Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Apéndice: Recursos
Publicado: enero 11, 2007
En este apéndice se ofrece información acerca de varios recursos que puede utilizar para realizar una investigación de equipo.
En esta página
Preparación de la organización para una investigación de equipo
Hojas de cálculo y Muestras
Informar de crímenes relacionados con equipos
Aprendizaje
Tools
Preparación de la organización para una investigación de equipo
Para preparar a su organización para una investigación interna de equipo, debe reunir un kit de herramientas de investigación de equipos disponible cómodamente que incluya software y dispositivos que se puedan utilizar para obtener evidencias. Este kit de herramientas puede contener un equipo portátil con herramientas de software adecuadas, diferentes sistemas operativos y revisiones, medios de aplicación, dispositivos de copia de seguridad, medios en blanco, equipos de red básicos y cables. La preparación de este kit de herramientas puede ser un proceso continuo, a medida que se vayan necesitando diferentes herramientas y recursos, en función de las investigaciones que deba llevar a cabo.
Utilice las instrucciones siguientes para crear y usar un kit de herramientas de investigación de equipo:
Decida qué herramientas prevé utilizar antes de iniciar la investigación. Además de Microsoft® Windows® Sysinternals y otras herramientas de Windows mencionadas en este documento, el kit de herramientas incluirá software forense dedicado, como Encase de Guidance Software, Forensic Toolkit (FTK) de AccessData o ProDiscover de Technology Pathways.
Asegúrese de archivar y conservar las herramientas. Es posible que necesite una copia de seguridad de las herramientas de investigación de equipo y el software que utilice en la investigación para demostrar cómo recopiló y analizó los datos.
Haga una lista de todos los sistemas operativos que probablemente examinará, y asegúrese de que tiene las herramientas necesarias para examinarlos todos. Por ejemplo, puede utilizar herramientas de Windows Sysinternals (descritas más adelante en este apéndice) como PsInfo, PsLogList y ProcessExplorer para examinar equipos que ejecuten Windows XP y Windows Server® 2003.
Incluya una herramienta para recopilar y analizar metadatos.
Incluya una herramienta para crear copias bit a bit y lógicas.
Incluya herramientas para reunir y examinar datos volátiles, como el estado del sistema. Algunos ejemplos de herramientas de Windows Sysinternals son ListDLLs, LogonSessions, PendMoves, Autoruns y ProcessExplorer. Las herramientas de Windows son Systeminfo, Ipconfig, Netstat y Arp.
Incluya una herramienta para generar sumas de comprobación y firmas digitales en archivos y otros datos, como la herramienta Comprobador de Integridad de CHECKSUM de Archivo (FCIV). Esta herramienta está disponible en el artículo 841290 de Microsoft Knowledge Base, Disponibilidad y descripción de la herramienta Comprobador de Integridad de CHECKSUM de Archivo.
Si necesita reunir evidencias físicas, incluya una cámara digital en el kit de herramientas.
Además, compruebe que el kit de herramientas cumple los criterios siguientes:
Las herramientas de obtención de datos se muestran con fines de precisión. Normalmente, resulta más fácil demostrar la precisión si se utiliza un software forense conocido.
Las herramientas no modifican el tiempo de acceso de los archivos.
El dispositivo de almacenamiento del examinador es estéril desde un punto de vista forense, es decir, que la unidad de disco no contiene datos antes de utilizarse. Para determinar si un dispositivo de almacenamiento es estéril desde un punto de vista, ejecute una suma de comprobación en el dispositivo. Si la suma de comprobación devuelve todo ceros, la unidad no contiene datos.
El hardware y las herramientas del examinador sólo se utilizan para el proceso de investigación de equipos, no para otras tareas.
Hojas de cálculo y Muestras
En la tabla siguiente se proporciona una lista de hojas de cálculo y muestras que se pueden utilizar durante la investigación de equipo. Algunos de estos recursos están disponibles como documentos de Word separados y se incluyen en el archivo del Centro de descarga de Microsoft del que extrajo esta guía. Los otros están disponibles a través de un vínculo al sitio Web del Instituto Nacional de Justicia.
