Análisis Forense

Juan José Delgado

Adquisición de evidencias
Título de la asignatura
Profesor de la asignatura

1. Tipos de evidencias y orden de volatilidad

2. Acotando la escena del crimen

3. Adquisición de las evidencias

4. Preservación de la integridad e identidad de

las evidencias
Tema a tratar o idea a destacar
Adquisición de las evidencias

Adquirir una evidencia es crear un archivo (lo llamamos archivo de

imagen) que contenga toda la información contenida en la evidencia
original. Incluidos los espacios marcados como vacíos o libres.

También es posible realizar el clonado de la evidencia, que consiste en

adquirir una evidencia, en lugar de en un archivo, en un dispositivo
similar. Un disco duro, en un disco duro; un pendrive en otro…

Realizamos imágenes de las evidencias porque se trabaja de manera

más sencilla con un archivo que con un dispositivo físico.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Clonado

Imagen

Análisis forense – Juan José Delgado

 Adquisición de las evidencias
Clonado. Ventajas VS Inconvenientes

Ventajas
• Puedo utilizar el disco clon para arrancar la máquina objeto del
estudio y ver las cosas tal cual las veía el “malo”.
• No es necesario utilizar programas especiales para el análisis (para
un análisis superficial).
Inconvenientes
• El disco clon se altera durante el análisis, a no ser que utilicemos un
bloqueador contra escritura.
• No admite compresión. Si tengo que clonar 3Tb, necesito un disco
de al menos 3Tb.
• Si se altera una parte, no sabemos qué parte es la afectada,
teniendo que descartar todo el disco.
• Es necesario hacer un borrado seguro previo al inicio del clonado,
en el disco destino.

Análisis forense – Juan José Delgado

Adquisición de las evidencias
Imagen. Ventajas VS Inconvenientes

Ventajas
• Es mucho mas complicado alterar su contenido.
• Admite compresión, metadatos y comprobaciones
de error. Si se corrompe una parte, podemos saber
exactamente qué se ha alterado.
• Es posible crear una máquina virtual que utilice
como disco de arranque, la imagen creada.

Inconvenientes
• Es necesario utilizar programas especiales para leer
su contenido.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Los tipos de formato de imagen mas comunes son:

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquisición de evidencias volátiles:

• En caliente, con el equipo encendido.
• El principal problema, es que se degradan durante la adquisición.
• Usaremos programas especialmente creados para este tipo de
adquisiciones.
• Los programas que utilicemos deben ser independientes del
equipo a examinar

Análisis forense – Juan José Delgado

Adquisición de las evidencias

\Dumpit.exe

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

* Lo podremos ver en la actividad de este tema.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Análisis forense – Juan José Delgado

Adquisición de las evidencias
También tengo herramientas para recuperar archivos desde Windows

El próximo día un ejemplo

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquisición de evidencias NO volátiles:

• En frío o en caliente (equipo apagado o encendido).
• Que el equipo pertenezca o no a un sistema crítico que tenga
que mantenerse encendido de manera ininterrumpida.
• Que el dispositivo que pretendemos adquirir se encuentre o no
cifrado. Si lo está puede ser imposible realizar la adquisición
en frío.
• Que el equipo se encuentre expuesto a ataques desde el
exterior, lo que puede hacer que las evidencias se alteren
durante una adquisición en caliente .
• Etc.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Adquisición de evidencias NO volátiles:

• Si decidimos realizar la adquisición en caliente, utilizaremos
programas independientes del equipo.
• Si realizamos la adquisición en frío, utilizaremos bloqueadores de
escritura (FastBlock, Ultradock…) para evitar la alteración

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Este aspecto, es de suma importancia a la hora de conseguir que las

evidencias adquiridas tengan validez en un proceso judicial.

Para verificar que lo analizado es una copia exacta de la evidencia

original, o que la integridad de dicha copia se mantiene a lo largo de todo
el proceso de análisis hacemos uso de las conocidas como funciones
hash.

Una función hash es un tipo de función que debe reunir como mínimo
las siguientes dos características:
• Para cada entrada «E», la función generará siempre una salida «S»
única. Lo que implica que cualquiera alteración en la entrada, por
mínima que sea, alterará la salida.
• A partir de la salida «S» de la función, es imposible obtener la entrada
original «E».

Análisis forense – Juan José Delgado

Adquisición de las evidencias

En frio, el proceso de adquisición de una evidencia sería:

Para concluir que no hemos alterado la evidencia original y que la copia

realizada es exacta, el primer hash a la evidencia original (HA1) ha de ser
igual al segundo hash a la evidencia original (HA2) e igual al hash de la
copia (HB).

HA1 = HA2 = HB

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Para verificar en cualquier momento del análisis que lo que se está

analizando es lo mismo que se obtuvo de la evidencia original, solo tenemos
que realizar nuevamente un hash a la evidencia objeto del análisis y
compararlo con el primer hash de la evidencia original (HA1). Si son
idénticos estamos analizando una copia exacta de la evidencia original.

Este proceso es realizado de manera automática por algunos programas

de análisis forense como EnCase o Forensic ToolKit.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

En caliente, el proceso de adquisición de una evidencia cambia,

quedando de la siguiente manera:

¿Por qué?
Porque al realizar una adquisición en caliente, durante la adquisición
estamos alterando (aunque sea mínimamente) el original y por lo tanto el hash
inicial y el final no darían el mismo resultado.

Análisis forense – Juan José Delgado

Adquisición de las evidencias

Entonces… ¿Quién asegura la no

modificación?
El fedatario público (normalmente un secretario judicial) y la cadena de
custodia de la evidencia adquirida.

Al hacerle el hash a la copia obtenida, posteriormente podremos

comprobar que lo adquirido es lo mismo que lo que estamos analizando.

Sumadas estas dos cosas tenemos que: El fedatario público da fe de que

no hemos alterado la evidencia y de que lo copiado es lo mismo que lo que
había en el original, y el hash realizado nos asegura la no modificación tras la
copia.

Análisis forense – Juan José Delgado

¿Alguna pregunta?
Análisis forense – Juan José Delgado
www.unir.net