Professional Documents
Culture Documents
USC Forense
Uploaded by
decer4Copyright
Available Formats
Share this document
Did you find this document useful?
Is this content inappropriate?
Report this DocumentCopyright:
Available Formats
USC Forense
Uploaded by
decer4Copyright:
Available Formats
Rafael Calzada Pradas
Rafael Calzada Pradas
Universidad Carlos III de Madrid
Universidad Carlos III de Madrid
Anlisis Forense de
Anlisis Forense de
Sistemas
Sistemas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
22
Agenda
Introduccin Terica
Aspectos Legales
Preparacin
Anlisis de un sistema
Windows 2000
Anlisis de un sistema
GNU/Linu
!onclusiones
"e#erencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
33
Introduccin Terica al
Anlisis Forense de Sistemas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
44
Introduccin
!iencia aplicada para $allar/descu%rir la
&erdad
Principio de intercam%io de Locard
Cada contacto deja un rastro
Sospechoso Vctima
Escena del crimen
Evidencia
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
55
Principio de Locard
(versin digital)
'l intruso sube $erramientas al e(uipo asaltado
Contienen ficheros
con el mismo hash
Histrico
de ltimas
conexiones
Traza de
conexiones
Alertas de
equipos de
monitorizacin
Sospechoso Vctima
Escena del crimen
Evidencia
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
Anlisis Forense
(versin digital)
)uplicacin eacta de e&idencias
!ompro%acin de modi#icacin/#alsi#icacin
de e&idencias
)*#icultad de %orrado
Posi%lidad de disponer de &arias copias de
e&idencias+ para e&itar destruccin,
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
!!
Gestin de incidentes
Preparacin
Deteccin
Anlisis forense
Seleccin de estrategia de respuesta
Seguimiento
ecuperacin
Anlisis forense
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
""
!iclo de vida de anlisis
forense de las evidencias
Funcionamiento
Conciencia
Investigacin Aprendizaje
Funcionamiento
reparacin
Forense
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
##
"#$etivos
-a%er (ue $a sucedido
)eterminar la magnitud del incidente
)eterminar otras entidades implicadas
Pre&enir . me/orar la preparacin para
incidentes #uturos
'liminar el riesgo . las posi%les
responsa%ilidades
-i es necesario+ denunciar
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
%
$
%
Fases del Anlisis Forense
Identi#icacin
Preser&acin de la e&idencia
Anlisis
In#orme
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
$
$
$
Identificacin
01ui2n puede recoger las e&idencias3
!on e&idencias #*sicas+ slo un eperto
autori4ado
!on e&idencias digitales,,,
'n 'spa5a+
6acer la recogida de e&idencias de #orma
metdica
6o/a de identi#icacin #irmada por testigos+ con
c$ec7sum md8 o s$a9
-i es caso se pre&e gra&e+ a&isar a las #uer4as
del orden
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
2
$
2
Principio de indeterminacin
de %eisen#erg
No puedo o%tener el estado de un sistema
sin alterarlo
Tratar de o%tener la ma.or in#ormacin posi%le
con el m*nimo impacto
Normalmente el administrador detecta el
incidente
!am%ia contrase5as
"einicia+ actuali4a+ instala+ etc
La ma.or parte de las &eces sin 2ito
Preguntar . anotar todo lo reali4ado por el
administrador
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
3
$
3
!adena de confian&a
Los datos sern tan #ia%les como las
$erramientas utili4adas para o%tenerlos
"oot7it no es el #inal del anlisis
Tener preparado !) . dis(uete con
$erramientas fiables
Permiten eludir root7its de aplicacin
Nunca descartar root7its de sistema
Pueden aparecer al anali4ar las e&idencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
4
$
4
Slo tendremos una
oportunidad para recoger
evidencias
'l responsa%le del e(uipo a#ectado (uiere
recuperar el sistema
'l responsa%le del ser&icio (uiere volver a
prestarlo
'l responsa%le de seguridad/anlista
necesita tiempo
6a. (ue recoger las e&idencias
:ien
A la primera
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
5
$
5
Aislar la escena
T;);- son sospec$osos
'specialmente si es un incidente interno
"eali4ar la recogida de e&idencias &oltiles
lo antes posi%le
'&itar (ue las acciones de terceros puedan
alterar el estado del sistema
'ti(uetar adecuadamente las e&idencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
!adena de custodia
)e#inir #unciones . responsa%ilidad de cada
miem%ro del e(uipo !-I"T
Para /usti#icar los accesos a las e&idencias
Importante si el caso terminar en /uicio
!ada e&idencia de%e estar eti(uetada+
inclu.endo su c$ec7sum <)8 o -6A9
"egistro de accesos
"ed aislada para el e(uipo !-I"T
)eterminar las $erramientas a emplear
<antener &arias copias de las e&idencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
!
