Unidad 1: Introducción al

análisis forense
Adquisición de Data y Duplicación
Contenidos
• Revisar el proceso de adquisición de datos en la Investigación Forense

• Conocer los diferentes tipos de Adquisición de Data

• Conocer la metodología de la Adquisición de Data

Introducción
• La adquisición de datos es el primer paso
proactivo en el proceso de investigación
forense.
• El objetivo de la adquisición de datos forenses
es extraer toda la información presente en el
disco duro de la víctima y crear una copia
forense para usarla como prueba en el tribunal.
• En algunos casos, es preferible la duplicación de
datos en lugar de la adquisición de datos para
recopilarlos.
Tipos de adquisición
• Adquisición de data en vivo
• Es el proceso de adquirir datos volátiles de una
computadora en funcionamiento (bloqueada o en estado
de suspensión) que ya está encendida. Ej. Memoria RAM

• Adquisición de data estática

• Es el proceso de adquirir data que no se altera a pesar de
que el sistema pierda la energía o se apague. Ej. Disco
Duro
Adquisición de data en vivo
• ¿Qué tipo de información es relevante adquirir?
• Información de Sistema
• La información del sistema es la información relacionada con un sistema que
puede actuar como evidencia en un incidente criminal o de seguridad. Esta
información incluye la configuración actual y el estado de funcionamiento de
la computadora sospechosa.
• Información de red
• La información de la red es la información relacionada con la red almacenada
en el sistema sospechoso y los dispositivos de red conectados. La información
de red volátil incluye conexiones y puertos abiertos, información y
configuración de enrutamiento, caché ARP, archivos compartidos, servicios a
los que se accede, etc.
Orden de adquisición
• Es importante que los datos se adquieran de mayor a
menor volatilidad.
• Registros, cache
• Tabla de enrutamiento, tabla de procesos
• Sistemas de archivos temporales
• Discos y medios de almacenamiento
• Datos de seguimiento y registro
• Configuración física
• Medios de archivo (CD-ROM)
Metodología
• La recopilación de datos volátiles juega un
papel importante en la investigación de la
escena del crimen. Para asegurar que no
ocurra ninguna pérdida durante la recolección
de evidencia crítica, los investigadores deben
seguir la metodología adecuada y
proporcionar un enfoque documentado para
realizar las actividades de manera
responsable.
Metodología
• Preparación de la
Paso 1 respuesta a Incidentes

• Documentación del
Paso 2 incidente

• Verificación
Paso 3 de la política

• Estrategia de
Paso 4 recopilación de datos

• Configuración de
Paso 5 recopilación de datos

• Proceso de
Paso 6 recopilación
de datos
Metodología
• El procedimiento paso a paso de la metodología de recopilación de
datos volátiles:
• Paso 1: Preparación para la respuesta a incidentes
• Eliminar o anticipar todo tipo de incidente o amenaza de seguridad
no es posible en la práctica.
• Lo siguiente debe estar listo antes de que ocurra un incidente:
• Un kit de herramientas de primeros auxilios (disco de respuesta)
• Un equipo de respuesta a incidentes (IRT) o un primer respondedor
designado
• Políticas relacionadas con la medicina forense que permiten la recopilación de
datos forenses
Metodología
• Paso 2: Documentación del incidente
• Asegúrese de almacenar los registros y
perfiles en un formato organizado y legible.
Por ejemplo, utilice convenciones de
nomenclatura para la salida de herramientas
forenses, registre las marcas de tiempo de
las actividades de registro e incluya la
identidad del investigador forense.
Metodología
• Paso 3: Verificación de la política
• Asegúrese de que las acciones planificadas no violen las
políticas de uso de la red y la computadora existentes y
cualquier derecho del propietario o usuario registrado.
Puntos para considerar para la verificación de la política:
• Lea y examine todas las políticas firmadas por el usuario de la
computadora sospechosa.
• Determinar las capacidades forenses y las limitaciones del
investigador determinando los derechos legales (incluida una
revisión de los estatutos federales) del usuario.
Metodología
• Paso 4: Estrategia de recopilación de datos
volátiles

• Los incidentes de seguridad no son similares.

Se debe utilizar el libro de registro del kit de
herramientas de primera respuesta y las
preguntas del gráfico para crear la estrategia
de recopilación de datos volátiles que se
adapte a la situación y deje una huella
insignificante en el sistema sospechoso.
Metodología
• Paso 5: Configuración de recopilación de datos volátiles.
• Establezca un shell de comandos de confianza: no abra ni utilice un shell de
comandos o terminal del sistema sospechoso.

