Buscar entrada en este blog

viernes, 11 de mayo de 2018

Guía de toma de evidencias en entornos Windows

Libro: Guía de toma de evidencias en entornos Windows

Autor: Asier Martínez Retenaga



Para inaugurar este blog comenzamos con un material muy interesante.

Explica los pasos iniciales de un análisis desde lo más básico.

Muy completo con información muy interesante para analizar un entorno "Windows" con herramientas de "Windows".

Quizás no es lo más recomendable usar el sistema a analizar para ejecutar las herramientas desde el mismo, igualmente la información de donde obtener datos para analizar es concreta y muy útil.

Tiene enlaces a cada herramienta utilizada y hace referencia a herramientas similares, además de hacer referencia a el material empleado para realizar el documento.

Son 80 páginas sin desperdicio para el que como nosotros, comienza en esta actividad. Recomiendo la completa lectura y su aplicación en el sistema del interesado con lo que podrá encontrar datos interesantes hasta del sistema que se utiliza a diario.

Intentaré realizar un documento complementario, en el cual se realicen los mismos procedimientos pero desde una distribución "live" de Linux con herramientas del mismo ambiente, así se puede evitar contaminar el ambiente a analizar.

Indice del libro:
1 SOBRE LA GUÍA
1.1. Notaciones utilizadas
2 INTRODUCCIÓN AL ANÁLISIS FORENSE
2.1. Principio de Locard
2.2. Tipos de análisis forense
2.3. Características
2.4. Fases
2.5. Metodologías y guías
3 TIPOLOGÍAS DE UN INCIDENTE
4 DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU ALMACENAMIENTO
4.1. Principios durante la recolección de evidencias
4.1.1. Orden de volatilidad
4.1.2. Acciones que deben evitarse
4.1.3. Consideraciones de privacidad
4.1.4. Consideraciones legales
4.2. Procedimiento de recolección
4.2.1. Reproducible
4.2.2. Pasos
4.3. Procedimiento de almacenamiento
4.3.1. Cadena de custodia
4.3.2. Dónde y cómo almacenarlo
4.4. Herramientas necesarias
4.5. Conclusiones
5 TOMA DE EVIDENCIAS
5.1. Consideraciones previas
5.2. Inicio del proceso
5.3. Información volátil
5.3.1. Hora y fecha del sistema 
5.3.2. Volcado de memoria
5.3.3. Información de red: estado, conexiones activas, puertos UDP y TCP abiertos
5.3.4. Registro de Windows
5.3.5. Contraseñas
5.3.6. Información cacheada en los navegadores (direcciones, historial de descargas)
5.3.7. Árbol de directorios y ficheros
5.3.8. Histórico del intérprete de comandos
5.3.9. Capturas de pantalla
5.3.10. Información del portapapeles
5.3.11. Historial de internet
5.3.12. Últimas búsquedas
5.3.13. Cookies
5.3.14. Volúmenes cifrados
5.3.15. Unidades mapeadas
5.3.16. Carpetas compartidas
5.3.17. Grabaciones pendientes
5.4. Información no volátil
5.4.1. Volcado de disco
5.4.2. Master Boot Record (MBR)
5.4.3. Master File Table (MFT)
5.4.4. Información del sistema
5.4.5. Tareas programadas
5.4.6. Ficheros impresos
5.4.7. Variables de entorno
5.4.8. Logs del sistema
5.4.9. Archivos .pst y .ost
5.4.10. Carpeta prefetch
5.4.11. Papelera de reciclaje
5.4.12. Fichero hosts
5.4.13. Comprobar los ejecutables que no estén firmados
5.4.14. Ficheros LNK
6 RESUMEN
7 GLOSARIO
8 REFERENCIAS

 ANEXO 1 – PERSONAS DE CONTACTO
ANEXO 2 – CADENA DE CUSTODIA DE EVIDENCIAS


Link al documento donde lo obtuve (http://openlibra.com hay mucho material) y debajo link a una unidad de Google Drive donde lo comparto por si el primer link no funciona:

Obtenido de: https://openlibra.com/es/book/guia-de-toma-de-evidencias-en-entornos-windows
Google Drive: https://drive.google.com/open?id=1Came-oHI1tXrYq4Bpnx93Fp8k3OIKH-D
Publicadas por a la/s
Etiquetas: , , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)