Introducción a la informática forense
Actualmente las tecnologías de la información constituyen un elemento indispensable para el funcionamiento de organizaciones y empresas de todo tipo. La ubicuidad de medios informáticos, combinada con el crecimiento imparable de Internet y las redes durante los últimos años, abre un escenario d...
| Main Author: | |
|---|---|
| Format: | eBook |
| Language: | Castellano |
| Published: |
Madrid :
RA-MA Editorial
2014.
|
| Subjects: | |
| See on Biblioteca Universitat Ramon Llull: | https://discovery.url.edu/permalink/34CSUC_URL/1im36ta/alma991009421925206719 |
Table of Contents:
- INTRODUCCIÓN A LA INFORMÁTICA FORENSE
- PÁGINA LEGAL
- ÍNDICE
- INTRODUCCIÓN
- 1 SE HA ESCRITO UN CRIMEN DIGITAL
- 1.1 UN DÍA COMO OTRO CUALQUIERA
- 1.2 INTERVENCIÓN
- 1.2.1 Los primeros en llegar
- 1.2.2 Apagado sin más
- 1.2.3 Objetos intervenidos
- 1.3 LA AMENAZA DIGITAL
- 1.3.1 El delito informático
- 1.3.2 Evaluación del riesgo
- 1.3.3 Los motivos del agresor
- 1.3.4 Amenazas internas y externas
- 1.4 DINÁMICA DE UNA INTRUSIÓN
- 1.4.1 Footprinting
- 1.4.2 Escaneo de puertos y protocolos
- 1.4.3 Enumeración
- 1.4.4 Penetración y despliegue de exploits
- 1.4.5 Puertas traseras
- 1.4.6 Borrando huellas
- 2 LA INVESTIGACIÓN FORENSE
- 2.1 ETAPAS DE UNA INVESTIGACIÓN FORENSE
- 2.1.1 Adquisición (Imaging)
- 2.1.2 Análisis
- 2.1.3 Presentación
- 2.1.4 La línea de tiempo
- 2.2 REQUISITOS DE LA INVESTIGACIÓN FORENSE
- 2.2.1 Aceptabilidad
- 2.2.2 Integridad
- 2.2.3 Credibilidad
- 2.2.4 Relación causa-efecto
- 2.2.5 Carácter repetible
- 2.2.6 Documentación
- 2.3 VALORACIÓN JURÍDICA DE LA PRUEBA DIGITAL
- 2.3.1 Interés legal de la prueba
- 2.3.2 Prueba física y prueba personal
- 2.3.3 Cualificación del investigador forense
- 2.3.4 La adquisición: fase crucial
- 3 SOPORTES DE DATOS
- 3.1 PROCEDIMIENTOS DE ADQUISICIÓN
- 3.1.1 EnCase &
- Linen
- 3.1.2 dd
- 3.1.3 dcfldd, dc3dd y ddrescue
- 3.1.4 AIR
- 3.1.5 Adquisición por hardware
- 3.1.6 MD5 y SHA
- 3.1.7 Cálculo de MD5 con Linux
- 3.2 DISCOS, PARTICIONES Y SISTEMAS DE ARCHIVOS
- 3.2.1 NTFS
- 3.2.2 FAT
- 3.2.3 ext2, ext3, ext4
- 3.2.4 HFS, HFS+, JFS, ReiserFS, etc.
- 3.3 MODELO DE CAPAS
- 3.3.1 Nivel 1
- 3.3.2 Nivel 2
- 3.3.3 Nivel 3
- 3.3.4 Nivel 4
- 3.3.5 Nivel 5
- 3.3.6 Nivel 6
- 3.3.7 Nivel 7
- 3.4 RECUPERACIÓN DE ARCHIVOS BORRADOS
- 3.4.1 Dinámica del borrado de archivos
- 3.4.2 Sector/, cluster/ y file slack.
