ANALISIS FORENSE INFORMATICO Contenidos adaptados al curso de especializacion de ciberseguridad en entornos de las tecnologias de la informacion
ANALISIS FORENSE INFORMATICO Contenidos adaptados al curso de especializacion de ciberseguridad en entornos de las tecnologias de la informacion
Mario Guerra Soto
- 1ra Ed.
- Bogota Ediciones de la U 2022
- 462 P. 24 x 17 cm.
INDICE
-ACERCA DEL AUTOR
-CAPÍTULO 1. INTRODUCCIÓN A FORENSE DIGITAL.
-CONCEPTOS BÁSICOS
1.1.1 Definición de forense digital
1.1.2 Investigaciones corporativas e investigaciones criminales
1.1.3 Diferencias entre E-Discovery y forense digital
1.1.4 Definición de evidencia digital
1.1.5 Principios internacionales de evidencia digital
1.1.6 Registros generados y registros almacenados por un ordenador...
1.1.7 Cadena de custodia.
1.1.8 Recopilación de evidencias digitales.
1.1.9 El método científico
1.1.10 Mejor evidencia
1.1.11 Antiforense digital.
1.2 GESTIÓN DE UN CASO FORENSE DIGITAL
1.2.1 Introducción
1.2.2 Recepción de la petición
1.2.3 Registro de un caso
1.2.4 Fotografiar la prueba documental.
1.2.5 Registro de la prueba documental
1.2.6 Análisis de la prueba documental.
1.2.7 Devolución de la prueba documental
1.2.8 Cierre del caso
1.3 PROCEDIMIENTO DE INVESTIGACIÓN
1.3.1 Importancia del procedimiento investigador.
1.3.2 Pasos previos a la preparación de la investigación.
1.3.3 Preparación de la investigación.
1.3.4 Recopilación de evidencias digitales
1.3.5 Preservación de las evidencias
1.3.6 Análisis de las evidencins
1.3.7 Presentación de informes de la investigación..
1.3.8 Presentación de informes de la investigación ante un tribunal
1.3.9 Cierre del caso.
1.4 RAMAS DE LAS INVESTIGACIONES FORENSES DIGITALES.
1.4.1 Introducción
1.4.2 Forense de ordenadores.
1.4.3 Forense de dispositivos móviles.
1.4.4 Forense de red.
1.4.5 Análisis de malware
1.5 EL LABORATORIO FORENSE DIGITAL
1.5.1 Generalidades..
1.5.2 Emplazamiento del laboratorio
1.5.3 Seguridad fisica del laboratorio...
1.5.4 Tamaño y disposición del laboratorio
1.5.5 Normativa aplicable a un laboratorio forense digital
1.5.6 Departamentos dentro del laboratorio forense digital
1.6 EVIDENCIAS DIGITALES
1.6.1 Introducción
1.6.2 Objeto y campo de aplicación
1.6.3 Términos y definiciones
1.6.4 Preservación de la evidencia
1.7 ADQUISICIÓN DE EVIDENCIAS DIGITALES
1.7.1 Inteligencia digital y recolección de evidencias de un escenario.
1.7.2 Retos de la recogida de evidencias digitales
1.7.3 Triaje de evidencias en un escenario
1.7.4 Proceso de adquisición de evidencias digitales.
1.7.5 Dispositivos apagados.
1.7.6 Dispositivos encendidos.
1.7.7 Obtención de evidencias de activos empresariales.
1.7.8 Sistemas virtualizados..
1.7.9 Extracción de evidencias mediante manipulación hardware.
-CAPÍTULO 2. SOPORTES DE ALMACENAMIENTO Y SISTEMAS DE FICHEROS.
