● 50 entries

Forense y respuesta

$UsnJrnl ($J)Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
Adquisición de evidenciasRecolección defendible de evidencias digitales de sistemas, redes y servicios en la nube mediante herramientas y procedimientos forensemente sólidos.
Amcache.hveColmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
Análisis de artefactosExamen de las trazas digitales que dejan los sistemas operativos y las aplicaciones para reconstruir las acciones del usuario, la ejecución de programas y el comportamiento del atacante.
Análisis de línea de tiempoTécnica forense que reconstruye la secuencia cronológica de eventos en un sistema correlacionando marcas de tiempo de archivos, registros y otros artefactos.
Análisis de malwareEstudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
Análisis de registrosRevisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
Análisis del Registro de WindowsExamen forense de las colmenas del Registro de Windows para recuperar configuración, actividad del usuario y evidencias de ejecución de programas o persistencia.
AntiforenseTécnicas empleadas por atacantes o actores preocupados por la privacidad para obstaculizar, retrasar o frustrar las investigaciones forenses digitales.
Archivos PrefetchArchivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
AutopsyPlataforma de informatica forense de codigo abierto desarrollada por Brian Carrier y Basis Technology que ofrece una interfaz grafica para The Sleuth Kit y un amplio conjunto de modulos de analisis.
Bloqueador de escrituraHerramienta de hardware o software que permite leer un dispositivo de almacenamiento pero impide cualquier escritura que pueda alterar la evidencia.
Cadena de custodiaRegistro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.
Cellebrite UFEDFamilia de productos de forense movil del proveedor israeli Cellebrite que extraen, decodifican y analizan datos de smartphones, drones, SIM y otros dispositivos.
dd (imagen de disco en bruto)Copia bit a bit y plana de un dispositivo de almacenamiento producida por la utilidad Unix dd (o herramientas compatibles), sin compresion, metadatos ni hashes por bloque.
DFIR (Análisis forense y respuesta a incidentes)Disciplina combinada que fusiona la investigación forense digital con la respuesta a incidentes para detectar, contener, erradicar y aprender de los incidentes ciberseguridad.
Ejercicio de mesaSimulación basada en discusión donde los responsables recorren un incidente hipotético para probar planes, roles, decisiones y comunicaciones.
EnCaseEnCase es una familia de productos comerciales de informatica forense de OpenText (originalmente Guidance Software), ampliamente usada por fuerzas del orden y peritos corporativos desde finales de los anos 90.
EstegoanálisisDisciplina forense dedicada a detectar y, cuando es posible, extraer información oculta incrustada con esteganografía en archivos aparentemente inocuos.
EZ Tools de Eric ZimmermanSuite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias.
Forense de discoAnálisis de medios de almacenamiento no volátiles (HDD, SSD, USB) para recuperar y examinar artefactos del sistema de archivos, aplicaciones y sistema operativo.
Forense de memoriaDisciplina que adquiere y analiza la RAM volátil del sistema para revelar procesos en ejecución, conexiones de red, código inyectado y artefactos en memoria.
Forense de redCaptura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante.
Forense en la nubeInvestigación forense de infraestructura, aplicaciones y servicios SaaS en la nube, basada en APIs del proveedor, logs de auditoría y recursos efímeros.
Forense móvilAdquisición y análisis forense de smartphones, tabletas y wearables para extraer comunicaciones, datos de aplicaciones, ubicación y otros artefactos.
Formato de imagen E01 (EnCase)Formato de imagen forense introducido por Guidance Software para EnCase que almacena la copia adquirida en archivos segmentados y comprimidos con metadatos y sumas de verificacion.
FTKForensic Toolkit (FTK) es una suite comercial de informatica forense desarrollada por AccessData y actualmente propiedad de Exterro, utilizada para adquirir, indexar y analizar evidencia digital.
GrayKeyAparato dedicado de hardware y software de Grayshift (ahora Magnet Forensics) utilizado por fuerzas del orden para desbloquear y extraer datos de dispositivos iOS y Android bloqueados.
hiberfil.sysArchivo de hibernacion comprimido de Windows que guarda una instantanea casi completa de la memoria fisica en el momento de la hibernacion, permitiendo acceso forense a la RAM de un sistema apagado.
Imagen forenseCopia bit a bit de un soporte de almacenamiento, verificada con hashes criptográficos, para análisis forense y como evidencia admisible.
Informática forenseDisciplina científica que identifica, preserva, analiza y documenta evidencia digital de equipos, redes y dispositivos de forma jurídicamente defendible.
Ingeniería inversaProceso de desensamblar y analizar software compilado, firmware o hardware para recuperar su diseño, comportamiento y funcionamiento interno.
Jump ListsArchivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.
KAPE (Kroll Artifact Parser and Extractor)Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision.
Kit forenseTermino generico para el conjunto de hardware, software y procedimientos validados que un perito forense digital utiliza para adquirir, preservar y analizar evidencia.
Magnet AXIOMPlataforma comercial DFIR de Magnet Forensics que ingiere discos, fuentes moviles y en la nube, parsea artefactos y los presenta en una interfaz unica de revision.
MFT (Master File Table)Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
Orden de volatilidadPrioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
pagefile.sysArchivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
Plan de respuesta a incidentesManual documentado y aprobado que define cómo la organización se prepara, detecta, contiene, erradica, recupera y aprende de los incidentes cibernéticos.
PlasoHerramienta Python de codigo abierto creada por Kristinn Gudjonsson que extrae automaticamente marcas de tiempo de multiples fuentes para construir una 'super timeline' forense.
Preparación forenseCapacidad preparada de una organización para recopilar, preservar y analizar evidencias digitales con el mínimo impacto cuando surge un incidente o un asunto legal.
Preservación de evidenciasDisciplina forense que protege la evidencia digital frente a alteración, pérdida o contaminación para que siga siendo admisible y fiable durante la investigación.
Respuesta a incidentesProceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
ShellbagsClaves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red.
Shimcache (AppCompatCache)Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
Tallado de archivosTécnica forense que recupera archivos del espacio no asignado o datos en bruto reconociendo firmas, cabeceras y pies de archivo sin depender de los metadatos del sistema de archivos.
The Sleuth KitBiblioteca y conjunto de herramientas de linea de comandos de codigo abierto para el analisis de bajo nivel de imagenes de disco y sistemas de archivos, mantenido por Brian Carrier.
Verificacion forense de hashPractica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia.
Volatility FrameworkMarco de codigo abierto para analisis forense de memoria creado originalmente por Aaron Walters y la Volatility Foundation, usado para extraer artefactos de imagenes de memoria RAM.