• Establezca el método de transmisión y almacenamiento: identifique y registre

el proceso de transmisión de datos desde la computadora sospechosa en vivo
al sistema de recopilación de datos remota, ya que no habrá suficiente
espacio en el disco sensible para recopilar la salida de la herramienta forense.

• Garantice la integridad de la salida de la herramienta forense: calcule un hash

MD5 o SHA-1 de la salida de la herramienta forense para garantizar la
integridad y la admisibilidad.
Metodología
• Paso 6: Proceso de recopilación de datos volátiles
• Registre la hora, la fecha y el historial de comandos del sistema
• Para establecer una pista de auditoría, genere fechas y horas mientras ejecuta
cada herramienta o comando forense
• Inicie un historial de comandos para documentar todas las actividades de
recolección forense. Recopile toda la información volátil posible del sistema y
la red
• No apague ni reinicie un sistema en investigación hasta que se hayan
registrado todos los datos volátiles relevantes.
• Mantener un registro de todas las acciones realizadas en una máquina en
funcionamiento.
Adquisición de data estática
• Es el proceso de adquirir los datos no
volátiles o inalterados que permanecen
en el sistema incluso después del
apagado.
• Los investigadores pueden recuperar
dichos datos de los discos duros, así como
del espacio libre, intercambiar archivos y
espacio en el disco no asignado. Otras
fuentes de datos no volátiles incluyen CD-
ROM, memorias USB, teléfonos
inteligentes y PDA.
Adquisición de data estática
• La adquisición estática generalmente se aplica a las computadoras
que se habían incautado durante la redada e incluyen generalmente
una unidad cifrada.
• La data recuperada de un disco duro incluye:
• Archivos temporales (temp)
• Registros del sistema
• Registros de eventos / sistema
• Sectores de arranque
• Caché del navegador web
• Cookies
• Archivos ocultos
Adquisición de data estática
• Nunca realice una investigación forense o cualquier otro proceso
sobre la evidencia original o la fuente de evidencia, ya que puede
alterar los datos y dejar la evidencia inelegible.
• Produzca siempre dos copias de los medios originales antes de iniciar
el proceso de investigación para los siguientes propósitos:
• Una copia es la copia de trabajo, para análisis.
• Una copia es la copia de biblioteca/control almacenada con fines de
divulgación o en caso de que la copia de trabajo se corrompa.
Adquisición de data estática
• Imagen Bit-Stream
• Las imágenes de flujo de bits,
también conocidas como imágenes
espejo y copias de seguridad de
grado de evidencia, es el proceso de
crear un duplicado de un disco duro
mediante la copia bit a bit de sus
datos en otro medio de
almacenamiento.
Adquisición de data estática
• Prepare un documento de cadena de custodia y anote todas las acciones
realizadas sobre la fuente de evidencia y los datos
• Habilite la protección contra escritura en los medios de evidencia
• Desinfecte el medio de destino, que va a contener una copia de los datos
de la evidencia.
• Determine el formato de adquisición de datos antes de comenzar el
proceso y vea que la copia permanece en el mismo formato que los datos
originales.
• Analice los requisitos y seleccione el mejor método de adquisición.
• Seleccione la herramienta de adquisición de datos adecuada, que puede
servir todas las acciones necesarias.
• Adquirir los datos completos junto con espacios ocultos y cifrados
Adquisición de data estática
• Respaldo
• Este proceso a menudo modifica las marcas de tiempo y otras
características, contaminando así la línea de tiempo.
• El proceso de duplicación de datos a veces puede sobrescribir los fragmentos de
datos y dañar su integridad.
• El proceso puede alterar los datos almacenados en el archivo de intercambio de
Windows, que almacena temporalmente la información que una RAM no usa.
• Durante la duplicación de datos, el dispositivo utilizado para copiar también puede
escribir los datos en la fuente de evidencia original y destruir su autenticidad,
dejándola inaceptable en los tribunales.
• En caso de contaminación de los datos originales se pierde la evidencia crítica, lo que
ocasiona problemas en el proceso de investigación.
Protección contra escritura
• El investigador necesita implementar un conjunto de
procedimientos para evitar la ejecución de cualquier
programa que pueda alterar el contenido del disco.
Los procedimientos que ofrecerían un mecanismo
de defensa contra cualquier alteración incluyen:
• Configure un puente de hardware para que el disco sea
de solo lectura
• Use el sistema operativo y el software que no pueden
escribir en el disco a menos que se le indique
• Emplee una herramienta de bloqueo de escritura del
disco duro para proteger contra las escrituras en el disco.
Formato de adquisición de data