Tabla A.1. Hojas de cálculo y Muestras
| Nombre de documento | Ubicación |
|---|---|
| Hoja de cálculo: Chain of Custody Log Documentation.doc Hoja de cálculo: Impact Analysis.doc Muestra: Internal Investigation Report.doc | Vínculo a la Guía fundamental de investigación de equipos para Windows en el Centro de descarga de Microsoft. |
| Evidencia de equipo Evidencia de disco duro Removable media (Medios extraíbles) | Apéndice C. Hojas de cálculo de muestra en Forensic Examination of Digital Evidence: A Guide for Law Enforcement del Instituto Nacional de Justicia, una agencia del Departamento de Justicia de EE.UU. |
| Tipo de crimen | Organizaciones adecuadas |
|---|---|
| Asuntos de explotación de menores y fraude en Internet relacionados con el correo | Servicio de Inspección Postal de EE.UU. Centro de Quejas sobre Crímenes en Internet |
| Explotación o pornografía de menores | Policía local Oficina local del FBI Si se trata de un crimen importado, Oficina de Inmigración y Aduanas de EE.UU. Centro de Quejas sobre Crímenes en Internet |
| Intrusión de equipos (piratería) | Oficina local del FBI Servicio Secreto de Estados Unidos Centro de Quejas sobre Crímenes en Internet Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Piratería de Copyright (software, películas, grabación de sonido) | Oficina local del FBI Si se trata de un crimen importado, Oficina de Inmigración y Aduanas de EE.UU. Centro de Quejas sobre Crímenes en Internet Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Falsificación de divisas | Servicio Secreto de Estados Unidos |
| Robo de identidad o datos de clientes | Oficina local del FBI Servicio Secreto de Estados Unidos (División de crímenes financieros) Formulario de quejas del consumidor FTC Centro de Quejas sobre Crímenes en Internet Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Amenazas de bomba en Internet | Oficina local del FBI Oficina local de la división de ATF Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Fraude en Internet y correo no deseado | Oficina local del FBI Servicio Secreto de Estados Unidos (División de crímenes financieros) Formulario de quejas del consumidor FTC Si se trata de fraude de títulos o correo electrónico no deseado relacionado con inversiones, Centro de reclamaciones de la SEC y consejos informativos Centro de Quejas sobre Crímenes en Internet Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Acoso de Internet | Oficina local del FBI Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Tráfico de contraseñas | Oficina local del FBI Servicio Secreto de Estados Unidos Centro de Quejas sobre Crímenes en Internet Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Robo de secretos comerciales | Oficina local del FBI Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Falsificación de marcas | Oficina local del FBI Si se trata de un crimen importado, Oficina de Inmigración y Aduanas de EE.UU. Centro de Quejas sobre Crímenes en Internet Unidad operativa o cuerpo policial local contra crímenes tecnológicos |
| Tráfico de explosivos, dispositivos incendiarios o armas de fuego en Internet | Oficina local del FBI Oficina local de la división de ATF |
Aprendizaje
Es recomendable que algunos de los miembros del equipo de respuesta a incidentes asistan a un curso de formación formal sobre investigación de equipos. Sin la formación pertinente, es improbable que el equipo lleve a cabo una investigación eficaz. De hecho, los examinadores sin conocimientos podrían afectar negativamente a la investigación por destrucción accidental de evidencias volátiles.
Para obtener una lista de organizaciones no lucrativas, organizaciones, autoridades judiciales federales e instituciones académicas que ofrecen formación sobre análisis forense de equipos, consulte el "Appendix G. Training Resources List" (Apéndice G. Lista de recursos de formación) de Forensic Examination of Digital Evidence: A Guide for Law Enforcement del Instituto Nacional de Justicia, una agencia del Departamento de Justicia de EE.UU.
Tools
Cada investigación será diferente. Las herramientas que utilice deben ser apropiadas para obtener la información que busca, pero siempre es recomendable recoger más evidencias de las necesarias.
En esta sección se proporciona información acerca de las herramientas de Windows Sysinternals y otras herramientas de Windows que pueden ayudarle a realizar una investigación de equipos interna. Los tipos de herramientas se representan mediante iconos en la primera columna de la tabla siguiente:
Tabla A.3. Tipos de herramienta
| Icono | Descripción |
|---|---|
.gif) |
Este icono representa una herramienta de línea de comandos. |
.gif) |
Este icono representa una herramienta con una interfaz gráfica de usuario que requiere instalación y altera la unidad de disco de destino. |
| Tipo de herramienta | Nombre | Descripción |
|---|---|---|
| |
AccessChk v2.0 | Muestra el acceso a archivos, claves de registro o servicios de Windows del usuario o el grupo que especifique. |
| |
AccessEnum v1.3 | Muestra quién tiene acceso a qué directorios, archivos y claves de registro de un equipo. Utilícelo para encontrar los lugares donde los permisos no se han aplicado correctamente. |
