Análisis Forense Informático-Fuentes de Evidencia

 ¿Cúal de los dispositivos o componentes de un computador contendrá evidencias tipo archivos?

  1. Disco Duro: El disco duro es uno de los principales lugares donde se almacenan archivos en una computadora. Puede contener una gran cantidad de información, como documentos, imágenes, videos, programas y más.

  2. Unidades de Almacenamiento Externas: Dispositivos como memorias USB, discos duros externos y tarjetas de memoria también pueden contener archivos. Estos dispositivos a menudo se conectan a la computadora para transferir o almacenar datos.

  3. SSD (Solid State Drive): Similar al disco duro, los SSD también almacenan archivos y datos. Son especialmente comunes en computadoras portátiles modernas.

  4. Dispositivos de CD/DVD: Aunque menos comunes en la actualidad, los CD y DVD todavía pueden contener archivos importantes, como copias de seguridad o información antigua.

¿Qué tipo de evidencias puede contener el sistema operativo?

  1. Registros de Eventos: El sistema operativo registra eventos importantes, como inicio y apagado de sesiones, cambios en configuraciones, instalación de software, errores del sistema y más. Estos registros pueden proporcionar una línea de tiempo de las actividades y los problemas ocurridos en la computadora.

  2. Registros de Acceso y Autenticación: Se registran los intentos de inicio de sesión en el sistema y las acciones realizadas por los usuarios. Estos registros pueden indicar quién ha estado utilizando la computadora y qué acciones han realizado.

  3. Archivos de Registro del Sistema (Log Files): Diversos componentes del sistema, como servicios, aplicaciones y controladores, generan archivos de registro que registran sus actividades y eventos. Estos archivos pueden ser útiles para rastrear problemas, cambios y comportamientos inusuales.

  4. Archivos de Configuración: El sistema operativo almacena archivos de configuración que guardan ajustes y preferencias para el sistema y las aplicaciones instaladas. Estos archivos pueden proporcionar información sobre cómo estaba configurada la computadora y cómo se usaban las aplicaciones.

  5. Archivos de Historial de Navegación: Los navegadores web almacenan registros de los sitios web visitados, las búsquedas realizadas y los datos de formularios enviados. Estos registros pueden proporcionar información sobre la actividad en línea del usuario.

  6. Archivos de Cache: Las aplicaciones y el sistema operativo almacenan archivos temporales en la memoria caché para acelerar el acceso a datos. Estos archivos pueden contener copias temporales de imágenes, videos y otros datos utilizados en línea.

  7. Archivos de Cookies: Las cookies son pequeños archivos que los navegadores utilizan para recordar información sobre los sitios web visitados. Pueden contener información sobre las preferencias del usuario y los sitios web que se han explorado.

  8. Archivos de Historial de Archivos: Algunos sistemas operativos registran el historial de archivos abiertos y modificados. Estos registros pueden proporcionar información sobre los documentos en los que trabajaron los usuarios.

  9. Registros de Conexiones de Red: Los registros de red pueden mostrar las conexiones entrantes y salientes, las direcciones IP, los puertos y más. Esto puede ayudar a rastrear la actividad de red y las conexiones remotas.

¿Qué tipo de evidencias puede contener el sistema operativo?

En el ámbito de la informática forense, la memoria principal, también conocida como memoria RAM, juega un papel crucial. La memoria RAM almacena temporalmente datos mientras el sistema está encendido y en funcionamiento. Aunque la memoria RAM es volátil y pierde su contenido cuando se apaga la computadora, existe una ventana de tiempo después del apagado durante la cual parte de la información en la memoria puede persistir.

Cuando un sistema se apaga, la memoria RAM comienza a perder su contenido a medida que se disipa la energía eléctrica. Sin embargo, en ciertos casos, como cuando la temperatura ambiente es baja o el sistema se apaga de manera inusualmente rápida, algunos fragmentos de datos pueden permanecer en la memoria durante un breve período.

Para capturar estas evidencias fugaces, los investigadores forenses pueden realizar lo que se conoce como "análisis forense en vivo" o "captura de memoria volátil". Esto implica tomar una instantánea de la memoria RAM antes de que su contenido se degrade por completo. Algunas herramientas especializadas, como el Volatility Framework, permiten analizar esta memoria volátil y extraer información importante, como procesos en ejecución, conexiones de red y otros datos temporales.

 Análisis Forense de Memoria RAM – Informática Educativa

 

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Delitos informáticos comunes en Colombia

Imagen
En el contexto colombiano, tres delitos informáticos destacan por su frecuencia y gravedad. Estos delitos no solo afectan a individuos, sino que también impactan en la seguridad cibernética y la confianza en las transacciones en línea. Transferencia no consentida de activos: Uno de los delitos más comunes es la transferencia no consentida de activos. Este delito implica la sustracción ilegal de fondos de las cuentas bancarias de las personas. A menudo, los criminales utilizan técnicas sofisticadas para acceder a la información personal y financiera de las víctimas. Los ataques masivos a carteras bancarias, especialmente en instituciones financieras como Bancolombia, BBVA e Itaú, han sido frecuentes. Estos incidentes no solo resultan en pérdidas económicas para las víctimas, sino que también erosionan la confianza en la seguridad de las transacciones en línea. Hurto por medios informáticos y semejantes: Otro delito informático común en Colombia es el hurto por medios informáticos y se...
Leer más