2.1 INTRODUCCIÓN
2.2 DISCOS DUROS
2.2.1 Interfaz de conexión
2.2.2 Estructura fisica
2.2.3 Estructura lógica.
2.2.4 Volúmenes de disco.
2.3 ALMACENAMIENTO FLASH
2.3.1 Tipos de dispositivos
2.3.2 Peculiaridades de los dispositivos de almacenamiento SSD.
2.4 ALMACENAMIENTO EN SOPORTE OPTICO
2.5 ALMACENAMIENTO EN RED
2.6 ALMACENAMIENTO RAID.
2.6.1 Generalidades.
2.6.2 RAID 0
2.6.3 RAID 1
2.6.4 RAID IE..
2.6.5 RAID 2
2.6.6 RAID 3
2.6.7 RAID 4
2.6.8 RAID S
2.6.9 RAID 6.
2.6.10 RAID 01
2.6.11 RAID 10
2.6.12 RAID 30
2.6.13 RAID 100
2.6.14 RAID 50
2.6.15 Comparativa entre diferentes niveles de RAID.
2.6.16 Otras configuraciones posibles.
2.7 ARQUITECTURAS DE ALMACENAMIENTO NON-RAID
2.8 OBTENCIÓN DE EVIDENCIAS DE UN NAS
2.9 SISTEMAS DE FICHEROS.
2.9.1 Introducción
2.9.2 Sistemas de ficheros en Microsoft Windows.
2.9.3 Sistemas de ficheros en macOS
2.9.4 Sistemas de ficheros en Linux
2.10 PROCESO DE INICIO DE UN ORDENADOR.
2.10.1 Arranque de un sistema operativo Microsoft Windows
2.10.2 Arranque de un sistema operativo Linux
2.10.3 Arranque de un sistema operativo macOS.
-CAPÍTULO 3. VIRTUALIZACIÓN Y SANDBOXING.
3.1 VIRTUALIZACIÓN.
3.1.1 Generalidades.
3.1.2 Tipos de VM.
3.1.3 Tipos de hipervisor.
3.1.4 Contenedores.
3.1.5 FUSE
3.1.6 Discos y unidades virtuales.
3.2 FORENSE DE VM
3.2.1 Forense de hipervisores Tipo 2..
3.2.2 Forense de hipervisores Tipo 1..
3.3 SANDBOXING
-CAPÍTULO 4. INTRODUCCIÓN A FORENSE DE MICROSOFT WINDOWS......
4.1 INTRODUCCIÓN
4.1.2 Programa, proceso e hilo de control.
4.1.3 Volatilidad de los artefactos forenses
4.1.4 Empleo de la consola del sistema y de PowerShell como herramientas de recopilación de artefactos forenses.
4..1.5 Empleo de herramientas de terceros para la recopilación y análisis de artefactos forenses
4.2 ADQUISICIÓN DE SOPORTES DE ALMACENAMIENTO MASIVO
4.2.1 Obtención de imágenes de volúmenes de disco con AccessData FTK
4.2.2 Obtención de imágenes de volúmenes de disco desde una distribuciór Live.....
4.3 ADQUISICIÓN DE EVIDENCIAS VOLATILES EN ENTORNOS WINDO
4.3.1 Variables de entorno del sistema
4.3.2 Fecha y hora del sistema
4.3.3 Información relativa al sistema
4.3.4 Histórico de comandos de la consola del sistema Usuarios registrados en el sistema local.
4.3.5 Información del dominio
4.3.7 Archivos abiertos.
4.3.8 Programas, procesos y servicios.
4.3.9 Conexiones de red
4.3.10 Tabla de enrutamiento interna
4.4 ANÁLISIS POST MORTEM DE EVIDENCIAS DIGITALES
4.4.1 Análisis "en muerto" y "en vivo".
4.4.2 Análisis de evidencias con OpenText EnCase Forensic..
4.4.3 Análisis de evidencias con AccessData FTK
4.4.4 Nuix Workstation.....
4.4.5 Otras suites de análisis forense digital
-CAPÍTULO 5. FORENSE DE LA MEMORIA RAM EN SISTEMAS WINDOWS.
5.1 INTRODUCCIÓN
5.1.1 Generalidades
5.1.2 Forense de memoria
5.1.3 Artefactos forenses presentes en la memoria RAM.
5.1.4 Memoria fisica y memoria virtual
5.1.5 Archivos de volcado de memoria RAM
5.1.6 Archivos de hibernación.
5.2 ADQUISICIÓN DE MEMORIA RAM
5.2.1 Introducción
5.2.2 Volcado del contenido completo de la RAM
5.2.3 Volcado de memoria utilizando pmem.
5.2.4 Archivos de paginación e hibernación
5.2.5 Volcado de la memoria RAM tras un fallo del sistema operativo..
5.2.6 Adquisición de memoria de máquinas virtuales.
5.2.7 Adquisición de memoria de contenedores.
5.2.8 Recolección de memoria de sistemas remotos.
-CAPÍTULO 6. ANÁLISIS DE LÍNEAS TEMPORALES.
