martes, 29 de junio de 2010

Practica forence con discos duros

Para los estudiantes de criminalistica especialmente en el área de informática forence o para los Técnicos en Sistemas que les llame la atención ver una rutina típica de inspección de DISCO DURO en donde se aplica sus conocimientos y destrezas como Técnicos en Sistemas.
Lista de Control de Análisis de Discos
Rutina:

Actividades Preliminares


1. Efectuar imagen del disco o medio de almacenamiento bit a bit


2. Generar la autenticación matemática de los datos a través del algoritmo de hash


3. Registrar la fecha y hora del sistema


4. Generar una lista de palabras claves a buscar

Actividades en la imagen del disco


5. Trabajar sobre la imagen del disco, efectuar autenticación matemática en cada uno de los datos analizados a través del algoritmo de hash.


6. En el disco analizar:

a. Tipo de Sistema Operativo
b. Versión del Sistema Operativo
c. Número de particiones
d. Tipo de particiones
e. Esquema de la tabla de particiones

f. Registrar nombre de archivos, fecha y hora y
          i. Correlacionar con 3.

g. Evaluar el espacio descuidado o desperdiciado.
          i. Incluido el MBR
          ii. Incluida la tabla de particiones
          iii. Incluida la partición de inicio del sistema y los archivos de comandos

h. Evaluar el espacio no asignado
i. Evaluar el espacio de intercambio
j. Recuperar archivos eliminados

k. Buscar archivos ocultos con las palabras claves en el:
          i. espacio desperdiciado
          ii. espacio no asignado
          iii. espacio de intercambio
          iv. MBR y tabla de particiones

l. Listar todas las aplicaciones existentes en el sistema
          i. Examinar programas ejecutables sospechosos

m. Identificar extensiones de archivos sospechosas.
          i. Examinar las extensiones de los archivos y la coherencia con las aplicaciones que los ejecutan o        generan

n. Examinar archivos en busca de datos ocultos (esteganografía) ya sean de tipo gráficos, imágenes, de texto, comprimidos o de cualquier otro tipo de extensión

o. Examinar los archivos protegidos con claves, descifrando la clave previamente.

p. Examinar el contenido de los archivos de cada usuario en el directorio raíz y si existen, en los subdirectorios

q. Evaluar el comportamiento del sistema operativo:
          i. Integridad de los comandos
          ii. Integridad de los módulos

r. Evaluar el funcionamiento de los programa de aplicaciones

s. Registrar los hallazgos
          i. Capturar pantallas

t. Generar la autenticación matemática de los datos a través del algoritmo de hash al finalizar el análisis
          i. .Comparar resultados obtenidos de 2 y 6.p

u. Conservar copias del software utilizado

¿Que larga lista verdad?

Bueno esto es uno de los procedimientos de inspección dentro del área de la informática forence. Por suerte también existen poderosos Software Forence que hacen mucho de esto por nosotros.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)