muestra un resumen de sus breves opciones.

$ fab-cewl --help

Previamente se han descargado varios archivos en formato DOC, en un directorio de nombre “/tmp/archivos/”

Se ejecuta la herramienta definiendo la ubicación del directorio conteniendo los archivos analizar. Luego de lo cual inicia el procesamiento de cada archivo, tal como lo muestra en un mensaje donde versa sobre estar generando un cache para los nombres de etiquetas ExifTool.

$ fab-cewl /tmp/archivos/*

Finalizado el proceso muestra un completo listado de todos los nombres de usuarios extraídos desde los metadatos contenidos en los archivos procesados. Adicionalmente muestra desde cual archivo extrajo los metadatos.

Tener en consideración el resultado puede se redireccionado hacia un archivo, así mismo anotar no filtra por nombres de usuarios duplicados.

Fuentes:

https://github.com/digininja/CeWL

dpl4hydra genera una lista de contraseñas por defecto como entrada para la herramienta THC-Hydra.

Este script permite generar listas con las contraseñas por defecto de los principales proveedores de dispositivos de red como; 2wire, 360systems, 3com, 3m, acc, acceleratednetworks, accton, aceex, acer, actiontec, adaptecraid, adc, adckentrox, adcompleteco, adic, adp, adtech, adtran, advanced, advanteknetworks, aethra, airlink, aironet, aladdin, alcatel, allied, allnet, allot, alteon, ambit, ami, amitech, amptron, amptron, andovercontrols, aoc, apache, apc, apple, areca, arescom, arlotto, arrow‐point, asante, ascend, ascom, asmack, asmax, aspect, ast, asus, at&t, atcom, atlantis, att, attachmate, audioactive, autodesk, avaya, avengernewssystem, award, axis, aztech, barracudanetworks, baynetworks, bea, beetal, belkin, bestpractical, betabrite, billion, bintec, biodata, biostar, bizdesign, blackbox, bluecoatsystems, bmc, borland, boson, boson, breezecom, broadlogic, brocade, brother, bt, buffalo, cableandwireless, cabletron, canyon, castlenet, cayman, celerity, cgi, cgiworld, chase, chaseresearch, checkpoint, chumingchen, ciphertrust, cisco, cnet, cobalt, colubrisnetworks, comersus, compaq, compex, compualynx, computer, comtrend, conceptronic, concord, conexant, conitec, corecess, coyotepoint, crystalview, ctx, cyberguard, cybermax, cyclades, d-link, daewoo, dallas, dallassemiconductors, darkman, data, datacom, datageneral, datawizard, davox, daytek, debian, decnet, deerfield, dell, demarc, deutschetelekom, develcon, dictaphone, digicom, digicorp, digicraftsoftware, digiinternational, digital, digitalequipment, discar, dlink, draytek, drupal.org, dupont, dynalink, dynix, econ, edimax, efficientnetworks, elron, elsa, eminent, encad, enhydra, enox, enterasys, entrust, epox, ericsson, etech, everfocus, exindanetworks, extendedsystems, extremenetworks, f5, firebird, flowpoint, fortinet, foundry, foundrynetworks, freetech, fujixerox, funk, funksoftware, galacticomm, gandalf, gateway, ge, geeklog, generalinstruments, gericom, giga, gigabyte, globespanvirata, gossamerthreads, grandstreamnetworks, greatspeed, guardone, h2o, h2oproject, harris, hayes, hewlett-packard, honeywell, horizondatasys, hosting, hp, huawei, ibm, imperiasoftware, informix, infosmart, infotec, infrant, innovaphone, integratednetworks, intel, interbase, intermec, intershop, intex, intuit, ipstar, ipswitch, irc, ironport, iso, iwill, jd, jdedwards, jds, jetform, jetway, johnsoncontrols, josstechnology, juniper, justin, justinhagstrom, kalatel, kaptest, kethinov, keyscan, konicaminolta, kti, kyocera, lacie, lanier, lantronics, leading, lenel, level1, lg, lgic, linksys, linux, livingstone, logitech, longshine, lucent, machspeed, macromedia, magic-pro, main, mambo, mantis, marconi, mcafee, mediatrix, megastar, memotec, mentec, mercury, metro, michiel, microcom, micron, micronet, micronics, microplex, microrouter, microsoft, mikepeters, mikrotik, minoltaqms, mintel, mitel, mobotix, motorola, mp3mystic, mro, mrv, multitech, mutaresoftware, muze, mysql, nai, nanoteq, ncr, netapp, netcomm, netgear, netgenesis, netopia, netport, netscape, netscreen, network, networkassociates, networkice, nexland, next, ngsec, ngsecure, nicesystemsltd, nimble, no, nokia, norstar, nortel, networkassociates, networkice, nexland, next, ngsec, ngsecure, nicesystemsltd, nimble, no, nokia, norstar, nortel, novell, nrg, nullsoft, nurit, oce, ods, oki, olicom, olitec, omnitronix, oodiecom, openconnect, openmarket, openwave, openxchange, optivision, optus, oracle, osicom, ovislink, pacific, packardbell, panasonic, pandatel, patton, penril, pentagram, pentaoffice, pentasafe, philips, phoenix, phpreactor, phptest, pirelli, planet, pollsafe, polycom, postgresql, prestige, prestigio, primebase, prolite, promise, prostar, proxim, pyramidcomputer, qdi, quake, qualiteam, quantex, quantum, radio, radioshack, radware, rainbow, rampnetworks, rapidstream, raritan, raytalk, redhat, redline, remedy, research, resumix, ricoh, rizen, rm, roamabout, rodopi, safecom, sagem, sambartechnologies, samsung, samuelabels, sap, sap, schneider, schneiderelectric, scientificatlanta, seagullscientific, securicor3net, securstar, semaphore, servertechnology, sgi, sharp, shiva, shoretel, shuttle