$
!
ecoleccin de 'videncias
No utili4ar las $erramientas del sistema
Podr*an $a%er sido alteradas
No ser intrusi&o
Utili4ar un !) o dis(uete con los e/ecuta%les
enla4ados estticamente
No alterar el contenido del disco
No instalar programas+ ni &olcar salida de programas a
disco duro
Utili4ar un dis(uete para almacenar la salida de los
programas,
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
"
$
"
!lasificacin de evidencias
"egistros !PU
<emoria !ac$e
<emoria
<dulos del -;
!ontroladores dispositi&os
Programas en e/ecucin
!oneiones acti&as
)isco
(olatilidad
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
#
$
#
ecoleccin de 'videncias
'&idencias &oltiles
A(uellas (ue se perdern al apagar el e(uipo
6ora del sistema . des#ase $orario
!ontenido de la memoria
Procesos en e/ecucin=
<dulos/!ontroladores del -istema ;perati&o
Programas en e/ecucin
Usuarios conectados
!on#iguracin de red
)irecciones IP+ ta%la de rutas+ cac$e arp+ etc
!oneiones acti&as+ puertos a%iertos
6acer c$ec7sum de todo+ para e&itar alteraciones
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
%
2
%
ecoleccin 'videncias
Automati4acin > ?ia%ilidad . "apide4
Apagado del e(uipo a#ectado
-incroni4ar los discos
Apagar de botn
?ic$eros a%iertos+ pero %orrados
's posi%le (ue $a.a scripts para %orrar $uellas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
$
2
$
ecoleccin 'videncias
'&idencias no &oltiles
A(uellas (ue permanecern tras apagar el
e(uipo
!opiarlas al e(uipo de anlisis
)e #orma local o a tra&2s de la red
6acer c$ec7sum
Nunca
Utili4ar programas del sistema para $acer la copia
<ontar los sistemas de #ic$eros en modo escritura
Tam%i2n logs de I)-/!orta#uegos eternos
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
2
2
2
Anlisis
'l tiempo a&an4a . es nuestro amigo
Tratar de correlar e&entos
Logs del sistema
Tiempos <A! de los #ic$eros
-i no $an sido alterados+ in#ormacin cla&e
"econstruir la secuencia de comandos
e/ecutados
Anali4ar adecuadamente los programas en
entornos seguros
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
3
2
3
Anlisis
0)nde puede $a%er in#ormacin3
Arc$i&os normales
Arc$i&os temporales
Arc$i&os ocultos
Arc$i&os %orrados
-lac7 space
0'steanogra#*a3
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
4
2
4
Informe
!aracter*sticas del anlisis #orense
)ocumentado
"eproduci%le
"esultados &eri#ica%les
Independiente
)el in&estigador
)e las $erramientas empleadas
)e la metodolog*a
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
5
2
5
Aspectos Legales
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
esumen
Anlisis Forense: Proceso para identi#icar+
anli4ar . presentar e&idencias digitales+ de modo
. #orma (ue sean aceptadas en un tri%unal
!la&es
<inimi4ar el tratamiento de los datos originales
Anotar cual(uier cam%io
!umplir las reglas de gestin de las e&idencias
No so%repasar nuestros propios conocimientos
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
!
2
!
