Tendencia de evidencia Digital – Por la policía Nacional de Colombia.
Pasos
- Identificación
- Recolección
- Preservación y análisis
Software que cambia las evidencias del análisis de la evidencia
- PGP
- Bitlocker (para Windo 7)
- File Vault (para MAC)
Tools (Herramientas):
- ILOOK
- FTK Access Data
- FTK Imager
- Encase
- IR Tools
- Winhex
Tipos de Imagenes Forenses:
- Físicas: Permite Recuperar información
- Lógicas: Copia de un volumen de información del disco.
- Autenticación con HAS, MD5 y SHA1
Procedimiento
- Hallazgo
- Identificación
- Imagen Forense
- Búsquedas Avanzadas
- Extracción de información
- Análisis
- Proyección de informes
Escenarios:
Escenario de Datos Volátiles: Cuando los datos estén en memoria RAM.
Escenario con Bitlocker
Escenario con FileVault:
- Extraer el archivo que se llama sparsebundle, copiar y convertirlo en imagen (dmg).
- Verificar contraseñas
- Realizar una imagen forense
Escenario con el equipo apagado
- Utilizar una herramienta Linux Live CD de análisis forense que se llama RAPTOR
- Realizar imágenes forenses
- Búsqueda de información
- Realizar imagen forense (evitar que se inicie el sistema operativo)
Conclusiones:
-Documentar lo que se hace bien hecho con el procedimiento
-Es necesario ajustar cada procedimiento de recolección de evidencia digital según la tecnología.
JOG@-CTeI 
Debe estar conectado para enviar un comentario.