I. DATOS INFORMATIVOS Carrera Especialidad Curso Código Ciclo : COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Informática Forense : Z-RED111 : Sexto Requisitos : Z-RED120 (Seguridad de Redes I) : 12 Semanas Duración Horas Semana : 08 horas Versión : v.0109 II. SUMILLA: El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o exanimación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos. III. OBJETIVO A. General La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo. Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo. B. Específicos Esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. IV. CONTENIDOS SEMANA 1: El Hardware de PC y Su Sistemas de Archivos 1. PCs y aplicaciones. 2. Componentes de un ordenador y periféricos. 3. Componentes de Almacenamiento de datos de un sistema informático 1. Definición. Tipos de Sistemas de Archivos. 1. Selección del sistema de archivos. [CASI v. 0109] Pág. 1
1. El File Allocation Table 2. Directory entries SEMANA 2: MANEJO DE LA EVIDENCIA EN LA ESCENA DEL DELITO Sesión 1-2. 1. Planeamiento y preparación para la respuesta ante un incidente. 1. Reglas básicas y procedimientos para el manejo de la evidencia de un computador en la escena del delito. SEMANA 3: ADQUIRIENDO EVIDENCIA DIGITAL 1. Inicio del sistema con discos de inicio ENCASE. 1.1. Obtención de una imagen de las unidades de almacenamiento sin alterar la información de origen. 1.2. Uso de Bloqueadores 1. Adquisiciones a través del puerto paralelo. 2. Adquisiciones a través de la interfaz de red,. 1. Adquisiciones de Fastbloc, FIM y LinEn. SEMANA 4: CONCEPTOS DE ENCASE 1. El Formato del archivo de evidencia ENCASE. 2. Hash MD5 1. Frecuencia CRC 2. Verificación del archivo de evidencia. 1. Hashing de discos 2. Volúmenes de Discos 3. Respaldo del archivo ENCASE SEMANA 5: ENTORNO DE ENCASE 1. Vistas y características de ENCASE. 1. Creación de un caso. 2. Manejar las entradas de vistas del árbol y panel 1. Vistas globales 2. Vistas de otros casos ENCASE [CASI v. 0109] Pág. 2
SEMANA 6: ENTENDIENDO, BUSCANDO Y MARCANDO LOS DATOS Sesión 1-2. 1. Técnicas para el reconocimiento y entendimiento de los datos 2. Búsquedas básicas. 3. Búsquedas avanzadas GREP. 1. Marcado de los hallazgos 2. Organización de las marcas de datos para la generación de reportes SEMANA 7: ANALISIS HASH Y DE FIRMA DE ARCHIVOS 1. La extensión de archivos. 2. Las firmas de archivos. 3. Agregando firmas de archivos a ENCASE. 1. Realización de análisis de firma de archivos. 2. Evaluación de los resultados 1. Entendiendo el hash MD5 2. Creación de conjuntos hash. 3. Creación de librerías hash. SEMANA 8: ANALISIS DE SISTEMA OPERATIVO WINDOWS 1. Características del sistema operativo Windows. 2. Características de la fecha y la hora 3. Ajustando la zona horaria 4. Papelera de reciclaje 5. Registros INFO 1. Enlace de archivos. 2. Directorios recientes 3. Directorios de escritorio 4. Temporales, cookies, favoritos y otros. 1. Hibernación. 2. Archivos de impresión. 3. Registros históricos. 4. Archivo SWAP. SEMANA 9: ENCASE AVANZADO 1. Localizando y Montando particiones 2. Montar archivos 3. El registro Window [CASI v. 0109] Pág. 3
1. Enscripts y filtros físicos 2. Los E-mail 3. El cifrado Base64. 4. La Suite de descifrado Encase (EDS) 5. El sistema de Archivos Virtuales (VFS), 6. Exportando aplicaciones 7. Restauración y emulador de disco físico (PDE) SEMANA 10: Semana de Regularización SEMANA 11: Semana de Exámenes Finales SEMANA 12: Semana de Exámenes Sustitutorios V. EVALUACIÓN La ponderación de evaluaciones será: PRACTICO Porcentajes Evaluación Aplicativa - EA 28 % Evaluación Continua - EC 12 % TEORICO Evaluación Teórica * - ET 50 % ACTITUDINAL Asistencias - AS 3 % Participación en Clases - PCL 7 % Total 100 % * Es el promedio de las evaluaciones teóricas (mínimo 1). La formula de evaluación será: [ 0.28(EA) + 0.12(EC) + 0.50(ET) + 0.03(AS) + 0.07(PCL) ] VI. BIBIOGRAFÍA Forensic Discovery/ Dan Farmer, Wietse Venema. / 1 edition (January 9, 2005)/ 300 Pages. [CASI v. 0109] Pág. 4
EnCase Computer Forensics / Steve Bunting /2 edition (December 5, 2007). / 648 páginas. File System Forensic Analysis / Brian Carrier. / 1 edition (March 27, 2005)/ 600 Pages. Windows Forensic Analysis / Harlan Carvey, Dave Kleiman. / April 24, 2007/ 416 Pages; Edition: 1 t. Guide to Computer Forensics and Investigations / Bill Nelson, Amelia Phillips, Frank Enfinger, Christopher Steuart / 3 edition (December 24, 2007) / 704 pages. [CASI v. 0109] Pág. 5