Propuesta

Pontificia Universidad Javeriana
Propuesta para Trabajo de Grado Proyecto de Investigacin
PROPUESTA PARA TRABAJO DE GRADO

TTULO Gua metodologa para identificar y validar la aplicacin de tcnicas antiforenses en equipos con sistema operativo Windows XP Service Pack 3. MODALIDAD Proyecto de investigacin formativa OBJETIVO GENERAL Desarrollar una gua metodologa para identificar y evidenciar la aplicacin de tcnicas anti-forenses en el anlisis de informacin en un computador con sistema de archivos NTFS bajo el sistema operativo Windows XP SP3. ESTUDIANTE(S)
Armando Botero Vila

Documento cc. 1020722018 Celular 314-4912902 Telfono fijo 7598492 Correo Javeriano armando.botero@javeriana.edu .co
Ivn Felipe Camero Padilla

Documento cc. 1019002938 Celular 316-8315396 Telfono fijo 6138749 Correo Javeriano icamero@javeriana.edu.co
DIRECTOR
Ing. Jeimy Cano Martinez

Documen to cc. 79557736 Celular Telfono fijo 3208320 ext 5338 Correo Javeriano; Correo 2 jjcano@yahoo.com j.cano@javeriana.edu.c o Empresa donde trabaja y cargo Coordinador de Seguridad de la Informacin ECOPETROL S.A
ASESORES Ing.
Documen to cc. 1234678 Celular 322-xxxxxx Telfono fijo 3208320 ext 5338 Correo Javeriano; Correo2 gchavarr@javeriana.ed u.co; gchavarr@alternativo.c om Empresa donde trabaja y cargo Pontificia Universidad Javeriana; Profesor de Tiempo Completo Departamento de Sistemas
PropuestaPgina 1
VoBo. Coordinador de Trabajos de Grado: ________________________ Cdigo: TG-20071-xxx
Contenido
OPORTUNIDAD O PROBLEMTICA .......................................................................................3 DESCRIPCIN DEL PROYECTO.............................................................................................8 MARCO TERICO / ESTADO DEL ARTE...............................................................................9 4PROCESO......................................................................................................................23 5REFERENCIAS Y BIBLIOGRAFA.......................................................................................31 [1] ACKOFF R., ADDISON H. (2007) MANAGEMENT F-LAW. HOW ORGANIZATIONS REALLY WORK. TRIARCHY PRESS..................................................................................................33 6ANEXOS .......................................................................................................................36
PropuestaPgina 2
Oportunidad o Problemtica 1.1 Descripcin del contexto

En la actualidad, se cuenta con una tecnologa de la informacin avanzada y con un nivel de maduracin cada vez mayor, introducida a fondo en la vida de las organizaciones y personas, lo que ha generado que la informacin se haya convertido en un bien de vital importancia, el cual debe ser protegido de amenazas que pueden daar, robar, modificar, y aprovecharse de este para mltiples acciones mal intencionadas o ilcitas. La constante evolucin de los sistemas computacionales ha trado consigo un incremento en las vulnerabilidades, las cuales son aprovechadas al mximo por los atacantes o intrusos. Una muestra de las distintas formas de explotar estas vulnerabilidades se puede encontrar en la siguiente figura, que evidencia cmo los atacantes desarrollan y refinan cada vez ms sus tcnicas, para sacar provecho de los problemas inherentes de las nuevas tecnologas [1].
PropuestaPgina 3
Figura 1 Clasificacin ataques [1] Cmo muestra la figura, a medida que los conocimientos de los atacantes aumentan, se extiende proporcionalmente el nivel de sofisticacin de los ataques. Esto revela que las organizaciones y los directores de los departamentos de seguridad, hoy en da no se estn enfrentado a personas inexpertas e ingenuas que solo quieren jugar; se estn enfrentando a mentes inquietas que siempre van ms all de lo que cualquier manual de computacin les pueda aportar , de igual forma, estas personas tienen algo que la industria de seguridad informtica no tiene: suficiente tiempo y esfuerzo para encontrar alternativas creativas para vulnerar los sistemas [2]. De acuerdo al escenario anterior, donde las mentes inquietas poseen distintas motivaciones y teniendo en cuenta que la informacin es un bien sumamente importante en las organizaciones, cualquier ataque a este podra ser considerado un delito ante las autoridades. As que para poder judicializar y presentar los distintos casos a las autoridades judiciales, surge de la criminalstica una nueva disciplina que utiliza un conjunto de herramientas, estrategias y acciones para descubrir en medios informticos, la evidencia digital que respalde y compruebe cualquier acusacin frente a la investigacin de un delito informtico [2]. Esta disciplina se conoce como Informtica Forense, la cual segn el FBI se define como la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional [3]. Donde los principales objetivos de esta son [4]: 1. La compensacin de los daos causados por los criminales o intrusos. 2. La persecucin y procesamiento judicial de los criminales.
PropuestaPgina 4
3. La creacin y aplicacin de medidas para prevenir casos similares. Detallando el segundo objetivo de la informtica forense, La persecucin y procesamiento judicial de los criminales, est tiene cmo eje central la evidencia digital, para la investigacin y una eventual judicializacin de los implicados en el caso de estudio. En este sentido la evidencia digital se define como cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como elemento material probatorio en un proceso legal [2]. De esta manera, la evidencia digital puede ser dividida en tres categoras las cuales son [5]: a) Registros almacenados en el equipo de tecnologa informtica; por ejemplo correo electrnicos, archivos de aplicaciones de ofimtica, imgenes, etc. b) Registros generados por los equipos de tecnologa informtica; por ejemplo registros de auditora, registros de transacciones, registros de eventos, etc. c) Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica; por ejemplo hojas de clculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc. Adems de la anterior clasificacin, la evidencia digital posee unas caractersticas especiales que adicionalmente de diferenciarla de la evidencia fsica, la convierten en un constante reto para los investigadores de informtica forense. Estas caractersticas son las siguientes [2]: Es voltil Es annima
PropuestaPgina 5
Es duplicable Es alterable y modificable Es eliminable
Si partimos del hecho que los intrusos basan sus ataques en conocimientos avanzados en informtica forense, en las propiedades de la evidencia digital y apoyndose de la frase planteada por Simple Nomad 2006 Si controlamos los bits y bytes, y adems conocemos como funcionan las herramientas Forenses, podemos controlar la direccin de la investigacin forense, podramos decir que la unin de estas tres ltimas premisas, definen a grandes rasgos las tcnicas anti-forenses.
1.2 Formulacin
Actualmente, la informtica forense cuenta con protocolos que formalmente describen cmo se debe llevar a cabo una investigacin, con el nico fin de entregar resultados concretos que muestren el quin, cmo, dnde, cundo, para qu, con qu y por qu de un hecho. Estos protocolos son definidos por las unidades especializadas en delitos informticos de cada pas, basndose en modelos y buenas prcticas, entre otras las que el IOCE propone [6] o las que el departamento de justicia de los Estados Unidos plantea en su Guide for First Responders [7]. Sin embargo, en estos protocolos, no se contempla la aplicacin de alguna tcnica antiforense que se definen como cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificacin, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense [2], en la ejecucin del ataque.
La mayora de los ataques estudiados por la informtica forense se observan a nivel de empresas, en donde en gran parte de ellas se utiliza el sistema operativo Windows XP que hoy por hoy es la
PropuestaPgina 6
versin ms estable y segura de Windows. Aunque por otro lado, el auge de Windows XP trajo consigo un amplio estudio de la plataforma; estudio que concluy en aspectos positivos para Microsoft y negativos para sus usuarios. Los negativos, al permitirle a atacantes evaluar cuales son sus vulnerabilidades y atacarlo por ah, y las positivas al permitirle a Microsoft realizar procesos de reingeniera a su sistema operativo al analizar las deficiencias encontradas por los atacantes, esto llev al lanzamiento de diferentes service packs en los cuales se iba mejorando la estabilidad y seguridad del sistema operativo, de esta manera se lleg hasta la tercera versin de estos, siendo sta la ms refinada de todas. Durante ste proceso se encontraron varias falencias en la seguridad de Windows XP que terminaron por convertirse en oportunidades de ataques para los criminales digitales. Al adquirir conocimientos sobre las vulnerabilidades de Windows, un criminal puede aplicar diferentes mtodos y tcnicas para mimetizar, manipular, deshabilitar o destruir [9] evidencia digital con el objetivo de agravar o desviar una investigacin. Es por esto que existe la necesidad de incorporar a los manuales que guan las investigaciones de informtica forense, un protocolo que identifique la aplicacin de tcnicas anti-forenses en un crimen digital. Es por lo anterior esta investigacin busca dar una respuesta al siguiente interrogante: Cmo identificar y validar la presencia de una tcnica anti-forense en el anlisis de informacin en un computador que contenga un sistema de archivos NTFS bajo el sistema operativo Windows XP SP3 encontrado en una escena del crimen?
PropuestaPgina 7
Descripcin del Proyecto 1.3 Objetivo general

