Analisis Forense en La Corporación

Análisis Forense en la
Corporación
Alfredo Reino
areino@gmail.com
Introducción
 Limitaciones en el "mundo real"
 Aspectos legales
 Fases de una investigación
 Obtención de la evidencia
• Windows
• Unix / Linux
• Cisco
 Análisis forense como servicio corporativo
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones en el "mundo real"
Grandes corporaciones
 Las grandes corporaciones no son un
mundo "ideal"
• Tamaño
 Número de sistemas
 Número de localizaciones
• Complejidad
 Tecnológica
 Política
 Organizativa
 Legal
• Sistemas y aplicaciones críticos
• Modelo "clientes internos"
• Madurez tecnológica, cultura tecnológica
Alfredo Reino
areino@gmail.com
Limitaciones
 Limitaciones organizativas
 Limitaciones legales
 Limitaciones físicas
 Limitaciones tecnológicas
Alfredo Reino
areino@gmail.com
Limitaciones físicas
 Distancias
• Acceso físico a sistemas y evidencia
• Limitaciones de desplazamiento
• Zonas horarias
 Calendarios
• Diferentes fiestas
• Diferentes días críticos
 Diferencias
• Culturales
• De idioma
Alfredo Reino
areino@gmail.com
Limitaciones tecnológicas
 Ancho de banda
• Acceso remoto a sistemas
• Imágenes de disco o memoria
 Sistemas de almacenamiento
• SAN / NAS
• Almacenamiento distribuido / replicado
• RAID
• Sistemas críticos
Alfredo Reino
areino@gmail.com
Limitaciones organizativas
 Modelo de gestión
• Centralizado
• Descentralizado
• "Silos" locales
 Quién controla los sistemas?
• Insourcing
• Outsourcing
 Jurisdicciones internas
Alfredo Reino
areino@gmail.com
Limitaciones legales
 Cada localización tiene
• su legislación nacional referente a
cibercrimen y protección de datos
• sus políticas de RRHH
 Cada localización puede tener
• sus políticas y estándares de seguridad
corporativos
 Requisitos regulatorios de la
industria
Alfredo Reino
areino@gmail.com
Aspectos Legales
Aspectos Legales
 Diferentes modelos
• Unión Europea
• Estados Unidos de América
 Quién investiga
 Protección de datos
 Uso judicial de la investigación
Alfredo Reino
areino@gmail.com
Unión Europea
 27 Estados miembros
 Dos sistemas legales
• Derecho Común (Common Law)
 UK, Irlanda, Chipre, Malta
 Más basado en la jurisprudencia
• Derecho Civil
 Resto de paises de la UE
 Más basado en la ley
Alfredo Reino
areino@gmail.com
Quién investiga
 Empresa "víctima", con personal interno o
externo
• En la UE no se requiere licencia de
"investigador" para personal externo (en UK
posiblemente en el futuro)
 El Estado
• Puede investigar o procesar a los atacantes
• Puede investigar a la empresa por seguridad
inadecuada
 Otras personas, físicas o jurídicas,
afectadas por el incidente de seguridad
• En el contexto de Protección de Datos
Alfredo Reino
areino@gmail.com
Legislación Unión Europea
 Leyes sobre "hacking"

• EU Information System Attacks Decision
 Debe estar implementada por los estados el
16 de Marzo de 2007
• UK Computer Misuse Act
• Deutsches Strafgesetzbuch
• etc
Alfredo Reino
areino@gmail.com
Protección de Datos
 Protección de Datos
• Data Protection Directive (1995)
• Privacy and Electronic Communications
Directive (2002)
 Las directivas se trasponen a legislación
nacional por los estados miembros
• En España la LOPD (1999)
 Cada estado miembro tiene una agencia
nacional de protección de datos
• En España la "Agencia Española de Protección
de Datos"
Alfredo Reino
areino@gmail.com
Crimen sin fronteras
 A menudo los casos cruzan fronteras

