Ccfiw computer forensic investigations windows

CCFIW Computer Forensic

Investigations Windows

Presentación:

En esta certificación se pretende dar a conocer de forma introductoria y

práctica a la Informática Forense, demostrando que no es una técnica más

que pertenece al área de Seguridad Informática, que en la actualidad ya es

parte fundamental para la Investigación y resolución en delitos Informáticos

como lo pueden ser; Robo de información, espionaje industrial, Ataques

informáticos, detección y prevención de actos en contra de la seguridad e

integridad infantil, siendo este ultimo en la actualidad uno de lo sistemas

más delicados y que por desgracia han incrementado los índices de

afectados, y aquí es donde entra la aplicación de esta ciencia, para

prevenir y contrarrestar estos tipo de incidentes.

Objetivo general:

Aprenderás a conocer tu computadora y te darás cuenta que la

información dentro de ella que Tú crees "oculta", no lo es tanto, ya que

con un análisis profundo puedes identificar el perfil psicológico y conocer

los secretos más "recónditos" de cualquier usuario. Pero lo más

importante tendrás una visualización del impacto de saber administrar,

organizar y proteger los movimientos e información que manejes en tu

computadora personal, de la empresa, de familiares, etc.

Es súper importante prevenir riesgos como; Fuga de información: Es

importante saber quiénes son los que utilizan tu computadora ó

computadora de la empresa, para así tener un registro por si se diera el

caso de que hayan extraído información confidencial, y saber quiénes

pudiesen ser los responsables. Protección de familiares: Informarte que

están haciendo tus hijos en el PC, no con el afán de “espiarlos” más

bien como prevención, ya que el internet en la actualidad ya es un arma

de doble filo.

Objetivo general:

Perdida de información: En caso que eliminaras algún archivo

(os), ya sea por error, por causa de un virus, o un daño técnico

del PC, es importante saber y tener la habilidad de rescatar ese

archivo de gran importancia para ti, ya sea un documento de

office, foto, etc.

Serás capas de proveer solución a incidentes mediante

metodologías y herramientas forenses para dicho propósito, ya

que el entrenamiento mediante este taller será 100% practico ya

que se trabajara en un entorno virtualizado simulando una

situación real.

Dirigido a:

Ingenieros en sistemas.

Técnicos en sistemas.

Estudiantes de informática, Ing. en sistemas

computacionales, similares.

Docentes de Informática.

Especialistas en Seguridad informática.

Personas que quieran conocer y aprender más

sobre esta profesión y que no necesariamente sean

expertos en informática.

Modulo 1. Introducción a la Informática Forense

Objetivo:

Se obtendrán los conocimientos básicos que conlleva el proceso de la

Investigación e informática forense. Ya que ante un incidente, pudiendo ser

un ataque a redes informáticas, robo de información, espionaje industrial o

aun más grave como el ataque infantil (ciber grooming, CiberBullying,

acoso infantil, entre otros), saber responder ante tales situaciones,

implementando metodologías, que nos provean esa capacidad para

obtener respuestas ante la incógnita que guarda la evidencia, en la cual se

involucra al personal afectado, personal sospechoso, medios digitales y

electrónicos

1.1 Introducción

1.2 Definiciones.

1.3 Fases de la Informática forense.

1.4 Áreas de aplicación de la Informática forense.

Otros conceptos fundamentales que se deben tener conocimientos.

CCFIW-01

Modulo 2. Preparando nuestro laboratorio Forense.

Objetivo:

Implementaremos nuestro laboratorio Forense para examinar y analizar la

evidencia (as) obtenidas en la escena de crimen. Estudiaremos las

características con las que debe contar nuestro espacio y laboratorio

forense, con respecto a medios y herramientas de hardware y herramientas

de software forenses, lo cual dependerá del incidente a investigar.

2 Datos importantes a tomar en cuenta antes de montar nuestro laboratorio

forense.

2.1 Uso de máquinas virtuales.

2.2 Elección de herramientas de software forense.

2.3 Introducción a CAIN.

2.4 Introducción a DEF.

2.5 Implementando Tu laboratorio forense digital.

CCFIW-01

Modulo 3. Obtención de la evidencia Digital.

Objetivo:

Se darán a conocer, las técnicas y herramientas apropiadas para la

obtención/recolección de la evidencia digital, contenida en un medio de

almacenamiento (disco duro, celular, iphone, etc.), para posteriormente ser

analizados.

3.1Recolección de información volátil (memoria RAM).

3.2 Autentificación de la preservación de la evidencia mediante Hash MD5,

SHA1.

