Académique Documents
Professionnel Documents
Culture Documents
USC Forense
Transféré par
decer4Copyright
Formats disponibles
Partager ce document
Partager ou intégrer le document
Avez-vous trouvé ce document utile ?
Ce contenu est-il inapproprié ?
Signaler ce documentDroits d'auteur :
Formats disponibles
USC Forense
Transféré par
decer4Droits d'auteur :
Formats disponibles
Rafael Calzada Pradas
Rafael Calzada Pradas
Universidad Carlos III de Madrid
Universidad Carlos III de Madrid
Anlisis Forense de
Anlisis Forense de
Sistemas
Sistemas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
22
Agenda
Introduccin Terica
Aspectos Legales
Preparacin
Anlisis de un sistema
Windows 2000
Anlisis de un sistema
GNU/Linu
!onclusiones
"e#erencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
33
Introduccin Terica al
Anlisis Forense de Sistemas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
44
Introduccin
!iencia aplicada para $allar/descu%rir la
&erdad
Principio de intercam%io de Locard
Cada contacto deja un rastro
Sospechoso Vctima
Escena del crimen
Evidencia
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
55
Principio de Locard
(versin digital)
'l intruso sube $erramientas al e(uipo asaltado
Contienen ficheros
con el mismo hash
Histrico
de ltimas
conexiones
Traza de
conexiones
Alertas de
equipos de
monitorizacin
Sospechoso Vctima
Escena del crimen
Evidencia
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
Anlisis Forense
(versin digital)
)uplicacin eacta de e&idencias
!ompro%acin de modi#icacin/#alsi#icacin
de e&idencias
)*#icultad de %orrado
Posi%lidad de disponer de &arias copias de
e&idencias+ para e&itar destruccin,
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
!!
Gestin de incidentes
Preparacin
Deteccin
Anlisis forense
Seleccin de estrategia de respuesta
Seguimiento
ecuperacin
Anlisis forense
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
""
!iclo de vida de anlisis
forense de las evidencias
Funcionamiento
Conciencia
Investigacin Aprendizaje
Funcionamiento
reparacin
Forense
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
##
"#$etivos
-a%er (ue $a sucedido
)eterminar la magnitud del incidente
)eterminar otras entidades implicadas
Pre&enir . me/orar la preparacin para
incidentes #uturos
'liminar el riesgo . las posi%les
responsa%ilidades
-i es necesario+ denunciar
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
%
$
%
Fases del Anlisis Forense
Identi#icacin
Preser&acin de la e&idencia
Anlisis
In#orme
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
$
$
$
Identificacin
01ui2n puede recoger las e&idencias3
!on e&idencias #*sicas+ slo un eperto
autori4ado
!on e&idencias digitales,,,
'n 'spa5a+
6acer la recogida de e&idencias de #orma
metdica
6o/a de identi#icacin #irmada por testigos+ con
c$ec7sum md8 o s$a9
-i es caso se pre&e gra&e+ a&isar a las #uer4as
del orden
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
2
$
2
Principio de indeterminacin
de %eisen#erg
No puedo o%tener el estado de un sistema
sin alterarlo
Tratar de o%tener la ma.or in#ormacin posi%le
con el m*nimo impacto
Normalmente el administrador detecta el
incidente
!am%ia contrase5as
"einicia+ actuali4a+ instala+ etc
La ma.or parte de las &eces sin 2ito
Preguntar . anotar todo lo reali4ado por el
administrador
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
3
$
3
!adena de confian&a
Los datos sern tan #ia%les como las
$erramientas utili4adas para o%tenerlos
"oot7it no es el #inal del anlisis
Tener preparado !) . dis(uete con
$erramientas fiables
Permiten eludir root7its de aplicacin
Nunca descartar root7its de sistema
Pueden aparecer al anali4ar las e&idencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
4
$
4
Slo tendremos una
oportunidad para recoger
evidencias
'l responsa%le del e(uipo a#ectado (uiere
recuperar el sistema
'l responsa%le del ser&icio (uiere volver a
prestarlo
'l responsa%le de seguridad/anlista
necesita tiempo
6a. (ue recoger las e&idencias
:ien
A la primera
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
5
$
5
Aislar la escena
T;);- son sospec$osos
'specialmente si es un incidente interno
"eali4ar la recogida de e&idencias &oltiles
lo antes posi%le
'&itar (ue las acciones de terceros puedan
alterar el estado del sistema
'ti(uetar adecuadamente las e&idencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
!adena de custodia
)e#inir #unciones . responsa%ilidad de cada
miem%ro del e(uipo !-I"T
Para /usti#icar los accesos a las e&idencias
Importante si el caso terminar en /uicio
!ada e&idencia de%e estar eti(uetada+
inclu.endo su c$ec7sum <)8 o -6A9
"egistro de accesos
"ed aislada para el e(uipo !-I"T
)eterminar las $erramientas a emplear
<antener &arias copias de las e&idencias
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
!