 Diferentes elementos pueden estar
en diferentes paises
• Los culpables
• Las víctimas
• Datos y contenido robados
• Evidencia del delito
• Herramientas usadas
Alfredo Reino
areino@gmail.com
Crimen sin fronteras
 Acuerdos y tratados internacionales
• MLATs (Tratados de Asistencia Mutua Legal)
entre paises
• Convención de Schengen
• MLAT entre UE y EEUU (2003)
 Otros procedimientos
• Comisión rogatoria (letter rogatory)
• Cooperación informal entre Policías
• INTERPOL
• Subgrupo de Crimen de Alta Tecnología del G8
Alfredo Reino
areino@gmail.com
Involucrar a la Policía
 Criterios de decisión
• Tipo de delito
• Política interna
• Obligaciones legales
 En UE no es obligatorio, en EEUU sí (según
el caso)
• Existencia de víctimas externas
(empresas, clientes, usuarios, etc.)
Alfredo Reino
areino@gmail.com
Honeypots
 Legalmente es un "area gris"
• Intercepción de comunicaciones
• Protección de datos personales
 ¡sí, del atacante!
• Asistencia a un delito
 El honeypot puede usarse para lanzar otros ataques
• Inducción al delito (entrapment)
 Como estrategia de defensa en el juicio
• Contenido ilegal
 Material con copyright
 Pornografía infantil
Alfredo Reino
areino@gmail.com
Fases de una investigación
Fases de una investigación
 Verificación del incidente

 Obtención de evidencia
 Análisis de la evidencia
 Elaboración de informes
 Almacenamiento de informes y
evidencia
Alfredo Reino
areino@gmail.com
Inicio de la investigación
 Usuarios o personal de TI informan de un posible
incidente
• Cuentas bloqueadas, funcionamiento errático o
incorrecto de aplicaciones, etc.
 Alerta generada por los sistemas de gestión de
sistemas
• Disponibilidad de sistemas, espacio en disco, utilización
CPU, intentos de logon, conexiones anómalas, etc.
 Alerta generada por los sistemas de gestión de la
seguridad
• Firewall, IDS, Antivirus, etc.
 Por aviso de terceros
• Policía, prensa, competidores, etc.
 Por encargo directo
Alfredo Reino
areino@gmail.com
Verificación del incidente
 Cualquiera que sea la fuente de
información que alerta inicialmente,
hay que comprobar las otras
• Pueden aportar más información
• Pueden confirmar (o descartar) la
existencia de un incidente
 Un "sistema" no es un "servidor"
• Es necesario verificar el alcance total de
una intrusión o incidente
Alfredo Reino
areino@gmail.com
Verificación del incidente
 Los fraudes internos pueden implicar
diferentes elementos de un sistema:
• Múltiples Aplicaciones
• Sistemas relacionados
 Infraestructura de red (DNS, DHCP, routers,
switches, ...)
 Sistemas de soporte (directorio, backup,
monitorización)
• Múltiples hosts
 Clientes
 Front-end
 Middleware
 Back-end, Bases de datos
Alfredo Reino
areino@gmail.com
Obtención de evidencia
 Primero la información más volátil
• Contenido de la memoria
• Conexiones de red
• Procesos corriendo
 Luego información menos volátil
• Imágenes de almacenamiento (discos, etc.)
 Otra información útil
• Fotos de hardware y sitios implicados
• Logs de sistemas de monitorización
• Entrevistas
Alfredo Reino
areino@gmail.com
 Información volátil útil
• Hora y fecha del sistema
• Procesos en ejecución
• Conexiones de red
• Puertos abiertos y aplicaciones
asociadas
• Usuarios logados en el sistema
• Contenidos de la memoria y ficheros
swap o pagefile
Alfredo Reino
areino@gmail.com
 Las herramientas usadas para examinar
un sistema en marcha deben
• Ser copias "limpias" (en un CD)
 Copias de comandos de sistema
• Diferentes versiones de OS
• En Unix/Linux, "statically linked"
 Otras herramientas
• Usar el mínimo de recursos del propio sistema
• Alterar el sistema lo mínimo
Alfredo Reino
areino@gmail.com
Análisis de la evidencia
 El procedimiento de análisis dependerá del
caso y tipo de incidente
 En general se trabaja con las imágenes de
los sistemas de ficheros
• Análisis de Secuencia Temporal ("timeline")
• Búsqueda de contenido
• Recuperación de binarios y documentos
(borrados o corruptos)
• Análisis de código (virus, troyanos, rootkits,
etc.)
Alfredo Reino
areino@gmail.com
Obtención de la evidencia
Imágenes
 Imágenes de un sistema en marcha
• Uso de "dd" y "netcat" para enviar una
copia bit-a-bit a un sistema remoto
 Tanto Windows como Unix/Linux
• Para Windows puede ser más cómodo
usar HELIX
 http://www.e-fense.com/helix/
 Permite realizar imagen de la memoria física
• Una vez realizada la imagen se computa

