Manual de informática forense. Luis Enrique Arellano González
de hardware de uso específico:
Laboratorios que trabajan para la Justicia y recuperan datos:
Equipo para la autenticación y duplicación de evidencia del disco rígido:
Herramientas de software para Informática Forense
Conjunto de herramientas integradas en un solo paquete de software de arranque en modo “en vivo” (live) disponibles para CD, DVD, Pendrive – Programas de Software Libre
Conjunto de herramientas integradas en un solo paquete de software - Productos Comerciales:
Herramientas individuales e integradas en paquetes de función específica
Herramientas de funciones específicas
Borrado seguro, limpieza y desinfección
Recuperación de archivos eliminados
Recuperación de archivos con claves
Recuperación de archivos de la papelera de reciclaje:
Telefonía, Celulares, PDA, GPS
Herramientas para la elaboración del informe pericial
Clasificación e identificación de las pericias informático forenses
Etapas del Marco Tecnológico Pericial
Tarea a realizar en el Laboratorio
I – Etapa: Acceso a los recursos dubitados
II – Etapa: Identificación y registro
III – Etapa: Autenticación, duplicación y resguardo de la prueba
Duplicación y autenticación de la prueba
Procedimiento para el resguardo de la prueba y preparación para su traslado
IV – Etapa: Detección, recolección y registro de indicios probatorios
Alternativa I, para el acceso con el equipo encendido
En sistemas operativos Microsoft Windows
Certificación matemática de los archivos
Envío de la evidencia a través de una conexión remota
Ejecución de un intérprete de comandos legítimo
Verificación de los usuarios conectados al sistema y de los usuarios con acceso remoto
Verificación de las fechas y hora de acceso, creación o modificación de todos los archivos
Verificación de los puertos abiertos
Verificación de las aplicaciones asociadas con los puertos abiertos
Verificación de los procesos activos
Verificación de las conexiones actuales y recientes
Revisión de los registros de eventos o sucesos del sistema operativo
Verificación de la base de datos del Registro del sistema operativo
Examinar los archivos de configuración del sistema operativo
Verificación y obtención de las claves de los usuarios del sistema
Verificación de archivos relevantes
Descarga de los archivos temporales