miércoles, 3 de agosto de 2016

Caso prueba desarrollado con Sleuth Kit y Autopsy.


DESARROLLO CON SLEUTH KIT 

Y AUTOPSY
1.- Imagen de datos. 
Suministrada junto al marco circunstancial del caso. 

2.-Verificación d la integridad de la imagen. 
Se realizo la verificación de la integridad del archivo comprimido que tenia l imagen original; sin embargo, dado que el compendio criptográfico de la fuente original no fue suministrado, no fue posible validar la integridad de la imagen con respecto a su fuente 

3.-Creación de una copia de la imagen suministrada. 
Se hizo una copia (imagen-copy) de la imagen original (image). 

4.-Aseguramiento de la imagen suministrada. 
El archivo original de imagen (el archivo comprimido) fue almacenado en un sitio seguro. 

5.-Revisión de antivirus y verificación de la integridad de la copia de la imagen. 
Como no se contaba con ningún programa de antivirus para Linux, fue necesario realizar este proceso en un sistema operativo Windows, usando una proyección de image-copy sobre un disco flexible de 3 ½ haciendo uso del comando: 
*dd if/home/diego/FORENSICS/caso-paper/image of=/devf1oppy 
Luego de comprobar la ausencia de virus se realizo la verificación del compendio criptográfico de los dos archivos 

6.-Identificación de las participaciones actuales y anteriores (las que sea posible recuperar) 
Se utilizo el comando mmls para descubrir las participaciones en la imagen, pero el resultado indico que solamente avía una sola participación 

7.-Detección de información entre los espacios entre los participantes 
Debido a los resultados del paso anterior, eta actividad fue omitida. 

8.-Detección de HPA 
Dado que se trata de la imagen de un floppy, este paso no aplica 

9.-Identificación del sistema de archivos. 
Se procede a revisas el sistema de archivos de la imagen lo anterior se logra desde la pantalla central del host, por medio del botón details-filesystem, que despliega la misma información que el comando fsstat.






10.-Recuperación de archivos borrados 
En autopsy, en la pantalla del host se selecciona analyse-file analysis, para visualizar todos los archivos contenidos en la imagen incluyendo los que han sido borrados y que fue capas de recuperar. 

11-Recuperación de información escondida. 
A través del uso de autopsy (data unit-allocationlist) se buscaron los sectores asignados sin metadatos (sectores perdidos) con base en la revisión del primer sector perdido se determino que en el probablemente comenzaban los datos de una imagen 
Con esta información se procedió extraer los datos de la imagen que se adicionaron al grupo de archivos potencialmente analizables. 

12.-Identificación de archivos existentes. 
La pestaña file analysis de la interfaz de autopsy lista los archivos contenidos en la imagen.
13.-Identificación de archivos protegidos. 
Uno de los archivos identificado en el paso anterior estaba comprimido. Se procedió a tratar de accederlo pero aparentaba estar corrupto. A continuación se noto, por medio de la lista de sectores asignados, que el tamaño notificado por la metadata del archivo (file analysis-metadata) no coincidía con el número de sectores continuos asignados. Por lo anterior hubo que extraerlo en su totalidad por medio de dcat, logrando recuperarlo mas no accederlo ya que este estaba protegido con contraseña, por esta razón fue incluido en los archivos sospechosos 

14.-Consolidación de archivos potencialmente analizables. 
Tomando como base los archivos encontrados durante las fases anteriores se procede a realizar una agrupación de los archivos que se analizaran durante el proceso. 

15.-Determinación del sistema operativo y las aplicaciones instaladas. 
Debido a que se está trabajando sobre la imagen del disquete, no e requiere hacer este paso 

16.-Filtrado basado en archivos bueno conocidos. 
Debido al reducido número de archivos comprometidos en la investigación los dos últimos pasos obviados en el proceso. 