un hash MD5 y SHA-1
Alfredo Reino
areino@gmail.com
Imágenes
 Imágenes de un sistema apagado
• Extraer disco duro
• Si el disco tiene un jumper para "read-only" se puede
usar
 si no, un "write blocker" por hardware es necesario
(IDE/SATA/SCSI/USB/Firewire/...)
• Conecta el disco a la workstation de análisis forense
 es recomendable que sea Linux (permite montar los discos
manualmente y en modo "read-only")
• Realiza copia con "dd"
 la imagen se puede guardar en discos externos
Firewire/USB, almacenamiento SAN, etc
• Por supuesto, hashes MD5 y SHA-1 de original y copia
para garantizar integridad
Alfredo Reino
areino@gmail.com
Procedimiento
 Fraude interno / Espionaje industrial
• Periodo de verificación previo, sin alertar al culpable
• Información sobre conexiones se obtiene de firewalls,
IDS, sniffers, et
• Confiscación de hardware
• Obtención de imágenes de discos
 Intrusión Externa
• Desconectar red
• Obtener información volátil (memoria, registro,
conexiones, etc.)
• Verificar incidente (logs, IDS, firewalls, etc.)
• Obtención de imágenes de discos
Alfredo Reino
areino@gmail.com
Problemas con Servidores
 Se puede desconectar siempre la red o la
alimentación en sistemas críticos?
• Coste de downtime vs. coste del incidente
• Coste de reinstalación y puesta en marcha
• Coste de revalidación, recertificación
 Es factible siempre el hacer imágenes de
todos los discos?
• Almacenamiento en SAN/NAS
• Configuraciones RAID
• Volúmenes de >200GB comunes (incluso TB)
• Distinción de disco físico y lógico cada vez
menos clara
Alfredo Reino
areino@gmail.com
RAID
 Configuraciones comunes de RAID
• RAID 0 ("disk striping")
 2 discos mín, no tiene resiliencia a fallos
 Capacidad = Suma de los discos
• RAID 1 ("disk mirroring")
 2 discos mín, soporta caida de 1 disco
 Capacidad = La del disco de menor tamaño
• RAID 5 ("disk striping with parity")
 3 discos mín, soporta caida de 1 disco
 Capacidad = 2/3 de la suma de los 3 discos
 Típicamente se usa
• RAID 1 (o similar) para sistema operativo
• RAID 5 (o similar) para datos
 El problema de RAID
• Es necesario hacer imágenes de los discos físicos?
• En la mayoría de los casos es suficiente realizar la imagen de un disco
"lógico", a través de la controladora RAID
• Si es RAID 1 existe la posibilidad de extraer uno de los discos del
mirror y usarlo como "original"
Alfredo Reino
areino@gmail.com
RAID
 Tiempo en realizar una imagen
Fuente: http://www.cyanline.com/pres/auscert05-run-a-case.pdf
Alfredo Reino
areino@gmail.com
Problemas con evidencia original
 ¿Cómo se preserva la evidencia original?
• Si se puede parar el sistema y tenemos acceso
físico
 Se hacen dos copias de todos los discos (usando
discos de idéntico modelo)
 Se guardan los originales
 Se arranca el sistema desde una de las copias
 Se investiga sobre otra copia
• Si no tenemos acceso físico
 Procedimiento de obtención de la imagen sencillo
para que un técnico remoto pueda hacerlo
• Si no se puede parar el sistema
 Se realiza imagen online, que pasa a ser considerada
"original"
Alfredo Reino
areino@gmail.com
Problema de la distancia
 Muchos servidores tienen tarjetas de
acceso remoto (Lights-out Operations)
• Desde el punto de vista del servidor, es como
acceder desde la consola localmente
• Permiten montar CDs o diskettes virtuales
 Operador remoto
• Usando toolkit automatizado, con posible
asistencia telefónica
 Problemas: Zonas horarias, lenguaje, etc.
Alfredo Reino
areino@gmail.com
Resumen
 La información y evidencia recogida tiene
que ser la mejor posible dadas las
circunstancias
 En un delito, la evidencia informática suele
corroborar o apoyar una investigación,
pero no tiene por qué ser la "pistola
humeante"
 No es siempre necesario obtener "toda" la
información disponible
• No merece la pena
• Puede llevar mucho tiempo
Alfredo Reino
areino@gmail.com
Sistemas Windows
Obteniendo información
 date /t & time /t
• fecha y hora
 ipconfig /all
• información tcp/ip
 netstat -aon
• conexiones abiertas y puertos en espera, con PID asociado
 psinfo -shd
• informacion del sistema (hardware, software, hotfixes,
versiones, etc.)
 pslist -t
• lista de procesos
 at
• lista de tareas programadas (también mirar en
%windir%\tasks\ folder)
Alfredo Reino
areino@gmail.com
 psloggedon
• usuarios logados y hora de logon
 psloglist
• volcado de log de eventos
 psservice
• información de servicios de sistema
 net use, net accounts, net session, net share, net
user
• conexiones netbios/smb
 listdlls
• lista de DLLs cargadas en sistema
 sigcheck -u -e c:\windows
