Metodología para la Recopilación y Estudio de Evidencias Digitales

Clasificado en Informática

Escrito el en español con un tamaño de 2,49 KB

Adquisición de Datos

  1. Decidir si se apaga o no el equipo (**se pierden datos de la RAM, es volátil**).
  2. Datos de los **responsables y usuarios** del sistema.
  3. Datos del **hardware y software**: números de serie, modelos, sistemas operativos, licencias, etc.
  4. Localizar los **dispositivos de almacenamiento** (HD, USB, tarjetas, CD, etc.).
    • Marca, modelo, número de serie, tipo de conexión, conexión en el sistema.

Configuración en el sistema: Una vez localizadas todas las partes del sistema, es recomendable hacer fotografías de todo el sistema, así como de su ubicación, además de fotografiar los dispositivos de almacenamiento.

  1. **Clonación bit a bit** de los dispositivos de almacenamiento del sistema. Se hace:
    • En un dispositivo previamente **formateado a bajo nivel**.
    • Como disco secundario en otro sistema que no manipule el contenido de dicho disco.

Análisis e Investigación

  • Registros de los sistemas analizados.
  • Registro de los **detectores de intrusión**.
  • Registro de los **cortafuegos**.
  • Fichero del sistema analizado.
  • **Análisis físico**.
  • **Análisis lógico**.
  • **Configuración horaria del sistema**: validar fechas y horas.
  • Obtención de la **línea de tiempo: TimeLine**.
  • Obtención de **funciones resumen (hash)**.
  • Herramientas (EnCase, Sleuth Kit & Autopsy).

Informe Técnico

  • Explicar los datos de manera **clara y sencilla**.
  • Detalles sobre los participantes y las fechas de las actualizaciones, incluido el propio informe.
  • **Introducción**: se describe el objeto principal del informe y se detallan los puntos fundamentales.
  • **Preparación del entorno y recogida de datos**: proceso seguido en la adquisición y verificación de las imágenes del equipo afectado.
  • **Estudio forense de las evidencias**: se describe la obtención de las evidencias, así como su significado.
  • **Conclusiones**: se describen detalladamente las conclusiones a las que se han llegado después de haber realizado el análisis.

Problemas

  • **Duplicación de discos**.
  • El **transporte del dispositivo clonado**.
  • **Vulneración de derechos fundamentales**.

Objetivos

Conexión entre la causa y el efecto, **TimeLine**, secuenciación en el tiempo.

Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
evidencias digitales investigación forense adquisición de datos clonación de discos