Guía: HighSec Análisis forense

Autor: Roberto Lopez Santoyo

Una excelente guía para el que comienza o está interesado en saber sobre esta ciencia. Muy simple y bien detallada, con imágenes del proceso y explicaciones muy amenas.

Dá una idea general del proceso sin profundizar en configuraciones complejas ni introducirse en aspectos más complejos, pero aún así un material de gran utilidad.

Del sitio de donde obtuve este material (http://highsec.es) se puede encontrar material de primera calidad en español. hay mucho y variado. Destaco la sección Biblioteca (http://highsec.es/biblioteca/) donde hay otras guías similares a la que se analiza.

Recomiendo recorrer con tiempo el sitio para poder apreciar la gran cantidad de material y obtener links para futuras lecturas.

Indice del libro:
3 - Montando el Laboratorio y Clonado con DD
7 - Foremost: Como Recuperar Archivos Borrados
9 - Autopsy: Como analizar un disco duro
18 - Cómo funciona la papelera de Windows
21 - Volatility: Como analizar la memoria RAM de Windows

27 - Como ocultar un archivo

Link al documento donde lo obtuve (http://highsec.es/wp-content/uploads/2013/10/Analisis-Forense.pdf hay mucho material en la sección biblioteca http://highsec.es/biblioteca/) y debajo link a una unidad de Google Drive donde lo comparto por si el primer link no funciona:

Obtenido de: http://highsec.es/wp-content/uploads/2013/10/Analisis-Forense.pdf
Google Drive: https://drive.google.com/open?id=1cYbQeaPanVtphw3JY_eUk2qbAVTIyu2Q

Herramientas Forense para ser un buen CSI

Herramientas Forense para ser un buen CSI

En el link se puede acceder a una serie de entradas del blog FLU-PROJECT.COM en el cual hay una serie de entradas en las que se comentan diversas herramientas que se utilizan para los distintos análisis. Al momento de escribir estas líneas van por la entrada 43 y tratan temas tan diversos como análisis de RAM, navegadores GPS, tráfico de red, hasta hay entradas relativas a XBOX!!!.

No he tenido el tiempo de verlos como para comentar en detalle pero por lo visto llevan con mucho humor la tarea, haciendo referencias a la serie televisiva CSI.

El blog contiene mucha más información, es muy recomendable y tiene técnicas avanzadas y algunos desafíos para los que se animen.

Link al material: http://www.flu-project.com/search?q=Herramientas+forense+para+ser+un+buen+CSI

Un forense llevado a juicio

Libro: Un forense llevado a juicio

Autor: Juan Luis García Rambla

En este libro se profundiza en todo el procedimiento cubriendo la parte del mismo que complementa a la parte técnica.

Se obtiene una visión global de todo el proceso de todo el proceso desde la toma de evidencias hasta la presentación en un juicio hasta su resolución. Una mirada de comienzo a fin sin profundizar en cada etapa pero dando al lector un conocimiento de un proceso completo.

El autor posee larga experiencia en el campo y eso se traduce en una obra esencial para quien comienza en esta actividad. Se complementa perfectamente con otra de los libros publicados en este blog ya que este cubre la parte "formal" del proceso y el otro está basado en la parte "técnica" de la actividad. (A este material me refiero: https://recursosinformaticaforense.blogspot.com.ar/2018/05/guia-de-toma-de-evidencias-en-entornos.html)

Agrego un extracto del prefacio que me parece que describe a la perfección el contenido del material:

"...A lo largo de esta publicación, Juan Luis García Rambla Director Técnico del Área de Seguridad de Sidertia Solutions S. L., realizará el análisis de un proceso forense digital completo. Incorporando en él, desde los apartados más técnicos, que incluyen herramientas y procedimientos, hasta aspectos legales que podrían llegar a ser determinantes en un juicio en el que un profesional de la informática interviene en calidad de perito..."

Indice del libro:
Capítulo 1 – El análisis forense
Capítulo 2 – La importancia de las evidencias
Capítulo 3 – El procedimiento de copiado de discos
Capítulo 4 – La cadena de custodia
Capítulo 5 – Las buenas prácticas en el análisis
Capítulo 6 – El informe pericial
Capítulo 7 – Prueba anticipada en un proceso civil
Capítulo 8 – Un juicio civil
Capítulo 9 – Claves de un forense en juicio

Link al documento donde lo obtuve (http://openlibra.com) y debajo link a una unidad de Google Drive donde lo comparto por si el primer link no funciona:

Obtenido de: https://openlibra.com/es/book/un-forense-llevado-a-juicio
Google Drive: https://drive.google.com/open?id=18EMrfqiaZZeBSoAJ8rxORYFSGIQDimAp

Guía de toma de evidencias en entornos Windows

Libro: Guía de toma de evidencias en entornos Windows

Autor: Asier Martínez Retenaga

Para inaugurar este blog comenzamos con un material muy interesante.