Admisi#ilidad de 'videncias
Digitales
Principios generales
Las e&idencias tienen (ue ser recogidas de la
#orma . por el personal autori4ados
Las e&idencias de%en ser recogidas de acuerdo
a los re(uerimientos #ormales+ para esta%lecer
su #ia%ilidad
)e%e respetarse el derec$o a la intimidad
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
"
2
"
La integridad . autenticidad de las
e&idencias de%e esta%lecerse en el tri%unal,
Utili4ar t2cnicas . m2todos estndari4ados para
recoger+ almacenar . presentarlas
Las e&idencias digitales no son
autoeplicati&as
's pro%a%le (ue sea necesario un eperto para
eplicarlas
Admisi#ilidad de 'videncias
Digitales
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
#
2
#
Legislacin Aplica#le
Internacional
!arta de Derechos Humanos
!on&encin 'uropea so%re Proteccin de los
Individuos respecto al Tratamiento
Automatiado de Datos Personales
-upranacional
)irecti&a @8/AB'! so%re Proteccin de los
Individuos respecto al Tratamiento
Automatiado de Datos Personales !
movimiento de dichos datos
)irecti&a @C/BB'! so%re Procesamiento de
Datos Personales ! Proteccin de la Privacidad
en el "ector de las Telecomunicaciones
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
%
3
%
Legislacin Aplica#le
Nacional
!digo Penal
T*tulo D+ Art 9@C+ interceptacin de comunicaciones+
apropiacin de #ic$eros+ etc
Por ello
-er escrupulosos en los accesos a
#ic$eros/directorios
No capturar los campos de datos
!ontactar con los agentes de la autoridad si
pre&emos (ue el caso puede ser lle&ado a los
tri%unales
Puede (ue los acusados seamos nosotros
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
$
3
$
Preparacin para el Anlisis
Forense
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
2
3
2
%ard)are (Do*it*+ourself)
!apacidad de
proceso=
Procesador de
Eltima generacin
892<: o 9G: de
"A<
Almacenamiento=
-istema FG90G:H
Tra%a/o FGB0G:H
Gra%adora !)/)I)
!oneiones=
I)'
-!-I
U-:
?ireWire
Lectores de Tar/etas
de <emoria
?ast't$ernet
Porttil
)isco U-:/?ireWire
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
3
3
3
%ard)are,Soft)are
(preinstalado)
?"'))I'
JB+@@@,00
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
4
3
4
Soft)are (Do*it*+ourself)
'n la estacin de
anlisis=
Linu
"AI)+ LI+ loop%ac7
et2+ #at+ nt#s+ etc
K02,9( e ipta%les
cloop
Autops.
Imware
rune#s
'n e(uipo m&il
Linu
2 L 't$ernets
K02,9(+ %ridge e
ipta%les
et2+ #at+ nt#s+ etc
-o#tware
tcpdump/et$ereal
?I"'
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
5
3
5
(-)are
'mulador de P!
Para plata#ormas Windows 27+ DP+ 27L . Linu
-naps$ot de discos
<ultiples e#uipos virtuales simultneos
Permite simular e(uipos a#ectados
'/ecucin controlada de programas
!ontrol de acceso a red
Precio ra4ona%le
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
.Sta/e Sleut0 1it (TAS1) 2
Autops+ Forensic 3ro)ser
Iisuali4acin de #ic$eros .
directorios eistentes .
%orrados
Acceso a %a/o ni&el del
sistema de #ic$eros
!ronograma de acti&idad
del sistema de #ic$eros
!lasi#icacin de #ic$eros
:Es(uedas utili4ado
epresiones regulares
:Es(uedas en NI-T N-"L
. 6as$ Meeper
Notas del in&estigador
Generador de in#ormes
Anali4a imgenes creadas
con dd
-oporta #at+ nt#s+ ##s+ et2 .
etL
<uestra los datos en
-treams Alternati&os de
NT?-
Permite importar e&entos
de otras $erramientas
Permite organi4ar los
#ic$eros en #uncin de su
tipo
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
!
3
!
TAS1 2 Autops+4 Limitaciones
No incorpora duplicacin $ardware de
discos
?I"' puede suplir esta limitacin
No soporta particiones swap+ ni 6?-/6?-N
Poca capacidad para %Es(uedas en
espacio no utili4ado
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
"
3
"
foremost
Permite anali4ar imgenes de discos para
"ecuperar #ic$eros/partes de #ic$eros
-e %asa en el #ormato de las ca%eceras .