• lista de ficheros (.exe, .dll) no firmados
Alfredo Reino
areino@gmail.com
 streams -s c:\
• lista ficheros con alternate data streams (ads)
 logonsessions -p
• sesiones actuales y procesos por sesión
 arp -a
• muestra tabla de caché ARP
 ntlast
• muestra eventos de logon correctos y fallidos
 route print
• muestra tabla de rutado IP
Alfredo Reino
areino@gmail.com
 autorunsc
• muestra elementos de autoejecución
 hfind c:
• ficheros ocultos
 promiscdetect
• detecta interfaces de red en modo "PROMISC"
Alfredo Reino
areino@gmail.com
 volume_dump
• muestra información sobre volumenes, mount points,
filesystem, etc.
 pwdump2
• muestra hashes (nthash/lmhash) de cuentas locales
 lsadump2
• muestra LSA secrets (necesita SeDebugPrivilege)
 strings
• busca cadenas ASCII/Unicode en ficheros
Alfredo Reino
areino@gmail.com
Obteniendo información - GUI
 rootkit revealer
• detecta rootkits (usermode o kernelmode)
 process explorer
• información útil sobre procesos, librerías que usan, recursos
accedidos, conexiones de red, etc.
 tcpview
• muestra conexiones de red y aplicaciones asociadas
Alfredo Reino
areino@gmail.com
Dispositivos Windows
 \\. Local machine
 \\.\C: C: volume
 \\.\D: D: volume
 \\.\PhysicalDrive0 First physical disk
 \\.\PhysicalDrive1 Second physical disk
 \\.\CdRom0 First CD-Rom
 \\.\Floppy0 First floppy disk
 \\.\PhysicalMemory Physical memory
Alfredo Reino
areino@gmail.com
Imagen de memoria
 Imagen de la memoria usando "dd"
dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000
• Acceso a PhysicalMemory desde usermode ya no se permite en
Windows Server 2003 SP1 (es necesario usar un driver en
modo kernel)
 Se puede volcar el espacio de memoria de un proceso con
"pmdump"
 Se puede obtener el fichero de paginación
• No se puede copiar 'pagefile.sys' en un sistema en marcha
• Si se apaga el ordenador, se modifica el fichero de paginación
(o opcionalmente se borra)
• Si es necesario este fichero, quitar cable de alimentación y
obtener imágenes del disco
Alfredo Reino
areino@gmail.com
Ejemplo PMDump
Alfredo Reino
areino@gmail.com
Ficheros log
 Log de eventos (Application, System, Security, DNS)
 IIS/webserver/FTP logs/URLScan
 Windows Firewall log (%windir%\pfirewall.log)
 Dr. Watson logs
• contiene información sobre procesos que corrían cuando una
aplicación falló
 setupapi.log
• información sobre instalacíón de aplicaciones y dispositivos
 schedlgu.txt
• información sobre tareas programadas
 Antivirus / IDS / IAS / ISA Server / ... logs
Alfredo Reino
areino@gmail.com
Carpeta Prefetch
 Usada por Windows para almacenar información sobre
ejecutables, para optimizar el rendimiento
• En WinXP se realiza prefetches al arrancar y al lanzar
aplicaciones. Win2003 realiza el prefetch sólo al arrancar (por
defecto)
• Los ficheros .pf en %systemroot%/prefetch contienen
información sobre el path de los ficheros
• La fecha y hora (MAC) del fichero .pf nos da información sobre
cuándo una aplicación ha sido ejecutada
Alfredo Reino
areino@gmail.com
Otras fuentes
 LastWrite en claves de registro
• Se puede usar 'lsreg.pl' para extraer esta
información
Key -> CurrentControlSet\Control\Windows\ShutdownTime
LastWrite : Tue Aug 2 12:06:56 2005
Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01
 Ficheros INFO2
• Información sobre ficheros borrados
• Se puede usar 'rifiuti' para extraer información
• C:\Recycler\%USERSID%\INFO2
Alfredo Reino
areino@gmail.com
Otras fuentes
 Documentos recientes
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
 Directorios temporales
 Caché navegador web
• Se puede usar 'pasco' para analizar
• Cache y cookies
• Browser history
Alfredo Reino
areino@gmail.com
Sistemas UNIX
 uptime
• tiempo que lleva el sistema corriendo
 uname -a
• tipo de OS y versión de kernel
 date
• fecha y hora del sistema
 fdisk -l
• mapa de particiones
 lsof -itn
• muestra ficheros abiertos
 netstat -nap
• muestra puertos abiertos
Alfredo Reino
areino@gmail.com
 pcat
• copia espacio de memoria de un proceso
 ls -lit | sort
• muestra inodos por secuencia, permite buscar troyanos
 memdump
• volcado de memoria física
 mac-robber y mac-time
• obtiene información sobre MAC de ficheros
 file
• identifica un fichero
 ldd
• muestra librerías dinámicas utilizadas por un binario
 strings
• muestra cadenas ASCII en ficheros
Alfredo Reino
areino@gmail.com
 gdb
• debugger
 objdump
• muestra información sobre ficheros objeto
 readelf
• muestra información sobre ficheros ELF
 strace
• traza de llamadas al sistema
Alfredo Reino
areino@gmail.com
/proc
 El directorio /proc en Linux contiene