6.1 INTRODUCCIÓN
6.1.1 Importancia de la elaboración de una línea temporal
6.1.2 Dificultades en la generación de líneas temporales.
6.1.3 Punto de partida de una investigación...
6.1.4 Proceso de análisis de una línea temporal
6.1.5 Predicción en el análisis de lineas temporales.
6.1.6 Herramientas para la confección de lineas temporales
6.2 ANÁLISIS DE ARTEFACTOS FORENSES EN WINDOWS.
6.2.1 Evidencias de descarga de archivos
6.2.2 Evidencias de ejecución de programas.
6.2.3 Evidencias de archivo eliminado o conocimiento de archivo
6.2.4 Evidencias de actividad de red y de ubicación fisica.
6.2.5 Evidencia de apertura de archivos/carpetas..
6.2.6 Evidencias de utilización de cuentas de usuario
6.2.7 Evidencias de conexión de dispositivos USB
6.2.8 Evidencias de utilización del navegador
6.3 CREACIÓN Y ANÁLISIS DE LÍNEAS TEMPORALES.
6.3.1 Triaje de la linea temporal del sistema de ficheros.
6.3.2 Creación y análisis de una linea temporal del sistema de ficheros.
6.3.3 Creación y análisis de una linea temporal a partir de un volcado de memoria RAM.
6.3.4 Creación de una Super Timeline
6.3.5 Creación de una Super Timeline dedicada
6.3.6 Triaje rápido de artefactos forenses.
6.3.7 Filtrado de una Super Timeline
6.3.8 Análisis de una Super Timeline.
-CAPÍTULO 7. ARCHIVOS DE LOG.....
7.1 INTRODUCCIÓN.
7.1.1 Archivo de log de eventos.
7.1.2 Agregación de logs
7.1.3 Monitorización de archivos de log.
7.1.4 Importancia de los archivos de log de eventos de seguridad
7.2 GESTIÓN DE ARCHIVOS DE LOG
7.2.1 Gestión de archivos de log de seguridad.
7.2.2 Sistema centralizado de archivos de log....
7.3 ESTIMACIÓN DE GENERACIÓN DE ARCHIVOS DE LOG
7.3.1 Eventos por segundo
7.3.2 Generación normal y picos de EPS.
7.3.3 Volumen de los archivos de log...
7.4 TIPOS DE ARCHIVOS DE LOG
7.5 ARCHIVOS DE LOG GENERADOS EN ENDPOINTS EN CIBERSEGURIDAD.
7.5.1 Archivos de log de Eventos de Windows.
7.5.2 Archivos de log de Linux
7.5.3 Archivos de eventos de dispositivos iOS.
7.5.4 Archivos de eventos de dispositivos Android..
7.5.5 Archivos de log de interés para incorporar al SIEM.
7.6 GESTIÓN DE ARCHIVOS DE LOG DE EDR
7.7 GESTIÓN DE ARCHIVOS DE LOG DE FIREWALLS
7.8 RECOLECCIÓN DE ARCHIVOS DE LOG CON SYSLOG
7.9 TÉCNICAS DE ANÁLISIS DE ARCHIVOS DE LOG
7.10 PROCESADO DE ARCHIVOS DE LOG
7.10.1 Flujo de procesado de los archivos de log.
7.11 ANÁLISIS DE ARCHIVOS DE LOG EMPLEANDO UN SIEM
7.12 SINCRONIZACIÓN HORARIA ENTRE DISPOSITIVOS.
7.13 LOS ARCHIVOS DE LOG DESDE UN PUNTO DE VISTA LEGAL
7.13.1 Procesado de archivos de log conforme a la legislación estadounidens
7.13.2 Archivos de log conforme a la legislación española
-CAPÍTULO 8. FORENSE DE RED.