- 3.5 ANÁLISIS DE UNA IMAGEN FORENSE CON TSK
- 3.5.1 Componentes de TSK
- 3.5.2 Adquisición de un soporte de datos
- 3.5.3 Instalación de TSK
- 3.5.4 Análisis de la imagen
- 3.5.5 Análisis del sistema de archivos
- 3.5.6 Listado de archivos
- 3.5.7 Recuperando archivos borrados
- 3.6 ANÁLISIS DE ARCHIVOS
- 3.6.1 Firmas características
- 3.6.2 Documentos
- 3.6.3 Archivos gráficos
- 3.6.4 Multimedia
- 3.6.5 Archivos ejecutables
- 3.6.6 Exclusión de archivos conocidos
- 3.7 DATA CARVING
- 3.7.1 Cuando todo lo demás falla
- 3.7.2 Extracción de archivos
- 4 ANÁLISIS FORENSE DE SISTEMAS (...)
- 4.1 RECOPILANDO INFORMACIÓN VOLÁTIL
- 4.1.1 Fecha y hora del sistema
- 4.1.2 Conexiones de red abiertas
- 4.1.3 Puertos TCP y UDP abiertos
- 4.1.4 Ejecutables conectados a puertos TCP y UDP
- 4.1.5 Usuarios conectados al sistema
- 4.1.6 Tabla de enrutamiento interna
- 4.1.7 Procesos en ejecución
- 4.1.8 Archivos abiertos
- 4.2 ANÁLISIS FORENSE DE LA RAM
- 4.2.1 Captura de RAM completa con dd
- 4.3 ADQUISICIÓN DE SOPORTES
- 4.3.1 Adquisición con EnCase
- 4.3.2 Adquisición con FTK Imager
- 4.3.3 Otros métodos
- 4.4 ANÁLISIS POST MORTEM
- 4.4.1 Análisis con EnCase
- 4.4.2 AccessData FTK
- 4.4.3 Captain Nemo
- 4.4.4 Mount Image Pro
- 4.4.5 FileDisk
- 4.5 INVESTIGACIÓN DEL HISTORIAL DE INTERNET
- 4.5.1 Microsoft Internet Explorer
- 4.5.2 X-Ways Trace
- 4.5.3 iehist
- 4.5.4 Historial de navegación en Mozilla/Firefox
- 4.5.5 Chrome
- 4.6 LA PAPELERA DE RECICLAJE
- 4.6.1 Análisis de la papelera con Rifiuti
- 4.6.2 Funcionamiento de la papelera en Windows Vista/7
- 4.7 COOKIES
- 4.8 CORREO ELECTRÓNICO
- 4.8.1 Formatos PST y DBX Folders
- 4.8.2 Otros clientes de correo
- 4.8.3 Paraben's E-Mail Examiner
- 4.9 BÚSQUEDA DE CARACTERES
- 4.9.1 SectorSpy, Disk Investigator y Evidor
- 4.9.2 X-Ways Forensics
- 4.10 METADATOS.
- 4.10.1 Cómo visualizar los metadatos de un documento
- 4.10.2 Metadata Assistant
- 4.10.3 FOCA
- 4.10.4 Metadatos EXIF
- 4.11 ANÁLISIS DE PARTICIONES NTFS Y FAT
- 4.11.1 Runtime DiskExplorer
- 4.11.2 Recuperación de archivos borrados
- 4.11.3 Runtime GetDataBack
- 4.11.4 EasyRecovery Professional
- 4.11.5 R-Studio
- 4.12 EL REGISTRO DE WINDOWS
- 4.12.1 Estructura y archivos del Registro
- 4.12.2 Análisis off line con Windows Registry Recovery
- 4.12.3 RegRipper
- 5 ANÁLISIS FORENSE DE SISTEMAS LINUX/UNIX
- 5.1 HERRAMIENTAS DE CÓDIGO LIBRE
- 5.1.1 ¿Qué es exactamente el código libre?