17.-Consolidación de archivos sospechosos 
Para este caso, este conjunto equivale al de los archivos potencialmente analizables 

18.-Primera clasificación 
Se encontró una inconsciencia entre el contenido de un archivo y su extensión, el cual tendrá una máxima prioridad al momento de realiza el análisis 

19.-Segunda clasificación. 
No fue posible determinar una relación entre los archivos y el usuario, debido al que sistema de archivos particular no mantiene este tipo de información. A su vez se determino que todos los archivos encontrados tienen alta prioridad 

20.-Analizar los archivos. 
A la hora de de analizar los archivos, se encontró un documento que proveía información sobre el proveedor del inculpado. Además referencia a la existencia de un archivo que contenía la contraseña del archivo protegido 
Se tomo la imagen y se procedió a buscaren en la firma de los archivos de terminación JPEG la cual se hallo por medio de la aplicación grep sobre el volcado hexadecimal de dichos archivos. 

21.-Archivos comprometidos con el caso. 
Este grupo de archivos es igual al de los archivos sospechosos, mas el archivo de Excel que logro ser accedido dentro del archivo comprimido. 

22.-Obtención de la línea de tiempo definitiva 

Dado que la información de tiempo de los archivos no estaba disponible, no fue posible desarrollar este pasó de la metodología.





Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:205-211.
Publicado por en No hay comentarios:
Etiquetas: , , , ,
Ubicación: México

Caso prueba desarrollado con Encase.


DESARROLLO CON ENCASE


1.- Imagen de datos 
Fue provista junto a su marco circunstancial (The Honeynet project) .

2.- Verificación de integridad de imagen 
Se realizo de integridad del archivo proveído con el caso tomando en cuenta que se hace frente a otra imagen no frente a la fuente original .

3.- Creación de una imagen suministrada 
En el momento que se recibe una imagen encase se genera el archivo de trabajo por lo tanto no se genera una copia d seguridad.





4.- Aseguramiento de la imagen suministrada 
Debido a que se trabaja en una copia de segura de solo lectura se puede asegurar la imagen original ubicándolas en un lugar seguro del disco del investigador o copiándola en algún dispositivo de almacenamiento en una carpeta asignada al caso.

5.- Revisión antivirus y verificación de la integridad de la copia de la imagen 
El primer paso es crear una copia de dicha imagen la cual se analiza con el antivirus por alguna infección que traiga para este caso se realiza en un disquete, usando dd en Linux para después hacer la revisión antivirus sobre Windows, usando norton antivirus (Symantec.(s.f.)). 
Posterior se realiza el cálculo del compendio criptográfico del archivo de trabajo para compararlo con el compendio inicial de la imagen obtenida con el caso. 




6.- Identificación de las particiones actuales y anteriores (las que sea posible recuperar) 
Según Guídense software (julio de 2004) Encase identifica las particiones del disco por medio de la búsqueda del carácter 0x55AA y las enumera como partes no usadas del disco 






7.- Detección de información en los espacios entre las particiones 
Al no haber particiones no existe espacio en las particiones que pueda ser analizado.

8.- Detección de HPA 
Este caso no aplica por que se está trabajando sobre la imagen de un disquete.

9.- Identificación del sistema de archivo 
Aunque Encase identifica automáticamente el sistema de archivos de la imagen, y por esta razón puede mostrar de manera ordenada sus archivos; se debe realizar una búsqueda en el sector de boot en la imagen para identificar el tipo de sistema de archivos y que Encase no muestra este dato. 

10.- Recuperación de archivos borrados 
En la recuperación inicial de la imagen Encase reconoce algunos clústers no asignados y archivos eliminados mostrándolos en el árbol de archivos, también para tener la certeza de que no había más archivos escondidos se realiza una recuperación de carpetas que no arrojo ningún resultado indicios que hace concluir que solo fue un archivo borrado. 




11.- Recuperación de información escondida. 
Esta fase se concentra en los clusters de la imagen con el fin de tratar de recuperar la información que contiene .en la imagen se pueden encontrar clusters perdidos o dañados que pueden dar información relevante para el caso con solo una palabra puede ser evidencia para el caso en cuestión. 

12.- Identificación de archivos existentes. 
Con base en el análisis de clusters y en la recuperación de archivos proveído por Encase se pueden identificar dos archivos; Schedule visits.exe y coveredpage.jpgc. 








13.- Identificación de archivos protegidos. 
Durante esta fase, en particular, no se identifica ningún archivo protegido con contraseña. 