8.1 DEFINICIÓN DE FORENSE DE RED
8.2 HERRAMIENTAS DE MONITORIZACIÓN DE RED
8.2.1 Capturador de paquetes
8.2.2 Analizador de paquetes
8.2.3 Monitorización del flujo de paquetes
8.2.4 Monitor de interfaz
8.2.5 Monitor de rendimiento.
8.2.6 Registros de eventos del sistema y su gestión.
8.3 ANÁLISIS DE TRÁFICO DE RED.
8.3.1 Cabecera del paquete.
8.3.2 Payload
8.3.3 Trailer
8.4 INVESTIGANDO EL TRÁFICO DE RED
8.4.1 Ventajas de investigar el tráfico de red
8.4.2 Acceso ilicito a la red objetivo.
8.4.3 Atribución a partir de evidencias forenses de red
8.4.4 Forense en redes inalámbricas.
8.5 HERRAMIENTAS FORENSES DE RED
8.5.1 Herramientas más habituales en forense de red
8.5.2 Recopilación y análisis de artefactos forenses empleando la consola del sistema
8.6 FORENSE DE PÁGINAS WEB Y URL
8.6.1 Copia forense de sitios web.
8.6.2 Servicios recortadores de URL...
8.6.3 Resolución estática de servidores C2
8.6.4 Domain Generation Algorithm.
8.6.5 Fast-Flux Service Networks
8.7 CORREO ELECTRÓNICO.
8.7.1 Protocolos y servicios de correo electrónico
8.7.2 Cabecera de un correo electrónico
8.7.3 Cuerpo de un correo electrónico
8.7.4 Importancia de la gestión de registros electrónicos.
8.7.5 Delitos cometidos empleando el correo electrónico.
8.7.6Delitos cometidos en salas de chat.
8.7.7 Procedimiento para investigar delitos cometidos utilizando el correo electrónico y las salas de chat.
8.7.8 Análisis de correos electrónicos.
-CAPÍTULO 9. FORENSE DE BASE DE DATOS.
9.1 INTRODUCCIÓN
9.2 BREVES NOCIONES DE BASES DE DATOS Y SOL...
9.3 IMPORTANCIA DEL FORENSE DE BASES DE DATOS
-CAPÍTULO 10. FORENSE EN LA NUBE.
10.1 INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE
10.2 TIPOS DE SERVICIOS DE COMPUTACIÓN EN LA NUBE.
10.2.1 laaS
10.2.2 PaaS
10.2.3 SaaS
10.2.4 Separación de responsabilidades en la nube.
10.3 MODELOS DE DESPLIEGUE EN LA NUBE
10.3.1 Nube privada
10.3.2 Nube hibrida
10.3.3 Nube comunitaria
10.3.4 Nube pública
10.4 INTRODUCCIÓN AL FORENSE EN LA NUBE.
10.4.1 Definición.
10.4.2 Ámbito de aplicación
10.4.3 Delitos en la nube.
10.4.4 Agentes implicados en una investigación de forense en la nube.
10.4.5 Procedimiento forense en la nube
10.5 RETOS QUE SE PRESENTAN EN LAS INVESTIGACIONES DE FORENS EN LA NUBE
10.5.1 Arquitectura e identificación.
10.5.2 Recolección de datos.
10.5.3 Archivos de log.
10.5.4 Legales
10.5.5 Análisis.
10.5.6 Gestión de roles
10.5.7 Estándares..
10.5.8 Adiestramiento
10.5.9 Empleo de técnicas antiforenses.
10.5.10 Respuesta a incidentes.
10.6 INVESTIGACIÓN FORENSE DE SERVICIOS DE ALMACENAMIENTO LA NUBE.
10.6.1 Introducción
10.6.2 Dropbox.
10.6.3 Google Drive.
-CAPÍTULO 11. FORENSE DE DISPOSITIVOS MÓVILES E IOT.
11.1 INTRODUCCIÓN
11.1.1 Forense de dispositivos móviles.
11.1.2 Forense de teléfonos móviles
11.1.3 Cibercrimen y ciberamenazas en dispositivos móviles.
11.1.4 Actividades delictivas que pueden realizarse desde un dispositivo
11.2 TIPOS DE DISPOSITIVOS MÓVILES
11.2.1 Generalidades
11.2.2 Teléfonos móviles estándar
11.2.3 PDA
11.2.4 Reproductores multimedia
11.2.5 Smartphones.
11.2.6 Tabletas y phablets
11.3 IOT.
11.3.1 Introducción
11.3.2 Forense de dispositivos loT.
11.4 REDES DE ACCESO CELULAR.
11.4.1 Elementos de una red celular.
11.4.2 Redes celulares de datos.
11.4.3 Telefonia 2G
11.4.4 Telefonia 3G
11.4.5 Telefonía 4G
11.4.6 Telefonía 5G
11.5 EL DISPOSITIVO MÓVIL
11.5.1 Hardware, sistema operativo y aplicaciones de un dispositivo móvil.
11.5.2 ME
11.5.3 UICC
11.5.4 Medidas de seguridad en la UICC.
11.5.5 Codificación de la UICC
11.5.6 Autenticación Ki
11.5.7 Estructura de ficheros de la UICC.
11.6 INTERVENCIÓN DE UN DISPOSITIVO MÓVIL
11.6.1 Aislamiento de redes
11.6.2 Anulación de códigos de protección
11.6.3 Cables de alimentación y datos
11.6.4 Dispositivos desconectados.
11.7 ARTEFACTOS FORENSES DE INTERÉS EN UN TELÉFONO MÓVIL..
11.7.1 Información proporcionada por la UICC
11.7.2 Información almacenada en el smartphone
11.7.3 Información almacenada por el operador de telefonía
978-958-792-408-4
Base de datos
INDICE
-ACERCA DEL AUTOR
-CAPÍTULO 1. INTRODUCCIÓN A FORENSE DIGITAL.