- 5.1.2 Linux en la investigación forense
- 5.1.3 Poniendo en marcha una estación de trabajo con Linux
- 5.1.4 Descarga, compilación e instalación de herramientas
- 5.1.5 Montaje automático de particiones
- 5.2 ESTRUCTURA TÍPICA DE UN SISTEMA LINUX
- 5.2.1 Arquitectura y sistemas de archivos
- 5.2.2 Jerarquía de directorios
- 5.2.3 Archivos y permisos
- 5.2.4 Marcas de tiempo
- 5.3 INFORMACIÓN VOLÁTIL
- 5.3.1 Fecha y hora del sistema
- 5.3.2 Información de interés
- 5.3.3 Puertos y conexiones abiertas
- 5.3.4 Procesos en ejecución
- 5.4 ADQUISICIÓN FORENSE
- 5.4.1 Adquisición con dd
- 5.4.2 Adepto
- 5.5 ANÁLISIS
- 5.5.1 La línea de tiempo
- 5.5.2 Herramientas para elaborar una línea de tiempo
- 5.5.3 Recuperación de archivos borrados
- 5.6 OTRAS HERRAMIENTAS
- 5.6.1 Chkrootkit y Rkhunter
- 5.6.2 Md5deep
- 6 REDES E INTERNET
- 6.1 COMPONENTES DE UNA RED
- 6.1.1 Visión general de una red corporativa
- 6.1.2 Archivos de registro
- 6.1.3 Preservación de elementos de evidencia en redes
- 6.1.4 Siguiendo pistas
- 6.2 PROTOCOLOS
- 6.2.1 Capa de transporte: TCP
- 6.2.2 Puertos
- 6.2.3 Capa de red: IP
- 6.2.4 Enrutamiento
- 6.2.5 Capa de enlace de datos: interfaces Ethernet
- 6.2.6 Protocolos de nivel superior: HTTP y SMB.
- 6.3 ANALIZANDO EL TRÁFICO DE RED
- 6.3.1 Wireshark
- 6.3.2 Captura de tráfico (...)
- 6.3.3 Utilización de Wireshark
- 6.3.4 Un ejemplo práctico
- 6.4 COMPROBACIÓN DE DIRECCIONES IP
- 6.4.1 Herramientas de traza de red
- 6.4.2 Whois o quién es quién en Internet
- 6.4.3 Ping/fping
- 6.4.4 Traceroute/tracert
- 6.5 CORREO ELECTRÓNICO
- 6.5.1 Cabeceras e-mail
- 6.5.2 Estructura típica de un encabezado
- 7 INVESTIGACIÓN FORENSE DE DISPOSITIVOS MÓVILES
- 7.1 TELÉFONOS MÓVILES INTELIGENTES
- 7.1.1 Smartphones (...)
- 7.1.2 Hardware
- 7.1.3 Software
- 7.1.4 Información obtenible
- 7.2 INVESTIGACIÓN FORENSE DEL APPLE IPHONE
- 7.2.1 Consideraciones generales
- 7.2.2 Adquisición del iPhone mediante iTunes
- 7.2.3 iPhone Backup Extractor
- 7.2.4 Acceso a un backup encriptado
- 7.2.5 Adquisición lógica con herramientas de terceros
- 7.2.6 Adquisición física de un iPhone
- 7.2.7 Jailbreaking
- 7.2.8 Adquisición basada en técnicas de jailbreaking
- 7.2.9 Adquisición de otros dispositivos Apple
- 7.3 DISPOSITIVOS ANDROID
- 7.3.1 Introducción a Android
- 7.3.2 Adquisición de la tarjeta de memoria
- 7.3.3 Acceso al terminal Android
- 7.3.4 Utilidades de sincronización
- 7.3.5 Acceso mediante Android SDK
- 7.3.6 Algunas nociones básicas de Android Debug Bridge
- 7.3.7 Significado del rooting en Android
- 7.3.8 Adquisición física mediante dd
- 7.3.9 Examen de la memoria
- 7.4 RESTO DE DISPOSITIVOS Y PROCEDIMIENTOS
- 7.4.1 Supervivientes
- 7.4.2 Adquisición mediante Cellebrite UFED
- 7.5 PROCEDIMIENTOS Y RIESGOS
- 7.5.1 Alteración de las pruebas
- 7.5.2 Recomendaciones ACPO
- 7.5.3 Intervención de un dispositivo móvil
- 7.5.4 Riesgo legal
- 7.5.5 Privacidad
- 8 INVESTIGACIÓN DE IMÁGENES DIGITALES
- 8.1 INFORMÁTICA FORENSE E IMÁGENES DIGITALES
- 8.2 IMÁGENES MANIPULADAS
- 8.2.1 ¿Verdadero o falso?.