#inales de #ic$ero
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
#
3
#
runefs + #map
Permiten ocultar in#ormacin en el sistema
de #ic$eros
"une#s= Utili4a asignacin de inodos
%map= Utili4a slac7Ospace
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
%
4
%
Forensic Incident esponse
'nvironment (FI')
)istri%ucin li&e %asada en 7noppi
Adaptada a tareas #orenses
Adems inclu.e $erramientas para captura
de e&idencias &oltiles
Linu
Windows
-olaris
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
$
4
$
ecomendacin
De lo que te cuenten
nada creas,
y slo la mitad
de lo que veas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
2
4
2
Anlisis de un Sistema
5indo)s 6777
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
3
4
3
ecogida de evidencias
voltiles (FI')
Psin#o
net accounts
net #ile
net session
net s$are
net start
net use
net user
net &iew
arp Oa
netstat Oanr
psloggedon
procinterrogate Olist
#port /p
pslist O
n%tstat Oc
dir /s /a=$ /t=a c=
dir /s /a=$ /t=a d=
md8sum
c=/P,P
c=/winnt/P,P
c=/winnt/s.stem/P,P
c=/winnt/s.stemL2/P,P
d=/P,P
d=/winnt/P,P
d=/winnt/s.stem/P,P
d=/winnt/s.stemL2/P,P
at
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
4
4
4
ecogida de evidencias no
voltiles
9,Utili4ar $dparm para optimi4ar acceso a
disco
2,6acer c$ec7sum de todas las particiones
L,!opia en e(uipo #orense
9,Necesitamos a%rir el e(uipo a#ectado
2,Necesitamos inter#aces compati%les li%res
A,!opia en e(uipo a#ectado
9,Necesitamos utili4ar un sistema operati&o limpio
2,)e%e tener conectores para nuestro disco
L,Nuestro disco de%e tener la capacidad su#iciente
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
5
4
5
ecogida de evidencias no
voltiles
8,A tra&2s de la red
9,Necesitaremos un sistema operati&o limpio
9,!on soporte para adaptador de red
2,<ediante ca%le cru4ado
L,; a tra&2s de la red
9,Utili4ar ci#rado
2,!on#igurar am%os e(uipos en la misma ILAN
Importante $acer c$ec7sums de todas las
particiones
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
Anlisis
<etodolog*a espiral
Tomar nota de todo a(uello (ue consideremos
etra5o
-er&icios cu.o nom%re no sea #amiliar
-er&icios o controladores con descripcin en idioma
di#erente del idioma del sistema operati&o
"e&isar las e&idencias &oltiles %uscando puertos
a%iertos ./o procesos etra5os
Nunca descartar nada
root7it
Intruso interno
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
!
4
!
'$emplo
's%o4o de anlisis de un sistema Windows
2000
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
"
4
"
Anlisis de un sistema De#ian
G89,Linu:
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
#
4
#
ecogida de evidencias
voltiles
)esde un entorno se$uro
?I"' F?orensic Incident "esponse 'n&ironment
!)H
)iscos de arran(ue+ con programas enla4ados
estticamente
Gra%ar la sesin+ p,e, utili4ar script
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
%
5
%
ecogida de evidencias
voltiles (FI')
$ostname
/proc/cpuin#o
d# O$
#dis7 Ol
/proc/&ersion
/proc/cmdline
en&
w$o
ps Oe#l
i#con#ig Oa
i#con#ig Os
arp On
/etc/$osts
/etc/resol&,con#
/etc/passwd
/etc/s$adow
netstat Oanp
netstat Onr
lso# OP Oi On
lso#
/proc/memin#o
/proc/modules
/proc/mounts
/proc/swaps
/etc/#sta%
/proc/id%proceso
Listado /etc /%in /s%in /usr
/&ar /de& /$ome /li%
/de&/7core de%e copiarse
de #orma manual Fcr.ptcatH
Inclu.e c$7root7it
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
$
5
$
ecogida de evidencias no
voltiles
Igual (ue en un sistema Windows
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
2
5
2
Anlisis
<etodolog*a espiral
-olicitar a.uda del administrador si no
conocemos la distri%ucin
U%icacin de logs