Desarrollar una gua metodologa para identificar y evidenciar la aplicacin de tcnicas anti-forenses en el anlisis de informacin en un computador que contenga un sistema de archivos NTFS bajo el sistema operativo Windows XP SP3 encontrado en una escena del crimen.
1.4 Objetivos especficos

1. Estudiar y analizar el estado del arte de la criminalstica, la criminalstica en medios informticos y las tcnicas anti-forenses existentes, enfocando estas ltimas al sistema operativo Windows XP SP3 y en el funcionamiento del sistema de archivos NTFS. 2. Realizar el diseo de la gua metodolgica enfocada a la identificacin y validacin del uso de tcnicas anti-forenses en el anlisis de la informacin en computadores con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encontrado en una escena de crimen. 3. Probar y ajustar el diseo de la gua metodolgica basndose en los niveles del Modelo conceptual de Deteccin y Rastreo de Tcnicas Anti-forenses (MoDeRaTA) en un sistema de archivos NFTS en un sistema operativo Windows XP SP3.
PropuestaPgina 8
Marco Terico / Estado del Arte
1.5 Fundamentos
1.5.1 Criminalstica
La criminalstica se puede definir como una ciencia que estudia los indicios dejados en el lugar del delito, con el propsito de descubrir la identidad del criminal y las circunstancias que ocurrieron en el hecho [10]. Esta se compone de diferentes disciplinas cientficas que juntas cumplen el nico propsito de hacer la transicin entre una posible prueba o autor criminal, a una evidencia concreta o un sospechoso. De este modo, la criminalstica se vale de procedimientos y protocolos para realizar las distintas investigaciones, los cuales en trminos generales se dividen en dos partes: Primero, se recolecta la evidencia digital donde se realiza el aseguramiento de la escena del crimen, para estudiar cuales son los elementos que pueden llegar a convertirse en pruebas o indicios de un hecho. Segundo, se hace el debido anlisis de las evidencias recolectadas y se presentan las pruebas y conclusiones de la investigacin a los encargados de dar las sentencias sobre el caso de estudio. El lugar de los hechos es considerado dentro de la criminalstica como la principal fuente generadora de evidencias. Por esta razn es importante el cuidado y el profesionalismo que debe tener un perito investigador con la escena del crimen y aun ms, con el seguimiento de los protocolos establecidos por la ley para el aseguramiento de dicha escena. Existen 5 caractersticas generales que deben ser tenidas en cuenta por los peritos investigadores en una escena del crimen, que son las siguientes [10]:
1) El hecho es considerado no reciente y, por lo tanto, es necesario
llegar lo ms pronto posible a el lugar donde acontecieron los hechos para evitar prdidas o alteraciones de la evidencia fsica. 2) Elaborar los croquis y tomar fotografas de la escena del crimen para garantizar el mantenimiento de cmo se encontraba la escena cuando ocurrieron los hechos a lo largo de toda la investigacin.
PropuestaPgina 9
3) Evitar posibles contaminaciones y prdidas, despus de una
rigurosa inspeccin judicial. 4) Tener cuidado con la fragilidad de la evidencias fsicas encontradas en la escena del crimen para no perderlas o alterarlas por mal manejo de los investigadores. 5) El valor de la prueba indiciaria es relativo cuando hay un manejo inadecuado de los elementos encontrados en el lugar de los hechos. Los lugares de los hechos se pueden clasificar segn el ambiente en que se encuentran ubicados, por esta razn se generan distintos tipos de escenas del crimen, que son las siguientes: [10] Abiertos: Los cuales se caracterizan por no tener lmites precisos y, por lo general, pueden consistir en un parque, la va pblica, un potrero, la playa, el campo, etc.
Cerrados: Se diferencian de los abiertos porque estn circunscritos por lmites precisos como el interior de una oficina, edificio, un hotel, un supermercado, etc.
Semi-abiertos o mixtos: Como su nombre lo indica, son aquellos lugares que tienes caractersticas propias de los lugares abiertos y a la vez cerrados, como un parque de diversiones, una residencia, un club, etc. En Colombia existe un procedimiento y un protocolo que se debe seguir para asegurar una escena del crimen, esta se describe en el Manual de procedimientos del sistema de cadena de custodia proporcionado por la fiscala general de nacin, donde en primera instancia define el aseguramiento de la escena como : Actividad que se adelanta para garantizar el aseguramiento o proteccin del lugar de los hechos con ocasin de una posible conducta punible, a fin de evitar la prdida o alteracin de los elementos materia de prueba o evidencia fsica.[11]; lo cual se consigue con la aplicacin del siguiente procedimiento: [11] Realizar una observacin preliminar del lugar de los hechos y los EMP (Elementos Materiales Probatorios) o la Evidencia Fsica, especialmente aquellos que se encuentran a mayor distancia del cuerpo de occiso cuando se trate de inspeccin a cadver. El responsable de estos es Polica de Vigilancia y/o Polica Judicial. 2. Determina el rea a ser aislada y acordona utilizando doble barrera fsica (cuerdas, cintas, barricadas, policas adicionales, vehculos,
1.
PropuestaPgina 10