una representación de los procesos
en ejecución
 El fichero en la carpeta /proc/<pid>
es el binario del proceso
• ¡Aunque se haya borrado del disco
después de lanzarlo!
Alfredo Reino
areino@gmail.com
Otras fuentes
 Ficheros log (/var/log)

 .bash_history
 Fichero swap
Alfredo Reino
areino@gmail.com
Routers CISCO
Cisco Routers
 Existen cientos de vulnerabilidades que afectan a
routers Cisco
• Buscando "cisco router" en CVE aparecen unas 50
 ¿Por qué atacar un router?
• Deshabilitar la red, DoS
• Atacar otros routers
• Evitar firewalls, IDS, ...
• Interceptar tráfico
• Redireccionar tráfico
Alfredo Reino
areino@gmail.com
Cisco Routers
 Dos tipos de memoria
• Flash (persistente)
 Configuración de arranque
 Ficheros sistema operativo IOS
• RAM (volátil)
 Configuración actual
 Tablas dinámicas (rutado, ARP, NAT, violaciones de
ACLs, estadísticas, etc.)
 Lo interesante está en la RAM
Alfredo Reino
areino@gmail.com
Cisco Routers
 No reiniciar el router
 Acceder siempre por consola
• no por red
 Recoger información usando comandos
"show"
 Capturar sesión de terminal
• Casi todos los programas de terminal tienen
esta función
Alfredo Reino
areino@gmail.com
Cisco Routers
show clock detail
 Información útil show version
 Si la contraseña ha cambiado y no show running-config
show startup-config
podemos entrar, hay información show reload
que se puede conseguir por SNMP show ip route
show ip arp
• snmpwalk –v1 Router.domain.com public
show users
• snmpwalk –v1 Router.domain.com private show logging
 Otra información show ip interface
• Logs de syslog show interfaces
show tcp brief all
• Traps SNMP enviadas a sistema de
show ip sockets
monitorización
show ip nat translations verbose
 Es buena política tener logs activados! show ip cache flow
show ip cef
show snmp user
show snmp group
show clock detail
Alfredo Reino
areino@gmail.com
Análisis forense como servicio
corporativo
Marco de trabajo
 Soportado por Política de Seguridad
corporativa
 Servicio forense como parte de
procedimiento de Respuesta a Incidentes
 Roles, responsabilidades, y autoridad,
tienen que estar muy definidos
Alfredo Reino
areino@gmail.com
Equipo
 Investigadores forenses
• Con experiencia, cualificaciones, y acceso a
todas las herramientas y bases de datos
• Número pequeño, dependiendo del tamaño de
la organización y el número de casos
procesados
 Personal de respuesta a incidentes
• Pueden llevar a cabo las fases de verificación y
obtención de evidencia
Alfredo Reino
areino@gmail.com
Equipo - Otros
 Administradores de sistema
• Aportan conocimiento de la infraestructura y
podrían ser los únicos en tener acceso a
sistemas (por política)
 Departamentos legales y de RRHH
• Dependiendo del caso, puede ser útil o
necesario involucrarlos en la investigación
Alfredo Reino
areino@gmail.com
Herramientas
 Kit de recolección de evidencia
• Automatizado, que pueda ser usado por cualquiera
• Multiplataforma
• HELIX o similar
 Análisis de imágenes de discos
• The Sleuth Kit + Autopsy Browser
• EnCase
 Recuperación de contraseñas
• Advanced Password Recovery Software Toolkit
 Dispositivos móviles
• PDA Seizure
• MOBILedit Forensics Edition
 Esteganográfía
• Stego Suite
Alfredo Reino
areino@gmail.com
Bases de datos
 Base de datos de "hashes"
• Permite descartar ficheros conocidos
• Cada sistema estándar y aplicación
utilizado en la corporación debería estar
registrado en la base de datos de
hashes
 Base de datos de casos y evidencia
• Que permita búsqueda fácil
• ¿Cómo se resolvió aquél caso similar?
Alfredo Reino
areino@gmail.com
Bases de datos
 Base de datos de herramientas

