Please enable JavaScript.
Coggle requires JavaScript to display documents.
Investigación Forense en Hurto por Medios Informáticos - Coggle Diagram
Investigación Forense en Hurto por Medios Informáticos
I. Caso de Estudio: Hurto en Aseguradora
Víctima: Empresa aseguradora
Modus Operandi: Acceso vía empleado, PC Windows 11
Período: Fin de semana del hurto
Declaración Empleado: "No usé el PC", "Borré formatos hace 2 días"
II. Fases de la Investigación Forense
Adquisición de Evidencia
Su objetivo es recopilar datos de forma íntegra.
Método: Imagen Forense (FTK Imager).
Consideraciones: Evidencia volátil (RAM, procesos), impacto de herramientas (consumo de recursos).
Herramientas: Agentes Forenses (pre-asignación de recursos).
Análisis Forense
Su objetivo es examinar datos adquiridos, identificar artefactos.
Técnicas: Análisis de líneas de tiempo, recuperación de archivos, análisis de memoria.
Herramientas: Volatility, PTFinder, The SleuthKit (fls.exe), evtparse.pl, editores hexadecimales, suites forenses.
Cadena de Custodia
Asegurar integridad de la evidencia
Documentación y Reporte
III. Artefactos y Ubicaciones Clave en Windows 11 (Evidencia)
A. Sistema de Archivos y Almacenamiento
Archivos de Datos: Atributos de tiempo (Modificación, Acceso, Creación).
Espacio en Disco
Archivos Borrados: No se eliminan físicamente (solo se marca el índice).
Espacio Slack: Restos de datos dentro de unidades de asignación (alta importancia).
Espacio Libre: Áreas no asignadas, pueden contener datos eliminados.
Metadatos: Información interna de archivos (relevante para "formatos borrados").
B. Memoria del Sistema
Kernel Pools
Paged Pool (con pagefile.sys).
NonPaged Pool: (procesos, subprocesos).
Page File (C:\pagefile.sys): Potencial evidencia RAM.
Estructuras _EPROCESS: Nombres de binarios, IDs de proceso, marcas de tiempo (creación/salida).
C. Registros y Configuración
Registry Hives
Perfiles de Usuario (HKEY_USERS, HKEY_CURRENT_USER).
SAM, Security.
MRU (Most Recently Used), Run/RunOnce.
Información de conexión de red, dispositivos, configuración de aplicaciones.
Registros de Eventos (Event Logs): Seguridad, Sistema, Aplicación, PowerShell.
D. Artefactos de Interacción del Usuario
Historial de Navegación: index.dat (URLs).
Archivos LNK (Atajos): Acceso a archivos.
Jump Lists: Archivos recientes.
ShellBags: Configuración de carpetas.
Prefetch Files (.pf), Amcache.hve / ShimCache: Ejecución de programas.
Evidencia de Dispositivos USB
E. Carpetas Críticas del Sistema
C:\Program Files / C:\Program Files (x86): Instalación de software (malicioso?).
C:\Windows\System32: DLLs, ejecutables, Registry Hives.
C:\SystemVolumeInformation (Volume Shadow Copy Service): Versiones anteriores de archivos.
C:\Program Files\RUXIM: Recopilación de información.
C:\Users[user]\AppData\Local\D3DSCache: Aplicaciones multimedia.
IV. Reconstrucción de Líneas de Tiempo
Su objetivo es entender la cronología de eventos (tomando como referencia el caso presentado)
Formato: TLN (Time|Source|Host|User|Description).
Fuentes de Datos: Registry Hives, Event Logs, index.dat, VSS.
Desafíos: Falta de registro de "último acceso" en versiones recientes de Windows.
Técnicas de Correlación: RID para identificar
V. Técnicas Antiforense y Contramedidas
Técnicas de Ocultamiento
Criptografía: Oculta contenido.
Esteganografía: Oculta la comunicación misma (dentro de archivos).
Compresión: (Ej. LHARC) Dificulta análisis de cadenas.
Cambio de Extensión: Detección con editor hexadecimal.
Limpiadores de Disco: Ineficaces para eliminación total.
Detección y Contramedidas
Conocimiento de técnicas de ocultamiento.
Uso de múltiples herramientas forenses (comerciales y open-source).
Análisis de encabezados de archivos.