SlideShare una empresa de Scribd logo

#RootedCON18: De cero a #DFIR

Descargar como PPTX, PDF
Marcos Fuentes
Marcos Fuentes

Presentación / taller impartido en el Congreso de Seguridad Informática RootedCON en su edición 2018, (#RootedCON18)

Presentaciones y charlas públicas
1 de 70
De cero a DFIR Primeros pasos en el Análisis Informático Forense
De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
De cero a DFIR 20 Imagen de disco Precaución
De cero a DFIR 21 Imagen de disco Precaución
De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
De cero a DFIR 70 Lo hizo un mago

Recomendados

Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redEventos Creativos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 

Recomendados

Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redEventos Creativos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la InformaciónLuis Fernando Aguas Bucheli
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis ForenseChema Alonso
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELLuis Fernando Aguas Bucheli
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdfCsarVera14
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
La dura vida del Pentester
La dura vida del PentesterLa dura vida del Pentester
La dura vida del PentesterEventos Creativos
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 
Informaticaforense lea
Informaticaforense leaInformaticaforense lea
Informaticaforense lealuiseduardoarocha
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informaticoDarwin Del Castillo Tenazoa
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Alonso Caballero
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spywarezapotteco
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador ForenseFiko Perez
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Técnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfTécnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfJoseBatres12
 
Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaJesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaDiffusor Fidei
 

Más contenido relacionado

Similar a #RootedCON18: De cero a #DFIR

Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdfCsarVera14
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Alonso Caballero
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spywarezapotteco
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador ForenseFiko Perez
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 

Similar a #RootedCON18: De cero a #DFIR (20)

Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
La dura vida del Pentester
La dura vida del PentesterLa dura vida del Pentester
La dura vida del Pentester
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1
 
Informaticaforense lea
Informaticaforense leaInformaticaforense lea
Informaticaforense lea
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informatico
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spyware
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador Forense
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 

Último

Técnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfTécnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfJoseBatres12
 
Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaJesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaDiffusor Fidei
 
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESAMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESvictormutombo20
 
La leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo RodriguesLa leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo RodriguesEMERSON EDUARDO RODRIGUES
 
MANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocxMANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocxjulio315057
 
Presentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptxPresentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptxProduvisaCursos
 
Presentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptxPresentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptxTepTziuMiriamAurora
 

Último (7)

Técnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfTécnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdf
 
Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaJesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
 
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESAMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
 
La leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo RodriguesLa leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
 
MANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocxMANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocx
 
Presentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptxPresentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptx
 
Presentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptxPresentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptx
 

#RootedCON18: De cero a #DFIR

  • 1. De cero a DFIR Primeros pasos en el Análisis Informático Forense
  • 2. De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  • 3. De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
  • 4. De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
  • 5. De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
  • 6. De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
  • 7. De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
  • 8. De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
  • 9. De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
  • 10. De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
  • 11. De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
  • 12. De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
  • 13. De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
  • 14. De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
  • 15. De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
  • 16. De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
  • 17. De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
  • 18. De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
  • 19. De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
  • 20. De cero a DFIR 20 Imagen de disco Precaución
  • 21. De cero a DFIR 21 Imagen de disco Precaución
  • 22. De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
  • 23. De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
  • 24. De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
  • 25. De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
  • 26. De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  • 27. De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  • 28. De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
  • 29. De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
  • 30. De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
  • 31. De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
  • 32. De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  • 33. De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  • 34. De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
  • 35. De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
  • 36. De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
  • 37. De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
  • 38. De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
  • 39. De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
  • 40. De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
  • 41. De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
  • 42. De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
  • 43. De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
  • 44. De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 45. De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 46. De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
  • 47. De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
  • 48. De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
  • 49. De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
  • 50. De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
  • 51. De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
  • 52. De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
  • 53. De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
  • 54. De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
  • 55. De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
  • 56. De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
  • 57. De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
  • 58. De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
  • 59. De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
  • 60. De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  • 61. De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  • 62. De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 63. De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 64. De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  • 65. De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  • 66. De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  • 67. De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
  • 68. De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
  • 69. De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
  • 70. De cero a DFIR 70 Lo hizo un mago