|
MÓDULO 1. CONCEPTOS Y PRINCIPIOS.
¿QUÉ ES INVESTIGACIÓN FORENSE? DEFINICIONES EN FORÉNSICA
 Evidencia
Tipos de evidencia
 Volátil
No volátil
Cadena de custodia
Mejor evidencia:
....- Integridad de la evidencia
....- Imágenes
....- Lista de palabras de búsqueda
....- Respuesta a incidentes
....- Análisis de media
Principios forenses
MÓDULO 2. METODOLOGÍA DE INVESTIGACIÓN FORENSE.
METODOLOGÍA DE INVESTIGACIÓN FORENSE
Verificación
A nivel de Red
A nivel de host
Descripción del sistema
Colección de evidencia
Logs
Archivos
Imágenes
Creación y análisis de línea de tiempo (TimeLine)
Análisis de medios específicos del sistema operativo
Análisis en Linux
Análisis en Windows
Recuperación de data
Búsqueda de string
Reportes
ASPECTOS ESENCIALES DE FILE SYSTEMS
Base y estructura de File Systems
5 Capas
....- Física
....- File System
....- Data
....- Metadata
....- File name
File System en Windows
....- File System en Linux
ANÁLISIS DE LÍNEA DE TIEMPO (TIMELINES)
Forensics MACtimes
Timelines
MÓDULO 3. FORÉNSICA DIGITAL.
FORÉNSICA DE RED
Uso de Sniffers
Wiretap
Tools y comandos útiles
Integridad de la evidencia (md5, md5sum, md5deep)
FORÉNSICA PARA LINUX
Herramientas utilizadas
lsof, netstat
dd, netcat
pcat
md5sum
uptime
date
cat
fdisk
mac_daddy.pl
memdump
dd
dcfldd
mmls
Verificando los File Systems
/etc/passwd, /dev
log files, history files
....- Directorios con “.”
....- SUID/SGID files
....- Binarios, archivos creados
Análisis de imágenes
Helix
Grab
Hex Editor
File, strings, Grez
Sleuth kit
Lazarus
Autopsy
FORÉNSICA PARA WINDOWS
Herramientas utilizadas:
Ethereal
Winhex
Netcat, date, time, uptime,
Psinfo, pslist, sport, mac
Windows forensics toolchest
Volume_dump
dd.exe
Análisis de imágenes
strings
email, word
recycle bin
registry (search history, typed urls, last commands executed, last files saved)
sid2user
winhex, hexedit
|
