Análisis Forense Informático-Fuentes de Evidencia

Respuesta a las preguntas planteadas en la actividad  


1.    ¿Cuál de los dispositivos o componentes de un computador contendrá evidencias tipo archivos?

Las evidencias tipo archivos suelen encontrarse en dispositivos de almacenamiento, como discos duros (HDD), unidades de estado sólido (SSD), unidades flash USB, tarjetas de memoria y otros dispositivos de almacenamiento similares. Estos dispositivos almacenan datos en forma de archivos, que pueden incluir documentos, imágenes, videos, archivos de registro, correos electrónicos y muchos otros tipos de información. Durante un análisis forense de un computador, es común examinar estos dispositivos en busca de evidencias digitales. Estos son los siguientes dispositivos o componentes donde podemos encontrar evidencias:

  • Discos duros
  • USB
  • Memorias SDK
  • Celulares
  • Consolas de juegos

En pocas palabras, en cualquier tipo de hardware que tenga la posibilidad de almacenar y procesar datos se puede encontrar evidencias. 

2.    ¿Qué tipo de evidencias puede contener el sistema operativo?

El sistema operativo de un computador también puede contener evidencias importantes. Esto incluye registros de eventos del sistema (logs), registros de actividad de usuarios, archivos de configuración y preferencias, así como datos temporales y cachés que pueden revelar la actividad del sistema y los usuarios. Los registros de eventos del sistema, por ejemplo, pueden proporcionar información sobre cuándo se inició o apagó el sistema, quién inició sesión, qué programas se ejecutaron y más. Estos registros son valiosos en un análisis forense para reconstruir la historia de uso del sistema. 

  • Registro de Windows 
  • NtUser.dat
  • Memoria RAM
  • Pagefile.sys
  • Log del sistema
  • Sytem Restore
  • Análisis de discos duros (Ram slack, File slack, Unllocatte Sapace)

3.    ¿Se podrán encontrar evidencias en la memoria principal? 

Si, es posible encontrar evidencias en la memoria principal (RAM) de un computador, pero la RAM es volátil, lo que significa que los datos se borran cuando el sistema se apaga o reinicia. Aun así, durante un análisis forense en tiempo real o mediante herramientas especializadas, es posible capturar y examinar la información que se encuentra en la RAM en ese momento. Esto puede revelar procesos en ejecución, contraseñas en texto claro, fragmentos de archivos abiertos y otras evidencias temporales que pueden ser cruciales en una investigación. Sin embargo, debido a su volatilidad, es importante preservar adecuadamente la memoria RAM si se sospecha que contiene evidencia relevante. La evidencias que podemos encontrar en la memoria principal se generan en los:

  • RAM Slack
  • File slack 
  • Unllocatte space


Capturas actividades










Comentarios

Publicar un comentario

Entradas populares de este blog

Análisis Forense Digital

Imagen
  Análisis Forense Digital El análisis forense digital es el proceso de examinar y analizar evidencia digital para descubrir y recuperar información relevante en investigaciones legales. Se utiliza en casos de delitos informáticos, incidentes de seguridad cibernética y otros asuntos legales relacionados con tecnología.
Leer más