voluntarios, entre otros) la cual permite a los funcionarios adelantar la diligencia ubicndose dentro del permetro del primer y segundo acordonamiento, dejando el primer acordonamiento para aislar el lugar de los hechos. El responsable de estos es Polica de Vigilancia y/o Polica Judicial. 3. Realiza el acordonamiento teniendo en cuenta las caractersticas del lugar de los hechos. Si el lugar es abierto se toma como referencia el cuerpo de la victima si se trata de una inspeccin a cadver y acordona hasta el EMP o EF ms alejado de ste. De igual manera procede en otro tipo de conducta, tenindose en cuenta el rea focal ms afectada. Si el lugar es cerrado, se realiza el acordonamiento desde el punto de acceso al inmueble o inmuebles involucrados en el hecho (puede llegar hasta varias cuadras alrededor del mismo). Es indispensable tener en cuenta las puertas, ventanas y vas probables de escape. El responsable de estos es Polica de Vigilancia y/o Polica Judicial. 4. Reporta a la central de comunicaciones las actividades realizadas. El responsable de estos es Polica de Vigilancia y/o Polica Judicial.
5.
Cuando se encuentren personas lesionadas en el lugar de los hechos establece comunicacin con ellas a fin de identificarlas y obtener informacin acerca de lo ocurrido y que sea de inters para la investigacin. Previo al desplazamiento o movimiento de los lesionados, se procede a marcar la ubicacin y posicin original de la persona. Si se trata de una persona fallecida, se evita su manipulacin, la de sus documentos y pertenencias; si en el lugar se encuentran testigos o familiares, se individualizan a travs de la informacin que ellos aporten. El responsable de estos es Polica de Vigilancia y/o Polica Judicial.
6.
Si se encuentran testigos, sospechosos o familiares del occiso o del hecho, se evita que estos se retiren, se procede a separarlos y a aislarlos, impidiendo la comunicacin entre ellos. Adicionalmente, se toman los datos generales de identificacin (nombre, cdula de ciudadana, parentesco con la vctima, lugar de residencia, entre otros datos). Esta informacin se consigna en el formato de actuacin del primer respondiente. El responsable de estos es Polica de Vigilancia y/o Polica Judicial.
7.
Si en el lugar de los hechos se encuentra el presunto agresor y es ubicado, se efecta la requisa de acuerdo al procedimiento establecido para esta actividad y se separa de los posibles cmplices.
PropuestaPgina 11
En caso de que el agresor porte un arma, se incauta teniendo en cuenta lo siguiente: Realizar solo la manipulacin estrictamente necesaria, utilizando guantes desechables de ltex. Si el arma tiene residuos de fluidos biolgicos se coloca preferiblemente en bolsa de papel que no est pre impreso. El arma embalada, rotulada y con registro de cadena de custodia, se coloca a disposicin de la autoridad judicial junto con la informacin obtenida. (si se trata de polica de vigilancia deja constancia en el formato de actuacin del primer respondiente). El responsable de estos es Polica de Vigilancia y/o Polica Judicial. 8. Registra la informacin obtenida en sus actividades durante la atencin al hecho en el formato de actuacin del primer respondiente. En caso de observarse que el cuerpo ha sido manipulado o movido del lugar, se deja constancia en el anterior formato. Entrega el lugar de los hechos a la autoridad competente o al servidor encargado de la diligencia, aportando el formato de actuacin del primer respondiente. El responsable de estos es Polica de Vigilancia y/o Polica Judicial.
En este mismo documento se definen un par de diagramas de flujo que describen de una manera ms fcil el aseguramiento de la escena del crimen. Dichos diagramas se describen en las siguientes figuras:
Figura 2 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11]
PropuestaPgina 12
Figura 3 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11] Es necesario tener, mantener y asegurar cuidadosamente la escena del crimen para evitar perder, omitir o modificar cualquier Elemento Material Probatorio (EMP), que en los momentos de un juicio son las llaves principales para el esclarecimiento de los hechos. Los EMP forman parte de la escena del crimen; estos son elementos u objetos (slidos, lquidos o gases) [10], y que segn la definicin del Manual de procedimientos del sistema de cadena de custodia se define como: Los elementos fsicos que se recaudan por un investigador como consecuencia de un acto delictivo, los cuales pueden servir en la etapa del juicio para demostrar que la teora del caso que se expone ante el juez es cierta y verificable. Asimismo, son elementos relacionados con una conducta punible que sirven para determinar la verdad en una actuacin penal. Estos elementos se pueden clasificar en: [10] -
Segn su naturaleza, pueden ser orgnicos e inorgnicos. Segn su tamao, pueden ser macroscpicos y microscpicos o elementos traza. Si han sido dejados en el lugar de los hechos primarios, pueden ser positivos o negativos.
PropuestaPgina 13
Si pueden ser transportados al laboratorio, pueden ser concretos y/o descriptivos. - Segn su capacidad individualizadora, pueden tener caractersticas individuales y de clases. Segn sus caractersticas especficas, pueden ser fijos y mviles.
1.5.2 Informtica Forense