-CONCEPTOS BÁSICOS
1.1.1 Definición de forense digital
1.1.2 Investigaciones corporativas e investigaciones criminales
1.1.3 Diferencias entre E-Discovery y forense digital
1.1.4 Definición de evidencia digital
1.1.5 Principios internacionales de evidencia digital
1.1.6 Registros generados y registros almacenados por un ordenador...
1.1.7 Cadena de custodia.
1.1.8 Recopilación de evidencias digitales.
1.1.9 El método científico
1.1.10 Mejor evidencia
1.1.11 Antiforense digital.
1.2 GESTIÓN DE UN CASO FORENSE DIGITAL
1.2.1 Introducción
1.2.2 Recepción de la petición
1.2.3 Registro de un caso
1.2.4 Fotografiar la prueba documental.
1.2.5 Registro de la prueba documental
1.2.6 Análisis de la prueba documental.
1.2.7 Devolución de la prueba documental
1.2.8 Cierre del caso
1.3 PROCEDIMIENTO DE INVESTIGACIÓN
1.3.1 Importancia del procedimiento investigador.
1.3.2 Pasos previos a la preparación de la investigación.
1.3.3 Preparación de la investigación.
1.3.4 Recopilación de evidencias digitales
1.3.5 Preservación de las evidencias
1.3.6 Análisis de las evidencins
1.3.7 Presentación de informes de la investigación..
1.3.8 Presentación de informes de la investigación ante un tribunal
1.3.9 Cierre del caso.
1.4 RAMAS DE LAS INVESTIGACIONES FORENSES DIGITALES.
1.4.1 Introducción
1.4.2 Forense de ordenadores.
1.4.3 Forense de dispositivos móviles.
1.4.4 Forense de red.
1.4.5 Análisis de malware
1.5 EL LABORATORIO FORENSE DIGITAL
1.5.1 Generalidades..
1.5.2 Emplazamiento del laboratorio
1.5.3 Seguridad fisica del laboratorio...
1.5.4 Tamaño y disposición del laboratorio
1.5.5 Normativa aplicable a un laboratorio forense digital
1.5.6 Departamentos dentro del laboratorio forense digital
1.6 EVIDENCIAS DIGITALES
1.6.1 Introducción
1.6.2 Objeto y campo de aplicación
1.6.3 Términos y definiciones
1.6.4 Preservación de la evidencia
1.7 ADQUISICIÓN DE EVIDENCIAS DIGITALES
1.7.1 Inteligencia digital y recolección de evidencias de un escenario.
1.7.2 Retos de la recogida de evidencias digitales
1.7.3 Triaje de evidencias en un escenario
1.7.4 Proceso de adquisición de evidencias digitales.
1.7.5 Dispositivos apagados.
1.7.6 Dispositivos encendidos.
1.7.7 Obtención de evidencias de activos empresariales.
1.7.8 Sistemas virtualizados..
1.7.9 Extracción de evidencias mediante manipulación hardware.
-CAPÍTULO 2. SOPORTES DE ALMACENAMIENTO Y SISTEMAS DE FICHEROS.
