Desarrollo Fase 2 - Aplicación de metodologías para la recolección de información

Duvan Esteban Urrego Fernández

Jhon Javier Estrada Cuaran

Jhon Mauricio Caicedo

Javier Felipe Marquez

Presentado a:

Ing. Martín Cancelado.

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática

Informática Forense

Bogotá octubre de 2019

pág. 1
 TABLA DE CONTENIDO
INTRODUCCION ...................................................................................................................................................5
OBJETIVOS ...........................................................................................................................................................6
1. HERRAMIENTAS UTILIZADAS .................................................................................................................7
2. INSTALACION DE HYPERVISOR. ............................................................................................................7
3. INSTALACION DE WINDOWS 10 .............................................................................................................9
4. INSTALACION DE SOFTWARE NECESARIO .................................................................................... 10
5. CREACION Y EXTRACCION DE IMAGEN DE DISCO ...................................................................... 15
6. APERTURA Y ANALISIS DE IMAGEN DE DISCO POR MEDIO DE AUTOPSY Y EXIFTOOL.. 17
7. LA INFORMACIÓN DEL REGISTRO DE WINDOWS SEGÚN EL DOCUMENTO DE LECTURA.
20
8. RASTREO DE LA EJECUCIÓN DEL ARCHIVO. ................................................................................ 25
9. PROPUESTAS DE RESPUESTA ANTE ESTE TIPO DE INCIDENTES DE SEGURIDAD. ......... 28
9.1 Cifrar las todas las comunicaciones de la compañía: ................................................................... 28
9.2 Implementación de zona DMZ: ......................................................................................................... 29
9.3 Implementación y gestión de políticas de seguridad: ................................................................... 29
9.4 Control de parches y actualización de sistemas:........................................................................... 29
9.5 Filtrado por MAC: ................................................................................................................................ 29
9.6 Implementación y Configuración de un Firewall: ........................................................................... 30
9.7 Implementación de Auditorias: ......................................................................................................... 30
9.8 Capacitación al personal: .................................................................................................................. 30
9.9 Instalación de antivirus para la compañía: ..................................................................................... 30
10. Que sucedido para que sucediera este incidente: ...................................................................... 31
CONCLUSIONES ............................................................................................................................................... 32
BIBLIOGRAFIA .................................................................................................................................................. 33

pág. 2
 LISTA DE FIGURAS

Figura 1. Descarga de virtual box ……………………………………………………..………...……7

Figura 2. Instalación VirtualBox……………………………………………..……………………..…8

Figura 3. Proceso de instalación ……………………………………………….……..…….….……8

Figura 4. Interfaz VirtualBox……………………………………………………….…….….….…..…9

Figura 5. Creación de máquina virtual Windows10……………………………………..………..…9

Figura 6 Creación de usuario………………………………………….….……………………....…10

Figura 7 Instalación de Firefox……………………………………...……………..………………..10

Figura 8 Instalación de Foxit Reader.………………………………………………………………11

Figura 9 Instalación de Office 2016……………………………………………….…..………….…11

Figura 10 Instalación de KMSpico …………….………………………………………..…………..12

Figura 11 Instalación de Winrar ……………………………………....……………………….…12

Figura 12 Descarga de 10 archivos …………………………………………….………….…….…13

Figura 13 Eliminación de 3 archivos.……………………………………….………….….……..…13

Figura 14 Asignación de IP. …………………………………………..…………………...………..14

Figura 15 Apertura de 10 URL con Firefox.……………………………………………….….……14

Figura 16 Apertura de 10 URL con Firefox …………………………………….…….……..…..…15

Figura 17 Envió de dos correos.………………………………………………………….…………15

Figura 18 Apertura de FTKimager………………………………………………………………….16

Figura 19 Creación de imagen………………………………………………………………………16

Figura 20 Hash de imagen………………………………………………………………………..…17

Figura 21 Inicio de Autopsy………………………………………………………………………….17

pág. 3
Figura 22. Apertura de imagen con Autopsy…………………………………..….………………18

Figura 23 Información de imagen………………………………………….…………….…………18

Figura 24 Información con Exiftool…………………………………………………………………19

Figura 25 Paquetes de servicios …………………………………………………………………...20

Figura 26 información del sistema…………..…………………………………..….………………21

Figura 27 configuración de sistema cifrado.. …………………………….…………….…………21

Figura 29 Memory Administracion…………………………………………………………………22

Figura 30 dispositivos conectados…………………..……………………………………………...23

Figura 31 crear y restaurar imágenes Forenses.………………………………………………….23

Figura 32 ruta del ejecutable.……………………………………….............................................24