- 8.2.2 ¿Cómo funciona una cámara digital?
- 8.2.3 Interpolación e inconsistencia estadística
- 8.2.4 Artefactos
- 8.2.5 Zonas clonadas
- 8.2.6 Inconsistencias en la iluminación
- 8.2.7 E.L.A. (Error Level Analysis)
- 8.3 UTILIZACIÓN COMO HERRAMIENTA FORENSE
- 8.3.1 La imagen digital como prueba
- 8.3.2 Recomendaciones SWGIT
- 8.3.3 Buenas prácticas
- 8.3.4 Adquisición de imágenes en formato RAW
- 8.4 METADATOS GRÁFICOS
- 8.4.1 Exif
- 8.4.2 IPTC-IIM y Adobe XMP
- 8.4.3 Instalación y manejo de Exiftool
- 8.4.4 Ejemplo de aplicación
- 8.4.5 Limitaciones
- 9 HELIX
- 9.1 UNA DISTRIBUCIÓN DUAL
- 9.1.1 ¿Qué es Helix?
- 9.1.2 Características y novedades
- 9.1.3 Obtención de Helix
- 9.1.4 Arranque en vivo
- 9.1.5 CD autoarrancable
- 9.2 HELIX SOBRE UN SISTEMA EN FUNCIONAMIENTO
- 9.2.1 Interfaz
- 9.2.2 Información del sistema
- 9.2.3 Examen de la información volátil
- 9.2.4 Información de discos
- 9.2.5 Información de memoria RAM
- 9.3 ADQUISICIÓN DEL SISTEMA EN VIVO
- 9.3.1 Orden de volatilidad
- 9.3.2 Adquisición de memoria RAM
- 9.3.3 Recolección de información volátil
- 9.3.4 Imágenes de discos
- 9.3.5 Examen de un sistema en funcionamiento
- 9.3.6 Helix3 Pro Receiver
- 9.4 HELIX AUTOARRANCABLE
- 9.4.1 Live-CD Linux
- 9.4.2 Algunos aspectos de interés forense en Helix
- 9.4.3 Helix en una máquina virtual
- 10 HERRAMIENTAS SOFTWARE
- 10.1 DISTRIBUCIONES LINUX
- 10.1.1 Backtrack
- 10.1.2 Knoppix
- 10.1.3 SystemRescueCD
- 10.1.4 CAINE
- 10.1.5 Slackware
- 10.2 VIRTUALIZACIÓN
- 10.2.1 VMware
- 10.2.2 VirtualBox
- 10.2.3 Listado de herramientas
- 11 CONCLUSIONES
- 11.1 ESCENARIOS Y APLICACIONES
- 11.1.1 En el Juzgado
- 11.1.2 Investigaciones en organizaciones y empresas
- 11.1.3 Particulares y compañías de seguros
- 11.1.4 Sector público y seguridad nacional
- 11.2 OBSTÁCULOS.
- 11.2.1 Destrucción intencionada de la evidencia.