| |
Autoruns v8.53 | Muestra los programas que están configurados para iniciarse automáticamente cuando se arranca un equipo y un usuario inicia una sesión (también muestra la lista completa de las ubicaciones de registro y archivo donde las aplicaciones pueden configurar los valores de inicio automático). |
| |
Autorunsc v8.53 | La versión de línea de comandos del programa Autoruns (descrita en la entrada anterior). |
| |
Diskmon | Captura toda la actividad del disco duro. Actúa como una luz de actividad del disco de software en la bandeja del sistema. |
| |
DiskView | Utilidad gráfica del sector de disco; visor de disco. |
| |
Du v1.3 | Muestra el uso de disco por directorio. |
| |
Filemon v7.03 | Muestra toda la actividad del sistema de archivos en tiempo real. |
| |
Handle v3.2 | Muestra los archivos abiertos y el proceso que abrió dichos archivos. |
| |
ListDLLs v2.25 | Muestra todos los DLL cargados actualmente, así como dónde están cargados y los números de versión (imprime los nombres de ruta completos de los módulos cargados). |
| |
LogonSessions v1.1 | Lista las sesiones de inicio activas |
| |
PendMoves v1.1 | Muestra los comandos file rename y delete que se ejecutarán la próxima vez que se inicie el equipo. |
| |
Portmon v3.02 | Muestra la actividad del puerto paralelo y serie (también muestra parte de los datos enviados y recibidos). |
| |
Process Explorer v10.2 | Muestra los archivos, claves de registro y otros objetos que han abiertos los procesos, los DLL que se han cargado, los propietarios de los procesos, etc. |
| |
PsExec v1.72 | Ejecuta procesos de forma remota. |
| |
PsFile v1.01 | Muestra los archivos abiertos. |
| |
PsInfo v1.71 | Muestra información acerca de un equipo. |
| |
PsList v1.27 | Muestra información acerca de procesos y subprocesos. |
| |
PsLoggedOn v1.32 | Muestra los usuarios que han iniciado sesión en un equipo. |
| |
PsLogList v2.63 | Vuelca los registros de eventos. |
| |
PsService v2.2 | Vista y control de servicios. |
| |
Regmon v7.03 | Muestra toda la actividad de registro en tiempo real. |
| |
RootkitRevealer | Busca código malintencionado basado en rootkit. |
| |
ShareEnum v1.6 | Busca recursos compartidos de archivo en una red y muestra la configuración de seguridad para eliminar los valores aplicados incorrectamente. |
| |
Streams v1.53 | Revela secuencias de datos NTFS alternativas. |
| |
Strings v2.3 | Busca cadenas ANSI y UNICODE en imágenes binarias. |
| |
TCPVcon v2.34 | Muestra los sockets activos. |
| |
TCPView v2.4 | Muestra todos los extremos TCP y UDP abiertos y el nombre del proceso que posee cada extremo. |
| |
TDIMon v1.01 | Muestra información de TCP/IP. |
| |
Tokenmon v1.01 | Muestra la actividad relacionada con la seguridad, incluidos el inicio y cierre de sesión, el uso de privilegios y la suplantación. |
| Tipo de herramienta | Nombre | Descripción |
|---|---|---|
| |
Arp | Muestra tablas de Protocolo de resolución de direcciones (ARP). |
| |
Date | Muestra la configuración de fecha actual. |
| |
Dir | Muestra una lista de archivos y subdirectorios. |
| |
Doskey | Muestra el historial de comandos para un shell CMD.EXE abierto. |
| |
Ipconfig | Muestra la configuración local del equipo. |
| |
Net | Actualiza, corrige o muestra la red o la configuración de red. |
| |
Netstat | Muestra estadísticas de protocolo y la información de conexión actual. |
| |
Time | Muestra la configuración de hora actual. |
| |
Find | Busca en archivos para encontrar una cadena. |
| |
Schtasks | Muestra las tareas programadas. |
| |
Systeminfo | Proporciona información general acerca del equipo. |
| |
Vol | Muestra la etiqueta de volumen de disco y el número de serie, si existen. |
| |
Hostname | Muestra la parte del nombre de host del nombre completo del equipo. |
| |
Openfiles | Consulta, muestra o desconecta archivos abiertos o archivos abiertos por usuarios de la red. |
| |
FCIV | Comprobador de Integridad de CHECKSUM de Archivo. Sirve para calcular un hash MD5 o SHA1 cifrado del contenido de un archivo. |
| |
Bloc de notas | Sirve para examinar los metadatos asociados con un archivo. |
| |
Reg | Sirve para ver, modificar, exportar, guardar o eliminar claves de registro, valores y subárboles. |
| |
Netcap | Recopila información de rastreo de red de la línea de comandos. |
| |
Sc | Sirve para comunicarse con el Controlador de servicio y los servicios. (La consulta de Sc es útil para volcar todos los servicios y sus estados). |
| |
Assoc | Ve o modifica las asociaciones de extensión de nombre de archivo. |
| |
Ftype | Ve o modifica los tipos de archivo utilizados en asociaciones de extensión de nombre de archivo. |
| |
Gpresult | Determina el conjunto de directivas resultante. |
| |
Tasklist | Lista los procesos en ejecución y los módulos cargados. |
| |
MBSA | Determina el estado de la revisión de seguridad y otras vulnerabilidades conocidas. |
| |
Rsop.msc | Muestra el conjunto de directivas resultante. |
| |
Rasdiag | Recopila información diagnóstica acerca de servicios remotos y colóquela en un archivo. |