Herramientas tecnológicas para la prevención del delito

...

Un Análisis “En reposo” ocurre cuando un sistema dedicado para análisis es utilizado para examinar los datos de un sistema sospechoso. En este caso, Autopsy y Sleuth Kit son ejecutados en un entorno confiable, típicamente en un laboratorio. Autopsy y TSK soportan formatos de archivos AFF (Advanced Forensic Format), Expert Witness, y raw (en bruto).

Análisis “En vivo” ocurre cuando el sistema sospechoso empieza a ser analizado mientras está en ejecución. En este caso, Autopsy y Sleuth Kit son ejecutados desde un CD en un entorno no confiable. Esto se utiliza frecuentemente durante la respuesta del incidente mientras está siendo confirmado. Después de la confirmación, se puede adquirir el sistema y realizar un análisis “En reposo”.

Para iniciar por primera vez una recolección y análisis de evidencia digital, es importante previamente haber obtenido la réplica o imagen del disco donde reside la evidencia. Una vez iniciada la interfaz gráfica de Autopsy, se procede a la creación de un nuevo caso. El siguiente paso es añadir la fuente de datos de entrada para el caso. El Asistente para agregar dicho origen de datos se iniciará automáticamente, aunque tambien se puede iniciar manualmente desde el menú o barra de herramientas "Archivo". Podremos elegir el tipo de fuente de datos de entrada imagen, disco local o archivos lógicos y carpetas).

Para una imagen de disco, vaya al primer archivo de la serie (La autopsia se encuentra el resto de los archivos). Autopsia actualmente soporta (dd) archivos RAW y E01.

Para el disco local, seleccione uno de los discos detectados. Autopsia añadirá la vista actual del disco para el caso (es decir, instantánea de la meta-datos). Sin embargo, el contenido del archivo individual (no meta-datos) no se actualiza con los cambios realizados en el disco. Tenga en cuenta, es posible que necesite ejecutar la autopsia como administrador para detectar todos los discos.

Para los archivos lógicos (un único archivo o carpeta de archivos), utilice el botón "Agregar" para agregar uno o más archivos o carpetas en su sistema para el caso. Las carpetas se añaden de forma recursiva al caso.

Hay un par de opciones en el asistente que le permitirá realizar el proceso más rápido. Estos por lo general, se ocupan de los archivos eliminados. Tomará más tiempo si se analiza el espacio no asignado y toda la unidad se busca en los archivos borrados. Autopsy comenzará a analizar estas fuentes de datos y añadirlos a la base de datos interna.

Ahora se nos pedirá que configure los módulos de Ingest. Dichos módulos se ejecutarán en segundo plano y realizar tareas específicas, analizan los archivos con un orden de prioridades para que los archivos propios del usuario, se analicen antes que los archivos de otras carpetas.

- Recent Activity: extrae la actividad del usuario como lo último guardado por los navegadores web y el sistema operativo incluso en el registro de Windows.

- Hash Lookup: utiliza bases de datos hash para ignorar archivos conocidos del NIST NSRL, se puede utilizar la opción Avanzada para agregar y configurar las bases de datos de hash para usar durante este proceso.

- Keyword Search: La búsqueda por palabras clave utiliza listas de palabras clave para identificar archivos con palabras específicas. Puede seleccionar las listas de palabras clave para buscar de forma automática y además podremos crear nuevas listas utilizando el botón "Opciones avanzadas".

- Archive Extractor abre ZIP, RAR, y otros formatos de archivo y envía los archivos para su análisis.

- Exif Image Parser extrae la información EXIF de archivos JPEG y expone los resultados en la interfaz de usuario principal.

- Thunderbird Parser: Identifica Thunderbird MBOX y extrae los correos electrónicos de ellos.

[pic 4]

Herramienta

Delito que se previene

Justificación tecnológica

Respaldo (Casos de éxito)

EnCase Forensic

EnCase Forensic proporciona las herramientas para investigar y documentar con éxito muchos delitos locales internos (pornografía infantil,

violencia doméstica, acoso, drogas, apuestas

y robo de identidad), sin omitir evidencia

informática valiosa o tener que esperar

laboratorios con trabajo atrasado

Brinda la posibilidad de obtener imágenes de medios con sistemas

operativos múltiples, lo que genera flexibilidad y ahorra tiempo en

casos de adquisiciones difíciles. La solución admite la obtención de

imágenes en Windows, DOS y Linux y presenta diversas opciones de

compresión, velocidad y manejo de errores.

Genera información detallada sobre archivos, carpetas, volúmenes,

discos duros y casos específicos. Permite visualizar datos referidos

a la adquisición de datos, la geometría de la unidad, las estructuras

de las carpetas y las imágenes y los archivos marcados. Exporta

informes en formato RTF o HTML

http://recorriendo-los-caminos-de-encase.blogspot.mx/2013/12/encase-ayuda-en-la-deteccion-de.html

http://recorriendo-los-caminos-de-encase.blogspot.mx/search/label/EnCase%20Forensic

FTK Imager

Una de las ventajas es que, al finalizar la captura de la imagen, el software calcula y genera un clave hash MD5 que será utilizada para confirmar la integridad de los datos y que la imagen que hemos creado no ha sido alterada, ya que cualquier mínimo cambios en el archivo de imagen alterará el código de seguridad y no coincidirá con el original.

FTK Imager es muy utilizado por peritos informáticos forenses ya que permite capturar datos de un dispositivos, crear una imagen con los datos y luego evaluar la evidencias