Cuestionario #3

Cuestionario #3
Técnicas Forenses
Perito Forense Netready:

Alarcon Brayan
17.719.981
Agosto 2019
1. Fundamentos de Forénsica Digital
Cuestionario
Conteste al menos 6 preguntas del siguiente cuestionario (ver modelos de respuestas a cuestionarios en
la carpeta Tareas del DVD). Con el fin demostrar la capacidad de análisis, de síntesis y de uso apropiado
del vocabulario, debe utilizarse palabras propias. No se admite repetir el texto que se encuentra en el
material entregado por el profesor o en otras fuentes en Internet como Wikipedia. Envíe las respuestas a
vmendillo@gmail.com
1. Discuta la razón por la cual, para llevar a cabo una investigación forense, se debería contar con un
buen laboratorio y con el equipamiento apropiado.
Al momento de realizar una investigacion forense y que esta tenga valides según la jurisdicion
donde se esta aplicando este trabajo, se deberia contar con un equipamento apropiado para
proteger la integridad de los datos en los dispositivos a analizar y para extrar las evidencias, ya que
estos equipos no alteran ni contaminan la evidencia
2. Qué equipamiento es hardware es esencial para que un procedimiento forense sea aceptado como
válido en un caso judicial. Mencione algunos productos.
Paquetes y suministros de transporte
 bolsas antiestáticas
 envoltura antiestática
 bridas
 bolsas de evidencia
 cinta de evidencia
 etiqueta
 materiales de embalaje y cinta
 cajas resistentes de varios tamaños
otras herramientas
 guantes
 carretilla de mano
 lupa
 papel de imprimir
 disco de incautación
 pequeña linterna
Software herramientas
 Encase Forensics
 Forensics tool kit
2
 Prodiscover
 Hex Workshop
Hardware herramientas
 Paraben forensics hardware
 Digital intelligence forensic hardware
 Tableau hardware accelerator
 Logicube forensics hardware tools
3. Describa las características principales de 2 de las siguientes herramientas, comparándolas entre

sí: CAINE, DEFT, SIFT, Helix.
CAINE 7 (Computer Aide Investigation Environment)

Esta distribución, creada por desarrolladores y es pecialistas italianos, se basa en Ubuntu 14.04.1 y fue
liberada en noviembre de 2015 con una arquitectura de 64bits. Una de sus excelentes funciones es que
permite bloquear dispositivos como discos o unidades de almacenamiento y ponerse en modo de solo
lectura con una simple herramienta que posee una interfaz gráfica.
Dentro de sus características más destacables podemos mencionar las siguientes:
 Un entorno amigable que acompaña al analista forense digital durante las fases de la investigación
– desde la adquisición hasta la presentación del reporte.
 Una interfaz gráfica fácil e intuitiva que ayudará a explotar una gran cantidad de aplicaciones.
 Una selección semiautomática de las evidencias para generar el informe final.
 Herramientas fáciles de manejar y comandos muy utilizados dentro de las distribuciones como son
Ubuntu o Debian.
 La interesante aplicación Systemback, que permite volver atrás el sistema en forma similar a un
punto de restauración; puede ser útil si este se vuelve inestable luego de alguna actualización o de
bajar alguna herramienta o librería.
 Puede utilizarse como LiveCD e inclusive se puede ejecutar arrancando el sistema desde un
pendrive.
SIFT (SANS Investigative Forensic Toolkit)
Una agrupación internacional de expertos forenses, con apoyo del SANS, desarrolló este entorno de
trabajo en base a una distribución de código abierto (Ubuntu) para la respuesta a incidentes y el análisis
forense digital.
El kit de herramientas forenses y unas guías rápidas sobre los comandos u operaciones más utilizadas
son lo primero que llamarán la atención al arrancar este sistema. Servirán sobre todo si estás arrancando
en estas ciencias, ya que tienen en cuenta operaciones como el montado de imágenes, creación de líneas
de tiempo, recopilación de memoria volátil o efímera y el uso de herramientas como Sleuthkit o Autopsy.
3
sift
Además, este sistema es utilizado para algunos cursos, por lo cual hay muchas investigaciones
desarrolladas por estudiantes en base a su uso y un foro de consultas muy activo. Una ventaja es que
puedes utilizar una distribución ya instalada de Ubuntu para convertirlo en este kit de herramientas. Desde
este aquí podrás seguir el paso a paso.
DEFT
El conocido DEFT 7(Digital Evidence and Forensic Toolkit) se compone de un sistema GNU / Linux
dedicado a la ciencia forense digital y a actividades de inteligencia.
La primera versión de Linux DEFT se introdujo en 2005 pero actualmente, como la distribución anterior,
es utilizada en cursos sobre ciencias forenses digitales en varias universidades del mundo y también
utilizada por las instituciones estatales jurídicas en diversos departamentos especializados. Como se
observa en la imagen, posee una gran cantidad de herramientas para iniciar sesión.
 Deberás utilizar el usuario root y la clave “deft”.

 La última versión, llamada deft Zero, es más liviana y está destinada específicamente a la copia de
evidencias como pueden ser unidades de almacenamiento. También se basa en Ubuntu 14.04.02
LTS y solo necesita 400 Mb de memoria RAM para poder ejecutarse de forma correcta.
 Si te interesa y deseas profundizar más sobre esta distribución
 Cada analista forense creará su entorno predilecto
4. ¿ Por qué es importante efectuar el volcado de la memoria RAM y luego analizarla?
El análisis forense de la memoria es primordial para la busqueda de malware y datos que se encuentran
ocultos a simple vista, la memoria RAM es volatil y si se apaga el equipo, la informacion que contiene se
piede. Por lo cual es recomendable realizar un volcado de memoria, donde s e copia el archivo contenido
de toda la memoria de un momento determinado, para luego analizarla postmortem, con una replica
exacta del equipo que se esta investigando.
5. Liste las herramientas comerciales y gratuitas para el volcado de la memoria RAM y describa una
de ellas.
 FTK Imager
 DumpIt
 Magent RAM Capture
 Live RAM Capturer
 F-Response
 Memoryze
 Redline
4
FTK Imager
Es una herramienta gratuita muy popular que forma parte del Forensic Toolkit (FTK), para realizar un
volcado de memoria RAM, es factible utilizar este software ya que no requiere instalacion y se puede
ejecutar desde un pendrive, El atributo más importante de FTK Imager es que permite varios formatos
para la creación de imágenes
6. Describa el uso de Volatility Framework para el análisis de la memoria RAM.
Volatility se aprovecha de que Windows carga el contenido de los hives archivos en la memoria RAM
en la medida que los vaya necesitando, se recurre a Volatility Framework cuando un equipo a sido
infectado por un malware y se debe evitar que produzca mayores daños. Se debe utilizar el plugin pslist
para averiguar si hay algún proceso o programa sospechoso corriendo en el equipo de analisis al momento
de efectuar la captura

Cuestionario #3

Cargado por

Copyright:

Formatos disponibles

Cuestionario #3

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cuestionario #3

Cargado por

Copyright:

Formatos disponibles

Cuestionario #3

Perito Forense Netready:

3. Describa las características principales de 2 de las siguientes herramientas, comparándolas entre

CAINE 7 (Computer Aide Investigation Environment)

Dentro de sus características más destacables podemos mencionar las siguientes:

 Deberás utilizar el usuario root y la clave “deft”.

4. ¿ Por qué es importante efectuar el volcado de la memoria RAM y luego analizarla?

6. Describa el uso de Volatility Framework para el análisis de la memoria RAM.

También podría gustarte