Figura 33 ruta donde está instalado.…………………………..….……………………………..…25

Figura 34 revisión de las tareas programadas.…………….…………….………………………..26

Figura 35 se encontramos 2 claves de registro y 20 valores.……………………………………27

Figura 36 KMSpido crea un total de 91 carpetas y 395 archivos……………………………….28

pág. 4
 INTRODUCCION

Como especialistas en seguridad informática es importante conocer las diferentes

herramientas que pueden ser utilizadas en un análisis forense, junto con la información o
archivos que pueden ser extraídos por medio de dichas herramientas, en este trabajo podemos
evidenciar el montaje del proceso en la instalación y configuración de un ambiente controlado
sobre la creación y extracción de información de un sistema operativo Windows 10 , este
trabajo se realiza con el fin de conocer e interactuar con herramientas que proporcional toda
una suite de análisis forense como lo es Autopsy y exiftools.

Se revisó además, algunas de las vulnerabilidades presentes en el S.O Windows 10, el cual
mediante el uso de la aplicación Virtual Box, se sometió a análisis y ejecución de aplicaciones
para comprobar su seguridad; teniendo en cuenta que la seguridad es uno de los factores muy
importantes a la hora de llevar una adecuada gestión desde nuestra labor como profesionales
en el área de las Seguridad Informática.

pág. 5
 OBJETIVOS

OBJETIVO GENERAL

- Utilizar herramientas que permiten generar análisis de imágenes de disco y extraer

información relevante.

OBJETIVOS ESPECIFICOS

- Realizar el montaje de un entorno de practica para llevar a cabo un análisis forense de

una imagen de disco.
- Conocer el funcionamiento de aplicaciones útiles para auditoría informática.
- Utilizar herramientas que permita el estudio de un análisis forense sobre un sistema
operativo Windows 10.
- Analizar los resultados para una evaluación de informática forense.
- Identificar vulnerabilidades presentes en los sistemas operativos y aplicaciones.

pág. 6
 1. HERRAMIENTAS UTILIZADAS

Para llevar a cabo el desarrollo del laboratorio se utilizaron las siguientes herramientas:

- Virtual box
- Equipo prueba con Windows 10
- Winrar
- MSOffice versión mínima 2013
- FOXIT
- Mozilla FireFox
- KMSpico
- FTKimager
- Autopsy
- Exiftool.

2. INSTALACION DE HYPERVISOR.

El primer paso es generar la descarga del hipervisor para este caso se utilizó Virtual Box,
donde la descarga se realizó desde el sitio oficial virtualbox.org descargando la versión 6.0
como se observa en la siguiente imagen:

Figura 1. Descarga de virtual box.

Luego de realizar la descarga se procede a ejecutar el instalador con permisos de ejecución

como se muestra en las siguientes imágenes:
pág. 7
 Figura 2. Instalación VirtualBox

Figura 3. Proceso de instalación

Después del proceso de instalación ya tendremos nuestra herramienta lista para trabajar,
realizando la apertura de esta, si todo quedo correctamente nos mostrara la siguiente pantalla:

pág. 8
 Figura 4. Interfaz VirtualBox

3. INSTALACION DE WINDOWS 10

A continuación, y dando cumplimiento a los parámetros de la guía, generamos la puesta en

marcha de la máquina Windows 10, como se observa en la siguiente imagen:

Figura 5. Creación de máquina virtual Windows10.

Luego y según los parámetros de la guia agregamos un usuario con su respectiva contraseña.

pág. 9
 Figura 6 Creación de usuario.

Continuando con el desarrollo de la guía y teniendo el sistema operativo iniciado y funcionando

correctamente procedemos con la instalación del software necesario, para ello comenzamos
instalando Mozilla FireFox.

4. INSTALACION DE SOFTWARE NECESARIO

Figura 7 Instalación de Firefox

Ahora realizamos la instalación de Foxit Reader

pág. 10
 Figura 8 Instalación de Foxit Reader.

Procedemos con la instalación de la suite de Office

Figura 9 Instalación de Office 2016

Continuando con el proceso realizamos la nstalacion de KMSPico

pág. 11
 Figura 10 Instalación de KMSpico

Por último, realizamos la instalación de Winrar.

