Informática forense

Para comprender la ejecución de procesos y la información que estos almacenan en un sistema Linux, es importante entender cómo es el proceso de inicio del Sistema Operativo, qué archivos se acceden durante este proceso y qué información se modifica.

Ya tienes todo lo que se necesita para terminar tus informes y presentarlos, y eso es justo lo que debes hacer como reto final.

Recuerda incluir toda la información que consideres necesaria, y utilizar el lenguaje adecuado para cada uno de los informes, a partir de las recomendaciones que ya viste en las clases. Nos vemos en la sección de comentarios.

En este módulo dedicado a la primera etapa del cómputo forense, el proceso de identificación, aprendiste cómo usar un formato de Cadena de Custodia y cómo elaborar un inventario con los elementos de evidencia que te puedas encontrar en el lugar del incidente. Ahora es momento de empezar a aplicar estos conocimientos.

En las últimas clases aprendiste a analizar algunas ubicaciones del Registro de Windows, y a obtener información a partir de llaves usando herramientas como FRED y RegRipper. Sin embargo, el Registro de Windows es una base de datos extensa que contiene muchas ubicaciones que pueden tener información útil, y con las que deberás estar familiarizado.

De manera similar al reto del módulo anterior, en este reto deberás ordenar la información que obtuviste como parte del análisis. Recuerda publicar tus resultados en la sección de comentarios, para que podamos discutir acerca de las dudas o sugerencias que tengas sobre lo que crees que vale la pena incluir en un informe de este tipo.

En la siguiente sección estaremos dándole la forma final a nuestros informes.

Cuando ocurre un incidente informático, las personas afectadas siempre necesitan tener respuesta rápidamente. Esta es una constante con la que te vas a encontrar en tus investigaciones, y tu capacidad, no solo para responder rápidamente al incidente, sino para manejar las expectativas de quienes esperan tu análisis, va a ser muy importante en tu carrera como investigador.

A partir de tu plan de trabajo y los objetivos que se hayan determinado para tu investigación, en este punto ya deberías tener información, documentos o contenido dentro de tus imágenes forenses que sabes que será prioritario, o que deberás copiarlo a alguien más para un análisis más exhaustivo.

Hace un par de módulos elaboraste tu informe preliminar. Ahora vamos a ampliar un poco cada una de las secciones para incluir la información que encontraste en tu etapa de análisis.

En una lectura durante este módulo, hablamos acerca de la importancia de presentar informes preliminares y avances en los resultados de tu investigación.

A lo largo de este módulo aprendiste a usar una gran variedad de herramientas, recursos y técnicas para crear imágenes forenses de diferentes tipos y formatos, y en general para preservar la evidencia que vas a usar en tu investigación. Ahora es momento de aplicar este conocimiento en la práctica.