Formato Formato Formato

RAW propietario Forense
Avanzado
Formato de adquisición de data
• Formato sin procesar (RAW)
• Ventajas:
• La transferencia de datos es rápida.
• Puede ignorar errores menores de lectura de datos en la unidad de origen.
• Un formato de adquisición universal que la mayoría de las herramientas
forenses pueden leer.
• Desventajas:
• Ocupa el mismo espacio de almacenamiento que el disco original o el
conjunto de datos
• Algunas herramientas, como las versiones de software gratuito, pueden no
recopilar los sectores defectuosos en la unidad de origen.
Formato de adquisición de data
• Formato propietario
• Ventajas:
• Ahorra espacio en la unidad de destino y permite comprimir o no comprimir
• Permite dividir una imagen en archivos segmentados más pequeños
• Garantiza la integridad de los datos en cada segmento durante la división
• Puede integrar metadatos en el archivo de imagen agregando metadatos
como la fecha y hora de la adquisición.
• Desventajas:
• No es posible compartir una imagen entre diferentes herramientas
informáticas forenses
• Cada volumen segmentado tiene una limitación de tamaño de archivo.
Formato de adquisición de data
• Formato Forense Avanzado (AFF)
• AFF es un formato de adquisición de datos de código abierto que
almacena imágenes de disco y metadatos relacionados. El objetivo
era crear un formato de imagen de disco que no pudiera encerrar a
los usuarios en un formato propietario.
• Las extensiones de archivo AFF son .afm para metadatos AFF y .afd
para archivos de imagen segmentados. No hay restricciones de
implementación de AFF para los investigadores forenses, ya que es un
formato de código abierto, pero puede limitar su análisis.
Formato de adquisición de data
• Framework de Forense Avanzado 4 (AFF4)
• El diseño AFF4 adopta un esquema de identificadores únicos a nivel
mundial para identificar y hacer referencia a todas las pruebas. Los
tipos básicos de objetos AFF4 incluyen:
• Volúmenes: almacenan segmentos, que son bloques indivisibles de datos.
• Flujos: estos objetos de datos pueden ayudar en la lectura o escritura. Para,
por ejemplo, segmentos, imágenes, mapas.
• Gráficos: colecciones de declaraciones RDF.
Formato de adquisición de data
• Framework de Forense Avanzado 4 (AFF4)
• Formato Gfzip
• Proporciona un formato de archivo abierto para archivos de datos de
imagen de disco comprimidos, forensemente completos y firmados.
• Utiliza resúmenes SHA256 de varios niveles para proteger los archivos.
• El formato de archivo Gfzip es adecuado para el almacenamiento accesible
comprimido y no secuencial de datos de imagen de disco
• Características:
• Las imágenes de disco sin comprimir son similares a las imágenes dd.
• Los métodos de búsqueda/lecturas no secuenciales se utilizan para el acceso de
lectura a datos de imagen de disco comprimidos.
• Se pueden configurar banderas para las secciones de datos de imagen de disco. Por
ejemplo, para marcar las secciones incorrectas.
Métodos de adquisición de datos
• Existen los siguientes métodos de adquisición de datos:

• Bit-stream disco a imagen

• Los investigadores forenses suelen utilizar este método de adquisición

de datos. Es un método flexible que permite la creación de una o más
copias, o réplicas bit a bit de la unidad sospechosa. ProDiscover,
EnCase, FTK, The Sleuth Kit, X-Ways Forensics, ILook Investigator, etc.
Métodos de adquisición de datos