$
!
ecoleccin de 'videncias
No utili4ar las $erramientas del sistema
Podr*an $a%er sido alteradas
No ser intrusi&o
Utili4ar un !) o dis(uete con los e/ecuta%les
enla4ados estticamente
No alterar el contenido del disco
No instalar programas+ ni &olcar salida de programas a
disco duro
Utili4ar un dis(uete para almacenar la salida de los
programas,
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
"
$
"
!lasificacin de evidencias
"egistros !PU
<emoria !ac$e
<emoria
<dulos del -;
!ontroladores dispositi&os
Programas en e/ecucin
!oneiones acti&as
)isco
(olatilidad
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
$
#
$
#
ecoleccin de 'videncias
'&idencias &oltiles
A(uellas (ue se perdern al apagar el e(uipo
6ora del sistema . des#ase $orario
!ontenido de la memoria
Procesos en e/ecucin=
<dulos/!ontroladores del -istema ;perati&o
Programas en e/ecucin
Usuarios conectados
!on#iguracin de red
)irecciones IP+ ta%la de rutas+ cac$e arp+ etc
!oneiones acti&as+ puertos a%iertos
6acer c$ec7sum de todo+ para e&itar alteraciones
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
%
2
%
ecoleccin 'videncias
Automati4acin > ?ia%ilidad . "apide4
Apagado del e(uipo a#ectado
-incroni4ar los discos
Apagar de botn
?ic$eros a%iertos+ pero %orrados
's posi%le (ue $a.a scripts para %orrar $uellas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
$
2
$
ecoleccin 'videncias
'&idencias no &oltiles
A(uellas (ue permanecern tras apagar el
e(uipo
!opiarlas al e(uipo de anlisis
)e #orma local o a tra&2s de la red
6acer c$ec7sum
Nunca
Utili4ar programas del sistema para $acer la copia
<ontar los sistemas de #ic$eros en modo escritura
Tam%i2n logs de I)-/!orta#uegos eternos
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
2
2
2
Anlisis
'l tiempo a&an4a . es nuestro amigo
Tratar de correlar e&entos
Logs del sistema
Tiempos <A! de los #ic$eros
-i no $an sido alterados+ in#ormacin cla&e
"econstruir la secuencia de comandos
e/ecutados
Anali4ar adecuadamente los programas en
entornos seguros
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
3
2
3
Anlisis
0)nde puede $a%er in#ormacin3
Arc$i&os normales
Arc$i&os temporales
Arc$i&os ocultos
Arc$i&os %orrados
-lac7 space
0'steanogra#*a3
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
4
2
4
Informe
!aracter*sticas del anlisis #orense
)ocumentado
"eproduci%le
"esultados &eri#ica%les
Independiente
)el in&estigador
)e las $erramientas empleadas
)e la metodolog*a
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
5
2
5
Aspectos Legales
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
esumen
Anlisis Forense: Proceso para identi#icar+
anli4ar . presentar e&idencias digitales+ de modo
. #orma (ue sean aceptadas en un tri%unal
!la&es
<inimi4ar el tratamiento de los datos originales
Anotar cual(uier cam%io
!umplir las reglas de gestin de las e&idencias
No so%repasar nuestros propios conocimientos
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
!
2
!
Admisi#ilidad de 'videncias
Digitales
Principios generales
Las e&idencias tienen (ue ser recogidas de la
#orma . por el personal autori4ados
Las e&idencias de%en ser recogidas de acuerdo
a los re(uerimientos #ormales+ para esta%lecer
su #ia%ilidad
)e%e respetarse el derec$o a la intimidad
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
"
2
"
La integridad . autenticidad de las
e&idencias de%e esta%lecerse en el tri%unal,
Utili4ar t2cnicas . m2todos estndari4ados para
recoger+ almacenar . presentarlas
Las e&idencias digitales no son
autoeplicati&as
's pro%a%le (ue sea necesario un eperto para
eplicarlas
Admisi#ilidad de 'videncias
Digitales
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
2
#
2
#
Legislacin Aplica#le
Internacional
!arta de Derechos Humanos
!on&encin 'uropea so%re Proteccin de los
Individuos respecto al Tratamiento
Automatiado de Datos Personales
-upranacional
)irecti&a @8/AB'! so%re Proteccin de los
Individuos respecto al Tratamiento
Automatiado de Datos Personales !