Aplicaciones/Parc$es instalados
"oot7its al orden del d*a
<uc$os necesitan 7ernel modular
Pero otros no
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
3
5
3
'$emplo
's%o4o de anlisis de un sistema
)e%ian/GNU Linu
You might also like
- Qué Son y Qué Hacen Las Calificadoras de RiesgoDocument3 pagesQué Son y Qué Hacen Las Calificadoras de RiesgoStefanu AT TévesNo ratings yet
- Historia de La Maquinaria PesadaDocument4 pagesHistoria de La Maquinaria PesadaStefanu AT Téves50% (6)
- Gerencia CreditosDocument69 pagesGerencia CreditosAlfredo VelasquezNo ratings yet
- Monografia de Principio de Matricidad ProtocolarDocument35 pagesMonografia de Principio de Matricidad ProtocolarStefanu AT TévesNo ratings yet
- Prueba Del Capítulo CISCO CNNADocument15 pagesPrueba Del Capítulo CISCO CNNAStefanu AT Téves50% (2)
- Historia de La Maquinaria PesadaDocument4 pagesHistoria de La Maquinaria PesadaStefanu AT Téves50% (6)
- Contabilidad en Moquegua FinancieraDocument51 pagesContabilidad en Moquegua FinancieraStefanu AT TévesNo ratings yet
- Plan Contable General RevisadoDocument24 pagesPlan Contable General RevisadoStefanu AT TévesNo ratings yet
- Sistema de Tarifación ConvergenteDocument3 pagesSistema de Tarifación ConvergenteStefanu AT TévesNo ratings yet
- La Informatica en MoqueguaDocument23 pagesLa Informatica en MoqueguaStefanu AT TévesNo ratings yet
- Internet Explorer 10 - Modelo de Objetos ComponentesDocument53 pagesInternet Explorer 10 - Modelo de Objetos ComponentesStefanu AT TévesNo ratings yet
- Comunicacion en Hospital Puno PereDocument6 pagesComunicacion en Hospital Puno PereStefanu AT TévesNo ratings yet
- Perfil Del Estudiante de Ingeniería en Sistemas Informáticos de La Universidad Católica de OccidenteDocument9 pagesPerfil Del Estudiante de Ingeniería en Sistemas Informáticos de La Universidad Católica de OccidenteStefanu AT TévesNo ratings yet
- Tecnologia Informatica 2014Document9 pagesTecnologia Informatica 2014Stefanu AT TévesNo ratings yet
- Reseña Histórica de La Escuela PostgradoDocument5 pagesReseña Histórica de La Escuela PostgradoStefanu AT TévesNo ratings yet
- Como Cambiar El Puerto 80 de Apache Server Por El PuertoDocument3 pagesComo Cambiar El Puerto 80 de Apache Server Por El PuertoStefanu AT TévesNo ratings yet
- WWE AyudadoDocument13 pagesWWE AyudadoStefanu AT TévesNo ratings yet
- Etica Del Ingeniero InformáticoDocument10 pagesEtica Del Ingeniero InformáticoStefanu AT TévesNo ratings yet
- Evolución de Sistemas e InformaticaDocument5 pagesEvolución de Sistemas e InformaticaStefanu AT TévesNo ratings yet
- Como Cambiar El Puerto 80 de Apache Server Por El PuertoDocument3 pagesComo Cambiar El Puerto 80 de Apache Server Por El PuertoStefanu AT TévesNo ratings yet
- Tele Comunica C I OnesDocument9 pagesTele Comunica C I OnesStefanu AT TévesNo ratings yet
- Investigacion CientificaDocument14 pagesInvestigacion CientificaStefanu AT TévesNo ratings yet
- PROYECTO Nectarultimo - Doc ExponerDocument25 pagesPROYECTO Nectarultimo - Doc ExponerStefanu AT TévesNo ratings yet
- Bases Torneo Futsal Umbro2010Document4 pagesBases Torneo Futsal Umbro2010Stefanu AT TévesNo ratings yet
- Controlde CalidadDocument26 pagesControlde CalidadStefanu AT TévesNo ratings yet
- YungaDocument16 pagesYungaStefanu AT TévesNo ratings yet
- Mineria de DatosDocument11 pagesMineria de DatosStefanu AT TévesNo ratings yet
- Data MinigDocument13 pagesData MinigStefanu AT TévesNo ratings yet
- TutoDocument33 pagesTutoStefanu AT TévesNo ratings yet
- MODULACIONES DIGITALES Unam 2013Document2 pagesMODULACIONES DIGITALES Unam 2013Stefanu AT TévesNo ratings yet