14.- Consolidación de archivos potencialmente analizables. 
En este punto del análisis se reúnen los archivos dispuestos a ser analizados. 

15.- Determinación del sistema operativo y las aplicaciones instaladas. 
En este caso no aplica, debido a que se está trabajando sobre la imagen de un disquete. 

16.- filtrado basado en archivos buenos conocidos. 
En este caso tampoco plica, debido a que se está trabajando sobre la imagen de un disquete. 

17.- Consolidación de archivos sospechosos. 
Al encontrarse pocos archivos en la imagen, no es necesario realizar un filtro. Esto indica que todos los archivos son sospechosos 

18.- Primera clasificación. 
Durante este paso se debe hacer una ponderación de los archivos, teniendo en cuenta diferentes criterios. En este caso uno de los archivos con mas prioridad es el archivo de Word que se encuentra eliminado aunque también se debe realizar el análisis de los otros archivos existentes 
Encase no arrojo ninguna inconsistencia entre los archivos y su extensión; sin embargo, sse identifico manualmente que el contenido de dos de los archivos no correspondían a su extensión: coverpage.jpgc y Schedule visits.exe. 

19.- Segunda clasificación 
Durante esta fase, se analiza el archivo de Word identificando el paso de recuperación de archivos borrados, lo que revela datos concretos relevantes a la investigación. 

20.- Analizar los archivos. 
Al correlacionar el archivo encontrado en el paso 18 y la información obtenida en el paso anterior se pudo determinar que el contenido de este archivo está protegido posiblemente con una contraseña que resulto ser la palabra sospechosa identificada en el paso 11 
Es imposible notar que el proceso de recuperación del archivo Zip se hizo mediante el mismo procedimiento de exportación de contenido por clusters empleando el paso 11 

21.- Archivos comprometidos con el caso. 
A partir del análisis se identificaron tres archivos comprometidos 
*coverpage.jfif. 
*Schedule visits.xls 
*Jimmy jungle.doc 

22.-Obtención de la línea de tiempo definitiva. 
En este caso no es necesario hacer una línea de tiempo, ya que el caso se resolvió completamente mediante los archivos encontrados y sus relaciones.





Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:198-205.
Publicado por en No hay comentarios:
Etiquetas: , , ,
Ubicación: México

Introducción a Autopsy


AUTOPSY


Tiene la noción de investigador, a quien relaciona cada uno o más casos, permitiendo tomar notas y generar más resultados y reportes con base a su investigación en el caso. 

Permite navegar por los archivos que se encuentran en cada una de las imágenes incluso de aquellos borrados que logran ser recuperados. 






Indexación y Búsqueda de Palabras Clave 

Autopsy utiliza el poderoso motor de indexación Apache SOLR para dar poder a la velocidad y robustez a las características de búsquedas de palabras claves. Las listas predefinidas de palabras claves y expresiones regulares pueden ser configuradas para ejecutarse mientras la imagen está siendo asimilada. Por defecto, Autopsy incluye expresiones regulares de búsqueda para: 
  • Direcciones de correo electrónicos 
  • Número de teléfono 
  • Direcciones IP 
  • URL






Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:196-197
Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Introducción a Sleuth Kit


THE SLEUTH  KIT (TSK)




  • Está compuesto por 21 herramientas de acceso a la información no volátil. 
  • Su primer desarrollo, llamado TASK fue mantenido por @stak, de aquí su nombre THE STAKE SLEUHT KIT. Hoy en día conocido como (STK) 
  • Actualmente su desarrollo independiente y abierto. 

Existen cuatro herramientas que comienza con la letra D: 

  1. Dcat: muestra los contenidos de una o más unidades de datos consecutivas. 
  2. Dls: permite extraer una imagen de los datos contenidos en el espacio no asignado por el sistema de archivo. 
  3. Dstat: despliega los datos relacionados con una unidad de datos en particular su estado de asignación. 
  4. Dcalc: crea una biyección entre las unidades de datos no asignados en la imagen original y de las imágenes de datos generadas con dls.





Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 

Autor: Jeimy J. Cano M. 
Paginas:191-195
Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Introducción a Encase.