• Toda herramienta debe ser probada
 Metodología establecida de antemano
• Documentación de uso, resultados, e
impacto en el sistema
• Copia segura de la herramienta, con
hashes de los ficheros en papel
Alfredo Reino
areino@gmail.com
Infrastructura necesaria
 Workstations de análisis forense
• Conectividad hardware de todo tipo (IDE, SCSI, Firewire, USB,
SATA)
 Almacenamiento para imágenes
• Dado que son ficheros grandes, la velocidad de
lectura/escritura es fundamental (SAN por fibra, etc.)
• Opcionalmente, sistemas de archivado digital
 EMC Centera, NetApp NearStore, etc.
 Almacenamiento físico para evidencia e informes
• Caja fuerte, archivador con llave, sala de archivos
 CDs de herramientas de obtención de evidencias
• con instrucciones detalladas para que la obtención de
evidencias la pueda hacer alguien no-cualificado de forma
remota
 Sistemas que alberguen las bases de datos comentadas
anteriormente
Alfredo Reino
areino@gmail.com
Areas de investigación futura
 Análisis de imágenes de memoria
 Dispositivos móviles
• Teléfonos móviles
• PDAs y Blackberries
• Navegadores GPS
• Reproductores MP3
• Cámaras digitales
 Telefonía IP, VoIP
Alfredo Reino
areino@gmail.com
Areas de investigación futura
 Infrastructura forense distribuida
• Agentes instalados en todos los sistemas
• Gestionados centralmente
• Permite obtener datos de diferentes fuentes y
correlacionarlos
 Idea
• Uso de PXE Boot para reiniciar una máquina y
que arranque con un entorno de obtención de
evidencia
Alfredo Reino
areino@gmail.com

Analisis Forense en La Corporación

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Analisis Forense en La Corporación

Uploaded by

Copyright:

Available Formats

Análisis Forense en la

 Leyes sobre "hacking"

 A menudo los casos cruzan fronteras

 Verificación del incidente

• Una vez realizada la imagen se computa

 Tiempo en realizar una imagen

 El directorio /proc en Linux contiene

 Ficheros log (/var/log)

 Base de datos de herramientas

You might also like