La informtica forense es una disciplina que surge como rama de la criminalstica, con el fin de proporcionar una respuesta al constante surgimiento de vulnerabilidades en sistemas informticos, en el aprovechamiento de fallas bien sea humanas, procedimentales o tecnolgicas sobre infraestructuras de computacin, la cual proporciona un escenario ventajoso y productivo para la generacin de tendencias relacionadas acciones mal intencionadas o ilcitas [12]. Esta disciplina se basa fundamentalmente en los principios generales de cualquier investigacin forense en criminalstica, los cuales son [13]: Considerar el sistema completo. Registrar la informacin a pesar de las fallas o ataques que se generen. Considerar los efectos de los eventos, no slo las acciones que la causaron. Considerar el contexto, para asistir en la interpretacin y entendimiento de los eventos. Presentar los eventos de manera que pueden ser analizados y entendidos por un analista forense. Partiendo de dichos principios, la informtica forense establece un nuevo conjunto de herramientas, estrategias y acciones en medios informticos, logrando as recolectar la suficiente evidencia digital que sustente y verifique todas las afirmaciones realizadas sobre el caso bajo estudio [2]. El FBI proporciona una definicin ms detallada como se menciona en la seccin 1.1 de este documento. Viendo la informtica forense desde un punto de vista ms operativo y tcnico se puede definir como el uso de herramientas software y protocolos para buscar eficientemente los contenidos de almacenamientos magnticos y otros dispositivos e identificar evidencia relevante en archivos, fragmentos de stos o documentos borrados, que permitan elaborar hiptesis coherentes y validas relacionadas con el caso de estudio [13]. Partiendo de del segundo objetivo de la informtica forense, el cual es la persecucin y procesamiento judicial de los criminales, hace imperante
PropuestaPgina 14
que esta disciplina cuente con un riguroso protocolo de investigacin que sustente cualquier afirmacin relacionada con el caso de estudio, por lo cual se genera inicialmente los siguientes requerimientos para ejecutar una investigacin [13]: Se deben utilizar medios forenses estriles. Mantener la integridad del medio original. Cadena de custodia: Etiquetar, controlar y transmitir adecuadamente las copias de datos, impresiones y resultados de la investigacin. Presentacin y sustentacin de los resultados. Validacin y verificacin de los procedimientos aplicados. El tener una lista de requerimientos tan exigente y de alta prioridad, obliga que la informtica forense se valga de un procedimiento muy bien definido, donde indique que hacer, en qu momento y quines son sus responsables, para que as, se pueda llegar a conclusiones y aseveraciones lo suficientemente argumentativas y comprobables. Por esta razn surgen distintos protocolos y buenas prcticas para la realizacin de investigaciones forense entre otras, la el IOCE propone [6]
o las que el departamento de justicia de los Estados Unidos plantea en su Guide for First Responders [7].
Estas buenas prcticas y protocolos se basan fundamentalmente en la anatoma de una investigacin forense, la cual se observa en la figura 2, donde se describe el flujo y procedimientos generales que abarcan una investigacin.
PropuestaPgina 15
Figura 4 Anatoma de una Investigacin Forense (traduccin) [14] Como se puede observar la principal protagonista en el proceso de una investigacin forense es la evidencia digital, que conforma la ms importante entrada para el flujo de dicho proceso y la que asegura la sustentacin de afirmaciones y conclusiones al momento de presentar resultados a las entidades judiciales, encargadas de dar veredictos sobre los casos de estudio. Por esta razn se hace necesario que los investigadores de informtica forense conozcan a profundidad las caractersticas de la evidencia digital, as como cuales son las distintas formas de generacin de esta y los posibles lugares donde se puede encontrar.
PropuestaPgina 16
1.5.3 Definicin de Tcnicas Anti-forenses

Las herramientas o tcnicas antiforenses se definen segn (Harris, 2006) como cualquier intento de comprometer la disponibilidad de la evidencia para un proceso forense.[9] Del mismo modo si se profundiza un poco ms en ste concepto y se desarrolla en trminos ms tcnicos se genera la siguiente definicin: Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificacin, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense [1] Estas tcnicas proporcionan a los atacantes una ventaja inusual sobre los investigadores en cmputo forense, ya que al hacerse efectivas sobre la evidencia digital, pueden comprometer fcilmente la confianza y claridad de la misma en un proceso. As mismo, sugiere a los investigadores observar con un mayor detalle las evidencias digitales encontradas en una escena del crimen, lo que exige replantear los protocolos para investigaciones pasadas y futuras.
1.5.4 Clasificacin de Mtodos Anti-forenses

A medida que se explora y se investiga ms sobre las tcnicas antiforenses se han generado varias clasificaciones y del mismo modo se han definido varios mtodos. Para efectos de este trabajo se tomar la clasificacin planteada por (Harris 2006) a saber [9]: Destruccin de la evidencia. Ocultar la evidencia. Eliminacin de las fuentes de la evidencia. Falsificacin de la evidencia.
La sofisticacin y complejidad de cada uno de estos mtodos demuestra que los personajes interesados en su creacin y ejecucin -llamados normalmente intrusos- realizan muchas ms cosas y acciones que lo que indican los manuales de los proveedores de software o hardware. [2]
PropuestaPgina 17
A continuacin se establece una aproximacin a cada mtodo propuesto por Harris de las herramientas anti-forenses: Destruccin de la evidencia: El principal objetivo de esta tcnica es evitar que la evidencia sea encontrada por los investigadores y en caso de que estos la encuentren, disminuir sustancialmente el uso que se le puede dar a dicha evidencia en la investigacin formal. Este mtodo no busca que la evidencia sea inaccesible si no que sea irrecuperable. [15] Esto implica que se deben destruir, desmantelar o en su defecto modificar todas las pruebas tiles para una investigacin [9]. As como en la vida real cuando ocurre un crimen y el criminal quiere destruir todo rastro o evidencia se vale de una serie de herramientas que le facilitan este objetivo. Existen dos niveles de destruccin de la evidencia [15]: Nivel Fsico: A travs de campos magnticos. Nivel Lgico: Busca reinicializar el medio, cambiar la composicin de los datos, sobrescribir los datos o eliminar la referencia a los datos. Existe una variedad de herramientas para la destruccin de evidencia de las cuales se pueden valer los intrusos para realizar este mtodo anti-forense. Un ejemplo de herramientas son: Wipe, Shred, PGP secuere delete, Evidence Eliminator y Sswap. [15] Ocultar la Evidencia: Este mtodo tiene como principal objetivo hacer inaccesible la evidencia para el investigador. No busca manipular, destruir o modificar la evidencia sino hacerla lo menos visible para el investigador. [9] Esta tcnica puede llegar a ser muy eficiente de ser bien ejecutada pero conlleva muchos riesgos para el atacante o intruso, puesto que, al no modificar la evidencia de ser encontrada puede ser
PropuestaPgina 18
vlida en una investigacin formal y por lo tanto servir para la incriminacin e identificacin del autor de dicho ataque. Este mtodo puede valerse de las limitaciones del software forense y del investigador atacando sus puntos ciegos o no usuales de bsqueda de alguna anomala. [9] Una de las herramientas utilizadas por los atacantes es la esteganografa la cual versa sobre tcnicas que permiten la ocultacin de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. [16] En el mercado se pueden encontrar muchos instrumentos fciles de usar, de bajo costo que pueden ayudar a realizar esta tcnica antiforense, como por ejemplo SetegoArchive [17]. Eliminacin de la fuentes de la evidencia: Este mtodo tiene como principal objetivo neutralizar la fuente de la evidencia, por lo que no es necesario destruir las pruebas puesto que no han llegado a ser creadas. Por ejemplo, en el mundo real cuando un criminal utiliza guantes de goma para utilizar un arma lo que est haciendo es neutralizando y evitando dejar huellas dactilares en el arma. As mismo en el mundo digital esta neutralizacin de las fuentes de la evidencia aplica. [9] Una de las acciones que los atacantes pueden llevar a cabo para realizar este mtodo anti-forense es la desactivacin de los log de auditora del sistema que est atacando. Falsificacin de la evidencia: Esta mtodo busca engaar y crear falsas pruebas para los investigadores forenses logrando as cubrir a el verdadero autor, incriminando a terceros y por consiguiente desviar la investigacin con lo cual sera imposible resolverla de manera correcta. El ejercicio de este mtodo se vale en una edicin selectiva de las pruebas creando evidencias incorrectas y falsas que corrompen y daan la validez de dichas pruebas en una investigacin forense
PropuestaPgina 19
formal, por lo cual no podrn ser tomadas en cuenta como evidencias. [9]
1.5.5 Modelo Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses (MoDeRaTa)

