Análisis de Encase Forensics (III de IV): Aplicación

jueves, 30 de septiembre de 2010 by Pablo

******************************************************
Análisis de Encase Forensics (I de IV): Introducción
Análisis de Encase Forensics (II de IV): Descripción
Análisis de Encase Forensics (III de IV): Aplicación
Análisis de Encase Forenscis (IV de IV): Presentación
******************************************************

Cómo funciona

EnCase tiene la capacidad para recoger datos forenses en una amplia gama de plataformas de sistemas operativos. Con frecuencia, en los casos de ordenadores, los delincuentes pueden tratar de borrar la información pertinente. EnCase es capaz de encontrar esta información, a pesar de los esfuerzos realizados para ocultar, encubrir o borrar.

A continuación, la imagen muestra lo simple que es. Teniendo un dispositivo sospechoso, ya sea un disco duro instalado, o una unidad externa, los archivos se copian de estos dispositivos y se almacenan como imágenes.



    1. Crear una imagen del dispositivo sospechoso
    2. Comprobar identidad criptográfica de la imagen (MD5)
    3. Analizar datos del dispositivo sospechoso
    4. Buscar evidencias y generar documentos

Estas copias de imágenes se verifican vía MD5. El algoritmo MD5 (Message Digest 5) se usa para comprobar la integridad de los archivos en los datos de análisis forense. Una vez que el contenido de el dispositivo es analizado, la información detallada es presentada y documentada.

La información detallada puede ser cualquier cosa, desde cuándo un archivo se oculta o se elimina, hasta la información del correo electrónico (remitente, receptor, mensaje, etc) o la referente a los archivos temporales de Internet y las cookies.

La información encontrada puede ser generada también dentro de un sencillo documento de informe. Los informes pueden ser generados automáticamente. Estos informes automáticos muestran una gran cantidad de información dependiendo del tipo que se generan. Ciertos ítems que se incluyen en el informe pueden ser resaltados. Estos son componentes individuales que la información del disco contiene en el informe de EnCase. Existen diferentes tipos de bookmarks para resaltar datos, notas, archivos importantes, etc. Estos informes podrán ser utilizados directamente para presentarlos en una vista judicial.

Utilización

La informática forense implica la conservación, identificación, extracción, documentación e interpretación de datos informáticos. Los ordenadores desempeñan el papel de foco del delito, pudiendo ser la víctima del crimen y/o el almacén de la misma. Las investigaciones basadas en el análisis forense informático incluyen el análisis del correo electrónico, registro de archivos, navegación web y actividad en Internet, investigación en caliente y respuesta a incidentes, análisis estáticos y dinámicos de los ejecutables desconocidos.

La mayoría de los usos de EnCase se basan en la realización periódica de imágenes de archivos de ordenadores y los medios de almacenamiento. A pesar de este hecho, las fases más críticas de la investigación suelen incluir el análisis de objetos relacionados con Internet y el correo electrónico.

Aunque EnCase Enterprise Edition se basa en la misma tecnología que la edición independiente forense, se ha modificado para funcionar en un entorno empresarial en vivo e incluye usos forenses distintos. Proporciona un nuevo centro de atención de respuestas a incidentes cuando las cosas entran en juego. Un investigador puede conectarse a las máquinas sospechosas y analizar las unidades locales para buscar y analizar archivos nuevos, verificar los nuevos procesos e identificar todos los puertos en escucha.

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
 

Copyright © 2011 Mixx Blogger Template - Blogger Templates by BloggerReflex

Sponsored by: Trucks | SUV | Cheap Concert Tickets