2.1 INTRODUCCIÓN
2.2 DISCOS DUROS
2.2.1 Interfaz de conexión
2.2.2 Estructura fisica
2.2.3 Estructura lógica.
2.2.4 Volúmenes de disco.
2.3 ALMACENAMIENTO FLASH
2.3.1 Tipos de dispositivos
2.3.2 Peculiaridades de los dispositivos de almacenamiento SSD.
2.4 ALMACENAMIENTO EN SOPORTE OPTICO
2.5 ALMACENAMIENTO EN RED
2.6 ALMACENAMIENTO RAID.
2.6.1 Generalidades.
2.6.2 RAID 0
2.6.3 RAID 1
2.6.4 RAID IE..
2.6.5 RAID 2
2.6.6 RAID 3
2.6.7 RAID 4
2.6.8 RAID S
2.6.9 RAID 6.
2.6.10 RAID 01
2.6.11 RAID 10
2.6.12 RAID 30
2.6.13 RAID 100
2.6.14 RAID 50
2.6.15 Comparativa entre diferentes niveles de RAID.
2.6.16 Otras configuraciones posibles.
2.7 ARQUITECTURAS DE ALMACENAMIENTO NON-RAID
2.8 OBTENCIÓN DE EVIDENCIAS DE UN NAS
2.9 SISTEMAS DE FICHEROS.
2.9.1 Introducción
2.9.2 Sistemas de ficheros en Microsoft Windows.
2.9.3 Sistemas de ficheros en macOS
2.9.4 Sistemas de ficheros en Linux
2.10 PROCESO DE INICIO DE UN ORDENADOR.
2.10.1 Arranque de un sistema operativo Microsoft Windows
2.10.2 Arranque de un sistema operativo Linux
2.10.3 Arranque de un sistema operativo macOS.
-CAPÍTULO 3. VIRTUALIZACIÓN Y SANDBOXING.
3.1 VIRTUALIZACIÓN.
3.1.1 Generalidades.
3.1.2 Tipos de VM.
3.1.3 Tipos de hipervisor.
3.1.4 Contenedores.
3.1.5 FUSE
3.1.6 Discos y unidades virtuales.
3.2 FORENSE DE VM
3.2.1 Forense de hipervisores Tipo 2..
3.2.2 Forense de hipervisores Tipo 1..
3.3 SANDBOXING
-CAPÍTULO 4. INTRODUCCIÓN A FORENSE DE MICROSOFT WINDOWS......
4.1 INTRODUCCIÓN
4.1.2 Programa, proceso e hilo de control.
4.1.3 Volatilidad de los artefactos forenses
4.1.4 Empleo de la consola del sistema y de PowerShell como herramientas de recopilación de artefactos forenses.
4..1.5 Empleo de herramientas de terceros para la recopilación y análisis de artefactos forenses
4.2 ADQUISICIÓN DE SOPORTES DE ALMACENAMIENTO MASIVO
4.2.1 Obtención de imágenes de volúmenes de disco con AccessData FTK
4.2.2 Obtención de imágenes de volúmenes de disco desde una distribuciór Live.....
4.3 ADQUISICIÓN DE EVIDENCIAS VOLATILES EN ENTORNOS WINDO
4.3.1 Variables de entorno del sistema
4.3.2 Fecha y hora del sistema
4.3.3 Información relativa al sistema
4.3.4 Histórico de comandos de la consola del sistema Usuarios registrados en el sistema local.
4.3.5 Información del dominio
4.3.7 Archivos abiertos.
4.3.8 Programas, procesos y servicios.
4.3.9 Conexiones de red
4.3.10 Tabla de enrutamiento interna
4.4 ANÁLISIS POST MORTEM DE EVIDENCIAS DIGITALES
4.4.1 Análisis "en muerto" y "en vivo".
4.4.2 Análisis de evidencias con OpenText EnCase Forensic..
4.4.3 Análisis de evidencias con AccessData FTK
4.4.4 Nuix Workstation.....
4.4.5 Otras suites de análisis forense digital
-CAPÍTULO 5. FORENSE DE LA MEMORIA RAM EN SISTEMAS WINDOWS.
5.1 INTRODUCCIÓN
5.1.1 Generalidades
5.1.2 Forense de memoria
5.1.3 Artefactos forenses presentes en la memoria RAM.
5.1.4 Memoria fisica y memoria virtual
5.1.5 Archivos de volcado de memoria RAM
5.1.6 Archivos de hibernación.
5.2 ADQUISICIÓN DE MEMORIA RAM
5.2.1 Introducción
5.2.2 Volcado del contenido completo de la RAM
5.2.3 Volcado de memoria utilizando pmem.
5.2.4 Archivos de paginación e hibernación
5.2.5 Volcado de la memoria RAM tras un fallo del sistema operativo..
5.2.6 Adquisición de memoria de máquinas virtuales.
5.2.7 Adquisición de memoria de contenedores.
5.2.8 Recolección de memoria de sistemas remotos.
-CAPÍTULO 6. ANÁLISIS DE LÍNEAS TEMPORALES.