Figura 11 Instalación de Winrar

El siguiente paso es realizar la descarga de 10 documentos como se muestra en la siguiente

imagen.

pág. 12
 Figura 12 Descarga de 10 archivos

Luego generamos la eliminación de 3 de ellos.

Figura 13 Eliminación de 3 archivos

Ahora Procedemos con la asignación de la IP estatica según la guia con la IP del equipo del
gerente.

pág. 13
 Figura 14 Asignación de IP.

Luego de esto realizamos 10 búsquedas de páginas web por medio del navegador Mozilla
Firefox

Figura 15 Apertura de 10 URL con Firefox

Continuamos con la misma búsqueda de URL pero desde Edge.

pág. 14
 Figura 16 Apertura de 10 URL con Firefox

Ahora procedemos al envió de dos correos electrónicos, para este caso lo realizamos por
medio de Gmail.

Figura 17 Envió de dos correos.

5. CREACION Y EXTRACCION DE IMAGEN DE DISCO

pág. 15
Seguidamente vamos a realizar la extracción de la imagen del SO por medio de FTKimager
para ello es necesario instalar el aplicativo.

Figura 18 Apertura de FTKimager

Realizamos la ejecución, para efectuar la creación de la imagen del sistema operativo que
estamos corriendo para el ambiente de prueba.

Figura 19 Creación de imagen

Si todo salió correctamente nos debe aparecer una ventana similar a la que se muestra a
continuación.

pág. 16
 Figura 20 Hash de imagen

Luego de exportar la imagen creado por FTKimager procedemos a realizar la revisión, para
esto lo realizaremos por medio de la herramienta Autopsy.

Lo primero es realizar la instalación de dicha herramienta.

6. APERTURA Y ANALISIS DE IMAGEN DE DISCO POR MEDIO DE AUTOPSY Y

EXIFTOOL.

Figura 21 Inicio de Autopsy

Procedemos abrir la imagen que hemos creado anteriormente como se muestra a

continuación.

pág. 17
 Figura 22. Apertura de imagen con Autopsy

Con esto ya tendremos toda la información para comenzar a realizar el análisis respectivo.

Figura 23 Información de imagen.

En lo explorado con la herramienta autopsy sobre la imagen encontramos una gran cantidad
de información como lo es rutas de carpetas con sus respectivos archivos, software instalado
en el equipo, información de volúmenes de disco, información con cache y todo lo relevante a
la navegación, también podemos observar incluso los archivos que fueron eliminados por el
pág. 18
usuario. Toda la información contenida en la imagen puede ser exportando para
posteriormente generar un análisis más exhaustivo sobre los archivos.

Para dicho análisis seleccionaremos uno de los archivos y lo extraemos, luego realizamos el
análisis con la herramienta Exiftools como se observa en la siguiente imagen.

Figura 24 Información con Exiftool.

Podemos observar el nombre del archivo, el tipo de documento, cuando fue creado, los
permisos del archivo entre otros datos importantes que podemos utilizar para averiguar
información relevante de una organización.

pág. 19
 7. LA INFORMACIÓN DEL REGISTRO DE WINDOWS SEGÚN EL DOCUMENTO DE
LECTURA.

Examining File Systems

Un investigador forense debe tener en cuenta la carpeta %systemroot%\system32, ya que
dentro de esta carpeta se encuentra la información que le permite:
Los paquetes de servicios, parches y subdirectorios que se utilizan a menudo.

Figura 25 paquetes de servicios.

También se puede ejecutar desde CMD el comando. systeminfo|find /i "original" muestra

los detalles de la instalación del sistema operativo.

pág. 20
 Figura 26 información del sistema.

Registry Settings
Proporciona una información valiosa en la investigación la cual es el almacenamiento
protegido, esta información está cifrada pero con un buen kit de forense se puede descifrar
la información.

Figura 27 información del sistema cifrado.

Para acceder a esta área se puede ejecuta Regedit.

pág. 21
Unas computadoras están configuradas con untos de restauración que se almacenan
en:HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
SystemRestore El investigador puede encontrar esos puntos de restauración. Para acceder a
esta área se puede ejecuta Regedit.
Event
Son registros de eventos almacenados en el disco, se pueden utilizar herramienta para
recuperar estos registro de eventos, en este caso se utilizó PSTools, es una carpeta con
varios ejecutables los cuales se ejecutan por consola uno de ellos es psloglist

Figura 28 registro de eventos almacenados.

