23. Revisión manual de copia forense

 23. Revisión manual de copia forense

¿Qué hacer con una copia forense y cómo analizarla?

Una vez que tenemos una copia forense, surge la pregunta: ¿cómo la analizamos? En este capítulo, exploraremos el análisis manual, y en el siguiente, veremos herramientas automatizadas como Autopsy. Pero, si existen herramientas automatizadas, ¿por qué aprender a hacerlo manualmente? La respuesta es simple: flexibilidad y practicidad.

Imagina que el perito contrario utilizó un formato cerrado como FTK Smart o FF. Si estás comenzando en cómputo forense, quizás uses herramientas gratuitas. Pero si la contraparte empleó un formato comercial cerrado, no podrás usar herramientas como Autopsy. En esos casos, la revisión manual es la solución.

Además, herramientas como Autopsy, aunque poderosas, consumen muchos recursos y tiempo de procesamiento (a veces días). Si solo necesitas un archivo específico, el análisis manual te permite acceder directamente a él, sin esperas.

Herramientas para el análisis manual

En este ejemplo, usaremos Access Data FTK Imager y EnCase, pero cualquier herramienta forense compatible con imágenes forenses servirá. Ambas permiten trabajar con evidencias de manera eficiente.

Paso 1: Cargar la evidencia en Access Data FTK Imager

  1. Abre la herramienta y selecciona "Add Evidence".

  2. Navega hasta la ubicación de tu imagen forense (por ejemplo, el escritorio).

  3. Si la herramienta no detecta automáticamente el archivo (por ejemplo, si tiene extensión .001), cambia la extensión a un formato reconocible (como .001). Esto no afecta la integridad de la evidencia.

  4. Una vez cargada, la herramienta interpretará la estructura de archivos.

Nota: Si trabajas con imágenes grandes (ej. 1 TB), la herramienta puede tardar en cargar carpetas. Esto es normal, ya que está procesando miles de datos.

Explorando la estructura de la imagen forense

Al acceder a la imagen, verás carpetas como "root", que es la raíz de cualquier unidad (NTFS, FAT, exFAT, etc.). Todos los sistemas de archivos tienen esta carpeta. Otras carpetas importantes incluyen:

  • "Windows\System32\config": Aquí se almacenan archivos críticos del sistema, como el registro de Windows.

  • "Archivos no alojados" y "Orphan": Solo presentes en algunos sistemas como NTFS.

Extracción de archivos clave

Desde la carpeta Windows\System32\config, podemos extraer archivos esenciales para el análisis:

  • SAM: Contiene información de usuarios del sistema (activos y eliminados).

  • SECURITY: Configuraciones de seguridad.

  • SOFTWARE: Detalles de programas instalados.

  • SYSTEM: Configuración del sistema.

Exportación:

  1. Selecciona los archivos SAM, SECURITY, SOFTWARE y SYSTEM.

  2. Usa la opción "Export File" para guardarlos en una ubicación segura (ej. escritorio).

Interpretando los archivos exportados

Si intentas abrir estos archivos con un editor de texto, verás caracteres incomprensibles. Necesitamos herramientas especializadas como Red Registry Viewer (parte de Access Data FTK) o Registry Browser.

Proceso con Red Registry Viewer:

  1. Al abrir la herramienta, ignora la búsqueda de claves en red y trabaja en modo demo.

  2. Selecciona "Open" y carga los archivos exportados (SAM, SOFTWARE, etc.).

  3. Explora las secciones:

    • SAM: En Domaine Account User, verás usuarios del sistema (administrador, invitado, etc.). Los usuarios con ID 500-501 son creados por el sistema. Los ID ≥1000 son usuarios normales.

    • SOFTWARE: Aquí encuentras información de programas instalados, incluso si fueron desinstalados. Ejemplo: claves de licencias o registros de demos.

Ejemplo de análisis en SAM:

  • Usuario con ID 500: Administrador.

  • ID 1000: Usuario personalizado.

  • Datos como último inicio de sesión, intentos fallidos, etc.

Consideraciones importantes

  1. Archivos protegidos: Si el sistema operativo está en ejecución, no podrás copiar estos archivos, incluso como administrador. Están protegidos a nivel del kernel.

  2. Horarios: Los registros usan hora UTC (huso horario cero). Siempre referencia la hora local del equipo al reportar hallazgos, ya que el reloj podría estar desincronizado.

  3. Herramientas gratuitas: Access Data FTK Imager y Red Registry Viewer están disponibles en modo demo, ideal para prácticas.

Conclusión

El análisis manual de copias forenses es esencial para casos con formatos cerrados o cuando necesitas rapidez. Herramientas como Access Data FTK Imager y Red Registry Viewer facilitan la extracción e interpretación de datos críticos. En el próximo capítulo, exploraremos herramientas automatizadas como Autopsy.

Descarga las herramientas:

¿Tienes dudas? ¡Déjalas en los comentarios!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más