3.3 Recolección de Información no volátil (Disco duro).

3.4 Autentificación de la preservación de la evidencia mediante Hash MD5,

SHA1.

3.5 Cadena de custodia.

CCFIW-01

Modulo 4. Análisis forense a Sistemas Windows (Windows

Forensics).

Objetivo:

Se escudriñara a fondo cada una de las partes que conforman al sistema

operativo Windows, con la misión de extraer evidencia volátil y no volátil,

que servirán como pruebas para la resolución de la investigación.

4.1 Análisis del sistema en vivo.

4.2 Extrayendo evidencia volátil.

4.3Extrayendo la evidencia No volátil.

4.4 Windows ArtifactAnalysis

4.5 Analizando el registro de Windows (RegistryForensics)

Usuarios, sistema, hardware, dispositivos USB conectados al sistema, etc.

4.6 Analizando directorios de sistema.

CCFIW-02

Modulo 4.Análisisforense a Sistemas Windows (Windows

Forensics).

4.7 Browser Forensics Análisis forense de exploradores de internet (chrome,

firefox, internet Explorer)

4.8 E-mail Forensics (Host, Server, Web)

4.9 Análisis de metadatos (Meta Información).

Microsoft Office Document Analysis.

File and Picture Metadata Tracking and Examination

4.10 Análisis forense de imágenes.

4.11 Cracking & recovery passwords de archivos y usuarios del sistema.

4.12 MFT Forensics.

CCFIW-02

Módulo 5. Recuperación de archivos.

Objetivo:

En un delito informático los sospechosos pretenden eliminar todo tipo de

evidencia del equipo computacional, electrónico o tecnológico incautado

para así no ser inculpado, pero la ciencia forense nos provee herramientas

de software y técnicas forenses para recuperar información que haya sido

eliminada y así poder encontrar evidencia potencial, que pueda ser

determinante en un proceso legal.

5.1 Recuperación de archivos.

5.2 Encase.

5.3 Ftk Imager.

5.4 Disk Digger.

5.5 OSForensics

CCFIW-02

Modulo 6. Esteganografía

Esteganografía.- Consiste en la ocultación de información (Archivo) dentro

de otro archivo.

Los atacantes utilizan técnicas para ocultar sus actos ilícitos, con el

propósito de que no se percate de sus movimientos realizados y su

presencia en los sistemas atacados involucrados, los cuales son incautados

para la investigación. Se conocerán distintas técnicas utilizadas de

ocultación de información en la actualidad.

6.1Técnica EOF.

6.2 Alternate Data Streams (ADS).

6.3 Técnica LSB.

6.3 Esteganografia en imágenes.

6.4 Esteganografia en archivos de audio mp3.

7.5 Esteganografia en archivos de video.

CCFIW-03

Modulo 7. Virtualización de Imágenes Forense y

Analizando la evidencia post–mortem.

.Objetivo:

Se analizaran a fondo las evidencias obtenidas en los módulos

anteriores, en búsqueda de información extra, para complementar y

obtener más evidencias para la investigación.

7.1 Análisis Forense de la imagen del disco duro.

7.2 Mail Forensics.

-Análisis de Cuentas de correo electrónico.

-Recuperación de conversaciones del MSN.

7.3 Análisis forense de Facebook (Facebook Forensics)

-Recuperación de conversaciones del facebook.

-Contactos de facebook

-Análisis de otros artefactos de facebook.

CCFIW-03

Modulo 7. Virtualización de Imágenes Forense y

Analizando la evidencia post–mortem.

.Objetivo:

Se realizara un análisis forense a la memoria RAM para obtener

información que se mantiene de manera momentánea, y obtener evidencia

potencial que nos permitirá dar resolución a la investigación.

7.4 Análisis de la memoria RAM.

-Mail Forenses.

-Análisis Cuentas de correo electrónico

-Recuperación de conversaciones del MSN,

-Obtención de contraseñas de cuentas de correo.

-Pagefile.sys

-Swapfile.sys

-Hiberfil.sys

CCFIW-03

Modulo 8. Documentación y presentación dela evidencia.

Objetivos:

Nos posicionamos en la última fase de la informática forense, en la cual

realizaremos la documentación pertinente, donde plasmaremos todo el

proceso realizado desde antes, durante y al finalizar la investigación. Esto

con el fin de que los resultados de la investigación forense digital de la

evidencia analizada sea valida dentro de un proceso legal.

7.1 Informe ejecutivo.

7.2 Informe Técnico

CCFIW-03