Swap file
En informática forense es útil en cuanto es referido a un archivo de intercambio en cuanto
que logra fingir mediante la extensión de la memoria real RAM una mayor capacidad, los
archivos usados se intercambian en el disco duro, para cuando sean requeridos. La ventaja
de un archivo de intercambio es que se puede organizar como un espacio contiguo único
para que se requieran menos operaciones de E / S para leer o escribir un archivo completo.
En Windows, el archivo de intercambio es un archivo oculto en el directorio raíz llamado
pagefile.sys. La ruta de registro para el archivo de intercambio es
HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Control \ Session Manager \ Memory Administración.

pág. 22
 Figura 29 Memory Administracion

Connected Devices

En informática forense en fundamental para un investigador para documentar su

investigación mediante la inclusión de los dispositivos están conectados a un sistema. Para
ello se puede acudir al uso de DevCon, disponible de Microsoft, para documentar dispositivos
que están conectados a Windows.
Un reemplazo de línea de comandos para el Administrador de dispositivos, también puede
mostrar las clases y el estado de los mismos.

Figura 30 dispositivos conectados.

pág. 23
Herramienta: DriveSpy

En informática forense DriveSpy le permite la utilización comandos familiares de DOS para

navegar por un sistema bajo investigación.

No acude a la unidad letras en la solicitud, sino que ejecuta La combinación de unidad /

partición (por ejemplo, D0P1: \ WINDOWS \ SYSTEM) para eliminar la confusión en caso de
que el sistema operativo residente no haya asignado una letra de unidad a la unidad que se
está procesando. Examina, discos duros grandes, medios extraíbles, discos duros sin
particiones, particiones ocultas de DOS, nombres de archivo largos, creación de archivos
modificación (DOS) y fechas de acceso, archivos borrados, espacio sin asignar DOS y no DOS.
De igual manera tiene capacidad de crear y restaurar imágenes Forenses.

Figura 31 crear y restaurar imágenes Forenses.

pág. 24
 8. RASTREO DE LA EJECUCIÓN DEL ARCHIVO.

Con el análisis realizado por nuestro equipo de trabajo se pudo evidenciar información
importante con respecto al aplicativo potencialmente no deseado (APND); Esta información
fue obtenida desde la imagen creada al equipo y otra parte de la información fue obtenida
directamente desde el equipo.
A continuación, se evidencia la ruta del ejecutable de KMSpico, para este caso se encuentra
en descargas del usuario administrador que para este caso es el gerente.

Figura 32 ruta del ejecutable.

pág. 25
Posteriormente y apoyándonos en la herramienta Autopsy visualizamos la ruta donde está
instalado el aplicativo para este caso se encuentra en Program File y crea una carpeta
llamada KMSpico, como se observa en la siguiente imagen.

Figura 33 ruta donde está instalado.

pág. 26
Generando revisión de las tareas programadas se comprobó que KMSpico crea una tarea
programada llamada AutoPico que se ejecuta todos los días a las 11:59 p.m, esta
información se puede corroborar en la siguiente imagen.

Figura 34 revisión de las tareas programadas.

Continuando con el análisis del aplicativo y revisando los registros, se encontramos 2 claves
de registro y 20 valores.

Figura 35 se encontramos 2 claves de registro y 20 valores.

pág. 27
En la búsqueda de información se pudo evidenciar que KMSpido crea un total de 91 carpetas
y 395 archivos dentro de nuestro sistema operativo esta información se puede observar más
a detalle en la siguiente imagen.

Figura 36 KMSpido crea un total de 91 carpetas y 395 archivos.

9. PROPUESTAS DE RESPUESTA ANTE ESTE TIPO DE INCIDENTES DE

SEGURIDAD.
9.1 Cifrar las todas las comunicaciones de la compañía:

Es importante cifrar la información para que ésta no sea legible en caso de

llegar a caer en personas no autorizadas. Para la compañía DIGITAL FREE
debe ser prioridad la protección de las comunicaciones por donde pasa
información sensible y es prioridad de la empresa proteger sus comunicaciones.
DIGITAL FREE debe implementar un procedimiento para el cifrado de
contraseñas de usuario, datos personales, listas de contactos, acceso a
páginas web, correo electrónico y a las terminales de acceso remoto. Para lo
cual se recomienda la instalación de sistemas que cifran los datos enviados
desde una página hasta la comunicación por SSH entre equipos de cómputo.

pág. 28
9.2 Implementación de zona DMZ:

Con el fin de mitigar posibles intrusiones y ataques sobre el servidor publicado a

internet, se creará una zona desmilitarizada para contener cualquier acceso a la
red LAN, esto se generará por medio del firewall y se agregaran los permisos
correspondientes únicamente a las conexiones y usuarios necesarios.

