Tecnología

Inicio

Técnicas de Informática Forense

forense es una ciencia que se ocupa de la recolección y análisis de evidencia digital. Esta evidencia puede tomar muchas formas y su análisis tiene muchos usos. evidencia digital se encuentra dentro de la computadora en sí misma, dentro de la red y dentro de varios tipos de dispositivos de almacenamiento (por ejemplo, unidades USB, unidades dlash, CD-ROMs, DVDs). El análisis de estos tipos de evidencia digital se utiliza en casos judiciales - tanto criminal y doméstica - y dentro de las empresas para controlar el uso de los recursos. A pesar de las variadas aplicaciones de la informática forense, las técnicas actuales empleadas son casi idénticos.

técnicas

Informática forense, como cualquier ciencia, sigue un patrón de análisis. Los datos se recopilan de manera objetiva, se analizan los datos (pero conserva) y un informe de los resultados que se prepara documentos para recabar la información, la forma en que se analizó y detalles todos los hallazgos. La principal tendencia consistente en ese tipo de recolección de datos y el análisis es que los datos se conserva. Dicho de vista científico, los resultados pueden ser duplicadas.

Con el fin de asegurar que los datos conserva su integridad, es importante que se reunió de manera nonobtrusive. Existen diferentes programas que existen para esto, pero muchos sistemas permitirán otro ordenador para conectarse a la misma y los archivos copiados. Esta voluntad no obstante, los archivos borrados, siempre copia los archivos de registro o archivos de la historia, todos los cuales son cruciales para la informática forense. Sin embargo, puede ser que no se requiere un análisis completo de salida y una sencilla conexión y copiar podría ser suficiente.

Al realizar la informática forense, o contratar a alguien para el caso, es importante tener claros los objetivos. Tal vez es cierto serie de mensajes de correo electrónico o un archivo que se ha descargado; sea ​​lo que sea, simplemente puede no requiere las horas de la investigación realizada típicamente en informática forense. De hecho, el mayor tiempo obstáculo para un analista de informática forense no es los datos; la mayoría de la gente nunca cifrar sus ordenadores. El obstáculo más grande es el tamaño de los discos duros de los ordenadores actuales y el tiempo empleado en el análisis de esta cantidad de memoria. Además, la mayoría de los datos utilizados en los juicios no es el tipo que es obvio, simplemente imprimiendo una lista de archivos en un disco duro; con mucha más frecuencia, la información se oculta o se oculta de alguna manera.

Ejemplos de técnicas forenses informáticos incluyen:

¿Qué usuarios se ha identificado.
w> /data/w.txt

Procesos corriendo.
ps -auwx> /data/ps.txt

Puertos abiertos y los procesos de escucha.
netstat -anp> /data/netstat.txt

La información sobre todas las interfaces (promisc?).
ifconfig -a> /data/network.txt

Listado de todos los archivos con el tiempo de acceso, tiempo de cambio de i-nodo y hora de modificación.
ls -alRu /> /data/files-atime.txt
ls -alRc /> /data/files-ctime.txt
ls -alR /> /data/files-mtime.txt

la historia del golpe de la raíz (y otros usuarios).
gato /root/.bash_history> /data/roothistory.txt

Los últimos datos de acceso al sistema.
última> /data/last.txt

comprobación básica de los registros de acceso que buscan acceso a directorios tmp.
cat / / access_log | grep "20% / tmp"> gato /data/access.txt / / access_log | grep "20% / var / tmp"> /data/access.txt

Listado de archivos abiertos por procesos.
lsof -i> /data/lsof.txt

Ejecutar "rasusers" para obtener todos los usuarios conectados a través de RAS.

Ejecute "net start" para obtener una lista de todos los servicios que se ejecutan.

Recuperar archivos borrados: Un archivo no se elimina realmente; simplemente se cambió el nombre y se almacena en otro lugar. Por ejemplo, en Windows, el primer carácter del nombre de archivo se cambia a 0xE5 hexagonal. Con el fin de restaurar el archivo, sino que simplemente tiene que ser cambiado de nombre.

El analista informática forense hace un llamamiento a su conocimiento de los sistemas operativos, diferentes tecnologías - pasados, actuales y emergentes - los tipos de información que se pueden encontrar y las técnicas que permiten que los datos se extrajeron sin manipular o contaminar de ninguna manera.


Artículos relacionados