Se ejecuta dpl4hydra con la opción “help”, lo cual muestra un resumen de sus breves opciones.

$ dpl4hydra help

La opción “BRAND” genera un lista de contraseñas por defecto desde “~/.dpl4hydra/dpl4hydra_full.csv”, limitando la salida hacia los sistema de tal MARCA, utilizando el formato nombredeusuario:contraseña (como lo requiere THC-Hydra).

$ dpl4hydra mikrotik

El mensaje mostrado versa sobre la no posibilidad de acceder al archivo de entrada “/home/kali/.dpl4hydra/dpl4hydra_full.csv”.

Indicando debe ser nuevamente construida ejecutando el comando “dpl4hydra refresh”.

Este script depende de una lista local de contraseñas por defecto denominada “~/.dpl4hydra/dpl4hydra_full.csv”. Si no está disponible, se puede generarla nuevamente con dpl4hydra refresh. La fuente de la lista de contraseñas por defecto se menciona al final de la presente publicación.

Se ejecuta el comando indicado.

$ dpl4hydra refresh

Se procede nuevamente a ejecutar el comando para obtener un lista de contraseña por defecto para la MARCA mikrotik.

$ dpl4hydra mikrotik
$ cat .dpl4hydra/dpl4hydra_mikrotik.lst

Al visualizar en archivo se puede encontrar un listado de nombres de usuario y contraseñas por defecto separados por “dos puntos”.

Fuentes:

https://github.com/vanhauser-thc/thc-hydra
https://github.com/vanhauser-thc/thc-hydra/blob/master/dpl4hydra.sh
https://open-sez.me/index.html

La meta principal del forense de computadoras es realizar una investigación estructurada sobre un dispositivo de cómputo, para averiguar lo sucedido o quien es el responsable de lo sucedido, manteniendo una cadena de evidencia documentada adecuada en un reporte formal. La sintaxis o plantilla de un reporte forense de computadoras es el siguiente:

Resumen Ejecutivo

Esta sección proporciona datos de fondo sobre las condiciones las cuales necesitan un requisito para la investigación. El resumen es leído por la alta por el gerente senior , quien no leerá el reporte detallado. Esta sección debe contener una descripción corta, detalles, y puntos importantes. Esta sección podría tener una página de largo. El Resumen Ejecutivo consta de lo siguiente:

• Tener en consideración quien autorizó el examen forense
• Listado de las evidencias significativas con un detalle corto
• Explicar porque era necesario un examen forense de dispositivos de cómputo
• Incluir un bloque de firma para los examinadores quienes realizaron el trabajo
• Nombre completo, legítimo y propio de todas las personas quienes estan relacionadas o involucradas en el caso, Cargos, fechas iniciales de contactos o comunicaciones

Objetivos

Esta sección se utiliza para delinear todas las tareas planeadas a completar para una investigación. En algunos casos puede ocurrir el examen forense no realice una investigación completa cuando revise el contenido de los medios. La lista del plan preparado debe ser discutida y aprobada por el consejo legal, quienes toman decisiones, y el cliente antes de cualquier análisis forense. Esta lista debe consistir de las tareas realizadas y el método realizado por un examinador para cada tarea, además del estado de cada tarea al final del reporte.