9.3 Implementación y gestión de políticas de seguridad:

Se hace necesario proteger la información junto con la integridad de los equipos

de cómputo, y como punto de partida el diseño de un plan a partir de las
necesidades y del core de la compañía DIGITAL FREE, esto con el fin de
proteger la información, garantizando la confidencialidad y disponibilidad de los
servicios informáticos y el acceso a la misma. El propósito más relevante es
mitigar el riesgo de pérdida, deterioro o acceso sin autorización.
Es importante que a la hora de realizar el aseguramiento involucremos el
hardware, software y los empleados de la compañía ya que claramente se
pueden identificar vulnerabilidades y amenazas al interior como en el exterior de
la compañía.

9.4 Control de parches y actualización de sistemas:

Se recomienda a DIGITAL FREE una política sólida de administración de

parches que equilibre la productividad y la seguridad del negocio,
implementando la actualización de sistema operativo y software de terceros
periódicamente.

9.5 Filtrado por MAC:

Se recomienda la implementación y configuración de los dispositivos de

infraestructura de red para que el acceso a la misma sea únicamente con previa
autorización y registro del dispositivo a través de la MAC de cada equipo; esto
permitirá proteger la red de intrusiones que puedan afectar el funcionamiento de
los recursos, servicios, o prevenir en mayor medida el robo de información. El
filtrado por MAC se realiza activando una configuración sencilla que evaluará la
solicitud de acceso a la red con los registros que tenga almacenados en su
memoria, los cuales deberían ser ingresados únicamente por el administrador de la
red quien registra el equipo para permitirle la conexión.

pág. 29
9.6 Implementación y Configuración de un Firewall:

Se sugiere implementar un dispositivo firewall que proteja las solicitudes de

servicios y conexión entrantes y salientes de acuerdo a los permisos establecidos
por la compañía para determinado usuario, esto con el fin de proteger algunos
puertos de comunicación abiertos o utilizados para determinados servicios de red y
permitir únicamente el uso de protocolos de comunicación habilitados para ello.
También es necesario comprobar o habilitar el firewall de software de los equipos
con el objetivo de verificar malas configuraciones o des configuraciones en el
mismo que pudieran permitir una intrusión al sistema y por lo tanto se vea
comprometida la seguridad de la red y de la información.

9.7 Implementación de Auditorias:

Es necesario que se mantenga constantemente una revisión del estado general de

la red, sus dispositivos físicos y su software; para ello es necesario considerar la
implementación de auditoría periódicas internas y externas que permitan detectar a
tiempo cualquier posible vulnerabilidad o amenaza que pudiese afectar, de ésta
forma, se mantiene una revisión constante en el estado de la red y se permite
mejorar la respuesta y evitar posibles incidentes en seguridad informática.

9.8 Capacitación al personal:

Uno de los pilares más importantes en la seguridad informática es sin duda alguna
el mismo usuario del sistema, mantener una capacitación constante sobre las
amenazas y buenas prácticas de seguridad informática y ciberseguridad, permiten
reforzar el sistema contra ataques que incluyan además la aplicación de ingeniería
social; si el usuario del sistema conoce los modos en que un atacante puede
vulnerar la seguridad del sistema, pudiera evitar en mayor medida que se permita o
se lleve a cabo una intrusión de este tipo. Todo el personal de la red debe conocer
a través de las políticas de seguridad, las buenas prácticas que puede aplicar para
apoyar el sistema de seguridad, y de igual manera, debe reconocer algunos de los
modos de operación de los ataques informáticos más comunes que puedan
vulnerar el sistema si se lo permiten inconscientemente.

9.9 Instalación de antivirus para la compañía:

Debido a que la compañía y específicamente el gerente fue víctima de instalación

de software potencialmente no deseado (APND) y debido a la importancia y lo
sensible de la información que manejan. Por lo anterior resulta necesario que todos
los computadores de la compañía estén protegidos con software antivirus
(Instalado y correctamente configurado). Este antivirus debe contener mínimo los
pág. 30
 módulos de análisis por firmas, análisis por heurística, Análisis de procesos,
machine learning o deep learning, HIPs, Firewall y controles. Se recomienda que al
momento de adquirir el antivirus se tenga en cuenta las actualizaciones periódicas,
servicio técnico y la consola de administración del antivirus debe ser amigable,
entendible e intuitiva.