Explica los pasos iniciales de un análisis desde lo más básico.

Muy completo con información muy interesante para analizar un entorno "Windows" con herramientas de "Windows".

Quizás no es lo más recomendable usar el sistema a analizar para ejecutar las herramientas desde el mismo, igualmente la información de donde obtener datos para analizar es concreta y muy útil.

Tiene enlaces a cada herramienta utilizada y hace referencia a herramientas similares, además de hacer referencia a el material empleado para realizar el documento.

Son 80 páginas sin desperdicio para el que como nosotros, comienza en esta actividad. Recomiendo la completa lectura y su aplicación en el sistema del interesado con lo que podrá encontrar datos interesantes hasta del sistema que se utiliza a diario.

Intentaré realizar un documento complementario, en el cual se realicen los mismos procedimientos pero desde una distribución "live" de Linux con herramientas del mismo ambiente, así se puede evitar contaminar el ambiente a analizar.

Indice del libro:
1 SOBRE LA GUÍA
1.1. Notaciones utilizadas
2 INTRODUCCIÓN AL ANÁLISIS FORENSE
2.1. Principio de Locard
2.2. Tipos de análisis forense
2.3. Características
2.4. Fases
2.5. Metodologías y guías
3 TIPOLOGÍAS DE UN INCIDENTE
4 DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU ALMACENAMIENTO
4.1. Principios durante la recolección de evidencias
4.1.1. Orden de volatilidad
4.1.2. Acciones que deben evitarse
4.1.3. Consideraciones de privacidad
4.1.4. Consideraciones legales
4.2. Procedimiento de recolección
4.2.1. Reproducible
4.2.2. Pasos
4.3. Procedimiento de almacenamiento
4.3.1. Cadena de custodia
4.3.2. Dónde y cómo almacenarlo
4.4. Herramientas necesarias
4.5. Conclusiones
5 TOMA DE EVIDENCIAS
5.1. Consideraciones previas
5.2. Inicio del proceso
5.3. Información volátil
5.3.1. Hora y fecha del sistema 
5.3.2. Volcado de memoria
5.3.3. Información de red: estado, conexiones activas, puertos UDP y TCP abiertos
5.3.4. Registro de Windows
5.3.5. Contraseñas
5.3.6. Información cacheada en los navegadores (direcciones, historial de descargas)
5.3.7. Árbol de directorios y ficheros
5.3.8. Histórico del intérprete de comandos
5.3.9. Capturas de pantalla
5.3.10. Información del portapapeles
5.3.11. Historial de internet
5.3.12. Últimas búsquedas
5.3.13. Cookies
5.3.14. Volúmenes cifrados
5.3.15. Unidades mapeadas
5.3.16. Carpetas compartidas
5.3.17. Grabaciones pendientes
5.4. Información no volátil
5.4.1. Volcado de disco
5.4.2. Master Boot Record (MBR)
5.4.3. Master File Table (MFT)
5.4.4. Información del sistema
5.4.5. Tareas programadas
5.4.6. Ficheros impresos
5.4.7. Variables de entorno
5.4.8. Logs del sistema
5.4.9. Archivos .pst y .ost
5.4.10. Carpeta prefetch
5.4.11. Papelera de reciclaje
5.4.12. Fichero hosts
5.4.13. Comprobar los ejecutables que no estén firmados
5.4.14. Ficheros LNK
6 RESUMEN
7 GLOSARIO
8 REFERENCIAS

ANEXO 1 – PERSONAS DE CONTACTO
ANEXO 2 – CADENA DE CUSTODIA DE EVIDENCIAS

Link al documento donde lo obtuve (http://openlibra.com hay mucho material) y debajo link a una unidad de Google Drive donde lo comparto por si el primer link no funciona:

Obtenido de: https://openlibra.com/es/book/guia-de-toma-de-evidencias-en-entornos-windows
Google Drive: https://drive.google.com/open?id=1Came-oHI1tXrYq4Bpnx93Fp8k3OIKH-D