ENCASE


Surgió en 1998 como una herramienta de apoyo integral al ejercicio forense rompiendo el esquema de trabajos de los investigadores ya que operaban sobre Windows, en una época que no se usaba este sistema operativo para las investigaciones forenses. 

Sus funciones de Encase son: generación de imágenes binarias, disco duro y disco flexibles. 


DESCRIPCIÓN DEL FUNCIONAMIENTO 


1.- RECUPERACIÓN DE ARCHIVOS BORRADOS EN ENCASE: 
Muestra y reconstruye los archivos borrados, mostrándolos comparte del árbol de archivos en la carpeta recovered files. 

2.- VERIFICACIÓN DE FIRMAS TIPO DE ARCHIVO: 
Encase emplea una base de datos que contiene patrones características tipo archivos de firmas. 
3.- PONDERACIÓN DE ARCHIVOS: 
Encase le provee al examinador forense la capacidad buscar, filtrar y organizar archivos según diferentes criterios lo que les permite alcanzar una visión más clara del caso. 

4.- RECONSTRUCCIÓN TEMPORAL: 
Encase regenera líneas de tiempo que reconstruye temporalmente los hechos ocurridos sobre los datos contenidos en el archivos.






Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:185-191
Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Análisis de datos.




METODOLOGÍA DE EXAMEN

Y ANÁLISIS DE DATOS



Para realizar un análisis de datos forenses es necesario seguir una serie de pasos para la obtención de la evidencia. En el caso de la metodología propuesta es necesario definir un conjunto de elementos requeridos que constituyen la información inicial. 

Los elementos son: 
  • Imágenes binarias de los dispositivos de almacenamiento digital comprometidos en el caso con sus respectivos compendios criptográficos. 
  • Descripción del caso ilustrado el marco circunstancial. 
  • El objetivo de esta guía metodológica es obtener de hallazgos que describan la evidencia hallada y la formo como se obtuvo. 





DESCRIPCIÓN DE LOS DATOS

1.- Creación del archivo de hallazgos: 
Creación de aseguramiento de un documento ya sea físico o electrónico. Que permita llevar un historial de todas las actividades que se llevan a cabo durante el proceso. 

2.- Imagen de datos: 
Consiste en la recepción de las imagines de datos que conciernen al caso en investigación. 

3.- Verificación de la integridad de la imagen: 
Cada imagen suministrada se debe calcular su compendio criptográfico (md5) 

4.- Creación de una copia de la imagen suministrada: 
Es un análisis de datos nunca se debe trabajar sobre la imagen original suministrada, si no sobre una copia. 

5.-Aseguramiento de la imagen suministrada: 
Que no sufra ningún tipo de alteración, con el fin de la conservación de la cadena de custodia y del manteniendo de la validez judicial de la evidencia. 

6.- Revisión antivirus y verificación de la integridad de la copia de la imagen: 
Una vez obtenido la copia de la imagen es necesario asegurar que no tenga ningún tipo de virus conocido. 

7.- Identificación de las peticiones actuales y anteriores: 
La identificación de las particiones del dispositivo es de importancia ya que reconocerías implica la identificación de su sistema de archivos. 

8.- Detección de información en los espacios entre las aplicaciones: 
Cuando se detecta datos en las zonas de la imagen se debe proceder a hacer un análisis para determinar si representa algún tipo de información. 

9.- Detección de un hpa: 
Se debe realizar solo si en los metadatos se indica la existencia del hpa ya que de otro modo es imposible de identificar. 




10.- Identificación del sistema de archivo: 
Identificar los sistemas de archivos, con el fin de realizar las actividades del análisis de datos. 

11.- Recuperación de los archivos borrados: 
Durante esta actividad se debe de tratar de recuperar los archivos borrados del sistema de archivos, lo que es conveniente, dado el frecuente el borrado de archivos para destruir evidencia. 

12.- Recuperación de información escondida: 
En esta etapa se debe examinar exhaustivamente el sclak space, los campos reservados en el sistema de archivos y lo espacios etiquetados como dañados por el sistema de archivos. 

13.- Identificación de archivos existentes: 
Seguidamente, se los archivos restantes entre protegidos y no protegidos, donde estos últimos harán parte de los archivos potencialmente analizable, mientras los primeros harán parte la fase de análisis de archivos protegidos. 