10. Que sucedido para que sucediera este incidente:

Con respecto al KMSpico o software potencialmente no deseado instalado en el equipo

del gerente, y el análisis realizado por nuestro equipo de seguridad, se encontraron varios
puntos relevantes entre ellos que el instalador se encontraba en la carpeta de descarga
junto con otros softwares de lectura de documentos, juegos y herramientas de softonic,
con fechas y horas que coinciden con el registro de instalación del aplicativo. También se
determinó que por solicitud del gerente este tiene permisos de administrador en la
máquina y puede instalar y desinstalar aplicativos sin ningún tipo de control,
Adicionalmente se encontró la solución antivirus instalada pero desactivada en el equipo
lo que permitió que este tipo de aplicativo no fuera reconocido como una APND, por lo
anterior se presume que la instalación fue realizada por el mismo usuario del computador
junto con software adicional. En los análisis de malware realizados al equipo se pudo
observar un troyano y un backdoor instalados en dicha máquina, por lo que se cree que
fueron instalados junto con el KMSpico.

Con respecto al segundo incidente de seguridad, en los análisis realizados a los equipos
de cómputo y al gestor de bases de datos se evidencia conexiones y extracción de
información por medio de un usuario autorizado que tenía permisos sobre dichas
maquinas, estas conexiones se realizaron desde la misma red LAN de la compañía, en
los registros de sistema de windows y Linux se observa la conexión en diferentes horarios
desde una IP que corresponde al equipo del gerente de la compañía y coincide en las
fechas con el incidente anterior, lo que conlleva a que el equipo del gerente fue infectado
con malware, este malware realizo escaneos en la red y extrajo información de
contraseñas cuando los ingenieros generaron conexiones a los equipos, este debido a
que el tráfico y las conexiones que se generan internamente entre equipos no están
cifradas por ningún medio, lo que permitió conectarse al servidor de MYSQL y extraer la
información.

pág. 31
 CONCLUSIONES

Podemos generar simulaciones en ambientes de prueba con diferentes sistemas operativos

aprendiendo de las configuraciones y funcionalidades que un analista de seguridad tiene a la
mano a la hora de generar un análisis forense de un sistema operativo.

En la cotidianidad de nuestras labores en muchas ocasiones no ponemos atención en la

cantidad de información que puede tener nuestro sistema operativo con respecto a datos y
actividades que se realizan día tras día,

pág. 32
 BIBLIOGRAFIA

EC-Council - Computer Forensics_ Hard Disk and Operating Systems (Ec-Council Press
Series _ Computer Forensics) -Course Technology (2010).pdf. (2010). Retrieved 7
October 2019, from https://drive.google.com/file/d/1GSxr-
CN8FRG_K4Zy1F1xnZ8r5V6kaVpD/view

Celikel, E., & Kupka, B. (2016). Ingreso a Campus Virtual - Universidad Nacional Abierta
y a Distancia UNAD. Retrieved 6 October 2019, from https://ieeexplore-ieee-
org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?tp=&arnumber=7821727

Majeed, A., Saleem, S., Imran, R., & Zia, H. (2015). Forensic Analysis of three Social
Media Apps in Windows 10. Retrieved 4 October 2019, from https://ieeexplore-ieee-
org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?tp=&arnumber=7395419

Patil, D., & Meshram, B. (2017). Extraction of Forensic Evidences from Windows Volatile
Memory. Retrieved 6 October 2019, from https://ieeexplore-ieee-
org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?tp=&arnumber=8226164.

Cancelado Ruiz, M. (2019). Unidad 1 - Fundamentos de la Informática Forense.

Hdl.handle.net. Retrieved 30 Abril 2019, Recuperado de
https://repository.unad.edu.co/handle/10596/25328

Cano, Y., (2015). Descubriendo los rastros informáticos 2da Edición. No disponible
digital. Recuperado de https://www.alfaomega.com.co/computacion-forense-
descubriendo-los-rastros-informaticos-2-edicion-5573.html

Cabrera, H., (2013). Recolección de evidencia. Recuperado de

https://drive.google.com/a/unad.edu.co/file/d/0Bzz5sZfvr5uedE1HcC1NcmRXWFk/vie
w?usp=sharing

pág. 33