Este modelo presenta una propuesta que busca la clasificacin e identificacin de las tcnicas anti-forenses en trminos de esfuerzo o sofisticacin requeridos por el atacante para ejecutar cualquier tcnica, en la determinacin de elementos susceptibles a estos ataques y en la identificacin de dichas tcnicas. [1] El modelo se describe en la figura 5 la cual contiene los niveles de deteccin y rastreo, niveles de anlisis y tcnicas utilizadas; donde cada categorizacin en los distintos niveles tiene las siguientes consideraciones: Niveles de anlisis: Definen los elementos susceptibles donde se pueden materializar las tcnicas anti-forenses tales como memoria, proceso, sistema de archivos, aplicacin y gestin de la (in)seguridad. [1] Nivel de deteccin y rastreo: Establece los rangos y grados en los cuales es posible detectar y rastrear la materializacin de tcnicas anti-forenses e incluye el nivel de esfuerzo (sofisticacin) requerido por el atacante para materializar la tcnica anti-forense. [1] Tcnicas anti-forenses: Indica las distintas tcnicas (destruir, mimetizar, manipular y deshabilitar la cuales fueron definidas al inicio del documento) que pueden materializarse en los distintos niveles de anlisis. [1]
Figura 5 MODERATA [1]
PropuestaPgina 20
1.5.6 Fundamentos del NTFS

Revisando la historia del sistema de archivos NTFS, encontramos que es un sistema de archivos diseado e implementado por Microsoft, el cual surge como una necesidad para solucionar las falencias de seguridad, desempeo y confiabilidad que el sistema de archivos FAT posea [18]. Dichos atributos se optimizan en NFTS al manejar la mayora de los datos como archivos, de esta manera se hace ms sencillo el control de la particin, ya que se tiene un bloque de informacin de control almacenado en archivos con metadata desde el momento en que la particin es creada, lo que le permite al sistema operativo identificar y localizar cualquier archivo de manera ms eficiente [19]. La estructura que maneja un volumen de este sistema de archivos se ilustra en la siguiente imagen.
Figura 6 Estructura del NTFS [20]

Cabe resaltar que no todos los datos son archivos dentro de la
particin. Por ejemplo, el Partition Boot Sector (PBS) no los maneja, ya que dicho fragmento en la estructura es el encargado de hacer las operaciones del sistema de archivos. Para realizar las operaciones del sistema, el PBS se divide en dos sectores; el BIOS Parameter Block (BPB) y el Volume Boot Code (VBC). El BPB es el encargado de describir el formato que tiene la particin y la estructura de datos de metadata y archivos que maneja la capa fsica del volumen. As mismo, posee el Boot Code, el cual se encarga de comunicarle al sistema operativo cuales son los recursos con los que la mquina cuenta [21]. Sabiendo las caractersticas fsicas del computador, el VBC carga el sistema operativo con el cdigo que es nico para cada uno.
La Master File Table (MFT) acta como una base de datos relacional
en la cual las filas son archivos de historiales y las columnas con archivos de atributos. Todos los archivos de una particin NTFS deben tener por lo menos una ocurrencia dentro de la MFT [21]. Los primeros diecisis registros de tabla son usados para describirse. A partir del diecisieteavo registro comienzan todos los registros de la
PropuestaPgina 21
particin. El tamao de los registros se asocia con el tamao del cluster del volumen, sin embargo, tienen un mnimo de 1024 bytes y un mximo de 4096 bytes, as, si un registro tiene 512 bytes, el tamao que se le asigna es de 1024 [21]. El ejemplo ms claro de este tipo de atributo es el nombre del archivo o su Time Stamp. La clasificacin de los registros se da por la informacin que tienen y los tamaos dados, en este contexto se hacen llamar atributos, que pueden ser residentes y no residentes. Anteriormente, se cito un ejemplo de lo que pasa cuando el tamao de un registro es menor que el mnimo establecido; ese tipo de registros y los que son menores o iguales al mximo establecido, se consideran residentes ya que se pueden almacenar en una sola tabla. Por otro lado, si un atributo llega a ser mayor de valor mximo estipulado, los clusters restantes se almacenar en una tabla adicional; este tipo se hace llamar atributos no residentes. Cada registro posee una lista de atributos que se caracteriza no slo como residentes o no, sino tambin por su tipo. Los tipos que concretamente ataen la investigacin del artculo son: Standard Information Attribute (SIA): contiene informacin sobre modo de acceso, timestamps (estampillas de tiempo) y cuenta de acoplamiento File Name (FN): posee informacin sobre nombre del archivo, un atributo repetible para los nombres corto y largo de un archivo.
Una lista detallada de todos los tipos se puede encontrar en [21].

