Archivos de Etiquetas: evidencia digital

Laboratorio: Informática Forense – Actualizaciones realizadas en el sistema

Se hace necesario recolectar la mayor cantidad de información posible en el sistema objetivo. Una de estas fuentes de información hace referencia a las actualizaciones presentes en dicho sistema.

Para ello, solo basta con explorar un poco algunos directorios del sistema, en los cuales se encuentran algunos logs interesantes y que revelan las actualizaciones del mismo.

Cabe aclarar que este no es el único método para determinar las actualizaciones del sistema, este es solo uno de ellos, pues en otras publicaciones veremos otros procedimientos para determinarlas (registro).

Leer más…

Laboratorio: Informática Forense – Creación de un caso con EnCase Enterprise/Forensic

Esta entrega hace referencia sobre el procedimiento necesario para llevar a cabo la creación de un nuevo caso en la solución software para Análisis Forense: EnCase.

EnCase Enterprise/Forensic:

EnCase proporciona las herramientas más avanzadas para el Análisis Forense de Sistemas e Investigaciones Digitales. Con un entorno gráfico intuitivo, flexible y un rendimiento sin igual, EnCase proporciona a los investigadores todo lo necesario para realizar análisis a gran escala en investigaciones complejas con precisión y seguridad.

Leer más…

Laboratorio: Informática Forense – Identificación del tipo de evidencia

Para continuar con el laboratorio se hace necesario identificar el tipo de evidencia analizar. Pues aún no se tiene información sobre la misma (bien podría tratarse de una imágen de disco, partición u otro tipo de imágen).

Para este propósito bastará, con analizar los primeros bytes de la imágen con un editor hexadecimal.

NTFS

El resultado de esta observación nos muestra que corresponde a un sistema de ficheros NTFS.

Veremos además el procedimiento para determinar el Sistema Operativo de la imágen a analizar.

Leer más…