movimiento de dichos datos
)irecti&a @C/BB'! so%re Procesamiento de
Datos Personales ! Proteccin de la Privacidad
en el "ector de las Telecomunicaciones
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
%
3
%
Legislacin Aplica#le
Nacional
!digo Penal
T*tulo D+ Art 9@C+ interceptacin de comunicaciones+
apropiacin de #ic$eros+ etc
Por ello
-er escrupulosos en los accesos a
#ic$eros/directorios
No capturar los campos de datos
!ontactar con los agentes de la autoridad si
pre&emos (ue el caso puede ser lle&ado a los
tri%unales
Puede (ue los acusados seamos nosotros
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
$
3
$
Preparacin para el Anlisis
Forense
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
2
3
2
%ard)are (Do*it*+ourself)
!apacidad de
proceso=
Procesador de
Eltima generacin
892<: o 9G: de
"A<
Almacenamiento=
-istema FG90G:H
Tra%a/o FGB0G:H
Gra%adora !)/)I)
!oneiones=
I)'
-!-I
U-:
?ireWire
Lectores de Tar/etas
de <emoria
?ast't$ernet
Porttil
)isco U-:/?ireWire
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
3
3
3
%ard)are,Soft)are
(preinstalado)
?"'))I'
JB+@@@,00
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
4
3
4
Soft)are (Do*it*+ourself)
'n la estacin de
anlisis=
Linu
"AI)+ LI+ loop%ac7
et2+ #at+ nt#s+ etc
K02,9( e ipta%les
cloop
Autops.
Imware
rune#s
'n e(uipo m&il
Linu
2 L 't$ernets
K02,9(+ %ridge e
ipta%les
et2+ #at+ nt#s+ etc
-o#tware
tcpdump/et$ereal
?I"'
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
5
3
5
(-)are
'mulador de P!
Para plata#ormas Windows 27+ DP+ 27L . Linu
-naps$ot de discos
<ultiples e#uipos virtuales simultneos
Permite simular e(uipos a#ectados
'/ecucin controlada de programas
!ontrol de acceso a red
Precio ra4ona%le
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
.Sta/e Sleut0 1it (TAS1) 2
Autops+ Forensic 3ro)ser
Iisuali4acin de #ic$eros .
directorios eistentes .
%orrados
Acceso a %a/o ni&el del
sistema de #ic$eros
!ronograma de acti&idad
del sistema de #ic$eros
!lasi#icacin de #ic$eros
:Es(uedas utili4ado
epresiones regulares
:Es(uedas en NI-T N-"L
. 6as$ Meeper
Notas del in&estigador
Generador de in#ormes
Anali4a imgenes creadas
con dd
-oporta #at+ nt#s+ ##s+ et2 .
etL
<uestra los datos en
-treams Alternati&os de
NT?-
Permite importar e&entos
de otras $erramientas
Permite organi4ar los
#ic$eros en #uncin de su
tipo
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
!
3
!
TAS1 2 Autops+4 Limitaciones
No incorpora duplicacin $ardware de
discos
?I"' puede suplir esta limitacin
No soporta particiones swap+ ni 6?-/6?-N
Poca capacidad para %Es(uedas en
espacio no utili4ado
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
"
3
"
foremost
Permite anali4ar imgenes de discos para
"ecuperar #ic$eros/partes de #ic$eros
-e %asa en el #ormato de las ca%eceras .
#inales de #ic$ero
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
3
#
3
#
runefs + #map
Permiten ocultar in#ormacin en el sistema
de #ic$eros
"une#s= Utili4a asignacin de inodos
%map= Utili4a slac7Ospace
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
%
4
%
Forensic Incident esponse
'nvironment (FI')
)istri%ucin li&e %asada en 7noppi
Adaptada a tareas #orenses
Adems inclu.e $erramientas para captura
de e&idencias &oltiles
Linu
Windows
-olaris
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
$
4
$
ecomendacin
De lo que te cuenten
nada creas,
y slo la mitad
de lo que veas
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
2
4
2
Anlisis de un Sistema
5indo)s 6777
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
3
4
3
ecogida de evidencias
voltiles (FI')
Psin#o
net accounts
net #ile
net session
net s$are
net start
net use
net user
net &iew
arp Oa
netstat Oanr
psloggedon
procinterrogate Olist
#port /p
pslist O
n%tstat Oc
dir /s /a=$ /t=a c=
dir /s /a=$ /t=a d=
md8sum
c=/P,P
c=/winnt/P,P
c=/winnt/s.stem/P,P
c=/winnt/s.stemL2/P,P
d=/P,P
d=/winnt/P,P
d=/winnt/s.stem/P,P
d=/winnt/s.stemL2/P,P
at
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
4
4
4
ecogida de evidencias no
voltiles
9,Utili4ar $dparm para optimi4ar acceso a
disco
2,6acer c$ec7sum de todas las particiones
L,!opia en e(uipo #orense
9,Necesitamos a%rir el e(uipo a#ectado
2,Necesitamos inter#aces compati%les li%res
A,!opia en e(uipo a#ectado
9,Necesitamos utili4ar un sistema operati&o limpio
2,)e%e tener conectores para nuestro disco
L,Nuestro disco de%e tener la capacidad su#iciente
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
5
4
5
ecogida de evidencias no
voltiles
8,A tra&2s de la red
9,Necesitaremos un sistema operati&o limpio
9,!on soporte para adaptador de red
2,<ediante ca%le cru4ado
L,; a tra&2s de la red
9,Utili4ar ci#rado
2,!on#igurar am%os e(uipos en la misma ILAN
Importante $acer c$ec7sums de todas las
particiones
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
Anlisis
<etodolog*a espiral
Tomar nota de todo a(uello (ue consideremos
etra5o
-er&icios cu.o nom%re no sea #amiliar
-er&icios o controladores con descripcin en idioma
di#erente del idioma del sistema operati&o
"e&isar las e&idencias &oltiles %uscando puertos
a%iertos ./o procesos etra5os
Nunca descartar nada
root7it
Intruso interno
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
!