Los System Files o archivos de sistema son los archivos formales en
los que se almacena informacin en forma de metadatos [22]. Se encuentran dentro de la MFT y guardan datos que la MFT no.
El File Area contiene una copia de la MFT para efectos de
recuperacin de los datos en caso de problemas con la copia original [21].
PropuestaPgina 22
4 Proceso 4.1 Metodologa
En esta seccin se mostrar cmo mediante una serie de fases de investigacin se cumplirn los objetivos especficos, junto con un grupo de actividades bsicas que se asocian a cada fase
Objetivo 1: Estudiar y analizar el estado del arte de la criminalstica, la criminalstica digital y las tcnicas anti-forenses existentes, enfocando estas ltimas al sistema operativo Windows XP SP3 y al funcionamiento de su sistema de archivos, NTFS. 1. Fase 1: Revisar la literatura del contexto: se busca identificar fuentes bibliogrficas que encierren en su totalidad la criminalstica, informtica forense, tcnicas anti-forenses y funcionamiento del NTFS. Fase 2: Anlisis de literatura y construccin de fichas bibliogrficas, segn el formato solicitado por el director.
2.
Objetivo 2: Realizar el diseo de la gua metodolgica enfocada a la identificacin y validacin del uso de tcnicas anti-forenses en el anlisis de informacin en computadores con sistema operativo con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encontrado en una escena de crimen. .
1. Fase 3: Estudiar y desglosar el Modelo Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses. 2. Fase 4: Disear y construir la gua metodolgica para identificar y validar la aplicacin de tcnicas anti-forenses en Windows XP SP3. Objetivo 3: Probar el diseo de la gua metodolgica basndose en los niveles del Modelo Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses (MoDeRaTA) en un sistema de archivos NTFS en un sistema operativo Windows XP SP3. 1. Fase 5: Determinar 3 tipos de tcnicas anti-forenses para realizar las pruebas. 2. Fase 6: Realizar las pruebas de concepto y atmicas. 3. Fase 7: Realizar el ajuste en la gua con las pruebas realizadas.
PropuestaPgina 23
4. Fase 8: Usando la gua metodolgica, analizar los ataques realizados. 5. Fase 9: Analizar los resultados obtenidos al usar la gua para determinar su utilidad.
4.2
Actividades
OBJETIVOS ESPECFICOS
ACTIVIDADES
FUENTES DE INFORMACIN
1. Estudiar y analizar el estado del arte de la criminalstic a, la criminalstic a digital y las tcnicas anti-forenses existentes, enfocando estas ltimas al sistema operativo Windows XP SP3 y al funcionamie nto de su sistema de archivos NTFS.
1. Realizar una investigacin sobre el contexto de la criminalstica, tcnicas de evasin, protocolos de aseguramiento de la escena del crimen y la valoracin de elementos materiales probatorios. 2. Analizar el Manual nico de Criminalstica proporcionado libremente por la Fiscala General de la Nacin, para determinar el funcionamiento de la investigacin criminalstica en Colombia. 3. Efectuar una exploracin sobre los modelos existentes de informtica forense y explicar su
1. IEEE (Instituto de Ingenieros Elctricos y Electrnicos).
2. NIST (Instituto Nacional de Estndares y Tecnologa). 2. Documento 3. Pginas web de de estado del criminalstica. arte de la criminalstica 4. Pginas web de en Colombia. informtica forense. 3. Descripcin 5. Manual nico detallada de de la los modelos Criminalstica. existentes para 6. Documentos y informtica artculos de la forense. base de datos de la Pontificia 4. Universidad Documento Javeriana del estado del arte de la 7. Artculos y informtica trabajos de grado anti-forense. de Criptored y IJDE (International 5. Cuadro de
RESULTADOS (ENTREGABLES) 1. Documento de estado del arte de la criminalstica e informtica forense.
PropuestaPgina 24
funcionamiento en Journal of Digital un cuadro Evidence). comparativo. 9. Documentos en 4. Encontrar vnculos donde se ilustran entre la informtica las diferentes forense y la anti- aplicaciones de la forense partiendo de informtica antila investigacin forense. realizada con el objetivo anterior. 10. Libros que muestran la 5. Realizar una evolucin de los investigacin ataques antiprofunda de las forenses y su tcnicas anti- relacin con la forenses. informtica forense, Advances 6. Efectuar una in Digital revisin sobre las Forensics II y herramientas que Forensics en actualmente se usan Windows Forensic para la aplicacin de Analysis. las tcnicas antiforenses. 11. Documentos sobre el 7. Analizar los funcionamiento de sectores en donde NTFS. las tcnicas antiforenses pueden ser 12. Pgina web aplicadas dentro de oficial de NTFS. un computador. 8. Realizar una investigacin bsica sobre las vulnerabilidades en seguridad de Windows XP SP3. 9. Efectuar una investigacin sobre el funcionamiento del sistema de archivos NTFS y encontrar falencias con las
herramientas anti-forenses con los sectores que ataca y su modo de funcionamien to. 6. Documento de anlisis del funcionamien to de NTFS en Windows XP.
PropuestaPgina 25
vulnerabilidades encontradas en enciso anterior. 2. Realizar el diseo de la gua metodolgic a enfocada a la identificaci n y validacin del uso de tcnicas anti-forenses en el anlisis de la informacin en computadore s con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encontrado en una escena de crimen. 3. Probar el diseo de la gua metodolgic a basndose en los niveles del Modelo conceptual de Deteccin y Rastreo de Tcnicas
el 1. Manual nico 1. de la Documento Criminalstica. de anlisis detallado de 2. Documentos MoDeRaTA, que ilustren el especificand funcionamiento y o los ataques los componentes a los de MoDeRaTA. sistemas de archivos. 3. Documentos entregados en el 2. Gua objetivo anterior. metodolgica para identificar y validar la aplicacin de tcnicas antiforenses en equipos con sistema operativo Windows XP Service Pack 3.
1. Investigar y desglosar el Modelo Conceptual de Deteccin y Rastreo de Tcnicas AntiForenses (MoDeRaTA), enfocndose en los ataques a sistemas de archivos. 2. Generar un procedimiento a seguir cuando se encuentra o sospecha que una tcnica anti-forense ha sido aplicada en una escena del crimen.