14.- Identificación de archivos protegidos: 
Esta la fase de consolidación de archivos protegidos identificados en las fases anteriores. Durante estas fases se pretende descifrar romper tal protección en estos archivos, con el fin de adicionarlas al conjunto de archivos potencialmente analizables. 

15.- Consolidación de archivos potencialmente analizables: 
Durante esta fase se reúnen todos los archivos encontrados durante las fases: recuperación de archivos borrados, recuperación de archivos borrados, recuperación de información escondida, identificación de archivos no borrados e identificación de archivos protegidos. 

16.- Determinación del sistema operativo y las aplicaciones instaladas: 
Al determinar el sistema operativo y las aplicaciones instaladas, se está en la capacidad de obtener la lista de compendios, criptográficos de los archivos típicos del sistema operativos y de las aplicaciones. 

17.- Filtrado basado en archivos buenos conocidos: 
Con la lista de compendios criptográficos obtenida con el paso anterior, se procede verificar la integridad de los archivos en la imagen que aparecen en la lista. Si dicha comprobación es ¨buena¨ y por lo tanto es descartado del proceso del análisis. 

18.- Consolidación de archivos sospechosos: 
Como resultado del infiltrado de ¨bueno¨ conocidos, se obtiene un conjunto de archivos susceptibles a análisis. 

19.- Primera clasificación: 
Divide los archivos sospechosos en: 
  • Archivos “buenos” modificados: son identificados en la fase filtrado como archivos buenos cuya versión original. 
  • Archivos “malos”: se obtienen a partir de la comparación de los archivos sospechosos contra los compendios criptográficos de archivos malos relacionados con el sistema operativo particular. 
  • Archivo con extensión modificada: aquellos cuya extensión no es consistente con su contenido. 

20.- Segunda clasificación: 
Toma los archivos que no han sido considerado máxima prioridad, los examina y los evalúa respecto a dos criterios: relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. 

21.- Analizar archivos: 
Este proceso se basa en la discriminación de los archivos prioritarios con respecto a su relevancia del caso y el criterio del investigador. Este proceso cesa cuando el investigador, a partir de si criterio y experiencia considera suficiente evidencia recolectada para resolver el caso. 

22.- Archivos comprometidos con el caso: 
Es el conjunto de archivos que forman parte de la evidencia del caso. 

23.- Obtención de la línea de tiempo obtenida: 
Se procede a realizar la reconstrucción de los hechos a partir de los atributos de tiempos de los archivos, que permite correlacionarlos enriqueciendo la evidencia. 

24.- Generación del informe; 
Se elabora el informe del hallazgo que contiene una descripción detallada de los hallazgos relevantes del caso y la forma como fueron encontrados, apoyándose en la documentación continua de la aplicación metodológica.





Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:179-185
Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

martes, 2 de agosto de 2016

Manejo de la información jurídica.

MANEJO DE LA 

INFORMACIÓN JURÍDICA



Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Implicaciones del derecho a la información

IMPLICACIONES DEL 

DERECHO A LA INFORMACIÓN



Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Plazos y costos para tener acceso a la información pública.


PLAZOS Y COSTOS 



Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Estructura de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.


ESTRUCTURA DE LA LEY FEDERAL



Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

La autonomía del derecho a la información

LA AUTONOMÍA 

DEL DERECHO 

A LA INFORMACIÓN




Publicado por en No hay comentarios:
Etiquetas: ,
Ubicación: México

lunes, 1 de agosto de 2016















Publicado por en No hay comentarios:

INFORMÁTICA.











CRIMINALÍSTICA.














Publicado por en No hay comentarios:

viernes, 29 de julio de 2016

La información desde el punto de vista jurídico.

LA INFORMACIÓN 

DESDE EL PUNTO DE VISTA

JURÍDICO



E
Publicado por en No hay comentarios:
Etiquetas: ,
Ubicación: México

La sociedad, la información y la tecnología.

LA SOCIEDAD,

LA INFORMACIÓN 

Y LA TECNOLOGÍA.