Evidencia informática analizada

Esta sección es donde se presentan toda la evidencias recopilada y sus interpretaciones. Proporciona información detallada relacionada con la asignación de números para etiquetado de evidencia, descripción de evidencia, y números de serie de los medios.

Hallazgos relevantes

Esta sección brinda un resumen de las elementos de evidencia encontradas con valor probatorio, cuando se encuentra una coincidencia entre el material de ciencia forense recuperado desde la escena de un incidente, por ejemplo; una huella digital, un mechón de cabello, una huella de zapato, etc. además una muestra de referencia proporcionada por un sospechoso del caso, la coincidencia se considera ampliamente como una fuerte evidencia de el sospechoso es la fuente del material recuperado. Sin embargo, el valor probatorio de la evidencia puede variar ampliamente según la forma en la cual se caracterice la evidencia, y la hipótesis de su interés. Responde a preguntas como "¿Cuales objetos o elementos relacionados se encontraron durante la investigación del caso?".

Detalles de Apoyo

Es la sección donde se realiza un análisis en profundidad sobre los hallazgos relevantes. '¿Cómo encontramos las conclusiones descritas en Hallazgos relevantes?', esto se describe en esta sección. Contiene una tabla de archivos vitales con un nombre de ruta completo, resultados de búsquedas de cadenas, correos electrónicos/URL revisados, número de archivos revisados, y cualquier otro dato relevante. Todas las tareas realizadas para cumplir las metas se describen en esta sección. Aquí se enfoca más en la profundidad técnica. Incluye gráficos, tablas, e ilustraciones, pues transmite mucho más comparado con textos escritos. Para cumplir con las metas descritas también se incluyen muchas subsecciones. Esta sección es la más extensa. Comienza proporcionando detalles de fondo sobre los medios analizados. No es fácil reportar la cantidad de archivos revisados y el tamaño del disco duro en un lenguaje comprensible para los humanos. Por lo tanto, el cliente debe saber cuántos datos requiere revisar para llegar a una conclusión.

Pistas de Investigación

Realiza elementos de acción los cuales podrían ayudar a descubrir información adicional relacionada con la investigación del caso. Los investigadores realizan todas las tareas pendientes para encontrar información adicional si queda más tiempo. La sección de pistas de investigación es muy importante para la aplicación de la ley. Esta sección sugiere tareas adicionales las cuales descubren información necesaria para avanzar en el caso. Por ejemplo averiguar si hay registros de cortafuegos datan lo suficientemente atrás como para dar una imagen correcta sobre los ataques potencialmente suscitados. Esta sección es importante para un consultor forense contratado.

Subsecciones Adicionales

Varias subsecciones adicionales se incluyen en un reporte forense. Estas subsecciones dependen de los requerimientos de los clientes y sus necesidades. Las siguientes subsecciones son útiles en casos específicos:

Metodología del atacante

En esta sección se brinda información adicional para ayudar al lector a comprender los ataques generales o exactos realizados. Esta sección es útil en casos de intrusión a computadoras. Aquí se realiza la inspección de como se realizan los ataques y cuales partes de los ataques se ven en los registros de eventos estándar.

Aplicaciones de usuario

En esta sección se abarcan las aplicaciones relevantes instaladas en los medios analizados, porque se observa en muchos casos las aplicaciones presentes en el sistema son muy relevantes. Asignar un título a esta sección, si se está investigando cualquier sistema utilizado por un atacante, por ejemplo, herramientas de ataque cibernético.

Actividad en Internet

Esta sección brinda el historial de navegación web del usuario desde los medios analizados. El historial de navegación también es útil para sugerir intenciones, descargas de herramientas maliciosas, espacio no asignado, búsquedas en línea, descargas de programas eliminados de forma segura, o programas de eliminación de evidencia, los cuales borran archivos residuales y archivos temporales, los cuales frecuentemente albergan pruebas muy importantes para una investigación.

Recomendaciones

Esta sección brinda recomendaciones para el cliente esté más preparado y capacitado contra el próximo incidente de seguridad de computadoras. Investigar algunas contramedidas basadas en host, basadas en red, y de procedimiento, los cuales se proporcionan a los clientes para reducir o eliminar el riesgo en incidentes de seguridad.

Fuentes:

https://www.geeksforgeeks.org/computer-forensic-report-format/