1. Determinar tres tipos de tcnicas anti-forenses para realizar las pruebas a la gua.
1. Manual nico 1. de la Documento Criminalstica. que detalle paso a paso 2. Gua como fue la metodolgica realizacin 2. Realizar los desarrollada en el de los ataques y aplicar la objetivo anterior. ataques gua sobre un realizados. computador con Windows XP SP3. 2. Computadore
PropuestaPgina 26
Antiforenses (MoDeRaTA) en un sistema de archivos NFTS en un sistema operativo Windows XP SP3.
3. Llevar a cabo una investigacin forense aplicando la gua metodolgica. 4. Generar un documento con el anlisis y conclusiones de los ataques realizados que ilustre la utilidad de la gua.
s de prueba con los ataques antiforenses realizados. 3. Documento de conclusiones de la utilidad de la gua y del proceso realizado.
4.3
Entregables o Resultados Esperados
SEMESTRE
OBJETIVO ESPECFICO Objetivo 1
PRODUCTOS ESPERADOS Propuesta del Trabajo de Grado. Artculo Tcnicas AntiForenses en Informtica: Ingeniera Reversa aplicada a TimeStomp para el CIBSI (Congreso Iberoamericano de Seguridad Informtica). Documento de estado del arte de de la criminalstica, la criminalista digital y las tcnicas anti-forenses existentes, enfocando estas ltimas al sistema operativo
PropuestaPgina 27
Windows XP SP3 y al funcionamiento del sistema de archivos NTFS. Objetivo 2 Gua metodolgica para identificar y validar la aplicacin de tcnicas anti-forenses en computadores con Windows XP SP3. Resultados y conclusiones de las pruebas de escritorio y atmicas. Conclusiones acerca de la utilidad de la gua tomando como base los resultados de las pruebas realizadas. Memoria
II
Objetivo 3
4.4
CONCEPTO DEL EGRESO
Presupuesto
FUENTE DE FINANCIACIN UNIDAD CANTIDAD 288* COSTO POR UNIDAD $65.000 TOTAL
HonorarPontificia ios Inge- Universidad niero de Javeriana Sistemas 1 Honorario Pontificia s Inge- Universidad niero de Javeriana Sistemas 2 Honorario Pontificia s director Universidad del
Horas
$18720.0 00
Horas
288*
$65.000
$18720.0 00
Horas
64**
$130.00 0
$8320.00 0
PropuestaPgina 28
proyecto de grado
Javeriana Horas Ilimitada $0 $0
Equipos Pontificia de Universidad laboratori Javeriana o y acceso a internet Papel Tinta Propia Propia
Resmas
$10.000 $50.000
$40.000 $250.000
Cartu5 chos HP deskjet 3820 (Negro) Unidad 4
Empastar Propia document o de trabajo de grado Computa- Propia dor personal Ingeniero 1 Computa- Propia dor personal Ingeniero 2 Microsoft Office Pontificia Universidad Javeriana
$10.000
$40.000
Unidad
$325,00 0
$325,000
Unidad
$250,00 0
$250,000
Unidad
$450.00 0
$450.000
Varios Propia (Transpor te, alimentac in, papelera, luz, agua, telfonos, celulares) Total $47515,000
$400.000
PropuestaPgina 29
* Teniendo en cuenta que en este proyecto se trabajar durante dos semestres por solicitud del director, en el primer semestre se elabora el trabajo de una materia de dos crditos (6 horas semanales tanto presenciales como no presenciales) y el segundo la carga de cuatro crditos de la materia de Trabajo de Grado (12 horas uniendo horas presenciales y horas de trabajo independiente). Por tanto, tenemos que al multiplicar las 6 horas semanales del primer semestre por las 16 semanas (96 horas), ms las 12 horas semanales del segundo semestre por 16 semanas (192 horas), para un total de 288 horas por los dos semestres. ** Con 2 horas semanales por reunin durante 2 semestres con 16 semanas cada uno, se tiene un total de 64 horas.
4.5
Cronograma
PropuestaPgina 30
5 Referencias y Bibliografa
Esta seccin presenta las referencias y bibliografa del trabajo de grado
5.1
Referencias
[1] Jeimy. J. Cano. (2007). Introduccin a las tcnicas anti forenses:
Conceptos e implicaciones para investigadores. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_Jornada Seguridad/VIIJNSI_JCano.pdf. [2] Jeimy. J. Cano. (2007). Introduccin a informtica forense. http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
[3] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000).
Recovering and Examining Computer Forensic Evidence. [online] Disponible en:http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm. Consultado (10/03/09) [4] Lpez, Oscar; Amaya, Haver; Len Ricardo; Acosta Beatriz. (2002). Informtica Forense: Generalidades, aspectos tcnicos y herramientas. [online] Disponible en: http://www.criptored.upm.es/guiateoria/gt_m180b.htm [5] Standards Australia International (2003) HB 171-2003 Guidelines for the management of IT Evidence. [6] IOCE. (2002). Guidelines For Best Practice In The Forensic Examination
Of Digital Technology.
[7] US Department Of Justice. (2001). Electronic Crime Scene Investigation: A Guide for First Responders. http://www.ncjrs.gov/pdffiles1/nij/219941.pdf [9] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. http:// dfrws.org/2006/proceedings/6-harris.pdf
[10] Vsquez G. Cesar A., Valero C. Horacio, Jimnez M. Francisco, Puentes R. Irma, Camacho B. Erika, CT Guzmn A. Juan. Tecnologa en criminalstica IV periodo. Bogot D.C. 2006. ISBN 958.33.8831.
PropuestaPgina 31
[11] Valencia G. Magnolia, Acosta W. Magda, Jaimes D. Gabriel, Reyes V. Ingrith, Valencia V. James, Jimnez L. Juan, Bermdez B. Juan, Daz P. Martin, Devia A. Fernando. Manual de Procedimientos del Sistema de Cadena de Custodia. Bogot D.C. 2004. Fiscala General de la Nacin. Disponible en http://www.usergioarboleda.edu.co/derecho_penal/2004MANUAL %20CADENA%20DE%20CUSTODIA.pdf [12] Kshetri, N. (2006) The simple economics of cybercrime. IEEE Security & Privacy. January/February. SUNDT, C. (2006) Information security and the law. Information Security Technical Report. Vol.2 No.9.
[13] Cano Jeimy J.; Computacin Forense: Conceptos Bsicos. [14] Gavin, M. referenciada en Cano Jeimy J.; Computacin Forense: Conceptos Bsicos. [15] Andres R. Almanza. (2007). Ciencias Anti-forenses Un nuevo reto para las organizaciones. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_Jornada Seguridad/VIIJNSI_AAlmanza.pdf [16] Info Seguridad: Esteganografia. [Online]. http://www.infoseguridad0.es/Estenografia.htm Disponible:
[17] Stegoarchive. [Online] Disponible: http://www.stegoarchive.com/

