METODOLOGÍA DE EXAMEN
Y ANÁLISIS DE DATOS
Para realizar un análisis de datos forenses es necesario seguir una serie de pasos para la obtención de la evidencia. En el caso de la metodología propuesta es necesario definir un conjunto de elementos requeridos que constituyen la información inicial.
Los elementos son:
- Imágenes binarias de los dispositivos de almacenamiento digital comprometidos en el caso con sus respectivos compendios criptográficos.
- Descripción del caso ilustrado el marco circunstancial.
- El objetivo de esta guía metodológica es obtener de hallazgos que describan la evidencia hallada y la formo como se obtuvo.
DESCRIPCIÓN DE LOS DATOS
1.- Creación del archivo de hallazgos:
Creación de aseguramiento de un documento ya sea físico o electrónico. Que permita llevar un historial de todas las actividades que se llevan a cabo durante el proceso.
2.- Imagen de datos:
Consiste en la recepción de las imagines de datos que conciernen al caso en investigación.
3.- Verificación de la integridad de la imagen:
Cada imagen suministrada se debe calcular su compendio criptográfico (md5)
4.- Creación de una copia de la imagen suministrada:
Es un análisis de datos nunca se debe trabajar sobre la imagen original suministrada, si no sobre una copia.
5.-Aseguramiento de la imagen suministrada:
Que no sufra ningún tipo de alteración, con el fin de la conservación de la cadena de custodia y del manteniendo de la validez judicial de la evidencia.
6.- Revisión antivirus y verificación de la integridad de la copia de la imagen:
Una vez obtenido la copia de la imagen es necesario asegurar que no tenga ningún tipo de virus conocido.
7.- Identificación de las peticiones actuales y anteriores:
La identificación de las particiones del dispositivo es de importancia ya que reconocerías implica la identificación de su sistema de archivos.
8.- Detección de información en los espacios entre las aplicaciones:
Cuando se detecta datos en las zonas de la imagen se debe proceder a hacer un análisis para determinar si representa algún tipo de información.
9.- Detección de un hpa:
Se debe realizar solo si en los metadatos se indica la existencia del hpa ya que de otro modo es imposible de identificar.
10.- Identificación del sistema de archivo:
Identificar los sistemas de archivos, con el fin de realizar las actividades del análisis de datos.
11.- Recuperación de los archivos borrados:
Durante esta actividad se debe de tratar de recuperar los archivos borrados del sistema de archivos, lo que es conveniente, dado el frecuente el borrado de archivos para destruir evidencia.
12.- Recuperación de información escondida:
En esta etapa se debe examinar exhaustivamente el sclak space, los campos reservados en el sistema de archivos y lo espacios etiquetados como dañados por el sistema de archivos.
13.- Identificación de archivos existentes:
Seguidamente, se los archivos restantes entre protegidos y no protegidos, donde estos últimos harán parte de los archivos potencialmente analizable, mientras los primeros harán parte la fase de análisis de archivos protegidos.
14.- Identificación de archivos protegidos:
Esta la fase de consolidación de archivos protegidos identificados en las fases anteriores. Durante estas fases se pretende descifrar romper tal protección en estos archivos, con el fin de adicionarlas al conjunto de archivos potencialmente analizables.
15.- Consolidación de archivos potencialmente analizables:
Durante esta fase se reúnen todos los archivos encontrados durante las fases: recuperación de archivos borrados, recuperación de archivos borrados, recuperación de información escondida, identificación de archivos no borrados e identificación de archivos protegidos.
16.- Determinación del sistema operativo y las aplicaciones instaladas:
Al determinar el sistema operativo y las aplicaciones instaladas, se está en la capacidad de obtener la lista de compendios, criptográficos de los archivos típicos del sistema operativos y de las aplicaciones.
17.- Filtrado basado en archivos buenos conocidos:
Con la lista de compendios criptográficos obtenida con el paso anterior, se procede verificar la integridad de los archivos en la imagen que aparecen en la lista. Si dicha comprobación es ¨buena¨ y por lo tanto es descartado del proceso del análisis.
18.- Consolidación de archivos sospechosos:
Como resultado del infiltrado de ¨bueno¨ conocidos, se obtiene un conjunto de archivos susceptibles a análisis.
19.- Primera clasificación:
Divide los archivos sospechosos en:
- Archivos “buenos” modificados: son identificados en la fase filtrado como archivos buenos cuya versión original.
- Archivos “malos”: se obtienen a partir de la comparación de los archivos sospechosos contra los compendios criptográficos de archivos malos relacionados con el sistema operativo particular.
- Archivo con extensión modificada: aquellos cuya extensión no es consistente con su contenido.
20.- Segunda clasificación:
Toma los archivos que no han sido considerado máxima prioridad, los examina y los evalúa respecto a dos criterios: relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso.
21.- Analizar archivos:
Este proceso se basa en la discriminación de los archivos prioritarios con respecto a su relevancia del caso y el criterio del investigador. Este proceso cesa cuando el investigador, a partir de si criterio y experiencia considera suficiente evidencia recolectada para resolver el caso.
22.- Archivos comprometidos con el caso:
Es el conjunto de archivos que forman parte de la evidencia del caso.
23.- Obtención de la línea de tiempo obtenida:
Se procede a realizar la reconstrucción de los hechos a partir de los atributos de tiempos de los archivos, que permite correlacionarlos enriqueciendo la evidencia.
24.- Generación del informe;
Se elabora el informe del hallazgo que contiene una descripción detallada de los hallazgos relevantes del caso y la forma como fueron encontrados, apoyándose en la documentación continua de la aplicación metodológica.
Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.
Autor: Jeimy J. Cano M.
Paginas:179-185
No hay comentarios:
Publicar un comentario