Publicado por en No hay comentarios:
Etiquetas: ,
Ubicación: México

La comunicación, base de la sociedad , y contenido de la información.

LA COMUNICACIÓN,

BASE DE LA SOCIEDAD

Y CONTENIDO DE LA INFORMACIÓN



Publicado por en No hay comentarios:
Etiquetas: ,
Ubicación: México

Análisis de sistemas en vivo.


¿SE PUEDE ANALIZAR LOS 

SISTEMAS EN VIVO?




Así es, cuando el investigador forense se enfrenta al análisis de un sistema en vivo es decir analizar al momento de encontrar la computadora y analizarla como tal sabe que la modificación de variables o de archivos o de sistema siempre será el riesgo de que se altere la información encontrada en este sentido los investigadores deben tener un correcto procedimiento al realizar el análisis para que no se altere o borre la manipulación involuntaria de la escena del crimen. 

Las herramientas que se utilizan actualmente tratan siempre de evitar cualquier modificación,alteración o contacto con los elementos que se encuentren en el sistema analizado en vivo pero la probabilidad de que se altere información que se encuentra en la memoria de la computadora es muy alta lo que le exige al investigador conocer a detalle lo que puede llegar a pasar mientras se hace el análisis en vivo y más ben saber los cambios que pueda tener la computadora al momento del estudio para poder mantener la evidencia intacta y su validez sea certera ente un juicio. 

Para esto es necesario que los proveedores como la experiencia de los investigadores informáticos se unan para conocer a detalle las herramientas que se tienen y los avances tecnológicos que van a incluir dichas herramientas, así como también que los proveedores conozcan las experiencias de los investigadores para que los proveedores tengan una idea de los riesgos y fallas que tienen las herramientas al ahora de hacer el análisis. 

El análisis de sistemas en vivo es un reto muy exigente para los investigadores informáticos forenses actuales pues si un delincuente esta tan capacitado y actualizado como el investigador es ahí donde se pone a prueba todos los conocimientos y podrá saber qué cambios necesita una herramienta para la seguridad de la información y mejor aún para que se logre controlar esta área que esta tan descuidada por los investigadores y no se le da mucha importancia en el ámbito tecnológico. 





Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:240-241.
Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México

Información almacenada electrónicamente en memoria volátil.


¿DE QUÉ SE TRATA EL ALMACENAMIENTO 

EN MEMORIA VOLÁTIL?



Esto se trata de que la información que halle en la memoria es un insumo fundamental para cualquier información, esto es de suma importancia porque a los investigadores se les hace la recomendación de que si encuentran en la escena una computadora encendida esta no se apague porque la información volátil disponible esta residente en la memoria y si se apaga se perderá lo que puede ser pieza clave de lo que pudiera haber ocurrido o hecho el usuario. 

Los estudios más recientes comprueban que es posible capturar lo que hay en una memoria de una computadora encendida pero la problemática que existe en esto es que las herramientas que se utilizan para esto naturalmente pertenecen a los mismos sistemas operativos que es el que sabe cómo se comporta el mismo sistema operativo con el hardware es por ello que es necesario planear con los proveedores de tecnologías de información sobre una manera forense válida para una correcta captura de información de tal manera que pueda ser revisada y estudiada y así mismo poder fortalecer la validez de la prueba que se presentara. 

Por otro lado se han hecho adelantos del hardware para contar con una tarjeta de recolección de información volátil en memoria de una maquina durante un incidente esta se inserta en una de las ranuras de la computadora y así este de momento inhabilitada y consiste en que cuando se abra la maquina se active la memoria y logre capturar la mayor información así se de interés lo almacene y lo resguarde en la tarjeta y luego retirar la memoria para poder analizar la información en el laboratorio, esta técnica ya se encuentra en los mercados virtuales pero su costo aun no alcanza un precio totalmente accesible para que su difusión sea masiva, se espera que en un futuro se llegue a un precio un poco accesible para que cada computadora venga con esta herramienta de seguridad de información. 





Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos. 
Autor: Jeimy J. Cano M. 
Paginas:239-240 
Publicado por en No hay comentarios:
Etiquetas: , ,
Ubicación: México
Suscribirse a: Entradas (Atom)