[18] PCGuide. Overview and History of http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm the NTFS. [Online] Disponible:
[19] Ariza. A., Ruiz. J., Anlisis de Metadatos en archivos Office y Adobe. [Online] Disponible: http://www.criptored.upm.es/guiateoria/gt_m142g1.htm [20] PCGuide. NTFS file Atrtibutes. http://www.pcguide.com/ref/hdd/file/ntfs/files_Attr.htm [Online] Disponible:
[21] PCGuide. NFTS System (Metadata) Files. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/arch_Files.htm [22] MicrosoftTech. us/library/cc781134.aspx [Online] Disponible: http://technet.microsoft.com/en-
PropuestaPgina 32
5.2 Bibliografa Propuesta para el desarrollo del Trabajo de Grado

[1] ACKOFF R., ADDISON H. (2007) MANAGEMENT F-LAW. HOW ORGANIZATIONS REALLY WORK. TRIARCHY PRESS. [2]Metasploit
Anti-Forensics
Project
[online]
disponible:
http://www.metasploit.com/research/projects/antiforensics/. [3] Jeimy. J. Cano. (2007). Inseguridad informtica y computacin anti-forense: Dos conceptos emergentes en seguridad de la informacin. [Online] Disponible: http://www.virusprot.com/Archivos/Antifore07.pdf
[4] Jeimy. J. Cano. (2007). Introduccin a las tcnicas anti forenses: Conceptos e implicaciones para investigadores. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_J Cano.pdf. [5] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. [Online] Disponible: http:// dfrws.org/2006/proceedings/6-harris.pdf [6] Jeimy. J. Cano. (2007). Introduccin a la Informtica Forsen: Una Disciplina tcnicolegal. [Online] Disponible: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf.
[7] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and Examining Computer Forensic Evidence. [online] Disponible en: http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm. Consultado (10/03/09)
[8] Lpez, Oscar; Amaya, Haver; Len Ricardo; Acosta Beatriz. (2002). Informtica Forense: Generalidades, aspectos tcnicos y herramientas. [online] Disponible en: http://www.criptored.upm.es/guiateoria/gt_m180b.htm [9] Standards Australia International (2003) HB 171-2003 Guidelines for the management of IT Evidence. [10] Jeimy. J. Cano. (2007). Introduccin a las tcnicas anti forenses: Conceptos e implicaciones para investigadores. [Online] Disponible: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf [11] Andres R. Almanza. (2007). Ciencias Anti-forenses Un nuevo reto para las organizaciones. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_A Almanza.pdf [12] Info Seguridad: Esteganografia. [Online]. Disponible: http://www.infoseguridad0.es/Estenografia.htm
PropuestaPgina 33
[13] Stegoarchive. [Online] Disponible: http://www.stegoarchive.com/ [14] Metasploit Anti-Forensics Project. [Online] Disponible: http://www.metasploit.com/data/antiforensics/BlueHat-Metasploit_AntiForensics.ppt [15]MicrosoftTech. [Online] Disponible: http://blogs.technet.com/ganand/archive/2008/02/19/ntfs-time-stamps-file-created-in-1601modified-in-1801-and-accessed-in-2008.aspx [16] NTFS. NTFS. [Online] Disponible: http://www.ntfs.com/ntfs-files-types.htm [17] MicrosoftTech. us/library/cc781134.aspx [Online] Disponible: http://technet.microsoft.com/en-
[18] Crdoba Jonathan, Laverde Ricardo, Ortiz Diego, Puentes Diana. Anlisis de Datos: Una propuesta metodolgica y su aplicacin en The Sleuth Kit y EnCase. Disponible en: [Online] Disponible: http://www.criptored.upm.es/descarga/AnalisisdeDatos-En-Sleu05.zip [19] PCGuide. Overview and History of http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm the NTFS. [Online] Disponible:
[20] Ariza. A., Ruiz. J., Anlisis de Metadatos en archivos Office y Adobe. [Online] Disponible: http://www.criptored.upm.es/guiateoria/gt_m142g1.htm [21] PCGuide. NTFS file Atrtibutes. http://www.pcguide.com/ref/hdd/file/ntfs/files_Attr.htm [Online] Disponible:
[22] PCGuide. NFTS System (Metadata) Files. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/arch_Files.htm [23] Microsoft Corporation. How NTFS works. [Online] Disponible: http://technet.microsoft.com/en-us/library/cc781134.aspx [24] Chikofsky. E., Cross. J., Reverse Engineering and Design Recovery: A Taxonomy, IEEE Software, pp. 13-17, 1990. [25] Galen Lab. Reverse Engineering. [Online] Disponible: http://calla.ics.uci.edu/reveng/ [26] http://electronicdesign.com/Articles/Index.cfm?AD=1&ArticleID=11966 [27] Mller H., Jahnke J., Smith D., Storey M., Tilley S., Wong K.. Reverse Engineering: A Roadmap. [Online] Disponible:http://www.cs.ucl.ac.uk/staff/A.Finkelstein/fose/finalmuller.pdf [29] What is: The Leading TI encyclopedia and learning Center. [Online] Disponible: http://whatis.techtarget.com/definition/0,,sid9_gci817089,00.html
PropuestaPgina 34
[30] Santa Clara University, School of Engineering. NTFS File System. [Online] Disponible: www.cse.scu.edu/~tschwarz/coen152_05/PPtPre/NTFSFS.ppt [31] Help with PCs. DLL. [Online] Disponible: http://www.helpwithpcs.com/jargon/dll.htm [32] Win32 API Obscurity for I/O Blocking and Intrusion Prevention (2005). [Online] Disponible: http://www.ddj.com/security/184406098 [33] MetaSploit Anti-Forsensics Project. [Online] www.metasploit.com/data/antiforensics/BH2005-Catch_Me_If_You_Can.ppt Disponible:
[34] Timestomp codigo fuente. [Online] Disponible en: http://trac.metasploit.com/browser/framework3/trunk/external/source/meterpreter/source/exte nsions/priv/server/timestomp.c?rev=6357 [33] I/O Status Blocks. us/library/ms795786.aspx [online] Disponible en http://msdn.microsoft.com/en-
[34] LoadLibrary Function. [online] Disponible en http://msdn.microsoft.com/enus/library/ms684175(VS.85).aspx [35] GetProcAddress Function. [online] Disponible en http://msdn.microsoft.com/en-us/library/ms683212(VS.85).aspx [36] Windows API. us/library/aa383750.aspx [online] Disponible Disponible Disponible en en en http://msdn.microsoft.com/enhttp://msdn.microsoft.com/enhttp://msdn.microsoft.com/en-
[37] CreateFile Funtion [online] us/library/aa363858(VS.85).aspx [38] SetInformationFile us/library/ms804363.aspx [online]
PropuestaPgina 35
6 Anexos 6.1 6.2 Ttulo Subttulo
PropuestaPgina 36

Propuesta

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Propuesta

Încărcat de

Drepturi de autor:

Formate disponibile

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

PROPUESTA PARA TRABAJO DE GRADO

Armando Botero Vila

Ivn Felipe Camero Padilla

Ing. Jeimy Cano Martinez

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

VoBo. Coordinador de Trabajos de Grado: ________________________ Cdigo: TG-20071-xxx

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Oportunidad o Problemtica 1.1 Descripcin del contexto

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Es duplicable Es alterable y modificable Es eliminable

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Descripcin del Proyecto 1.3 Objetivo general

1.4 Objetivos especficos

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Marco Terico / Estado del Arte

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

3) Evitar posibles contaminaciones y prdidas, despus de una

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Figura 2 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11]

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

1.5.2 Informtica Forense

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

1.5.3 Definicin de Tcnicas Anti-forenses

1.5.4 Clasificacin de Mtodos Anti-forenses

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

1.5.5 Modelo Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses (MoDeRaTa)

Figura 5 MODERATA [1]

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

1.5.6 Fundamentos del NTFS

Figura 6 Estructura del NTFS [20]

Pontificia Universidad Javeriana

Propuesta para Trabajo de Grado Proyecto de Investigacin

Una lista detallada de todos los tipos se puede encontrar en [21].