6.1 INTRODUCCIÓN
6.1.1 Importancia de la elaboración de una línea temporal
6.1.2 Dificultades en la generación de líneas temporales.
6.1.3 Punto de partida de una investigación...
6.1.4 Proceso de análisis de una línea temporal
6.1.5 Predicción en el análisis de lineas temporales.
6.1.6 Herramientas para la confección de lineas temporales
6.2 ANÁLISIS DE ARTEFACTOS FORENSES EN WINDOWS.
6.2.1 Evidencias de descarga de archivos
6.2.2 Evidencias de ejecución de programas.
6.2.3 Evidencias de archivo eliminado o conocimiento de archivo
6.2.4 Evidencias de actividad de red y de ubicación fisica.
6.2.5 Evidencia de apertura de archivos/carpetas..
6.2.6 Evidencias de utilización de cuentas de usuario
6.2.7 Evidencias de conexión de dispositivos USB
6.2.8 Evidencias de utilización del navegador
6.3 CREACIÓN Y ANÁLISIS DE LÍNEAS TEMPORALES.
6.3.1 Triaje de la linea temporal del sistema de ficheros.
6.3.2 Creación y análisis de una linea temporal del sistema de ficheros.
6.3.3 Creación y análisis de una linea temporal a partir de un volcado de memoria RAM.
6.3.4 Creación de una Super Timeline
6.3.5 Creación de una Super Timeline dedicada
6.3.6 Triaje rápido de artefactos forenses.
6.3.7 Filtrado de una Super Timeline
6.3.8 Análisis de una Super Timeline.
-CAPÍTULO 7. ARCHIVOS DE LOG.....
7.1 INTRODUCCIÓN.
7.1.1 Archivo de log de eventos.
7.1.2 Agregación de logs
7.1.3 Monitorización de archivos de log.
7.1.4 Importancia de los archivos de log de eventos de seguridad
7.2 GESTIÓN DE ARCHIVOS DE LOG
7.2.1 Gestión de archivos de log de seguridad.
7.2.2 Sistema centralizado de archivos de log....
7.3 ESTIMACIÓN DE GENERACIÓN DE ARCHIVOS DE LOG
7.3.1 Eventos por segundo
7.3.2 Generación normal y picos de EPS.
7.3.3 Volumen de los archivos de log...
7.4 TIPOS DE ARCHIVOS DE LOG
7.5 ARCHIVOS DE LOG GENERADOS EN ENDPOINTS EN CIBERSEGURIDAD.
7.5.1 Archivos de log de Eventos de Windows.
7.5.2 Archivos de log de Linux
7.5.3 Archivos de eventos de dispositivos iOS.
7.5.4 Archivos de eventos de dispositivos Android..
7.5.5 Archivos de log de interés para incorporar al SIEM.
7.6 GESTIÓN DE ARCHIVOS DE LOG DE EDR
7.7 GESTIÓN DE ARCHIVOS DE LOG DE FIREWALLS
7.8 RECOLECCIÓN DE ARCHIVOS DE LOG CON SYSLOG
7.9 TÉCNICAS DE ANÁLISIS DE ARCHIVOS DE LOG
7.10 PROCESADO DE ARCHIVOS DE LOG
7.10.1 Flujo de procesado de los archivos de log.
7.11 ANÁLISIS DE ARCHIVOS DE LOG EMPLEANDO UN SIEM
7.12 SINCRONIZACIÓN HORARIA ENTRE DISPOSITIVOS.
7.13 LOS ARCHIVOS DE LOG DESDE UN PUNTO DE VISTA LEGAL
7.13.1 Procesado de archivos de log conforme a la legislación estadounidens
7.13.2 Archivos de log conforme a la legislación española
-CAPÍTULO 8. FORENSE DE RED.
8.1 DEFINICIÓN DE FORENSE DE RED
8.2 HERRAMIENTAS DE MONITORIZACIÓN DE RED
8.2.1 Capturador de paquetes
8.2.2 Analizador de paquetes
8.2.3 Monitorización del flujo de paquetes
8.2.4 Monitor de interfaz
8.2.5 Monitor de rendimiento.
8.2.6 Registros de eventos del sistema y su gestión.
8.3 ANÁLISIS DE TRÁFICO DE RED.
8.3.1 Cabecera del paquete.
8.3.2 Payload
8.3.3 Trailer
8.4 INVESTIGANDO EL TRÁFICO DE RED
8.4.1 Ventajas de investigar el tráfico de red
8.4.2 Acceso ilicito a la red objetivo.
8.4.3 Atribución a partir de evidencias forenses de red
8.4.4 Forense en redes inalámbricas.
8.5 HERRAMIENTAS FORENSES DE RED
8.5.1 Herramientas más habituales en forense de red
8.5.2 Recopilación y análisis de artefactos forenses empleando la consola del sistema
8.6 FORENSE DE PÁGINAS WEB Y URL
8.6.1 Copia forense de sitios web.
8.6.2 Servicios recortadores de URL...
8.6.3 Resolución estática de servidores C2
8.6.4 Domain Generation Algorithm.
8.6.5 Fast-Flux Service Networks
8.7 CORREO ELECTRÓNICO.
8.7.1 Protocolos y servicios de correo electrónico
8.7.2 Cabecera de un correo electrónico
8.7.3 Cuerpo de un correo electrónico
8.7.4 Importancia de la gestión de registros electrónicos.
8.7.5 Delitos cometidos empleando el correo electrónico.
8.7.6Delitos cometidos en salas de chat.
