-
Técnicas de Informática Forense
-
forense es una ciencia que se ocupa de la recolección y análisis de evidencia digital. Esta evidencia puede tomar muchas formas y su análisis tiene muchos usos. evidencia digital se encuentra dentro de la computadora en sí misma, dentro de la red y dentro de varios tipos de dispositivos de almacenamiento (por ejemplo, unidades USB, unidades dlash, CD-ROMs, DVDs). El análisis de estos tipos de evidencia digital se utiliza en casos judiciales - tanto criminal y doméstica - y dentro de las empresas para controlar el uso de los recursos. A pesar de las variadas aplicaciones de la informática forense, las técnicas actuales empleadas son casi idénticos.
técnicas
Informática forense, como cualquier ciencia, sigue un patrón de análisis. Los datos se recopilan de manera objetiva, se analizan los datos (pero conserva) y un informe de los resultados que se prepara documentos para recabar la información, la forma en que se analizó y detalles todos los hallazgos. La principal tendencia consistente en ese tipo de recolección de datos y el análisis es que los datos se conserva. Dicho de vista científico, los resultados pueden ser duplicadas.
Con el fin de asegurar que los datos conserva su integridad, es importante que se reunió de manera nonobtrusive. Existen diferentes programas que existen para esto, pero muchos sistemas permitirán otro ordenador para conectarse a la misma y los archivos copiados. Esta voluntad no obstante, los archivos borrados, siempre copia los archivos de registro o archivos de la historia, todos los cuales son cruciales para la informática forense. Sin embargo, puede ser que no se requiere un análisis completo de salida y una sencilla conexión y copiar podría ser suficiente.
Al realizar la informática forense, o contratar a alguien para el caso, es importante tener claros los objetivos. Tal vez es cierto serie de mensajes de correo electrónico o un archivo que se ha descargado; sea lo que sea, simplemente puede no requiere las horas de la investigación realizada típicamente en informática forense. De hecho, el mayor tiempo obstáculo para un analista de informática forense no es los datos; la mayoría de la gente nunca cifrar sus ordenadores. El obstáculo más grande es el tamaño de los discos duros de los ordenadores actuales y el tiempo empleado en el análisis de esta cantidad de memoria. Además, la mayoría de los datos utilizados en los juicios no es el tipo que es obvio, simplemente imprimiendo una lista de archivos en un disco duro; con mucha más frecuencia, la información se oculta o se oculta de alguna manera.
Ejemplos de técnicas forenses informáticos incluyen:
¿Qué usuarios se ha identificado.
w> /data/w.txt
Procesos corriendo.
ps -auwx> /data/ps.txtPuertos abiertos y los procesos de escucha.
netstat -anp> /data/netstat.txtLa información sobre todas las interfaces (promisc?).
ifconfig -a> /data/network.txtListado de todos los archivos con el tiempo de acceso, tiempo de cambio de i-nodo y hora de modificación.
ls -alRu /> /data/files-atime.txt
ls -alRc /> /data/files-ctime.txt
ls -alR /> /data/files-mtime.txtla historia del golpe de la raíz (y otros usuarios).
gato /root/.bash_history> /data/roothistory.txtLos últimos datos de acceso al sistema.
última> /data/last.txtcomprobación básica de los registros de acceso que buscan acceso a directorios tmp.
cat / / access_log | grep "20% / tmp"> gato /data/access.txt / / access_log | grep "20% / var / tmp"> /data/access.txtListado de archivos abiertos por procesos.
lsof -i> /data/lsof.txtEjecutar "rasusers" para obtener todos los usuarios conectados a través de RAS.
Ejecute "net start" para obtener una lista de todos los servicios que se ejecutan.
Recuperar archivos borrados: Un archivo no se elimina realmente; simplemente se cambió el nombre y se almacena en otro lugar. Por ejemplo, en Windows, el primer carácter del nombre de archivo se cambia a 0xE5 hexagonal. Con el fin de restaurar el archivo, sino que simplemente tiene que ser cambiado de nombre.
El analista informática forense hace un llamamiento a su conocimiento de los sistemas operativos, diferentes tecnologías - pasados, actuales y emergentes - los tipos de información que se pueden encontrar y las técnicas que permiten que los datos se extrajeron sin manipular o contaminar de ninguna manera.