• Bit-stream disco a disco

• A veces no es posible crear un archivo de disco a imagen de flujo de bits

debido a errores o incompatibilidades de software o hardware. Los
investigadores se enfrentan a estos problemas al intentar adquirir datos de
unidades más antiguas y crear una copia de flujo de bits de disco a disco del
disco o unidad original. Herramientas como EnCase, SafeBack y Norton Ghost
pueden ayudar a crear una copia de flujo de bits de disco a disco de la unidad
sospechosa.
Métodos de adquisición de datos
• Adquisición lógica
• La adquisición lógica recopila sólo los archivos necesarios para la
investigación del caso. Por ejemplo:
• Recopilación de archivos .pst o .ost de Outlook en investigaciones de correo
electrónico.
• Recopilación de registros específicos de un gran servidor RAID
Métodos de adquisición de datos
• Adquisición fragmentada
• La adquisición dispersa es similar a la adquisición lógica. Mediante
este método, los investigadores pueden recopilar fragmentos de
datos no asignados (eliminados). Este método es muy útil cuando no
es necesario inspeccionar todo el disco.
Herramientas para la adquisición de datos
• Los principales requisitos que debe cumplir una herramienta para la
adquisición de datos son:
• La herramienta no debe alterar ni realizar cambios en el contenido original.
• La herramienta debe registrar los errores de E/S de forma accesible y legible, incluido
el tipo y la ubicación del error.
• La herramienta debe poder comparar el origen y el destino y alertar al usuario si el
destino es más pequeño que el origen.
• La herramienta debe tener la capacidad de aprobar la revisión científica y por pares.
• Los resultados deben ser repetibles y verificables por un tercero, si es necesario
• La herramienta adquirirá por completo todos los sectores de datos visibles y ocultos
de la fuente digital.
Herramientas para la adquisición de datos
• Adquisición de datos usando Linux
• Para la adquisición de datos en Linux se utiliza, principalmente, el comando
dd bajo la siguiente sintaxis:

• Donde:
• source: desde dónde leer los datos
• target: dónde escribir los datos
• skip: número de bloques para omitir al comienzo de la búsqueda
de entrada
• seek: número de bloques para omitir al comienzo de la salida
• conv: opciones de conversión
Herramientas para la adquisición de datos
• Adquisición de datos usando Windows
• Una de las herramientas mas utilizadas para adquisición de datos en
ambientes Windows es FTK Imager.
• FTK Imager es una herramienta de imágenes y vista previa de datos que
permite analizar archivos y carpetas en discos duros locales, CD / DVD,
unidades de red y examinar el contenido de imágenes forenses o volcados de
memoria. FTK Imager también puede crear hash MD5 o SHA1 de archivos,
revisar y recuperar archivos eliminados de la papelera de reciclaje, exportar
archivos y carpetas de imágenes forenses al disco y montar una imagen
forense para ver su contenido en el Explorador de Windows.
Herramientas para la adquisición de datos

Adquisición de datos con FTK Imager

Herramientas para la adquisición de datos
• Los proveedores de informática forense han agregado muchas
funciones de recuperación de RAID y estos proveedores se
especializan en uno o dos tipos de formatos RAID.
• Algunos de los proveedores que ofrecen funciones de adquisición
RAID son:
• Tecnologías Pathways ProDiscover
• Guidance Software EnCase
• X-Ways Forensics
• Runtime Software
• Tecnologías R-Tools
Herramientas para la adquisición de datos
• Adquisición de datos remota:
• Las adquisiciones remotas ahorran tiempo, pero sòlo admiten
adquisiciones en vivo.
• Los inconvenientes de las adquisiciones remotas incluyen:
• Pueden surgir problemas con las velocidades de transferencia de datos de la
LAN y conflictos en la tabla de enrutamiento
• En una WAN, surgen problemas para obtener los permisos que requieren
acceso a subredes más seguras
• El tráfico de red pesado en la red también puede causar errores y retrasos en
la adquisición de datos independientemente de la herramienta utilizada.
• Las herramientas antivirus, antispyware y de firewall son capaces de detectar
este programa de acceso remoto.
Validación de la data adquirida
• La validación de la evidencia digital requiere una utilidad de algoritmo
hash desarrollada para crear un número binario o hexadecimal,
llamado huella digital, que representa la singularidad de un archivo o
unidad de disco.
• Las funciones utilizadas en la actualidad son:
• CRC-32
• MD5
• SHA-1
• SHA-256 #
Sanitización
• La sanitización de medios es el proceso de eliminar o destruir
permanentemente datos de los medios de almacenamiento. La guía
propuesta de NIST SP 800-88 explica tres métodos de sanitización:
• Claro: técnicas lógicas aplicadas para desinfectar datos en todas las áreas de
almacenamiento utilizando los comandos estándar de lectura y escritura.
• Purga: Implica técnicas físicas o lógicas para hacer inviable la recuperación de
datos de destino mediante el uso de técnicas de laboratorio de última
generación.
• Destruir: permite que la recuperación de datos de destino sea inviable con el
uso de técnicas de laboratorio de última generación, lo que resulta en la
imposibilidad de utilizar los medios para el almacenamiento de datos.
Resumen
• Tipos de adquisición de data
• Metodología de adquisición de datos
• Adquisición de Data estática
• Formatos de adquisición de data
• Métodos de adquisición de data
• Herramientas para adquisición de data
• Sanitización