8.7.7 Procedimiento para investigar delitos cometidos utilizando el correo electrónico y las salas de chat.
8.7.8 Análisis de correos electrónicos.
-CAPÍTULO 9. FORENSE DE BASE DE DATOS.
9.1 INTRODUCCIÓN
9.2 BREVES NOCIONES DE BASES DE DATOS Y SOL...
9.3 IMPORTANCIA DEL FORENSE DE BASES DE DATOS
-CAPÍTULO 10. FORENSE EN LA NUBE.
10.1 INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE
10.2 TIPOS DE SERVICIOS DE COMPUTACIÓN EN LA NUBE.
10.2.1 laaS
10.2.2 PaaS
10.2.3 SaaS
10.2.4 Separación de responsabilidades en la nube.
10.3 MODELOS DE DESPLIEGUE EN LA NUBE
10.3.1 Nube privada
10.3.2 Nube hibrida
10.3.3 Nube comunitaria
10.3.4 Nube pública
10.4 INTRODUCCIÓN AL FORENSE EN LA NUBE.
10.4.1 Definición.
10.4.2 Ámbito de aplicación
10.4.3 Delitos en la nube.
10.4.4 Agentes implicados en una investigación de forense en la nube.
10.4.5 Procedimiento forense en la nube
10.5 RETOS QUE SE PRESENTAN EN LAS INVESTIGACIONES DE FORENS EN LA NUBE
10.5.1 Arquitectura e identificación.
10.5.2 Recolección de datos.
10.5.3 Archivos de log.
10.5.4 Legales
10.5.5 Análisis.
10.5.6 Gestión de roles
10.5.7 Estándares..
10.5.8 Adiestramiento
10.5.9 Empleo de técnicas antiforenses.
10.5.10 Respuesta a incidentes.
10.6 INVESTIGACIÓN FORENSE DE SERVICIOS DE ALMACENAMIENTO LA NUBE.
10.6.1 Introducción
10.6.2 Dropbox.
10.6.3 Google Drive.
-CAPÍTULO 11. FORENSE DE DISPOSITIVOS MÓVILES E IOT.
11.1 INTRODUCCIÓN
11.1.1 Forense de dispositivos móviles.
11.1.2 Forense de teléfonos móviles
11.1.3 Cibercrimen y ciberamenazas en dispositivos móviles.
11.1.4 Actividades delictivas que pueden realizarse desde un dispositivo
11.2 TIPOS DE DISPOSITIVOS MÓVILES
11.2.1 Generalidades
11.2.2 Teléfonos móviles estándar
11.2.3 PDA
11.2.4 Reproductores multimedia
11.2.5 Smartphones.
11.2.6 Tabletas y phablets
11.3 IOT.
11.3.1 Introducción
11.3.2 Forense de dispositivos loT.
11.4 REDES DE ACCESO CELULAR.
11.4.1 Elementos de una red celular.
11.4.2 Redes celulares de datos.
11.4.3 Telefonia 2G
11.4.4 Telefonia 3G
11.4.5 Telefonía 4G
11.4.6 Telefonía 5G
11.5 EL DISPOSITIVO MÓVIL
11.5.1 Hardware, sistema operativo y aplicaciones de un dispositivo móvil.
11.5.2 ME
11.5.3 UICC
11.5.4 Medidas de seguridad en la UICC.
11.5.5 Codificación de la UICC
11.5.6 Autenticación Ki
11.5.7 Estructura de ficheros de la UICC.
11.6 INTERVENCIÓN DE UN DISPOSITIVO MÓVIL
11.6.1 Aislamiento de redes
11.6.2 Anulación de códigos de protección
11.6.3 Cables de alimentación y datos
11.6.4 Dispositivos desconectados.
11.7 ARTEFACTOS FORENSES DE INTERÉS EN UN TELÉFONO MÓVIL..
11.7.1 Información proporcionada por la UICC
11.7.2 Información almacenada en el smartphone
11.7.3 Información almacenada por el operador de telefonía
978-958-792-408-4
Base de datos