4
!
'$emplo
's%o4o de anlisis de un sistema Windows
2000
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
"
4
"
Anlisis de un sistema De#ian
G89,Linu:
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
4
#
4
#
ecogida de evidencias
voltiles
)esde un entorno se$uro
?I"' F?orensic Incident "esponse 'n&ironment
!)H
)iscos de arran(ue+ con programas enla4ados
estticamente
Gra%ar la sesin+ p,e, utili4ar script
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
%
5
%
ecogida de evidencias
voltiles (FI')
$ostname
/proc/cpuin#o
d# O$
#dis7 Ol
/proc/&ersion
/proc/cmdline
en&
w$o
ps Oe#l
i#con#ig Oa
i#con#ig Os
arp On
/etc/$osts
/etc/resol&,con#
/etc/passwd
/etc/s$adow
netstat Oanp
netstat Onr
lso# OP Oi On
lso#
/proc/memin#o
/proc/modules
/proc/mounts
/proc/swaps
/etc/#sta%
/proc/id%proceso
Listado /etc /%in /s%in /usr
/&ar /de& /$ome /li%
/de&/7core de%e copiarse
de #orma manual Fcr.ptcatH
Inclu.e c$7root7it
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
$
5
$
ecogida de evidencias no
voltiles
Igual (ue en un sistema Windows
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
2
5
2
Anlisis
<etodolog*a espiral
-olicitar a.uda del administrador si no
conocemos la distri%ucin
U%icacin de logs
Aplicaciones/Parc$es instalados
"oot7its al orden del d*a
<uc$os necesitan 7ernel modular
Pero otros no
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
I
I
F
o
r
o
d
e
S
e
g
u
r
i
d
a
d
d
e
R
e
d
I
R
I
S
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
A
n
l
i
s
i
s
F
o
r
e
n
s
e
d
e
S
i
s
t
e
m
a
s
5
3
5
3
'$emplo
's%o4o de anlisis de un sistema
)e%ian/GNU Linu
Vous aimerez peut-être aussi
- Historia de La Maquinaria PesadaDocument4 pagesHistoria de La Maquinaria PesadaStefanu AT Téves50% (6)
- Plan Contable General RevisadoDocument24 pagesPlan Contable General RevisadoStefanu AT TévesPas encore d'évaluation
- Prueba Del Capítulo CISCO CNNADocument15 pagesPrueba Del Capítulo CISCO CNNAStefanu AT Téves50% (2)
- Como Cambiar El Puerto 80 de Apache Server Por El PuertoDocument3 pagesComo Cambiar El Puerto 80 de Apache Server Por El PuertoStefanu AT TévesPas encore d'évaluation
- Como Cambiar El Puerto 80 de Apache Server Por El PuertoDocument3 pagesComo Cambiar El Puerto 80 de Apache Server Por El PuertoStefanu AT TévesPas encore d'évaluation
- Sistema de Gestion Administrativa para PolleriasDocument2 pagesSistema de Gestion Administrativa para PolleriasStefanu AT TévesPas encore d'évaluation
- Comedor ReingenieriaDocument13 pagesComedor ReingenieriaStefanu AT Téves100% (1)
- Caso Practico Analisis Riesgo Esteban ApazaDocument8 pagesCaso Practico Analisis Riesgo Esteban ApazaStefanu AT TévesPas encore d'évaluation
